Le noir

Publié le 11 avril 2009 par Zythom

C’est lui qui m’avait ouvert la porte. Il ne pouvait pas me reconnaître puisque je venais pour la première fois. Il a ri en me faisant entrer tout en me demandant si mon voyage s’était bien passé.

Une heure plus tôt, j’étais complètement perdu en rase campagne.

Cette expertise judiciaire commençait mal.

C’était avant que je n’achète un GPS.

C’était avant que je ne m’équipe d’un téléphone portable.

Pourtant j’avais l’adresse, mais j’avais oublié mon atlas routier et je n’avais qu’une carte de France pour me guider. La maison était isolée en pleine campagne, mais sa mère m’avait expliqué le chemin, quand je m’étais résolu à appeler d’une cabine téléphonique d’un village voisin.

J’avais fini par trouver le chemin boueux qui semblait plus fait pour les tracteurs que pour ma 205 usée.

Et c’est lui qui m’ouvrait la porte.

Lui, le malvoyant.

Sur le papier, le dossier semblait plutôt simple: un ordinateur équipé de logiciels spécifiques aux malvoyants avait été livré, mais le système ne fonctionnait pas correctement. Le fournisseur ne voulait rien savoir et toute l’affaire avait été portée devant la justice. Le magistrat m’avait choisi sur la liste des experts judiciaires pour expertiser l’ensemble informatique. C’était une de mes premières affaires, en tout cas la première chez l’habitant.

J’avais convoqué les deux parties pour une réunion d’expertise sur le lieu où se trouvait le matériel objet du litige. Après une demi-heure d’attente, j’ai du me résigner à commencer en l’absence du fournisseur qui n’a pas daigné se présenter ni s’excuser.

J’étais donc seul avec ce jeune-presque-aveugle et sa maman.

Je découvrais pour la première fois tous les problèmes que peut rencontrer une personne qui ne voit presque rien, en tout cas rien comme moi. Ce jeune avait perdu sa vision centrale et ne voyait qu’avec la vision périphérique. Pour mieux comprendre son problème, essayez de lire ce billet en regardant à côté de l’écran…

C’est fou dans ces cas là le nombre de bévues que l’on peut faire:

« Vous voyez ce réglage? Heu… »

« Mais le problème est lumineux… »

« C’est clair, heu… »

Le système informatique était composé d’un PC normal équipé d’un écran gigantesque pour l’époque (les écrans plats n’existaient pas encore): un 24″ cathodique. Le système d’exploitation Windows 98 était complété par plusieurs logiciels grossissants et un logiciel de lecture de textes.

« Montrez moi les dysfonctionnements que je puisse les voir de mes propres yeux… Heu… »

Le jeune était plein d’énergie et manipulait le système avec dextérité. La loupe incorporée dans Windows rendait énormes les caractères et il collait presque son nez sur l’écran. Ces dix doigts connaissaient le clavier par cœur (moi qui tape encore avec quatre doigts). Il utilisait peu la souris, mais maitrisait tous les raccourcis clavier.

Pendant la démonstration, sa mère m’a dit:

« Vous savez, c’est lui qui a branché tout le système et fait toutes les installations logicielles tout seul! Le fournisseur a tout fait livrer et n’a jamais voulu envoyer quelqu’un pour nous aider. »

Ma mission n’incluait pas le dépannage, mais très vite, je me suis rendu compte que l’installation d’un des logiciels avait remplacé une DLL par une version incompatible avec un autre logiciel.

J’ai passé l’après-midi avec ce jeune à échanger des trucs sur la meilleure façon de configurer son ordinateur. A la maman inquiète, j’ai vite expliqué que mes honoraires n’incluraient que la partie pleinement consacrée à l’expertise, le reste ayant été du plaisir entre deux passionnés d’informatique.

Je n’ai pas compté non plus le temps perdu pour trouver le chemin, ni celui qu’il m’a fallu pour retrouver la route dans le noir de la nuit quand je les ai quitté.

Je n’ai pas su si le fournisseur avait été condamné à payer au moins l’expertise, mais j’ai appris récemment que cette personne a complètement perdu la vue et qu’elle utilise toujours l’informatique pour parcourir le web.

Peut-être écoutera-t-il ce billet.

Je sais au moins que le fond noir de ce blog ne perturbe pas son logiciel de lecture…

Vacuité informatique

Publié le 16 mars 2009 par Zythom

J’ai reçu sous scellé une unité centrale plutôt volumineuse et lourde. Les Officiers de Police Judiciaire la portaient à deux et elle a vite encombré mon (tout) petit bureau.

Avant d’en commencer l’expertise, j’étudie attentivement les missions, je fais quelques recherches sur internet, j’ouvre un dossier en commençant la rédaction de mon rapport, j’y recopie les missions, donne un numéro d’affaire, etc.

Après une petit heure de préparatifs, muni de mon cahier de notes dans lequel j’écris toutes mes opérations, je commence l’ouverture du scellé.

Extraits de mon cahier de notes:

– scellé n°2 – unité centrale de marque XXX, modèle AB4321, portant le numéro de série AZE2367LHK67 (vous avez remarqué qu’on appelle toujours cela un « numéro »?)

– le scellé comporte beaucoup de poussières dans ses aérations

– il y a un tiroir range-cédérom sur le dessus. J’ouvre celui-ci et constate sa vacuité.

– je constate également la vacuité du lecteur de DVD, ainsi que celle des lecteurs de cartes mémoires. Ces derniers sont néanmoins remplis de poussières, sauf le lecteur de cartes au format SD.

– il y a en façade deux trappes coulissantes. La première permet d’accéder à la connectique multimédia. La deuxième permet d’accéder à un tiroir ayant pour fonction l’accueil d’un disque dur à glissière (rack). Ce tiroir est vide.

– je procède à l’ouverture de l’unité centrale en retirant son côté gauche.

– je constate la présence d’un volume de poussière important.

– je constate l’absence de disque dur…

Les OPJ ont mis sous scellé une unité centrale sans disque dur!

Ils ont été trompés par le rack caché permettant d’enlever et de remettre facilement le disque dur.

Mon rapport a été plein de vacuités.

Natura abhorret a vacuo…

pas l’informatique.

La nécessaire hauteur

Publié le 28 janvier 2009 par Zythom

Le jour de la réunion d’expertise est arrivée. Cela fait trois mois que j’ai été nommé pour cette expertise. Il m’a fallu deux jours pour réussir à trouver une date qui permet de satisfaire aux contraintes de tout le monde. J’ai bien adressé les convocations en recommandé avec avis de réception au moins quinze jours avant la réunion (un mois et demi avant en fait). J’ai bien précisé dans la convocation la phrase magique « Cette réunion, régulièrement convoquée, se tiendra même en l’absence d’une des parties« . J’ai résisté aux tentatives de déplacements ou d’annulation de dernière minutes.

Me voici devant les parties à la cause.

Quel est mon état d’esprit?

Je suis impressionné, je suis stressé, j’ai le cœur qui bat à 180.

Étonnant, non?

Car extérieurement, j’arrive à afficher une attitude sereine et posée.

Et pourtant, je suis face à deux (parfois trois) parties suffisamment en conflit pour être allées jusqu’au procès. Le magistrat souhaite un avis d’expert, et il m’a désigné.

Les parties sont tendues. Parfois des noms d’oiseaux sont échangés, et j’essaye de ramener le calme, avec l’aide des avocats. Je dois rester neutre, à tout prix.

Et ce n’est pas facile. Pourquoi? Je vais vous le dire…

J’ai reçu la lettre de désignation trois mois auparavant. Elle contient les questions que le magistrat me pose et auxquelles je dois me limiter strictement, à défaut de nullité. Depuis trois mois, je constitue un « dossier » avec les pièces que les avocats m’adressent. Ce dossier, je l’ai lu et relu pour mémoriser le maximum d’éléments. Certains points m’échappent, mais je sais que chaque pièce sera étudiée en réunion et me sera expliquée de façon contradictoire.

J’arrive donc en réunion d’expertise avec déjà ma petite idée, mais prêt à écouter tous les arguments.

La réunion commence. Je fais un tour de table pour que chacun se présente. Je note les noms et fonctions de chacun. Je refais un tour de table pour que chacun présente succinctement le problème. Peine perdue, impossible aux parties d’être succinctes. Les débats s’enflamment.

Sauf à avoir une mission de conciliation, le rôle d’un expert judiciaire n’est pas de résoudre un conflit. Je ne suis pas non plus casque bleu d’interposition. Je regarde les parties et je les écoute. J’apprends de nouveaux noms d’oiseaux…

Telle personne m’est antipathique.

Untel semble désespéré.

Maître Dumonde a le regard rusé.

Mme Leeloo, comptable, a du mal à se faire comprendre.

En tant qu’être humain normalement constitué, je ressens des émotions et je suis sujet à des a priori ou des idées reçues.

En tant qu’expert judiciaire, je dois me forcer à rester neutre. Je dois écouter tous les avis, et par dessus tout, je dois être capable de changer d’avis. Pour rester impartial.

Il y aura partialité chaque fois qu’il sera démontré que quelle que soit la nature des faits et des arguments avancés par l’une des parties, l’expert restera sourd à cette argumentation car son avis sera déjà formé avant tout débat contradictoire.

Ce que l’impartialité interdit, ce n’est pas que l’expert ait un avis, tout être humain normalement constitué et doué de pensée est susceptible d’en avoir un, c’est de refuser d’en changer après que soit intervenu le débat contradictoire.^[1]

Mais il est difficile de rester de marbre. Surtout lorsque je décide de faire le point à mi-réunion, d’expliquer ce que j’ai compris du problème. Une sorte d’avis provisoire. Et souvent les deux parties en font les frais.

La tension monte d’un cran.

C’est alors qu’une partie sort une nouvelle pièce, aborde un nouveau problème, soulève une question de droit et se tourne vers moi en me demandant de trancher, et manifestement en sa faveur.

L’ennui, c’est que le nouveau problème abordé sort complètement de ma compétence: il s’agit d’une problème de mécanique sur une machine liée au système informatique. Je réponds que ce problème n’est pas lié à mes missions.

Mais ce défaut est le cœur du problème! me lance l’avocat de cette partie.

Me voici au centre de la tourmente. Si cela est vrai, il va falloir que je me dessaisisse de ce dossier pour lequel je ne suis pas qualifié, ou que je trouve un autre avis auprès d’un expert en mécanique. Qui va payer? Qui va me payer si je suis dessaisi? Ai-je le droit d’introduire un autre expert?

Je clos la réunion et contacte le juge qui m’a désigné. Je lui explique le problème, il me demande de sursoir à mes opérations. Nous n’abordons pas l’aspect financier.

Et pourtant, lorsque je relis mes actes de colloque, « il existe dans le nouveau code de procédure civile un mécanisme peu utilisé, celui de l’article 266 du nouveau code de procédure civile, qui prévoit que le juge peut fixer une date à laquelle l’expert et les parties se présenteront devant lui pour que soient précisés la mission et, s’il y a lieu, le calendrier des opérations. Les documents utiles à l’expertise sont remis à l’expert lors de cette conférence.

Cette disposition permet au juge de procéder à une désignation provisoire d’un technicien dont la compétence apparaît, prima facie, correspondre à la mesure d’instruction sollicitée, puis de le charger de réunir les parties et de les entendre. Quelques jours après, voire quelques semaines, le juge confère avec eux de l’étendue de la mission, quitte à choisir un autre expert si la spécialité du premier nommé n’est pas en adéquation avec la mission conférée, et cette mission est définie, après débat contradictoire, en étroite collaboration entre le juge, l’expert et les parties. Cela évite de désigner un expert trop généraliste ou de donner une mission très large destinée à balayer tout le champ du litige. Il conviendrait de généraliser, hormis contractualisation de l’expertise, l’exercice de la conférence.

Comme personne n’ignore que les difficultés de communication de pièces constituent la pierre d’achoppement de l’expertise, que souvent l’une des parties a intérêt à ce qu’un rapport éclairé soit déposé et l’autre non, et que l’expert ne dispose pas de moyen de contrainte sur les parties en cause, le juge pourra constater, dès la conférence, la carence d’une des parties dans la production de pièces et immédiatement la sanctionner. En pratique l’implication de tous les acteurs de l’expertise lors de la conférence doit permettre de mettre en œuvre utilement l’expertise et d’empêcher qu’elle soit entravée par l’attitude dilatoire de l’une des parties. »

Deux mois plus tard, le magistrat m’informe qu’il a nommé un expert ad hoc pour la partie mécanique du dossier et que je peux poursuivre mes diligences sur les questions précises qui m’ont été posées sur la partie spécifiquement informatique, sans prendre attache avec l’autre expert, qui travaillera ensuite à partir de mon rapport.

Ce qui ne m’a pas empêché d’effectuer ma mission conformément au nouveau code de procédure civile:

– d’une part, le technicien commis doit accomplir sa mission avec conscience, objectivité et impartialité (article 237 du NCPC);

– d’autre part, le technicien doit donner son avis sur les points pour l’examen desquels il a été commis. Il ne peut répondre à d’autres questions, sauf accord des parties. Il ne doit jamais porter d’appréciations d’ordre juridique (article 238 du NCPC);

– enfin, le technicien doit respecter les délais qui lui sont impartis (article 239 du NCPC).

L’ambiance de la deuxième réunion a été exécrable.

Sutor, ne supra crepidam.

————————–

[1] Maître André Jacquin – L’impartialité objective de l’expert judiciaire et sa récusation.

La clef USB mystère

Publié le 3 décembre 2008 par Zythom

Je suis en pleine expertise informatique. Le magistrat m’a confié un ordinateur, des cédéroms, des disquettes et des clefs USB à analyser. Je sors toute ma panoplie d’outils d’investigation. Me voici enquêteur…

Je procède méthodiquement. Prise d’empreinte numérique avec HELIX à travers le réseau. Prise de notes sur un cahier d’écolier pour décrire chaque étape, tel un Gustave Bémont. Je note le nom du scellé, son numéro, sa description.

Un cédérom, une clef USB, un disque dur… Petit à petit tous les scellés y passent.

Vient le tour d’une petite clef USB sans inscription. Je la place dans ma machine de prise d’empreinte. Elle se met à clignoter. Bien. Seulement voilà, la machine d’analyse (sous Linux) ne voit pas la clef USB…

Ma machine d’analyse est sous GNU/Linux (HELIX) se qui veut dire que quasiment aucun périphérique ne lui résiste: toute la communauté open source se démène pour mettre au point des pilotes permettant d’exploiter tous les périphériques possibles et imaginables.

Par pure réflexe de Windowsien, je redémarre la machine. Toujours rien.

Je commence à transpirer: la clef USB est-elle grillée? Est-ce moi qui l’ai grillée? Aurais-je détruit une pièce à conviction?

J’essaye la clef sur tous les ports USB de tous les PC de la maison avec mon live-CD. Rien.

Je m’assois à mon bureau. Perplexe.

Mon regard tombe sur le cadre dans lequel j’ai placé ce dessin effectué par Monsieur Ucciani en dédicace.

Je prends une grosse loupe et regarde à travers le plastique de la clef USB pour voir si un composant a lâché. Je vois une minuscule inscription presque complètement effacée sur le dessus du plastique: Blue…tooth.

Cela fait une heure que je cherche à analyser le contenu d’une clef USB mémoire, alors que j’ai à faire à une clef USB radio…

Parfois je me félicite de bloguer sous pseudonyme.

Sonnette d’alarme

Publié le 11 septembre 2008 par Zythom

Cette anecdote est 100% véridique et est publiée avec l’accord du responsable informatique concerné.

PREAMBULE

Je suis parfois appelé dans le cadre d’expertise privée. Je n’aime pas particulièrement cela, dans la mesure où j’ai fait le choix de servir la justice (relire le serment de l’expert judiciaire en tête de ce blog) plutôt que de mettre en place une activité d’indépendant pourtant beaucoup plus lucrative. Etre inscrit sur la liste des experts judiciaires, cela donne beaucoup de responsabilités (et de soucis), des honoraires payés parfois à 400 jours et des soirées à trier de tristes images.

Mais c’est aussi une certaine visibilité pour les personnes souhaitant faire appel aux services d’un informaticien compétant à l’esprit indépendant (au sens « donnant son avis en son honneur et en sa conscience »). C’est pourquoi quelques personnes choisissent de faire appel à mes services parce qu’ils ont vu mon nom sur la liste des experts judiciaires. En général, je refuse poliment, en expliquant que je travaille exclusivement avec les magistrats ou les OPJ.

Dans le cas présent, mon interlocuteur m’a expliqué qu’il était face à un problème incroyable sur lequel tout le monde séchait. C’était donc « mission impossible » et cela m’a intrigué.

FIN DE PREAMBULE

Le système informatique de l’entreprise Diaspar^[1] présente un dysfonctionnement dont personne n’a pour l’instant trouvé la cause. La panne appartient à la plus terrible des catégories: panne aléatoire non reproductible.

A mon arrivée sur les lieux, mandé par le Directeur de Diaspar, je rencontre le responsable informatique, Mr Alvin, qui me décrit le tableau suivant:

« Nous avons tout vérifié: le câblage, les actifs, les branchements. Nos différents fournisseurs sont intervenus à tous les niveaux. Le réseau a été audité, ausculté, monitoré. Nous avons dessiné le diagramme d’Ishikawa. Nous avons utilisé les cinq pourquoi. Rien n’y fait, le problème est toujours là. Le système fonctionne normalement et paf, les serveurs sont injoignables. Notre seule solution est de rebooter les hubs… »

A la mention de « hub », je dresse l’oreille. Après vérification, le cœur de réseau de l’entreprise est assez ancien: ethernet 10 Mb/s non commuté. Bienvenu dans le monde réel.

Je passe la matinée à étudier les vérifications effectuées par les différentes personnes intervenues avant moi.

Mr Alvin m’invite à déjeuner (c’est l’avantage des expertises privées^[2]). Pendant le déjeuner, je pose quelques questions sur le réseau et son historique. Mr Alvin m’apprend alors quelque chose d’intéressant. Le câblage est utilisé par trois systèmes distincts: informatique, téléphonie et vidéosurveillance. Chaque système est indépendant avec ses propres serveurs: serveur informatique pour l’un, PABX pour l’autre et régie vidéo pour le dernier. Un câble réseau dans l’entreprise est donc affecté (exclusivement) à l’un de ces trois réseaux. Cette affectation est décidée à l’aide d’une « rallonge » dans une armoire de câblage (on parle alors de jarretière de brassage, qui a dit que les techniciens n’étaient pas poètes^[3])…).

Je me dis que je tiens quelque chose: n’y aurait-il pas eu confusion dans une armoire de brassage? Une caméra ne serait-elle pas branchée sur le réseau informatique? Hélas, Mr Alvin n’étant pas né de la dernière pluie, il avait déjà pensé à ce cas de figure et fait vérifier l’intégralité des armoires de brassage.

Je m’accroche néanmoins à cette idée et par la force de l’expérience, pose la question suivante: n’y aurait-il pas eu des modifications d’affectation de pièces, un bureau transformé en atelier par exemple?

Mr Alvin réfléchit et m’indique que l’ancien bureau du contremaitre a effectivement été transformé en atelier lors de l’agrandissement de la zone de production. Mais à quoi bon, toutes les prises ont été débrassées, testées et réaffectées, puis vérifiées…

Le subconscient (de Murphy) faisant son travail, je réattaque sur le sujet lors de la visite de l’entreprise, l’après-midi. Face à l’ancien bureau transformé en atelier, je pose quelques questions au contremaitre.

Zythom: « Y a-t-il eu des modifications apportées sur le câblage dans votre bureau? »

Le contremaitre: « Ben, ya bien la sonnette du téléphone. »

Zythom: « La sonnette? »

Le contremaitre: « Oui. Comme j’entendais pas le téléphone sonner quand je travaillais dans l’atelier adjacent, j’ai fait ajouter une sonnette dans l’atelier reliée à mon téléphone. La preuve, regardez, elle est toujours là. Mais elle sert plus parce que j’ai changé de bureau et que j’ai un téléphone portable. »

Sur le mur de l’atelier trônait toujours une grosse sonnette en forme de cloche.

En suivant les fils de la sonnette j’aboutis à l’ancienne prise de téléphone. Et sur cette prise se trouve maintenant branché un ordinateur de contrôle d’une machine outils.

Avec l’accord de Mr Alvin, je démonte la prise et nous découvrons un superbe branchement (avec dominos) de la sonnette sur le réseau informatique…

Dès que les échanges informatiques du réseau atteignaient une valeur critique, la self de la sonnette interagissait avec le système et flanquait la pagaille.

J’ai toujours regretté de ne pas avoir demandé au contremaitre si la sonnette sonnait de temps en temps.

Mais je suppose que non…

—————-

[1] Diaspar est le nom de la Cité éternelle du roman « La Cité et les Astres » de Sir Arthur Charles Clarke. Le héros s’appelle Alvin.

[2] Dans le cadre des expertises judiciaires contradictoires, il est interdit de manger avec l’une des parties. Vous pouvez manger avec toutes les parties, mais en général, elles ne souhaitent pas se trouver autour d’une table de restaurant et partager un moment de convivialité… Avec les avocats, ce serait parfaitement possible, mais en général leurs clients ne comprennent pas qu’ils puissent se parler IRL. Donc, c’est sandwich en solitaire.

[3] Et bien sur, honi soit qui mal y pense.

Le silence des hargneux

Publié le 19 août 2008 par Zythom

Cette communication (y compris les pieces jointes) est reservee a l’usage exclusif du destinataire (des destinataires) et peut contenir des informations privilegiees, confidentielles, exemptees de divulgation selon la loi ou protegees par les droits d’auteur. Si vous n’etes pas un destinataire, toute utilisation, divulgation, distribution, reproduction, examen ou copie (totale ou partielle) est non-autorisee et peut etre illegale. Tout message electronique est susceptible d’alteration et son integrite ne peut etre assuree. [Société Y] decline toute responsabilite au titre de ce message s’il a ete modifie ou falsifie. Si vous n’etes pas destinataire de ce message, merci de le detruire immediatement et d’avertir l’expediteur de l’erreur de distribution et de la destruction du message. Merci.

This transmission (including any attachments) is intended solely for the use of the addressee(s) and may contain confidential information including trade secrets which are privileged, confidential, exempt from disclosure under applicable law and/or subject to copyright. If you are not an intended recipient, any use, disclosure, distribution, reproduction, review or copying (either whole or partial) is unauthorized and may be unlawful. E-mails are susceptible to alteration and their integrity cannot be guaranteed. [Société Y] shall not be liable for this e-mail if modified or falsified. If you are not the intended recipient of this e-mail, please delete it immediately from your system and notify the sender of the wrong delivery and the mail deletion. Thank you.

Qui de nos jours prête attention à ce type de phrase ajoutée en fin d’email?

Et pourtant, ce qui est arrivé à ce chef d’entreprise pourrait tout aussi bien vous arriver à vous tous:

Mr Bowman commence tous les matins son travail par la lecture de ses emails. Il reçoit un coup de téléphone d’un de ses salariés, Mr Poole, qui demande un entretien d’urgence avec lui. Lorsque Mr Poole entre dans le bureau de son PDG, il est passablement énervé. Une discussion ombrageuse commence entre les deux hommes où il est question entre autres choses de manques de considération, de duperies, de démission et de prudhommes.

Mr Poole exhibe une feuille de papier sur laquelle est imprimé un email qui lui est adressé et envoyé par Mr Bowman (adresse email, entêtes, signature, etc). Dans cet email, le PDG informe son salarié qu’il est incompétent, que le dossier HAL9000 aurait du être traité d’une façon plus énergique et qu’il envisage de le changer de bureau en direction du sous-sol…

Mr Bowman affirme alors n’avoir jamais envoyé un tel email.

Les deux hommes étudient attentivement le message: il semble authentique. Mr Bowman regarde sur son ordinateur, dans sa liste d’emails envoyés: rien. Mr Bowman comprend aussi qu’il fait face à un problème de sécurité: qui a pu pirater son compte et écrire un tel email en se faisant passer pour lui? Il décide d’appeler une personne étrangère à l’entreprise: un expert judiciaire en informatique.

C’est là que j’entre en scène (tadam).

A peine contacté par téléphone, je me fais expliquer la situation, telle que perçue par les deux hommes. Rendez-vous est pris pour le soir même. Je demande simplement que Mr Bowman, Mr Poole et le responsable informatique de l’entreprise soient présents.

Une fois sur place (après le travail, je suis moi-même un salarié dévoué), je propose à Mr Bowman de changer de mot de passe avec l’aide de son informaticien, et demande à l’informaticien de me présenter le fonctionnement du système d’information de l’entreprise et en particulier la journalisation.

J’ai ensuite étudié avec attention les entêtes contenues dans le message incriminé, pour me rendre compte que l’email avait été écrit en dehors de l’entreprise. Les traces de la livraison de l’email sur le serveur de messagerie de l’entreprise nous ont permis de compléter et recouper l’ensemble des données pour confirmer un envoi effectué à partir d’une adresse internet externe. L’analyse des journaux de la passerelle d’accès à internet (propre à l’entreprise) a permis de montrer que cette adresse externe n’a pas été utilisée depuis un poste de l’entreprise.

Après les investigations vient le temps des explications et de la pédagogie (et de la diplomatie). Il m’a fallu expliquer à Mr Bowman qu’il est extrêmement simple pour un « script kiddie » d’envoyer un email sous une fausse identité, en général pour vendre des pilules bleus, mais parfois pour envoyer un fake.

Tout le monde prend alors conscience en silence des habitudes prises de lire et prendre pour argent comptant les différents emails reçus chaque jour.

En attendant un système plus fiable, universel et authentifié.

Et alors démarrera le vrai temps de Big Brother…

Piratage téléphonique

Publié le 10 juin 2008 par Zythom

[mode squat sécurisé ON]

https://sid.rstack.org/blog/index.php/276-piratage-telephonique

[mode squat sécurisé OFF]

Merci à Sid de m’avoir proposé la tribune de son blog…

Edit du 20/03/2012: Je place ci-dessous l’anecdote pour archivage.

Lorsque Sid m’a contacté pour de demander d’accepter de rédiger une anecdote sur la sécurité informatique, j’ai aussitôt accepté tant j’étais flatté. Puis je me suis demandé ce qu’un expert judiciaire comme moi pouvait bien avoir à raconter sur un blog de ce niveau, avec des lecteurs aussi pointus sur ce domaine. Un peu comme un médecin généraliste invité à s’exprimer lors d’un séminaire de cardiologues. Alors, soyez indulgents.

J’ai été approché, il y a quelques années de cela, par le directeur général d’une entreprise qui souhaitait me confier une expertise privée dans un contexte délicat: son serveur téléphonique avait été piraté. Malgré mes explications sur mon manque de compétence en PABX, il voulait absolument que j’intervienne sur cette affaire. Il avait eu de bonnes informations sur moi, et, je l’appris plus tard, j’avais le meilleur rapport qualité/prix…

Me voici donc, sur la base d’un forfait d’une journée d’audit, au sein de l’entreprise, un samedi pour plus de discrétion. Etaient présents sur les lieux: le DG, le DT, le RH, le RSI et moi (l’EJ:). Nous avions convenu le DG et moi que je jouerais le candide éclairé.

Nous voici donc à étudier le problème: le PABX de l’entreprise avait été piraté. La preuve était que des fuites avaient eu lieu car des conversations téléphoniques confidentielles avaient été écoutées. Les preuves étaient minces, mais le DG était convaincu de la réalité de ces fuites et de leur cause.

Le PABX était géré par deux services: le service technique (car c’est un système de gestion des téléphones) et le service informatique (car c’est « programmable » avec logiciel et base de données)… Les deux responsables de service avaient mené leur petite enquête et rejetaient implicitement la faute sur l’autre, n’ayant rien trouvé d’anormal dans leur partie.

Avant de les laisser me noyer dans des détails techniques prouvant leurs compétences et leur bonne foi, j’ai voulu en savoir plus sur le principe de fonctionnement de la téléphonie de l’entreprise: chaque salarié dispose-t-il d’un combiné identique, y a-t-il un mode d’emploi, etc.

Et me voici plongé dans le mode d’emploi (relativement simple) du modèle standard de téléphone de cette entreprise. Attention, je vous parle d’une époque pré-ToIP, mais avec des bons « vieux » téléphones numériques quand même. Tout en feuilletant la documentation, je me faisais quelques réflexions générales sur la sécurité : est-il facile d’accéder au PABX de l’entreprise, comment faire pour pénétrer le système, etc.

En fait, je me suis dit qu’il était somme toute beaucoup plus facile d’écouter une conversation en se mettant dans le bureau d’à côté. Et là, le hasard m’a bien aidé: au moment où je me faisais cette réflexion, je suis tombé sur le passage du manuel utilisateur consacré aux conférences téléphoniques. Il était possible de rejoindre une communication téléphonique déjà établie pour pouvoir discuter à plusieurs.

Le Directeur Général me confirme alors qu’une présentation de cette fonctionnalité avait été faite quelques mois auparavant aux salariés. Je demande une démonstration: le directeur technique et le responsable des systèmes d’information retournent dans leurs bureaux et conviennent de s’appeler. Une fois en conversation, je prend le téléphone présent dans la salle de réunion et compose le numéro d’une des deux personnes. Bien entendu, j’obtiens une tonalité occupée. Suivant le mode d’emploi, j’appuie sur la touche ad-hoc du combiné afin de m’inviter dans la conférence téléphonique.

Et me voici en train d’écouter les deux hommes, en prenant bien garde de ne prononcer aucune parole. Au bout de quelques minutes, les deux hommes décident de raccrocher, pensant que je n’avais pas réussi à rejoindre leur conférence téléphonique…

C’est ainsi, que devant le Directeur Général abasourdi, j’ai pu « pirater » une conversation téléphonique en appelant simplement un poste occupé et en appuyant sur un bouton…

Le PABX avait mal été configuré. Tout le monde pouvait écouter tout le monde. Quelqu’un s’en était rendu compte et en avait profité…

J’ai été payé par le patron reconnaissant une journée de travail pour deux heures de réunion 🙂

Mais je ne regarde plus mon téléphone de la même façon maintenant.

Souvenirs d’un expert judiciaire

Publié le 19 mai 2008 par Zythom

Les témoignages et anecdotes d’experts judiciaires sont suffisamment rares pour que je signale cet article du Docteur Paul Benaïm pour Guysen International News.

Extrait:
L’impossibilité de conclure
Une expertise m’a laissé un souvenir pénible. Il s’agissait d’une affaire complexe, un litige entre un médecin urgentiste appelé au chevet d’un malade et une plaignante, l’épouse de ce malade. Je ne disposais, en tout et pour tout, que des versions parfaitement contradictoires des deux parties. J’ai dû rédiger un rapport concluant à «l’impossibilité de conclure», attitude peu glorieuse, mais sans doute préférable à une interprétation erronée ou arbitraire.

Je ne connais pas le docteur Paul Benaïm, ni Guysen International News, mais l’article est court, dense et très intéressant.
A lire absolument.

Expertise au commerce: cas d’étude

Publié le 13 mai 2008 par Zythom

Ce billet fait suite aux billets « organisation de la première réunion » et « première réunion« .

Pour illustrer mon propos par un exemple concret, je fabrique de toute pièce une affaire qui me semble assez représentative des dossiers que j’ai pu traiter (mais qui sont confidentiels). L’amitié, l’histoire et la littérature m’ont fourni quelques-uns des personnages de ce [billet]. Toute autre ressemblance avec des individus vivants ou ayant réellement ou fictivement existé ne saurait être que coïncidence^[1]. De même, toute ressemblance avec un litige précis ayant donné lieu à expertise, ou des individus vivants ou ayant réellement ou fictivement existé ne serait que pure coïncidence.

La parole est au chef de l’entreprise zOrg:

« Monsieur l’Expert, j’ai passé commande du remplacement de mon vieux système informatique auprès de la société HAL9000 qui m’a vanté les mérites de sa solution ERP2061. Le jour de la migration, tout allait bien: notre vieux logiciel fonctionnait correctement mais ne disposait pas de telle et telle fonctionnalité. La société HAL9000 a démonté l’ancien serveur et a remplacé les vieux postes par des nouveaux PC que nous avions achetés auprès de la société FYJ&fils^[2]. La transition devait durer deux jours. En pratique, rien n’a fonctionné la première semaine, les installateurs ont bâclé la formation, le système a marché sur trois pattes pendant les deux premiers mois, moins bien que le vieux système et sans les nouvelles fonctionnalités attendues. Et quand j’ai demandé à réinstaller l’ancien système, ils m’ont dit de voir avec le vendeur du matériel ce qu’il avait fait des vieilles machines et du serveur. Il paraît aussi qu’il y a un problème de sauvegarde. »

Le gérant de la société HAL9000 prend la parole pour répondre avec vigueur:

« Ah mais pas du tout: vous avez préféré acheter des machines chez un concurrent au lieu de les prendre chez nous. Je vous avais prévenu que les caractéristiques de ces postes devaient être qualifiées pour le logiciel ERP2061… »

Zythom coupant la parole:

« S’il vous plaît, je vous prie de vous adresser directement à moi dans ces débats afin de me permettre de comprendre toutes les facettes du problèmes. »

Le gérant de la société HAL9000:

« Ah, oui, euh, Monsieur l’Expert, mais je ne peux pas laisser dire cela (Zythom intérieurement: si, si!). Bon, alors, la société zOrg nous a demandé d’installer le logiciel ERP2061 malgré nos demandes de machines certifiées (voir pièce n°AK-47). Nous avons accepté, mais le logiciel ERP2061 a commencé à présenter des bugs de fonctionnement. Comme nous ne sommes pas éditeur de ce logiciel, mais revendeur certifié, nous avons contacté le support de l’éditeur qui a mis un certain temps à pouvoir nous dépanner. Pendant ce temps, nos équipes continuaient le débogage tout en assurant la formation car le chef d’entreprise nous harcelait pour qu’on ne prenne pas de retard. Voir pièce n°FG-42. »

Zythom: « Et concernant l’ancien système? »

Le gérant de la société HAL9000: « Mais nous n’avons jamais vu l’ancien système! Il a été repris par le vendeur choisi par zOrg, la société FYJ&fils. »

Zythom: « Et la sauvegarde de l’ancien système? »

Le gérant de la société HAL9000: « Et bien, zOrg nous a fourni un ensemble de bandes contenant des données de l’ancienne base de données, mais nous avons pu constater que ces bandes étaient incomplètes. De toutes façons, le nouveau serveur ne dispose pas de ce type de lecteur de bandes, et notre prestation n’inclue pas la restauration du système démonté par un concurrent… Et puis les choses étaient tellement envenimées avec le chef d’entreprise de la société zOrg, que nous ne communiquions avec elle qu’avec des recommandés (voir pièce n°M-42). »

A ce stade là des débats, je fais un rapide point sur ce que j’ai compris des problèmes tels qu’ils m’ont été exposés. Ce rapide point n’est jamais vraiment favorablement accepté car il est incomplet puisque les parties sont rentrées dans des masses de détails et subtilités qui ont pu m’échapper. Mais ce point permet de montrer comment je perçois les différents problèmes et de recommencer sur cette base là.

Zythom: « Personne n’a abordé me semble-t-il le cahier des charges qui a du être établi avant la commande du nouveau système informatique? Pouvez-vous me fournir les documents ayant trait à cet aspect? »

Et là, surprise, on me présente une proposition commerciale raturée tenant lieu de cahier des charges. Cette proposition commerciale a été « négociée » autour d’une table de restaurant par le chef de l’entreprise zOrg avec le commercial de la société HAL9000. Nous sommes dans le cas désastreux d’une ré-informatisation gastronomique déjà décrite ici. Pas de cahier des charges, pas de gestion de projet, pas de supervision, pas de plan de reprise sur incident: une confiance aveugle…

De plus, dans ce cas d’étude, une société tierce va devoir être convoquée pour la prochaine réunion d’expertise: la société FYJ&fils pour qu’elle m’explique comment elle a planifié l’échange de matériel (vente puis reprise) du point de vue des sauvegardes et de la possibilité de retour arrière. J’ai déjà ma petite idée sur je sujet, mais je me dois de ne pas avoir d’apriori.

La réunion se poursuit en approfondissant autant que faire ce peut les différents aspects techniques de ce dossier.

L’heure du repas de midi arrive.

Je refuse poliment l’invitation à déjeuner proposée par le chef d’entreprise zOrg sous l’œil goguenard de l’avocat d’HAL9000 qui sait qu’une telle acceptation aurait entraîné la nullité de mon travail et ma révocation (sans compter les frais de l’expertise qui resteraient à ma charge). Je mange donc seul dans un petit bar de routiers où je fais un peu tâche avec mon costume-cravate et mon livre de science fiction.

La réunion reprend. J’accepte un café à la condition expresse qu’en soit proposé un à tous les participants de la réunion, ce qui provoque la confusion du secrétaire qui me tendait une tasse, un sourire sur tous les visages et détend l’atmosphère.

L’après-midi voit aborder les aspects juridiques de l’affaire: les avocats prennent la parole et présentent leurs points de vue sur les responsabilités de leurs adversaires. Je prends des notes tout en rappelant que tel aspect ne fait pas partie de mes missions ou tel autre, fort intéressant par ailleurs, dépasse mes capacités juridiques (je prends bonne note néanmoins).

L’avocat de la société HAL9000 souhaite appeler à la cause l’éditeur du logiciel ERP2061. Je lui demande de faire le nécessaire auprès du tribunal et de me tenir informé (ainsi que les différentes parties concernées, par respect pour le contradictoire).

Nous sortons nos agendas et déterminons les date et heure de la prochaine réunion. Rendez-vous est pris pour dans deux mois.

Je note de prendre attache avec le tribunal pour un report du délai qui m’est imposé pour le dépôt de mon rapport. Il me faut également informer le tribunal que le dossier prend de l’épaisseur. Il y a aussi la question financière, puisque le montant déposé au greffe pour le paiement de l’expertise va être très certainement dépassé.

La réunion suivante comportera deux parties supplémentaires: l’éditeur du logiciel ERP2061 et la société FYJ&fils. Cela va faire du monde autour de la table.

—————

[1] Georges Perec – La Vie mode d’emploi (source: https://michel.balmont.free.fr)

[2] Le nom fictif de société imaginée ici (FYJ) a été créé par le décalage de deux crans des trois lettres HAL, elles-même issues du décalage d’une firme célèbre. Cela n’a évidemment aucun rapport avec la signification urbaine de FYJ que l’on peut trouver par une recherche internet googlesque… Trouver un nom de société, c’est vraiment un métier.

Expertise au commerce: première réunion

Publié le 29 avril 2008 par Zythom

Après avoir bien organisé la première réunion, celle-ci finit par arriver…

Je rappelle aux lecteurs de ce blog que les faits décrits ici sont imaginaires et constituent un retour d’expérience destiné principalement aux futurs experts judiciaires et au public désireux de mieux connaitre cette activité.

Nous sommes jeudi, la réunion est prévue pour 10h afin de permettre à l’avocat de la société HAL9000 d’arriver par le train de 9h32.

Il est 6h. Je pars en voiture.

Pourquoi si tôt? Et bien, la région judiciaire couverte par une Cour d’Appel couvre en général plusieurs départements (souvent trois). Il faut donc parfois plus de trois jours de cheval pour se rendre sur le lieu prévu pour la réunion d’expertise. Aujourd’hui, j’ai prévu 3h de voiture.

Il me semble sage d’arriver fort en avance: l’entreprise vous prête ses locaux, mais c’est vous l’organisateur de la réunion. Je veille ainsi à ce que tout soit prêt pour que la réunion soit le plus agréable pour tous (nombre de chaises, disposition autour de la table et café si possible).

L’heure H arrive, il faut démarrer la réunion.

Par principe, je commence toujours strictement à l’heure. J’ai tout fait pour que chacun puisse être ponctuel (trains etc). Rien de pire de mon point de vue que de prendre l’habitude de commencer avec un quart d’heure de retard (chaque région a le sien: quart d’heure parisien, quart d’heure Chti, quart d’heure Franc-Comtois…)

Truc: ne pas oublier de faire passer une feuille de présence pour collecter les prénom, nom et fonction de tous les participants (pour ne pas commettre d’impair sur le rapport, les personnes étant souvent attachées au bon intitulé de leur poste).

Remarque: il est possible de demander à ce que certaines personnes sortent de la salle, puisque seul les sachants convoqués par l’expert sont sensés y assister. Pour ma part, sauf remarque particulière d’un des avocats, et sauf excès manifeste, je garde tout le monde sous la main dès lors qu’il y a assez de place autour de la table.

Problème: comment commencer s’il manque la moitié des participants?

Pour moi, le plus simple est de commencer par des généralités: je présente le rôle de l’expert judiciaire, ce qu’il est (un technicien qui rend un avis), ce qu’il doit faire (lecture des missions), ce qu’il n’est pas (il ne juge pas), etc. C’est important, mais les avocats connaissent cela sur le bout des doigts et peuvent l’expliquer à leur client. Ne pas attaquer le fond du problème sans la présence de l’ensemble des parties.

Problème: faut-il tenir la réunion si une partie manque à l’appel?

C’est un cas de figure difficile qu’il faut gérer avec doigté. Je cherche à contacter l’avocat de la partie absente pour essayer de savoir s’il n’y a pas eu d’empêchement majeur. Si la réunion a été régulièrement convoquée (lettres de convocation envoyée en recommandé avec avis de réception et comportant la mention « cette réunion, régulièrement convoquée, se tiendra même en l’absence d’une des parties », date fixée en accord avec toutes les parties et suffisamment tôt, aucun contact préalable demandant le report de la réunion pour raisons valables) alors la réunion a lieu. Si vous avez le moindre doute, alors il faut annuler la réunion malgré la pression des participants présents, car le respect du contradictoire doit primer sur tout.

Cas général: tout le monde est là, les débats commencent.

J’ai pour habitude de faire un tour de table pour que chacun m’explique succinctement le fond du dossier. Je dois reconnaître que cette méthode marche assez mal tant chaque interlocuteur a à cœur de rentrer dans le vif du dossier (qu’il maîtrise parfaitement).

Ne jamais perdre de vue que l’objectif de la réunion est de bien comprendre le problème en se le faisant expliquer par chaque partie. Ne pas venir avec des idées préconçues.

Il faut savoir diriger adroitement une réunion potentiellement conflictuelle, tout l’art de l’expert est là (en plus de ses compétences techniques bien sur).

Si j’ai un conseil à donner à un expert judiciaire débutant en la matière le voici: laissez les personnes s’exprimer, mais faites en sorte qu’elles s’adressent à vous. Vous n’êtes pas là pour séparer deux personnes qui en viennent aux mains, mais vous n’êtes pas là non plus pour empêcher les tensions d’être exprimées. Les réunions sont parfois animées. N’oubliez pas non plus un atout important dans la réunion: les avocats. Ils sont habitués à la gestion des tensions et peuvent, mieux que vous, demander à leur client de se maîtriser. Raison de plus pour laisser un avocat s’exprimer, et n’oubliez pas que son client l’écoute. Si l’avocat s’adresse plus à son client qu’à vous, tout en vous regardant bien dans les yeux, laissez le faire son travail. Quant à vous, restez sur le terrain strictement technique.

En fait, autour de la table, il faut respecter les domaines de compétences de chacun: l’avocat est expert en droit, le client dans son activité commerciale, le comptable en comptabilité etc. Si vous vous entichez de droit, soyez meilleur que l’avocat, ce qui me semble dangereux. Si l’une de ces personnes croit pouvoir vous expliquer l’informatique, laissez la faire: c’est toujours instructif et parfois utile pour comprendre la logique de la personne.

A suivre: l’étude de cas.

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Anecdotes expertises