Pwned

Publié le par

Jeudi 7 juin 2012, 7h00.

Mon réveil sonne. Comme d’habitude, je mets un peu de temps à émerger.

La veille, j’ai assisté aux conférences du premier jour du SSTIC. Le niveau est élevé pour un simple informaticien comme moi, mais l’ambiance est excellente, et plusieurs personnes viennent me saluer puisque je suis facilement reconnaissable, avec mon badge « Zythom » autour du cou et ma casquette Google. Le soir, après les conférences, j’ai travaillé tard dans ma chambre d’hôtel sur les visuels de la présentation que je dois faire aujourd’hui. Pour donner l’impression d’être à l’aise, il faut répéter, répéter et répéter.

7h15.

Je reçois un SMS de Maître Eolas:

« Vous avez vu votre blog (et votre compte Twitter)? ».

Mon sang se glace. J’essaye aussitôt de me connecter sur mon blog, sur la messagerie de mon compte Google et sur mon compte Twitter: impossible, mots de passe incorrects…

Je consulte mon blog: il a été vandalisé, cracké, defaced. Je suis pwned.

Je suis surtout effondré, blessé.

Je me sens humilié.

J’ai du mal à taper sur les touches de mon smartphone car mes doigts tremblent.

Je suis en colère.

7h30.

J’appelle par téléphone Benjamin Morin, l’un des organisateurs du SSTIC qui s’occupe de moi.

Je lui annonce le piratage de mon compte Google, de mon blog et de mon compte Twitter.

Je lui annonce que je vais déposer plainte.

Je lui annonce que je ne suis pas en état de faire ma présentation prévue à 14h45.

Il encaisse ces différentes annonces et me demande de le retrouver dans le hall de l’hôtel.

7h35.

Nous faisons le point des différents problèmes que je rencontre.

Benjamin me prête son ordinateur car le mien est peut-être compromis.

Je contacte le service support en ligne Google pour essayer de récupérer la main sur mon compte.

J’arrive à faire suspendre mon compte, mais le service en ligne m’informe que le traitement de mon dossier prendra 3 à 5 jours ouvrés.

8h.

J’appelle mon épouse pour lui annoncer la nouvelle et lui faire part de mon désarroi.

Elle me soutient et, malgré les centaines de km qui nous séparent, sa présence me réconforte.

9h.

Les substances sécrétées par mon organisme lorsque j’ai découvert le piratage commencent à se diluer. Je retrouve la terre ferme et un peu de lucidité. Je me rends compte que ce qui m’arrive n’est pas très grave.

Benjamin me contacte pour me demander comment je souhaite que soit annoncée ma défection aux participants du SSTIC. Je lui explique que j’ai retrouvé mes esprits, que le mieux est de maintenir mon intervention et que je ne déposerai pas de plainte. Malgré sa parfaite maîtrise de la situation de crise (un organisateur de symposium est en situation de crise permanente), je sens un léger soulagement. Il n’a pas de remplaçant à me trouver, il va pouvoir passer à la gestion des problèmes suivants… Je lui demande quand même s’il est possible d’accélérer la récupération de mon compte Google.

10h.

Benjamin a contacté les personnes ad hoc parmi les organisateurs et
les participants au symposium, et me donne les coordonnées d’une
personne de Google Europe. J’arrive à contacter cette personne qui déclenche la procédure ad hoc.

Je reçois les procédures à suivre sur mon compte email de secours de mon compte Gmail. Je les suis pas à pas. Je finis par récupérer la main sur mon compte Google.

11h.

Comme l’a fait le pirate, je suis la procédure Twitter d’oubli de mot de passe. Twitter me l’envoie vers mon compte Gmail que je maîtrise à nouveau. Je peux enfin modifier mon mot de passe et accéder à mon compte Twitter que je remets en état.

J’appelle mon épouse. Elle me félicite et m’encourage à rebondir. Je suis fier d’elle. Mon moral remonte.

Je mets un message d’attente sur mon blog pour présenter mes excuses aux internautes et aux participants du SSTIC, tout en avertissant que ma présentation est maintenue.

12h.

Je ne sais pas quels sont mes outils compromis, mais je coupe toutes mes liaisons wifi et 3G.

Je m’isole du monde.

Je me concentre sur ma présentation.

14h30.

Je suis en bas de l’amphithéâtre du SSTIC, un peu penaud.

Plusieurs personnes viennent me voir et me font part des soutiens qui circulent sur Twitter et sur les blogs. L’amphi se remplit, la plupart des visages sont souriants.

14h45.

L’amphithéâtre m’offre un tonnerre d’applaudissements avant même que je n’ai pu ouvrir la bouche.

Des substances très différentes de celles du matin coulent dans mes veines.

Ces gens sont formidables.

Je commence ma présentation, mais je raconterai tout cela dans un autre billet consacré au SSTIC.

C’est la première fois que je subis une attaque de cette sorte. Sans vouloir entamer un dialogue impossible avec mon attaquant, voici son texte et mes remarques.

Zythom,

Votre pseudonymat volant en éclat, allez-vous donc enfin faire profil-bas sur notre métier ? Allez-vous donc enfin cesser de détailler méthodes et anecdotes, à ceux que l’on cherche à faire arrêter (criminels, pédopornographes, pédophiles, etc…), ou préférez-vous les aider ? De quel côté êtes-vous, très cher confrère ?!? Vous défouler mentalement, voir susciter l’intérêt du métier suffit bien assez, même dissimulé derrière un postiche ridicule…

NB : en tant que procureur, ou membre de la cour d’appel, que feriez-vous si un expert inforensique était inapte à protéger ses comptes en ligne, ses machines, et donc ses dossiers d’expertises ? Conférerait-il une qualification suffisante ?

Bonne conférence, je vous regarderai.

Tout d’abord, l’auteur de ce texte ne peut pas être expert judiciaire, c’est absolument impossible. Tout expert judiciaire sait que le code pénal punit sévèrement toute intrusion dans un système de traitement automatisé de données. D’ailleurs, tous mes lecteurs policiers, experts judiciaires et magistrats le savent bien. Extrait:

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou
partie d’un système de traitement automatisé de données est puni de deux
ans d’emprisonnement et de 30000 euros d’amende.

Circonstance aggravante, l’auteur du piratage a supprimé l’intégralité des 700 billets du blog, ce qui lui vaut d’encourir une peine alourdie. Extrait:

Lorsqu’il en est résulté soit la suppression ou la modification de
données contenues dans le système, soit une altération du fonctionnement
de ce système, la peine est de trois ans d’emprisonnement et de 45000
euros d’amende.

Bien entendu, il s’agit là de peines maximales. Personne, y compris moi-même, ne peut imaginer quelqu’un condamné à de tels niveaux de peine pour m’avoir attaqué, moi simple blogueur. A part mon égo, personne n’a été blessé.

Un expert judiciaire a prêté serment d’apporter son concours à la justice, pas de faire justice soi-même.

Mon blog n’est pas apprécié par tout le monde, c’est une évidence. Je reçois parfois des emails d’experts judiciaires fâchés contre moi et qui contestent ma démarche. Un expert a même contesté la tenue de mon blog en justice, j’ai été interrogé par un conseiller de la Cour d’Appel, j’ai été convoqué devant la commission de discipline de ma compagnie judiciaire, et celle-ci a conclu que mon blog était parfaitement conforme et légal. J’ai déjà raconté tout cela ici-même.

Depuis, les experts judiciaires qui n’aiment pas mon blog font ce que tous les internautes font dans ce cas: ils ne viennent pas le lire. Nous sommes encore dans un pays où l’expression est libre.

L’auteur de cette diatribe n’est donc pas expert judiciaire.

Concernant mon identité réelle, je suis très surpris qu’une personne puisse penser que je souhaite qu’elle soit cachée à tout prix. Je suis fier des billets que j’ai écrits, et j’en assume complètement l’écriture, aussi bien sous mon pseudonyme Zythom que sous ma véritable identité. Je voudrais rappeler encore une fois que l’association du pseudonyme Zythom à ma véritable identité est connue de mon hébergeur, de la justice, de la police, de ma compagnie d’experts judiciaires, des journalistes qui m’ont interviewé, des blogueurs et twittos avec qui j’ai établi des liens de confiance, des organisateurs de conférences qui me font l’honneur de m’inviter, de mes amis et de ma famille. Bref, de beaucoup de monde.

Les autres internautes se moquent complètement de ma véritable identité, sauf ceux qui me contactent quand j’écris un billet où je donne un peu trop de détails facilitant mon identification. Je les rassure alors: je ne cherche pas à rester anonyme à tout prix, j’écris simplement sous pseudonyme, sous un nom de plume.

Je voudrais faire remarquer que mon contradicteur me reproche d’utiliser un pseudonyme, tout en agissant lui-même de façon anonyme, où cette fois le mot anonyme est à prendre sous le sens de « corbeau », de « dénonciateur anonyme » de triste mémoire.

Concernant les détails techniques supposément dévoilés sur mon blog et qui encourageraient les criminels au point que mon contradicteur se demande de quel côté je me trouve, je pense que tous les internautes auront compris l’inanité du raisonnement. Je ne suis pas un expert en sécurité informatique, je ne suis pas un expert en crackage de systèmes, je ne suis pas un white/black hat. Je suis un simple responsable informatique et technique qui met ses connaissances au service de la justice. Les outils dont je parle ici sont accessibles à tous, disponibles et distribués légalement. Les anecdotes dont je parle sont suffisamment romancées pour qu’aucun secret ne soit trahi. C’est un bien grand pouvoir qu’il me donne, et c’est une bien grande erreur qu’il commet en pensant que les criminels, pédopornographes et pédophiles viennent trouver sur mon blog le moindre élément susceptible de les aider. C’est d’ailleurs au contraire l’attaque qu’il a mené contre mon blog qui le décrédibilise en devenant lui même coupable d’un délit.

Comment a-t-il pu obtenir le mot de passe de mon compte Google? Mystère. Et cela restera un mystère parce que j’ai décidé de ne pas déposer plainte. Je suis marié à une avocate et je vois bien avec ses dossiers qu’il y a des gens qui subissent des malheurs bien plus grands que l’attaque de mon petit site internet. Et mon travail avec la justice, la police et la gendarmerie, me montre bien les faibles moyens dont ils disposent pour des affaires toujours plus nombreuses. Alors embarrasser encore plus le système avec mon petit problème…

Je ne saurai donc pas comment il a obtenu mon mot de passe. Réseau Wifi de l’hôtel où je me suis imprudemment connecté sans mon VPN ?  Réseau Wifi de l’amphithéâtre en plein SSTIC, alors que les ondes étaient analysées en permanence par 200 Wiresharks ? Probablement pas.

J’avoue que cela m’intrigue, mais c’est la vie. J’ai depuis mis en place la double authentification proposée par Google et que je recommande (maintenant 😉 à tous ceux qui ont un téléphone et un compte Google.

J’ai toujours segmenté mes activités, chacune avec un compte dédié, et chaque compte avec un mot de passe différent des autres. Mes comptes Twitter et Gmail n’ont pas le même mot de passe, mais l’adresse email de récupération du compte Twitter est celle du compte Gmail, puisque le cœur de mon activité de blogueur est mon compte Google. Une fois mon compte Google déchiré, il était facile de récupérer le contrôle du compte Twitter.

J’ai une sauvegarde complète des billets de mon blog, et des commentaires, mais je me demande si ce n’est pas l’occasion aussi de repartir sur une base vide, puisque la grande partie des billets sont lus dans les quelques jours qui suivent leur publication, pour tomber ensuite dans un trou noir. J’hésite encore et déciderai la semaine prochaine. Ce week-end, je joue avec mes enfants.

Je pense bien sur utiliser cette sauvegarde pour démarrer la rédaction du tome 3 des billets de mon blog, pour mes amis et ma famille. Je remettrai d’ailleurs bientôt en ligne l’accès aux tomes 1 et 2.

Le site sera donc en chantier plusieurs jours.

Pendant quelques heures, les seuls billets de Zythom qui apparaissaient sur Internet étaient ceux acceptés et publiés par Sid (lien WebArchive) et par Maître Eolas sur leurs blogs (Edit du 12/06: également par justice2012 (lien WebArchive) par Genma (lien WebArchive) et par le Village de la Justice, ici, ici et ). Grâce à eux, je n’avais pas complètement disparu. Qu’ils en soient remerciés 😉

Mes remerciements vont également à toutes les personnes qui m’ont aidé à reprendre le contrôle du site et du compte Twitter: les équipes de Google, les organisateurs et les participants du SSTIC, avec aux premières loges Benjamin Morin.

Et je remercie chaudement tous ceux qui m’ont adressé un signe de soutien, par email, par SMS, par tweet, par téléphone: experts judiciaires, magistrats, avocats, policiers et bien sur tous les « anonymes ».

C’est dans les moments pénibles que tous ces petits signes sont précieux.

Et cela, ça ne s’efface pas.

<3

Piratage du blog

Publié le par

Merci à tous pour vos messages de soutien.

Et merci à Google pour sa réactivité (et à l’équipe du SSTIC).

Je suis en conférence au SSTIC cet après-midi (pour aller mourir sur scène).

Je réparerai le blog ensuite.

PS: les participants au SSTIC n’ont rien à voir avec le piratage du site, j’en suis seul responsable.

SSTIC 2012

Publié le par

33 3Msecurityglass

Je suis invité à faire une conférence au Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC) qui se déroulera les 6, 7 et 8 juin 2012 à Rennes.

C’est pour moi une nouveauté d’être invité sous mon pseudonyme de blogueur, mais c’est surtout un challenge de venir parler devant une assemblée d’experts spécialistes de la sécurité informatique. Imaginez un peu le stress d’un médecin généraliste venant s’exprimer devant des neurochirurgiens…

Cela faisait plusieurs années que j’avais repéré ces trois journées de symposium, mais je n’ai jamais réussi à avoir une place pour pouvoir y assister, car les places partent en quelques minutes. Je suis donc très honoré (et très stressé!) d’y être invité pour m’exprimer 45mn sur l’activité d’expert judiciaire en informatique.

Une des difficultés que j’appréhende va être d’allumer mon ordinateur (ou mon téléphone) sans que tous mes mots de passe et données privées ne soient capturés par l’assemblée de spécialistes, moi qui me considère vraiment comme un nain juché sur les épaules de ces géants. C’est d’ailleurs un des angles d’attaque de ma présentation (le nain, pas les mots de passe ;-). Je sais qu’il ne faut pas se connecter sur une éventuelle borne « WifiGratuit » ouverte à tous les vents sans protection. Ni tremper les doigts dans les pots de miel qui pourraient trainer…

Je crains un peu également que mon pseudonymat ne soit mis à mal par quelques indélicats, mais j’ai toujours expliqué ici que le choix de bloguer sous pseudonyme était un confort d’écriture et de liberté de parole, plus qu’une protection permettant de tout dire de manière irresponsable. J’assume sans problème chaque texte écrit ici, même de mauvaise qualité, même sur ma vie privée.

Une autre difficulté va être de résister jusqu’à jeudi soir à l’appel de la rue de la soif…

La difficulté principale va quand même être d’intéresser pendant 45mn, juste après le repas, un auditoire de spécialistes.

A la semaine prochaine, sur le campus de Rennes Beaulieu Sud, pour les chanceux qui ont réussi à avoir des places! Si vous me voyez sur l’estrade le 7 juin, soyez indulgent :-S

Homophobie

Publié le par

prC3A9servatif grippe a tulipan

L’Organisation Mondiale de la Santé (OMS) n’a retiré l’homosexualité de la liste des maladies mentales que le 17 mai 1990. Le site projet17mai.com offre une tribune à des dessinateurs pour aborder le thème cruel de l’homophobie et du rejet. Mais ce sujet ne doit pas se limiter à une seule journée, même symbolique.

A titre de réflexion, je vous propose quelques citations politiques qui montrent encore tout le chemin à parcourir:

« En tout cas, que l’homosexualité soit liée au narcissisme et à l’individualisme rutilant de notre société, ça c’est évident. » Christian Vanneste (UMP), émission « C dans l’air » du 13 novembre 2009.

« On a en effet vraiment l’impression que le PACS est une «patate chaude»
que l’on se refile de la mairie à la préfecture, puis au tribunal
d’instance et demain matin – pourquoi pas? – à la direction des
services vétérinaires. » Dominique Dord (UMP), lors du débat sur le PACS (voir page 8502 du compte rendu intégral de la 2e séance du 8 novembre 1998).

« Il n’y a qu’à les stériliser! » Pierre Lellouche (UMP) lors du débat sur le PACS (voir page 8536 du compte rendu intégral de la 3e séance du 8 novembre 1998).

Heureusement, d’autres personnes politiques me donnent de l’espoir. On verra bien.

Voici mes contributions préférées:

Zelba,

Paka,

Gami,

Guillaume Penchinat,

Kaouet – Laetitia,

Mipou et

Anne-Lise Nalin.

Mais allez-voir les autres aussi 😉

——————————

Source image: fightforblogiz.com

Campagne pour les préservatifs Tulipan en plein syndrome de la grippe A.

Vous ne pourrez pas vérifier

Publié le par

votehere

Je suis informaticien, je suis expert judiciaire en informatique, alors l’informatique, je connais bien. Vous qui me lisez ici, vous êtes peut-être aussi informaticien, peut-être pas. Vous connaissez sans doute un collègue informaticien, un ami, un petit-fils informaticien, ou même quelqu’un qui ressemble à un informaticien, quelqu’un qui sait y faire avec les ordinateurs.

Est-ce que pour autant, vous me donneriez une procuration pour aller voter à votre place? Est-ce que vous donneriez cette procuration à un collègue ou à quelqu’un que vous connaissez parce qu’il sait y faire avec les ordinateurs? Feriez-vous confiance à quelqu’un, pour qu’il vote « comme vous allez lui dire », simplement parce qu’il vous dépanne quand votre ordinateur déraille?

Sans pouvoir vraiment vérifier.

Moi, je pense que vous ne devriez pas.

Plutôt que d’essayer de vous montrer les dysfonctionnements possibles d’un vote informatique (avec une machine à voter ou par internet), je vais vous décrire ce qu’il se passe aujourd’hui dans un bureau de vote, au moment du dépouillement des bulletins de vote, tout au moins dans le bureau de vote auquel je participe depuis plusieurs années.

Tout d’abord, à l’heure de fermeture du bureau de vote (18h ou 20h), et bien les portes doivent rester ouvertes, pour permettre aux citoyens qui le souhaitent de venir assister aux opérations. Tout le monde peut venir s’il le souhaite, et il n’est pas rare que le responsable du bureau de vote propose à une ou plusieurs personnes du public de participer aux opérations de dépouillement.

La première opération est l’ouverture de l’urne. Celle-ci est transparente, pour qu’on puisse voir pendant que l’on vote, son enveloppe tomber et pour permettre de surveiller le niveau de remplissage pendant toute la journée. L’urne de vote possède deux clefs, comme pour le lancement de missiles dans tout bon film sur la question, et une fois ouverte, son contenu est doucement renversé sur une grande table.

Toutes les enveloppes qui étaient dans l’urne sont immédiatement comptées. Pendant ce temps, toutes les signatures du cahier d’émargement (que chaque électeur a signé lorsqu’il a voté) sont également comptées. Les deux nombres doivent être identiques.

Nous séparons alors les bulletins de vote (toujours dans leurs petites enveloppes) par paquets de 100 que nous mettons dans de grandes enveloppes qui sont aussitôt scellées. Puis nous ouvrons la première grande enveloppe de 100 bulletins pour commencer le dépouillement.

Une personne prend chaque enveloppe de vote, l’ouvre, en sort le bulletin contenu à l’intérieur et le passe déplié à une deuxième personne qui annonce à voix haute le nom indiqué sur le bulletin. Si l’enveloppe est vide, ou comporte un bulletin blanc, ou comporte plusieurs bulletins avec des noms différents, ou comporte un bulletin portant des inscriptions, ou comporte un bulletin fabriqué par l’électeur, le processus s’arrête et le bulletin (et son enveloppe) est mis de côté pour être annexé au rapport du bureau de vote.

Si l’enveloppe contient plusieurs bulletins tous identiques, un seul sera pris en compte.

Lorsque le nom inscrit sur le bulletin est énoncé à voix haute, deux personnes incrémentent un compteur pour chaque candidat sur une feuille de comptage (il y a donc deux feuilles de comptage), tout en énonçant, chacune à voix haute, le dernier chiffre du compteur du candidat concerné par le bulletin. Si les deux chiffres correspondent, le bulletin est posé sur la table, et l’on recommence.

A la fin de cette étape, le total dans tous les cas (nul, blanc, candidats) doit faire 100. Sinon, il faut recompter et trouver où est l’erreur (en général un blanc ou un nul non compté ou compté deux fois). Une fois tous d’accord sur la validité de dépouillement d’un lot de 100 bulletins, on recommence alors en ouvrant la grande enveloppe de 100 bulletins suivante. On a fini le dépouillement quand la dernière grande enveloppe est ouverte (elle contient presque toujours moins de 100 bulletins).

Les résultats du bureau de vote sont alors définitifs et peuvent être transmis à la mairie, où est en général réuni un public nombreux qui assiste aux additions des chiffres des différents bureaux de la commune. La mairie  transmet ensuite à la préfecture qui transmet ensuite au ministère de l’intérieur qui publie les résultats provisoires, validés ensuite par le Conseil constitutionnel. Mon bureau de vote est de temps en temps contrôlé par un magistrat représentant le Conseil constitutionnel. Chacun peut vérifier les chiffres détaillés sur le site internet du ministère de l’intérieur.

Il me semble très difficile d’organiser une fraude à grande échelle: il faudrait corrompre toutes les personnes présentes dans le bureau de vote, il faudrait corrompre plusieurs bureaux de vote pour que la fraude puisse avoir un impact significatif.

Par contre, la fraude de grande ampleur est très facile si l’on informatise le vote. Je ne vais pas vous le prouver en expliquant les différentes techniques pouvant permettre cette fraude. Je vais simplement affirmer que c’est possible (et facile) pour un informaticien. Très facile même, s’il s’agit de l’informaticien qui a conçu le système.

Et surtout, vous ne pourrez pas vérifier l’absence de fraude. Vous ne pourrez pas vérifier l’authenticité des votes dépouillés. Vous ne pourrez pas vérifier, quelque soit votre niveau de connaissance technique. Vous ne pourrez pas vérifier, même si vous avez un ami qui s’y connait bien en informatique. Vous ne pourrez pas vérifier parce qu’il vous faudra faire confiance dans les informaticiens qui auront mis au point le système. Vous ne pourrez pas vérifier parce qu’il vous faudra leur donner une procuration et leur dire pour qui vous voulez voter.

Personnellement, je souhaite pouvoir vérifier.

Si vous êtes comme moi et que vous préférez le système actuel, lent et long, mais facilement vérifiable, alors pensez à en parler (avec courtoisie mais fermeté) à vos élus quand ils envisagent de mettre en place des machines informatisées pour faciliter les opérations de dépouillement. Dites leur que vous n’en voulez pas. Dites leur que vous voulez garder le contrôle. Dites leur que vous voulez pouvoir vérifier.Si vous ne dites rien à vos élus, ou si vos élus ne vous écoutent pas, ils décideront d’informatiser la procédure de vote, en expliquant que c’est plus simple et plus rapide.

Si vos élus ont déjà informatisé votre bureau de vote, dites leur que vous voulez revenir au système manuel, que vous voulez pouvoir vérifier vous-même les opérations de dépouillement.

 

Si l’informatisation des bureaux de vote continue, si le vote par internet se généralise, ce jour là, quelqu’un pourra voter à votre place sans que vous le sachiez et truquer les résultats. Facilement.

Vous ne pourrez pas vérifier.

—————————

Crédit photo Spacedust Humor

Watching you

Publié le par

white trash repairs classic this is why they had to walk to mordor

On me demande souvent ce que je ferais si je devais analyser un disque dur entièrement chiffré, ou un disque effacé en profondeur. Je réponds toujours qu’un expert judiciaire n’est pas un magicien et que « Ad impossibilia nemo tenetur« [1].

Il arrive parfois qu’on puisse surmonter l’impossible.

Jaime Lannister est commercial dans l’entreprise CASTRALROC. Enfin, « était », car Jaime s’est fait licencier pour faute grave. Faute qu’il conteste devant le conseil de prud’hommes. Ceux-ci, étant étymologiquement sages et avisés, font appel à un autre homme sage, avisé, d’expérience, reconnu compétent dans un domaine et pouvant être considéré comme un expert à ce titre, c’est-à-dire un expert judiciaire. Me voici dans la place forte.

J’ai déjà décrit plusieurs fois sur ce blog le déroulement d’une expertise judiciaire contradictoire. Je suis donc assis à une grande table ronde, avec à ma droite les représentants de l’entreprise CASTRALROC et leur avocat, et à ma gauche Jaime et son avocat. Bien qu’ayant lu mon ordonnance de désignation, je demande aux deux parties de me présenter le problème.

CASTRALROC est une entreprise spécialisée dans la fabrication d’armes blanches à double tranchant, connue pour ses modèles Aiguille, Glace, Grande-Griffe et Longclaw. Entreprise de taille modeste, elle n’en dispose pas moins d’un poste de commercial, occupé par Jaime, avec des clauses de confidentialité et de non concurrence.

Il est reproché à Jaime d’avoir contacté à plusieurs reprises, par courrier postal, des entreprises concurrentes et proposé ses services, en mettant en avance son savoir-faire et sa connaissance des techniques utilisées par CASTRALROC. En particulier l’entreprise RINGS fabricant les modèles Andúril, Anglachel, Anguirel, Aranrúth, Dard, Glamdring, Gurthang, Gúthwinë, Hadhafang, Herugrim, Narsil, Orcrist et Ringil.

Jaime nie avoir rédigé de tels courriers, tout en reconnaissance des contacts avec la concurrence, contacts qu’il estime normal dans l’hypothèse d’un changement d’employeur.

Me voici donc, en présence des deux parties, devant l’ordinateur portable utilisé par Jaime dans le cadre de son travail chez CASTRALROC. Ne souhaitant pas prolonger la réunion outre mesure en effectuant devant tout le monde de longues analyses techniques, je propose aux parties de m’autoriser à les effectuer dans mon laboratoire et de revenir présenter les résultats de mes investigations lors d’une deuxième réunion.

De retour chez moi, j’effectue une copie numérique du disque dur et commence son analyse inforensique. Après quelques heures d’investigations, je constate l’absence de courriers coupables. Par contre, je trouve sur le disque dur un logiciel d’effacement de traces: Eraser. Impossible, dans ce cas, de remonter de plus de quelques jours dans la liste des fichiers effacés.

Me voici de nouveau devant les parties, lors de la deuxième réunion d’expertise. Je présente les faits. Jaime explique qu’en raison de la confidentialité des données qu’il manipule, il a pris l’habitude d’effacer efficacement les traces laissées sur son ordinateur. Je prends acte de ses explications, l’utilisation du logiciel Eraser étant parfaitement licite et logique pour qui veut se préserver d’une récupération des fichiers effacés.

Avant de clore la réunion, je demande à visiter le système informatique de l’entreprise. Un classique serveur de fichiers contrôleur de domaine, des postes vassaux clients pour chaque salarié et un photocopieur multifonction dans le couloir. L’entreprise n’a pas de système de sauvegarde centralisé, chacun copiant sur support externe ses propres données. Je ne fais aucune remarque sur la viabilité de la solution.

Dans l’entreprise où je travaille, les photocopieurs multifonctions sont loués à une société qui en assure l’entretien et la maintenance. Il se trouve que, chez nous, la configuration de certains photocopieurs multifonctions doit être faite de manière approfondie, car ils sont utilisés à la fois par le personnel de l’école et par les étudiants. J’ai donc dû me plonger, avec la société de maintenance, dans le paramétrage avancé de plusieurs modèles. C’est très bavard, un photocopieur multifonction. Cela garde trace de beaucoup d’informations: date d’impression, nom du document, nom du compte ayant demandé l’impression, nombre d’exemplaires…

Je demande donc à voir le photocopieur multifonction du couloir. Je parcours quelques menus dans la configuration et découvre le paramétrage suivant: tous les documents imprimés sont disponibles sur le disque dur du photocopieur multifonction. Il est possible de les parcourir et de demander leur réimpression… C’est ainsi que devant les yeux médusés des parties, j’ai pu retrouver tous les documents imprimés par Jaime, et en particulier les courriers adressés à l’entreprise RINGS. Après quelques manipulations, ils étaient de nouveau imprimés. J’ai eu une petite pensée pour mon moi d’il y a quelques années.

Vous qui imprimez les 200 exemplaires du carnet de chant de la chorale de vos enfants, le pdf érotique que vous avez téléchargé chez vous, ou vos cinq exemplaires du rapport d’expertise et ses annexes, sur l’imprimante du boulot, je suis sûr que vous allez y réfléchir à deux fois maintenant.

Jaime s’est alors tourné vers moi, et m’a dit: « valar morghulis », ce qui, dans langue de l’antique Valyria, signifie « Tout homme doit mourir« .

Je lui ai répondu: « Big printer is watching you ».

———————————–

[1] A l’impossible nul n’est tenu

Tome 2

Publié le par

pub guiness journal

Tenir un blog, pour beaucoup, c’est prendre plaisir à raconter une histoire, une anecdote ou partager un retour d’expérience. C’est utiliser un peu de la liberté d’expression dont nous disposons pour s’exprimer.

Mais c’est aussi s’exposer à la critique, à la haine et au mépris. Je reçois quelques courriers de cet ordre, qui rejoignent vite le trou noir de ma poubelle numérique. Les problèmes que j’ai rencontrés à cause de la tenue de mon blog sont venus d’ailleurs.

Je suis toujours surpris de constater que le fait qu’internet offre à tous les citoyens la possibilité de s’exprimer directement, sans les filtres habituels, dérange et contrarie un certain nombre de personnes. Dans mon cas, des personnes ont été choquées par le fait que je tienne sous pseudonyme un blog sur lequel je présente mon activité d’expert judiciaire, sans passer par les revues (et comités de lecture) ad hoc, ni par le cercle fermé et discret des réunions ou colloques organisés par les compagnies d’experts judiciaires. Le fait de donner sans filtre, directement auprès du public, une opinion, une vision, une mémoire…

Tenir un blog, confortablement installé dans le fauteuil de mon bureau, peut amener la tempête et l’opprobre des institutions avec lesquelles je travaille, l’invitation à un interrogatoire suspicieux ou la condamnation de mes pairs. C’est ainsi que l’on prend conscience de l’importance de la vie en société, de l’assaut des idées des autres et de leurs jugements.

C’est de tout cela, et d’autres choses, dont il va être question dans les pages du tome 2 du livre « Dans la peau d’un informaticien expert judiciaire », dans les anecdotes « romancées » qui sont toujours en ligne sur le blog à la date de rédaction de cet ouvrage.

Le premier billet du livre commence avec la réception d’une convocation de la Cour d’Appel auprès de laquelle je suis inscrit comme expert judiciaire. Tous les autres billets sont écrits pendant que ce que j’ai appelé l’« affaire Zythom » se déroule, mais sans que je souhaite en parler sur mon blog, même si parfois mon humeur transparaît dans certains billets comme « Sombre ». Ce n’est qu’une fois l’affaire terminée que je me suis permis de la raconter sur le blog, dans les billets qui constituent la fin du livre. Ce tome 2 couvre donc complètement cette période qui fut difficile pour mes proches et moi.

Tenir ce blog me permet de suivre une certaine thérapie par l’écriture. En paraphrasant le magistrat Philippe Bilger, je peux dire : « On est écartelé entre ce qu’on a envie d’écrire et ce qu’on a le droit de dire. Entre [l’expert] et le justicier. Le professionnel et le citoyen. La vie et l’Etat. L’élan et le recul. La réserve et l’audace. Entre soi et soi. »

« Dans la peau d’un informaticien expert judiciaire – Tome 2 – L’affaire Zythom » est disponible au format papier ici en vente chez mon éditeur.

D’autre part, vous le savez sans doute, j’aime assez l’idée de partage et de libre diffusion sans DRM. Ce livre est donc également disponible gratuitement pour tous:

au format PDF (2374 Ko),

au format EPUB (572 Ko),

au format FB2 (759 Ko),

au format LIT (554 Ko),

au format LRF (697 Ko) et

au format MOBI (744 Ko).

Vous pouvez le copier et le diffuser librement auprès de vos amis et de vos ennemis.

Vous y trouverez, comme dans le tome 1,
une sélection de billets laissés dans l’ordre chronologique de leur
publication, et qui peuvent être classés cette fois dans quatre
rubriques :

– mes activités d’expert judiciaire en informatique ;

– mon travail comme responsable informatique et technique ;

– ma découverte du monde politique comme conseiller municipal ;

– et des anecdotes pour mes amis et ma famille.

Avertissements :

Les habitués du blog le savent, mais cela va mieux en l’écrivant: la publication des billets de mon blog, sous la forme de livres, est surtout destinée à ma famille et à mes proches. C’est la raison pour laquelle j’ai choisi la démarche d’une autopublication. J’ai endossé tous les métiers amenant à la publication d’un livre, et croyez moi, ces personnes méritent amplement leurs salaires! Mise en page, corrections, choix des titres, choix des couvertures, choix du format, choix des polices de caractère, marketing, numérisation, etc., sont un aperçu des activités qui amènent à la réalisation d’un livre. Je ne suis pas un professionnel de ces questions, je vous prie donc de m’excuser si le résultat n’est pas à la hauteur de la qualité que vous pouviez attendre. Le fait d’avoir travaillé seul (avec ma maman pour la relecture, merci à elle), explique aussi le faible prix de la version papier pour un livre de 260 pages.

Je me dois également, par honnêteté envers les acheteurs du livre, de dire que les billets en question sont encore en ligne et le resteront. Les billets sont identiques, à part les adaptations indiquées ci-après.

Le passage d’un billet de blog à une version papier nécessite la suppression des liens. J’ai donc inséré beaucoup de « notes de bas de page » pour expliquer ou remplacer les liens d’origine. Dans la version électronique, j’ai laissé les liens ET les notes de bas de page. Je vous incite à lire les notes de bas de page le plus souvent possible car j’y ai glissé quelques explications qui éclaireront j’espère les allusions obscures.

J’ai également glissé, dans ce tome 2, le nom de l’avocat qui m’a assisté tout au long de l’ « affaire Zythom ». C’est un avocat redoutablement efficace, en plus d’être un homme charmant. Je lui dois d’être encore expert judiciaire et de continuer à tenir ce blog. Ce sera le teasing pour vous inciter à la lecture 😉

J’espère que ce tome 2 vous plaira. En tout cas, je vous en souhaite une bonne lecture.

Dans mon coeur

Publié le par

fleurs

Au début des années 1990, j’étais jeune Maître de Conférences fraichement diplômé d’un doctorat en intelligence artificielle. Je poursuivais mes travaux de recherches dans le domaine des réseaux de neurones, tout en encadrant des étudiants ingénieurs et des stagiaires.

Stéphane était étudiant en IUT et devait effectuer un stage pour obtenir son diplôme. Nous passions des heures à discuter des problèmes informatiques liés à son sujet de stage et à mes travaux de recherche. Il a découvert dans mon laboratoire que l’informatique pouvait être pour lui un sujet passionnant. Son stage a été un succès car il y avait mis du cœur et s’était impliqué sans compter les heures. A la fin de son stage, nous avons fait un petit pot pour lui montrer que nous avions su apprécier sa gentillesse et son implication.

Je n’ai pas pu assister à sa soutenance de stage, car il s’était donné la mort.

De son suicide, il laissait à ses parents une lettre d’explication où il faisait part de son dégout de la vie. Ses parents m’ont contacté car un passage de cette lettre m’était adressé: il disait que les meilleurs moments de sa courte vie avait été son stage avec moi. J’en ai encore des larmes aux yeux en écrivant ce billet à sa mémoire.

Il aurait fêté aujourd’hui son anniversaire.

Bon anniversaire Stéphane, tu es toujours dans mon cœur et tu as toujours vingt ans.

Un dimanche matin

Publié le par

jardindenfants

Je l’observe.

Il tient le fusil fermement.

Nous avançons prudemment, l’un derrière l’autre.

Je suis devant, protecteur, car je suis le plus expérimenté. Mais il apprend vite, et dans quelques temps, c’est moi qui le suivrai difficilement.

Pour l’instant rien ne bouge, mais le silence est trompeur.

Je regarde autour de moi. Quelques cadavres métalliques jonchent le sol, rien de préoccupant.

Soudain tout bascule: des T-7-T « Spiders » se dressent devant nous, avec un impitoyable HK (Hunter-Killers) en arrière plan. Je n’ai plus le temps de gamberger sur le niveau de violence, il faut y aller.

Mon fils a besoin du soutien d’un tir croisé, je réponds présent.

L’affrontement durera quelques minutes. Nous en ressortirons blessés, mais vivants.

Je lui tape dans la main. Il sourit.

C’était une petite scène de complicité masculine devant la Xbox360 ce dimanche matin, entre un père et son fils de 10 ans, jouant avec « Terminator Renaissance ».

Avec la réprobation générale des trois femmes de la maison…

Skynet n’a qu’à bien se tenir.

Le plein de pr0n

Publié le par

wonderbra pantalon

Le PC de Jean-Pierre est rempli de fichiers images et films pornographiques. Le problème est que cet ordinateur appartient à l’entreprise REKALL pour laquelle Jean-Pierre travaille. Enfin, « était installé » car le PC est maintenant sous scellé dans mon bureau et Jean-Pierre est en procédure aux Prud’hommes contre REKALL pour licenciement abusif.

Mais revenons un peu en arrière dans le temps.

Jean-Pierre travaille tous les jours sur son ordinateur fixe professionnel, comme beaucoup d’employés de la société REKALL. Il se plaint de temps en temps de la lenteur de son PC, mais comme un peu tout le monde. C’est que son ordinateur n’est pas de toute dernière jeunesse, et les investissements de renouvellement peinent à arriver jusqu’à lui. Mais aujourd’hui, son ordinateur semble avoir rendu l’âme: il n’arrive plus à le faire fonctionner, ni à le redémarrer. Il appelle donc le service informatique de REKALL.

Le service informatique envoie un technicien qui constate la réalité du problème. Après quelques procédures magiques, le technicien constate que le disque dur est plein, entrainant le dysfonctionnement du système d’exploitation. Quelques instants plus tard, le technicien constate la présence d’un répertoire rempli de fichiers pornographiques. C’est le début des ennuis de Jean-Pierre avec la société REKALL: convocation à un entretien préalable, mise à pied puis licenciement.

Tout au long de la procédure, Jean-Pierre nie avoir téléchargé ou introduit les fichiers pornographiques. La société REKALL n’en croit pas un mot et tout le monde se retrouve devant les prud’hommes.

Un expert judiciaire est désigné, avec mission d’analyser le disque dur, d’y trouver trace des éventuels fichiers pornographiques et d’en déterminer la provenance. Me voici avec l’ordinateur affecté à Jean-Pierre par REKALL posé sur mon bureau bien enveloppé dans son scellé. Le week-end s’annonce bien…

Je brise le scellé, déballe l’ordinateur et commence mes investigations.

Ma méthode est toujours la même: je note sur un cahier toutes les opérations que j’effectue, je vérifie la présence physique de tous les supports de mémoire possibles (cédéroms dans les lecteurs, clefs USB, disques SSD, disques durs, etc.), prends des photos avant démontage, note la présence de poussières, la position éventuelle des cavaliers, des nappes de câbles… Dans le cas présent, le dossier technique semble simple: un seul disque dur est branché sur la carte mère. Je procède à son extraction, avec précaution. Je démarre l’ordinateur et inspecte les paramètres du Bios pour relever le décalage horaire avec l’heure exacte de l’horloge parlante. Le bios d’un ordinateur peut révéler parfois des informations très intéressantes. Ici, rien de particulier.

Je branche le disque dur sur mon PC de prise d’image, derrière un bloqueur d’écriture. Puis, je procède à la prise d’image proprement dite, comme décrit ici. Mon NAS personnel se remplit toute la nuit d’une image bit à bit d’environ 500 Go, fidèle copie numérique du disque dur d’origine. Je replace le lendemain le disque dur d’origine dans son PC, non sans l’avoir pris en photo et noté toutes ses caractéristiques (numéro de série, marque, modèle, etc.) sur mon petit cahier papier.Promis, dans quelques années, j’achète un encrier, une plume sergent major et le porte-plume de mon enfance 😉

J’analyse le contenu du disque dur, et sans surprise, je trouve un répertoire intitulé « nvrzkflg » contenant plusieurs centaines de gigaoctets d’images et de films pornographiques. Me voici, porte du bureau fermée, en train de plonger dans ce qui ne constitue effectivement pas des études concernant la prostitution. Je fais le plein de pr0n…

Les fichiers semblent classés par thème, du plus classique au plus exotique, mais certains détails techniques attirent mon attention. L’organisation générale du stockage des fichiers est plutôt curieuse, avec des noms de répertoire d’un seul caractère, et les vidéos sont dans toutes les langues, avec parfois des sous-titres, eux-aussi dans toutes les langues. Je le note en remarque sur mon cahier d’écolier.

Après quelques heures passées à faire le tri, je m’attaque à la question de la provenance de ces fichiers. Jean-Pierre a-t-il abusé de son accès internet, sachant que de toute manière, internet, c’est pour le porno. J’analyse alors les traces de navigation laissées dans les différents caches présents sur le disque dur: rien d’inapproprié. Jean-Pierre a bien effectué quelques courses personnelles sur des sites de VPC, mais rien en rapport avec mes missions. Je recherche des traces d’extractions de fichiers archives compressées (zip, etc.), typique de la manipulation en masse de fichiers, mais là aussi rien de probant: que des documents de la société REKALL.

Je démarre l’image du disque dur dans une machine virtuelle et procède à son analyse avec l’aide de plusieurs antivirus à jour. Bingo! La machine est infectée… Une recherche sur Google m’indique que l’infection en question est un bot d’un cloud de stockage. Autrement dit, le disque dur du pc infecté est relié à un ensemble d’autres ordinateurs (des serveurs de contrôle et d’autres pc infectés) formant une grande zone de stockage à la disposition d’une ou plusieurs personnes. Dans le cas présent, la zone de stockage semble être destinée à de la pornographie.

Pour vérifier mon hypothèse, je relie à internet mon bac à sable où je faisais fonctionner la machine virtuelle, non sans avoir lancé un bon analyseur de trafic réseau.

Je dois dire que j’ai été assez fasciné de voir ma petite machine virtuelle être contactée depuis un ordinateur que j’ai tracé jusqu’à Taïwan (certainement une machine elle-même infectée) et recevoir des commandes à exécuter pour se mettre à jour et faire le plein de pr0n.

Mon rapport a été clair (comme toujours) sur la question: Jean-Pierre pouvait être mis hors de cause. Qui était responsable de sa désagréable situation, l’antivirus inefficace?, non mis à jour?, le service informatique?, heureusement la question ne m’a pas été posée. En tout cas, depuis, je surveille un peu plus les mises à jour des antivirus de mon entreprise, et les comportements suspects de notre parc informatique. Dans une école d’ingénieurs, ce n’est pas toujours facile.

Mais surtout, je n’accuse jamais un utilisateur pour ce que je peux trouver sur son poste de travail.