Le sens caché des choses

Publié le 23 août 2007 par Zythom

Il est 16h et j’attends avec impatience l’arrivée des OPJ qui doivent m’apporter mon premier scellé. Ah, ça y est, ils arrivent! Deux policiers descendent de leur voiture et viennent sonner à la porte. Les voisins soulèvent leurs voilages. J’ai déjà ouvert la porte et je discute avec les deux officiers. Ils me confirment ma mission principale: la recherche d’images pédopornographiques. Ils me remettent un PC dans un grand sac noir qui ressemble à un sac poubelle sauf que celui-ci est cacheté (c’est en fait bien un sac poubelle). Je serre la main des policiers, autant par politesse que pour les voisins…

Me voici dans mon bureau. J’ouvre le scellé. Je démonte le PC et en extrait le disque dur. Je tremble un peu. C’est ma première analyse.

Je n’ai pas encore de bloqueur de lecture, mais par chance, ce modèle de disque dur possède un cavalier permettant d’empêcher l’écriture (et donc de modifier le contenu du disque dur). Je procède à la prise d’empreinte numérique, replace le disque d’origine dans le scellé et place sa copie dans mon ordinateur de travail. L’analyse peut commencer.

Je ne dispose pas (encore) de logiciel spécialisé dans l’analyse de disque et la recherche de preuve. Je débute en informatique légale et je suis seul. Aucune aide à attendre de l’extérieur: je ne connais aucun autre expert judiciaire, ni en informatique ni dans une autre spécialité. J’ai pour seul bagage mes connaissances, des livres et internet. Il faut que j’y arrive.

J’explore le disque dur d’une façon informelle, à l’aide de l’explorateur de fichiers. Rien ne semble anormal.

J’entreprends l’exploration complète et systématique de l’arborescence de fichiers. Rien. Le contenu du disque est parfaitement banal.

Je dégote sur internet un programme de récupération des fichiers effacés. Je le teste sur mon poste avant de l’employer sur le disque cible. Bingo, sur le disque cible se trouvent un petit millier de fichiers effacés dont plusieurs images à caractère pornographiques.

Je continue la recherche en dressant la liste de tous les programmes installés. Certains me sont inconnus. Internet n’étant accessible qu’au travail (nous sommes à la fin du 20e siècle, à une période où le web n’existe pas encore, internet est en mode texte et est réservé aux seuls chercheurs), j’emmène cette liste au travail et en discute avec mon équipe technique. Après identification de la plupart des programmes, il en reste deux qui sont inconnus au bataillon.

Après une rapide recherche de deux heures sur les sites gopher, je découvre qu’il s’agit de deux programmes de stéganographie.

Le mot même me fait peur, nous sommes en pleine période Jurassic Park.

Je me rappelle alors que lors de mon analyse informelle préalable, j’avais aperçu de nombreuses images haute définition (pour l’époque) de type « fond d’écran pour station de travail » (certains se rappelleront d’une image de guépard à couper le souffle).

Il se trouve que j’avais dans ma propre collection de fonds d’écran certaines des images en question. Je procède alors à une comparaison des tailles de fichiers, puis des contenus binaires. Bingo.

Le logiciel demandait un mot de passe pour chaque image. L’imagination humaine étant ce qu’elle est, je tentais tous les mots de passe « habituels ». Niet. J’essaye alors une adaptation du logiciel « crack », père des logiciels de cassage moderne. Et là, quelques heures plus tard, LE mot de passe.

Sésame ouvre toi, et toutes les images « fond d’écran » se sont avérées être réceptacles d’images cachées par stéganographie. D’images abominables bien entendu… C’est une des raisons du fond noir de ce blog.

J’ai appris beaucoup de choses sur la technique ce jour là, mais aussi beaucoup sur l’espèce humaine. Et à plusieurs niveaux, sur le sens caché des choses.

Musique légale gratuite en ligne

Publié le 22 août 2007 par Zythom

Je voudrais saluer l’ouverture d’un site français de musique légale gratuite en ligne: deezer.com

Il ne s’agit pas de téléchargement, mais d’écoute en ligne à partir d’un simple navigateur. Le catalogue est bluffant car on y trouve un nombre incroyable de morceaux de musique (200 000 d’après le créateur du site).

Le système est agréé par la SACEM et est financé par la publicité.

Bon, personnellement je ne risque pas de rapporter beaucoup en clic publicitaire grâce à l’extension Firefox « adblock plus » qui a transformé ma navigation (et ma vie!). Je tiens pour ma défense à dire que j’avais déjà développé une cécité naturelle aux publicités quand je naviguais sous IE. Une évolution darwinienne sans doute.

Pour me faire pardonner, je continuerai à aller acheter quelques cédéroms pour mes compilations de voiture.

Bonnes vibes.

PS: interview du créateur.

De l’utilisation des commentaires dans un document informatique

Publié le 21 août 2007 par Zythom

Trouvé sur le blog de precisement.org un exemple de commentaire de président de chambre sur le travail des avocats:
https://www.precisement.org/blog/breve.php3?id_breve=338

Personnellement, je me suis déjà beaucoup amusé à la lecture de commentaires trouvés dans un document word ayant été distribué via une liste de diffusion…

Parfois, l’historique des modifications d’un tel document est également très instructive.

Attention donc.

Le principe de l’échange de Locard

Publié le 21 août 2007 par Zythom

Edmond Locard est le médecin français créateur du premier laboratoire de police scientifique à Lyon en 1910. Son ambition était de substituer la preuve matérielle au seul témoignage humain par l’analyse systématique des traces laissées par le coupable.

Parmi ses innombrables travaux, le principe dit « d’échange de Locard » reste le plus célèbre:

on ne peut aller et revenir d’un endroit, entrer et sortir d’une pièce sans apporter et déposer quelque chose de soi, sans emporter et prendre quelque chose qui se trouvait auparavant dans l’endroit ou la pièce.

Je pense que ce principe s’applique également lors de la recherche de preuves informatiques. Pour paraphraser Locard,

on ne peut chiffrer ou déchiffrer une donnée, l’inscrire ou la supprimer d’une mémoire sans apporter et déposer une trace sur l’ordinateur, sans modifier et prendre quelque chose qui s’y trouvait auparavant.

C’est la base même de l’informatique légale (forensic) pratiquée par un expert judiciaire.

Et bien entendu, comme toujours, se déroule une course permanente entre gendarmes et voleurs pour savoir qui disposera des meilleurs outils techniques. Lire pour cela le très instructif site forensicwiki.org et en particulier cette page.

Cette surenchère se faisant pour le plus grand bonheur des administrateurs informatiques qui disposent ainsi d’outils leur permettant de sécuriser leurs réseaux, ou des utilisateurs qui peuvent ainsi protéger les données des regards indiscrets ou récupérer un mot de passe perdu.

C’est de ce point de vue un débat continuel entre protection de la vie privée et accès à des données permettant de confondre un dangereux criminel.

Débat d’actualité.

Portable internet

Publié le 19 août 2007 par Zythom

L’une de mes nièces veut entrer dans la Gendarmerie.

Non seulement, je l’encourage car j’ai toujours apprécié de travailler avec des gendarmes, mais nous nous sommes cotisés dans la famille pour lui offrir un ordinateur portable.

Et bien sur, je me suis proposé pour dénicher la perle rare: petit prix pour qualité supérieure.

Me voilà parti à la quête du Graal, cherchant sur internet les meilleures offres actuelles: google, dell, cdiscount, rueducommerce, kelkoo sont mes amis du moment. Après moultes recherches, mon choix se porte sur un dell cousu main par mes soins pour un vaillant montant de 663 euros (livraison incluse).

N’étant pas seul bailleur de cet achat, je lance la nouvelle par email à mes différents cofinanceurs. En ces périodes de vacances, je prends patience pour les réponses…

C’est donc avec l’esprit serein que je vaque à mes vitales occupations estivales: j’étais en train de ~~pousser le caddie~~ faire les courses dans la grande distribution du coin quand soudain je me retrouve par pur hasard dans le rayon informatique.

Regardant d’un oeil distrait les prix des différents ordinateurs, je tombe en arrêt tel un chien de ~~chasse~~ compagnie devant un Compaq à 499 euros… Je regarde les caractéristiques: parfait pour l’usage bureautique auquel il est destiné.

Petit prix, bonnes caractéristiques, je saisis un carton quand un vendeur m’aperçoit:

« Vous avez besoin d’aide? »

Moi: [Non, je sais mettre un carton dans mon caddie] Oui, l’antivol est enlevé à la caisse normale?

Le vendeur: « Ah non Monsieur, vous devez passer par notre hôtesse informatique. Quel sera l’usage de ce portable? »

Moi: [Mais ça te regarde pas!] C’est pour faire de la bureautique.

Le vendeur: « Si vous souhaitez utiliser Internet, j’ai un très beau modèle pour 150 euros de plus »

Moi: [Ah parce qu’un portable Celeron Wifi avec 1Go de RAM ça peut pas accéder à Internet?] Non merci, ce modèle me convient très bien.

Le vendeur: « Vous ne souhaitez pas accéder à Internet? »

Moi (glacial): Non

Je vous passe les détails suivants relatifs à la garantie trois ans indispensable et l’assurance casse quasi obligatoire. J’ai payé les 499 euros sous le regard désapprobateur du vendeur navré devant tant d’incompétence.

J’ai ouvert le carton, démarré le portable, chargé la batterie, désinstallé tous les programmes inutiles, installé OpenOffice, Ccleaner, Firefox, Thunderbird, media player classic et toutes les mises à jours de sécurité.

J’ai une machine agréable (écran 15″) et légère.

Ma seule hésitation a été de retirer Vista pour y mettre Windows XP… Mais dans ce cas, j’aurai du payer une licence supplémentaire. Dès que ma nièce sera dans la gendarmerie, je lui demanderai quelle est la politique de licence pour les OS.

Avec un peu de chance, je lui installerai un petit Debian de derrière les fagots.

En tout cas, le portable fonctionne très bien sur Internet.

N’importe quoi!

Menaces sur ce blog…

Publié le 14 août 2007 par Zythom

Quelques experts judiciaires ont à coeur de faire fermer ce blog!

En résumé, les griefs semblent être de nature déontologique. Je n’en suis pas bien sur car aucune de ces personnes n’a souhaité m’écrire directement (mon adresse email est pourtant bien en évidence à la droite de ce blog), préférant menacer de saisir la commission de déontologie du conseil national des compagnies d’experts de justice.

Pourtant, toutes ces personnes qui profèrent des insultes et des menaces par email savent qu’elles ne sont jamais à l’abri d’un phénomène à la David Hirschmann…

Drôle de conception de l’activité d’expert judiciaire.

Drôle de conception de la liberté d’expression.

Avant d’entrer dans une polémique stérile qui mettrait en avant certains archaïsmes de pensée, je tiens à rappeler quelques points.

Ce blog, comme beaucoup de weblogs, sert à narrer quelques anecdotes de ma vie privée, de ma vie professionnelle et de mon activité d’expert judiciaire. Sur ce dernier point, je tiens à préciser que mes billets ont été relus par DEUX avocats parfaitement compétents. Ceux-ci n’ont rien trouvé à redire, ni du point de vue du Droit, ni de celui de la déontologie des experts judiciaires. Ce blog est également lu par plusieurs magistrats qui ne m’ont jamais fait part de leur désaprobation.

Mais ai-je besoin d’un haut patronage pour tenir ce blog?

Ce blog ne donne pas une mauvaise image du monde judiciaire, ni de l’expertise en général. Contrairement à la plupart des films policiers où les experts sont souvent malheureusement caricaturés (Marie Besnard, série « Les Experts »…). Les avis et opinions que je donne n’engagent que moi et en aucun cas ne reflètent l’avis de l’ensemble des experts judiciaires.

Le pseudonyme derrière lequel certains me reprochent de me cacher me permet de raconter des situations imaginaires basées sur mon expérience d’expert judiciaire. Les sociétés citées dans ces deux billets, ICI et LA, sont purement imaginaires, mais sont le fruit de mon expérience passée. Que se passerait-il si j’écrivais cette histoire sous mon vrai nom d’expert judiciaire? Toutes les entreprises auxquelles j’ai eu à faire dans mes dossiers d’expertise pourraient se croire visées ou caricaturées. Le secret professionnel auquel je suis astreint serait mis à mal.

Je vais vous dire ce qu’il se passerait: je serais obligé alors de modifier ce blog pour n’en garder que les anecdotes professionnelles ou privées, beaucoup plus politiquement correctes dans la mesure où elles n’intéressent que mon cercle familial et mes amis. Comme disait Monsieur Desproges: « j’ai un petit talent d’imitateur. Enfin, je n’imite que les gens de ma famille, et quand on ne connaît pas les gens de ma famille, c’est pas tellement drôle. »

Qu’est-ce qui fait que ce blog peut autant gêner quelques personnes?

Franchement, je n’en sais rien. Nous sommes désignés par les magistrats pour les éclairer sur certains aspects techniques de leur dossier. Pour nous désigner, les magistrats peuvent choisir notre nom sur une liste. Il y a une liste par Cour d’Appel et pour avoir l’honneur d’y figurer, il faut déposer un dossier qui sera étudié par la Cour d’Appel. Je décris cette procédure ici dans l’un des billets les plus lus de ce blog.

Il est assez difficile d’être expert judiciaire. Non pas « de le devenir », car nul ne sait vraiment les critères retenus pas la Cour d’Appel lors de son choix, mais d’exercer cette activité. Pourquoi? Parce que, outre la bonne maîtrise de son domaine technique, il faut connaître le Droit (une petite partie au moins), et il faut « une certaine expérience » professionnelle. C’est pourquoi il y a très peu d’experts judiciaires de moins de 40 ans.

C’est un honneur d’être expert judiciaire. Oui, il y a une certaine fierté à ce qu’une assemblée de magistrats considère que vous êtes dignes d’aider la justice. C’est un honneur, mais cela ne fait pas de moi un être d’exception. Je reste un simple citoyen dont le nom apparaît sur une liste. Je n’en tire pas gloire et fortune. Je suis fier d’aider les magistrats à mieux appréhender les aspects techniques de leurs dossiers. J’essaye de faire des rapports clairs, bien segmentés, sans les noyer sous une tonne de « technique-pour-montrer-comme-c’est-bien-difficile ».

Que se passerait-il si la commission de déontologie du conseil national des experts de justice est saisie et rend une décision d’un autre âge en demandant la fermeture de ce blog? Rien: le blog resterait ouvert.

Que se passerait-il si on lève mon anonymat? Je retirerais les billets de la catégorie « Anecdotes d’expertise » et continuerais mon blog pour mes amis. Les livres issus de ce blog seraient révisés pour rester fidèle au contenu du blog.

Que se passerait-il si je suis radié de ma compagnie d’experts judiciaires? Rien: je souscrirais une assurance individuelle (beaucoup plus chère) et continuerais à être expert judiciaire. Ma liberté de parole en serait accrue car je ne serais plus alors lié aux règles déontologiques des experts judiciaires (qui ne s’appliquent que lorsque l’on est adhérent à une compagnie).

Que se passerait-il si je suis radié de la liste de ma Cour d’Appel ou n’y suis pas réinscrit à la fin de ma période quinquennale? Rien: j’arrêterais mes activités d’expert judiciaire et ne pourrais plus aider les magistrats dans leur dossier, car telle serait leur décision. Je ne me ridiculiserais pas comme certains experts avec un recours. Le blog s’intitulerait « blog d’un informaticien ancien expert judiciaire ». J’ai tellement de projets pour lesquels le temps me manque. Ecrire un livre sur le monde de l’expertise judiciaire par exemple.

Pour finir, je voudrais rassurer mes fidèles lecteurs: aucune menace ne m’a été adressée directement pour l’instant. Il ne s’agit que de bruits de couloirs. En attendant, ce blog restera fidèle à lui même: liberté de parole et de ton, et fidélité à ses trente six commandements.

Asinus asinorum in sæcula sæculorum

L’âne des ânes dans les siècles des siècles

PS: le proverbe final ne s’adresse qu’à moi. Qu’aucun n’en prenne ombrage.

La part des anges

Publié le 8 août 2007 par Zythom

Quand un vin est mis en fût pour vieillir, son degré alcoolique diminue progressivement par évaporation de l’alcool. Le volume du vin diminue et la partie disparue s’appelle « la part des Anges ».

En informatique, il a du vous arriver de commencer à taper un texte sur le clavier, et pour une raison qui vous échappe une fenêtre d’avertissement apparait, ou une bulle d’aide vient vous prévenir que votre bureau contient des icones inutilisées et qu’il faudrait faire un peu de ménage, ou tout simplement votre curseur ne s’est pas positionné où il fallait… Bref, vous êtes le nez sur le clavier en train de taper avec vos quatre doigts depuis une minute quand vous relevez le nez et accommodez vos yeux sur l’écran pour vous rendre compte que rien de ce que vous avez tapé n’apparait nulle part.

Pourtant, le clavier de l’ordinateur a nécessairement réagi à la frappe de chaque touche! Où est donc passé tout le texte saisi?

C’est la part des anges en informatique.

Vous penserez à moi la prochaine fois que cela vous arrivera.

Bienvenu au club.

Conseils à un jeune expert

Publié le 26 juillet 2007 par Zythom

En nettoyant les anciens liens de mon navigateur, je suis tombé sur cette page des carnets de JLK reproduisant la version complète des « Conseils à un jeune écrivain » de Danilo Kis.

Autant les conseils originaux méritent d’être lus avec attention, autant je me suis amusé à les transformer en « conseils à un jeune expert »:

Cultive le doute à l’égard des idéologies régnantes et des princes.
Veille à ne pas souiller ton langage du parler des idéologies.
N’écris pas de reportages sur des pays où tu as séjourné en touriste ; n’écris pas de reportages du tout, tu n’es pas journaliste.
Sois conscient du fait que l’imagination est sœur du mensonge, et par là-même dangereuse.
Ne t’associe avec personne : l’expert est seul.
Ne sois pas prophète, car le doute est ton arme.
Sois mécontent de ton destin, car seuls les imbéciles sont contents.
Ne sois pas mécontent de ton destin, car tu es un élu.
Sois persuadé que la langue dans laquelle tu écris est la meilleure de toutes, car tu n’en as pas d’autres.
Sois persuadé que la langue dans laquelle tu écris est la pire de toutes, bien que tu ne l’échangerais contre aucune autre.
Aie en toute chose ton avis propre.
Ne donne pas en toute chose ton avis.
Si tu ne peux pas dire la vérité – tais-toi.
Garde-toi des demi-vérités.
Ne te laisse pas persuader que nous avons tous également raison, et que les goûts ne se discutent pas. « Etre deux à avoir tort ne veut pas dire qu’on soit deux à avoir raison » (Karl Popper )
« Admettre que l’autre puisse avoir raison ne nous protège pas contre un autre danger : celui de croire que tout le monde a peut-être raison ». (Popper)
N’aie pas de Mission.
Garde-toi de ceux qui ont une Mission.

Qui habet aures audiendi, audiat

(que celui qui a des oreilles pour entendre entende)

Légionnaire romain dans « Le cadeau de César ».

S’emploie pour avertir qu’on doit faire son profit de ce qui a été dit.

Harry Potter n’a qu’à bien se tenir…

Publié le 24 juillet 2007 par Zythom

Un court billet pour une annonce retentissante:
le livre « Zythom : Dans la peau d’un informaticien expert judiciaire » vient de paraitre aux éditions Lulu.com

Le livre fait 182 pages et contient les meilleurs billets issus de ce blog.

N’hésitez pas à en parler autour de vous et à transmettre le lien https://books.lulu.com/content/920925

Merci à tous.

Pas de vacances

Publié le 22 juillet 2007 par Zythom

Cette année, pas de vacances… Pas le temps, pas d’argent.

Il faut faire une terrasse.
Il faut calfeutrer la cave.
Il faut mettre des plinthes dans toutes les chambres.
Il faut peindre toutes les portes.
Il faut tapisser les couloirs.

Je dois arriver à installer XEN sur mon PC.
J’ai deux expertises à terminer (mais je suis dans les temps).

Trois enfants, une femme et la vie à aimer.

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire