Vista et ses thumbcaches

Je croule sous les expertises pédopornographiques.

J’ai quatre dossiers ouverts en parallèle!

Du jamais vu pour moi…

Pour ceux qui découvrent ce blog, je les invite à lire sur ce thème ce billet, celui-ci et celui-là.

Pour analyser un scellé, j’ai pris l’habitude de procéder d’abord à une prise d’image numérique du disque dur, pour ensuite étudier son contenu (celui de l’image, pas le disque dur original).

Pour étudier le contenu de l’image, je procède toujours à peu près de la même manière: je lâche mes chiens scripts à la recherche d’images sur l’ensemble du disque dur, et pendant que mes fidèles limiers explorent la totalité du disque dur (zone allouée et non-allouée), je flâne moi-même avec un explorateur de fichiers pour m’imprégner de la logique de son propriétaire.

Cette fois-ci ma flânerie me montrait une belle machine neuve sous Vista. Le PC a peu servi, ayant été acheté depuis peu. L’historique internet montre bien quelques sites, mais rien que de très banal: les grandes enseignes habituelles d’internet, et un peu de pornographie. Le tour préliminaire de la propriété me laisse penser que cette fois-ci je ne trouverai rien de criminel.

Je commence l’introduction de mon rapport en attendant les résultats de mes scripts de recherche. Je blogue un peu aussi.

Quelques heures plus tard, une douce voix un bip m’avertit que l’exécution des scripts est terminée.

Et là, surprise: tout un lot d’images pédophiles.

Mais où pouvaient bien se cacher ces images?

En zone allouée?

Des fichiers cachés?

Des fichiers effacés?

En zone non-allouée, pas même référencé dans la table des fichiers?

Dans des fichiers zippés?

Non.

Dans le fichier thumbcache_256.db…

Késako?

Lorsque vous visualisez le contenu d’un répertoire en mode d’affichage « Miniatures », une image réduite (une « miniature ») est placée sur la représentation de chaque fichier. Si votre fichier contient des images, vous pouvez ainsi en apercevoir une représentation réduite, ce qui vous permet de trouver rapidement la bonne image.

Sous Windows XP, tous les répertoires images explorés dans ce mode contiennent ensuite un fichier caché Thumbs.db

Ce fichier contient toutes les miniatures des fichiers du répertoire. Un régal pour toutes les analystes forensiques.

Pour Vista, Microsoft a modifié son système de mise en cache des vignettes. Plutôt que de créer un fichier caché Thumbs.db dans chaque répertoire, un groupe de fichiers thumbcache_*.db contient une réduction plus ou moins fine de chaque image stockée.

Dans cette affaire, le propriétaire de l’ordinateur avait particulièrement bien effacé la trace de ces activités criminelles.

Mais il n’avait pas pensé à effacer le fichier thumbcache_256.db de Vista, révélant ainsi sa petite collection de 300 images pédophiles particulièrement atroces.

Je ne suis pas un enquêteur.

Je ne suis pas un juge.

Je suis un simple informaticien au service de la justice.

Mais j’aimerai pourtant un jour y reconnaître l’un de ces visages pour pouvoir mettre la police sur les traces des ravisseurs.

Et parfois, c’est dur.

Où sont les femmes ?

Où sont les femmes ? Avec leurs gestes plein de charme…
Chantait Patrick Juvet en 1977.

En effet, il y a très peu de femmes expertes judiciaires en informatique (mais heureusement il y en a!). Pourquoi?

Je ne sais pas…

Pourquoi les femmes ne sont-elles pas attirées par ce type d’activité?
On trouve des femmes magistrates, avocates, gendarmes, policières… mais très peu de femmes expertes judiciaires en informatique.

Il n’y a pas d’explication. C’est comme cela.

Au point qu’une fois, en étudiant mon inscription à un congrès organisé par une compagnie d’experts judiciaires, et alors que les sujets d’étude évoqués nous intéressaient mon épouse et moi-même, nos regards furent attirés par le programme spécial prévu pour les « accompagnantes ».

Il était écrit « accompagnantes » et non pas « accompagnants ».

Les organisateurs n’avaient pas prévu qu’une femme puisse s’inscrire en tant qu’experte (ou qu’un expert vienne accompagné d’un homme…). Ils n’avaient pas prévu non plus que les conjoint(e)s puissent être intéressé(e)s par les débats techniques.

A ma question téléphonique, il me fut répondu « et bien inscrivez vous tous les deux comme congressistes ».

Oui, mais les prix ne sont pas les mêmes: un tarif réduit pour un expert plus un plein tarif pour un extérieur, alors que les conjoint(e)s étaient sensé(e)s ne pas payer…

Femmes, déposez des dossiers de candidature pour devenir expertes judiciaires!

Je suis sur que cela changera l’atmosphère de certaines réunions d’expertises…
Et puis comme cela, mon couple aura des tarifs réduits 🙂

Les missions pièges

Ou plutôt les pièges des missions.

J’ai deux stratégies pour établir un devis:

– la plus bête, mais la plus précise:

je fais le travail, j’en déduis le coût, j’établis un devis (forcément précis) qui, lorsqu’il est accepté, me permet d’être l’expert judiciaire le plus rapide du monde 🙂 Pourquoi cette stratégie peut-elle être bête: tout simplement lorsque le devis est refusé…

– la plus intelligente, mais la plus risquée:

Comme toute activité établissant des devis, mettre en place une grille d’estimation. Parfois on tombe au dessus, parfois au dessous. C’est rapide, propre et tout le monde est content. Alors quel est le risque? Et bien, c’est le petit détail qui a échappé et qui peut multiplier par deux ou trois le temps consacré…

Exemple:

J’ai eu à établir un devis préalablement à une expertise de type « recherche d’images pédophiles » (il faut croire que j’en deviens le spécialiste). Je regarde les missions de l’ordonnance, je contacte les personnes chargées des scellés pour en avoir le détail, je vais même jusqu’à récupérer les scellés pour savoir le type d’OS et les tailles de disques durs (une fois, après un devis basé sur les unités centrales, j’ai ouvert l’UC pour y trouver trois disques durs de 300 Go chacun… trop tard).

Dans ce dossier, une fois tout le matériel sous la main, j’ai établi un devis AVANT de commencer à travailler. Une semaine plus tard, le devis a été accepté. Je démarre alors mes investigations. Je contacte l’OPJ en charge du dossier pour avoir des éléments me permettant d’être plus efficace. Cela me permet d’avoir des mots clefs plus précis pour trouver certains types d’information, etc.

A la fin de la conversation, le gendarme me dit: « Et pourriez-vous me transmettre les images retrouvées sur deux cédéroms: l’un sous scellés, et sa copie pour investigation? »

Comment refuser?

Sauf que je n’avais pas prévu de mettre en évidence une montagne d’images pédophiles: 40 Go d’images et de films pédopornographiques, le tout mélangé avec une centaine de gigaoctets de films pornographiques!!!

J’en suis sorti mentalement rincé (relire ce billet pour comprendre).

C’est donc complètement lessivé par tout ce tri, que j’ai entrepris de graver les 20 DVD (10×2). Classer les données par paquet de 4Go et graver les fichiers en mode vérification, cela représente environ 1/4h par DVD. Multipliez par 20, c’est cinq heures de boulot hors devis (pour ma pomme).

Dans ce type de dossier, l’argent compte peu, mon temps non plus. Car finalement, le piège dans ce type de mission, ce n’est pas le devis raté, c’est de toucher le fond de la souffrance humaine: celle des enfants.

Et ça, c’est vraiment dur.

Portabilité du bricolage

J’ai reçu il y a quelques jours un ordinateur portable de marque Apple.

Je n’aime pas analyser les portables, vous allez comprendre pourquoi.

La devise de l’expert judiciaire en informatique est celle d’Hippocrate : Primum non nocere, qui se traduit par d’abord, ne pas nuire ou plus généralement avant tout, ne pas nuire à la preuve.

Il faut donc être sur de ne pas endommager ou écrire sur le disque dur que l’on doit analyser.

Dans mon cas, je ne maîtrise pas de système simple pour booter un Apple ibook G4 sur cédérom pour une prise d’image à travers le réseau. Il me faut donc démonter le portable pour en extraire le disque dur afin de le placer sur mon matériel d’analyse.

La galère commence.

Première phase, trouver sur internet un site qui décrit le plus précisément possible le démontage. En l’espèce, il s’agit de l’excellent site aberco.free.fr/ibook/demontage1.html qui me sauve la vie.

2ème phase: la préparation des outils. Après avoir étudié le problème en détail, il s’agit de faire l’inventaire de tout le matériel nécessaire. Ici, j’ai besoin de plusieurs tournevis cruciformes très fins, de tournevis Torx et d’un tournevis mou (une brosse à dent limée). Je recommande également le rangement d’un vaste espace de travail, ceci pour placer les différentes vis extraites sur des croquis de remontage.

3ème phase: le démontage. Personnellement, j’ai mis quatre heures! En effet, le propriétaire du portable apprécierait peu que son matériel lui soit rendu avec des marques de démontage (d’où le tournevis mou) ou avec des pièces mal remontées. Il faut utiliser le bon tournevis pour chaque vis afin de ne pas marquer la tête (de vis). Il faut placer la vis démontée sur une feuille blanche sur laquelle on aura reporté un croquis de la machine, pour être sur de la replacer au bon endroit. Il faut travailler au dessus du plan de travail (et non sur ses genoux) pour qu’une vis malicieuse qui saute de son emplacement ne rebondisse pas dans un endroit inaccessible.

Il faut démonter 42 vis sur un ibook G4 avant de pouvoir extraire son disque dur… Et elles sont presque toutes différentes! Certaines sont cachées derrière des petits aimants. Et pour couronner le tout, avec l’évolution de la fabrication, le portable que je démontais n’était pas exactement comme celui du site internet: certaines vis manquaient et d’autres, surnuméraires, étaient vicieusement cachées.

Règles d’or: quand vous avez enlevé toutes les vis, il en reste une cachée quelque part. Ne pas forcer. Rester calme.

Pour compliquer le tout, des clips maintiennent certains éléments plastiques qu’il faut forcer… mais pas trop.

Quatre heures, je vous dis!

Mais l’analyse en valait le coup…

PS: J’ai oublié de dire qu’il m’avait également fallu 4 heures pour remonter l’ensemble des pièces, avec quelques frayeurs quand je n’avais pas correctement repéré le trou dans lequel la vis devait être remontée (surtout vers les premières étapes du remontage).

J’en ai profité pour enlever la poussière accumulée sous le clavier et pour passer un coup de chiffon sur le parebrise.

Primum non nocere

Les risques du métier

Ce billet s’adresse plus particulièrement aux futurs jeunes experts judiciaires.

L’activité d’expert judiciaire peut amener à prendre des risques et à se retrouver au pied du mur. Voici la mésaventure arrivée à un confrère, et rapportée dans la revue Experts (n°70 et 76) par l’excellent Gérard ROUSSEAU, Docteur en droit, expert honoraire près la Cour de cassation. Je la place dans ma rubrique Anecdotes d’expertises, en priant pour que ce type de mésaventure ne m’arrive jamais.

Un expert judiciaire est physiquement agressé pendant une réunion d’expertise par l’une des parties qui le projette à terre. Cette agression entraîne le dépôt d’une plainte par l’expert. Un mois après, l’expert dépose son pré rapport, preuve que l’expertise était avancée lors de l’agression. Un mois après, l’agresseur dépose une requête demandant la récusation de l’expert sur le fondement de l’article 341 du NCPC. Cette requête est rejetée trois mois plus tard par le magistrat en charge du contrôle des expertises qui confirme l’expert dans ses missions. L’agresseur fait appel de cette décision. Un mois après, parallèlement à l’affaire principale, il est condamné pénalement pour l’agression qu’il a commise sur l’expert. Pendant ce temps l’expertise continue, et un dire est déposé par l’agresseur trois mois plus tard. L’expert rend son rapport final un mois après. Un an passe avant que la cour d’appel ne confirme la décision du magistrat en charge du contrôle des expertises estimant qu’il n’y a pas lieu à récusation de l’expert. Pourvoi en cassation de l’agresseur. Un an plus tard, jugement au fond sur le rapport déposé par l’expert. L’agresseur perd son procès civil, mais fait appel. Une année s’écoule encore avant la cassation de la décision du magistrat ayant décidé qu’il n’y avait pas lieu à récusation de l’expert, avec retour devant la cour d’appel. Cette dernière jugera que la révocation de l’expert est justifiée.

Patatra.

Cette mesure est rétroactive puisqu’elle dénie au récusé toute légitimité depuis sa désignation. Elle entraîne la nullité de tous les actes effectués par l’expert. De plus, l’expert a été condamné à l’article 700 du NCPC (2000 euros) outre les entiers dépens (8500 euros). Le rapport étant nul, la rémunération n’est pas admise et celle perçue (2500 euros) devrait être remboursée indépendamment des frais.

Cela fait cher pour une personne au service de la justice.

Extrait des conclusions de Gérard ROUSSEAU: les juridictions du premier et second degré auraient dû mettre en demeure l’expert de suspendre ses opérations en attendant une décision passée en force de chose jugée, en l’occurrence l’arrêt de la Cour de cassation. Ou mieux de prononcer la récusation et de faire verser à l’expert le coût des travaux effectués. […] Quant à l’expert, nous savons que les techniciens ne sont pas des juristes, mais il aurait dû se déporter immédiatement, dès lors qu’un plaideur l’avait agressé.

J’aime bien ce passage aussi:

Si l’agression devient l’une des possibilités d’obtenir une récusation, la formation à l’expertise judiciaire devra pour le moins inclure une épreuve de lutte gréco-romaine qui pourrait utilement être enseignée à l’Ecole Nationale de la Magistrature, les magistrats étant eux-mêmes récusables.

Toujours envie de devenir expert judiciaire ?

Après la mort, le néant

Les faits:

Une femme a été retrouvée pendue.

Le mari était absent ce soir là.

Les enquêteurs, avec les éléments à leur disposition, ont tout d’abord évoqué le suicide.

Le mari soutient que ce n’est pas possible, que sa femme a été assassinée et que le crime a été maquillé en suicide. D’ailleurs, la preuve, c’est que la victime n’a laissé aucune lettre. Pourtant elle était toujours fourrée sur son ordinateur.

L’ordinateur ne contient-il pas des éléments pouvant faire avancer l’enquête, dans un sens ou dans un autre?

Le juge d’instruction demande une expertise de l’ordinateur.

L’expertise informatique:

Dans ce genre de mission, que cherche-t-on? Un document, un email, une image?

J’ai analysé l’intégralité du contenu du disque dur.

J’ai lu la totalité des emails reçus et envoyés, stockés ou effacés.

J’ai consulté l’historique de la navigation internet.

J’ai étudié toutes les photos stockées et effacées.

J’ai lu tous les documents, dans tous les formats trouvés.

J’ai fait des requêtes par mots clefs dans tous les sens.

J’ai passé plus de 100 heures dans l’intimité d’une personne jusqu’à la connaître comme une amie.

Rien. Le néant.

Pas une allusion à un suicide.

Pas une allusion à une inimitié.

L’ordinateur a été éteint normalement deux heures avant la mort (d’après l’heure du bios et de l’OS). Je ne peux pas dire par qui.

Quand j’y repense, je sens encore la présence de cette personne près de moi, narquoise devant mon impuissance à découvrir la vérité. Je sens le mari qui me pose des questions auxquelles je ne peux pas répondre. Je sens le juge d’instruction qui voudrait lire dans mon rapport autre chose que « je n’ai rien trouvé ».

Cela fait beaucoup de présences autour de soi, surtout quand on n’a rencontré physiquement aucun des protagonistes de cette histoire .

Conclusion:

J’ai facturé 10 heures de travail.

Je n’ai jamais su la suite de cette affaire (on ne tient pas l’expert au courant des suites…).

J’y repense souvent: suicide ou assassinat?

Qu’est-ce que j’y peux moi si l’ordinateur ne contient rien que de très banal?

Mais quand même…

PS: les ages, sexes et liens des personnes ont été changés. Seul reste le fond de l’histoire, et mon insatisfaction… La vie de cette femme me hante encore. Et sa mort aussi.

Un autre blog d’expert

Au fil de mes pérégrinations googlesques, je suis tombé sur le blog de Jean-Claude HALLEY, Président d’Honneur de la Compagnie des Experts près la Cour d’Appel de BASSE-TERRE. Ingénieur des Arts et Métiers, il est attaché à la Guadeloupe et s’intéresse à tout ce qui touche de près ou de loin à ce Pays.

Un article a particulièrement attiré mon attention: Expertise Judiciaire, ou comment en une (longue) page, résumer toute une vie d’expert judiciaire.

Je ne connais pas cette personne, mais cela donne envie d’aller en Guadeloupe de la rencontrer.

Je suis sur qu’il aurait bien des anecdotes à raconter!

La solitude de l’expert

L’expert judiciaire exerce ces missions la plupart du temps seul. Il arrive parfois qu’il se sente bien seul…

Il m’est arrivé, il y a quelques années, d’avoir à remplir une mission inhabituelle (pour moi): un tribunal de commerce m’avait demandé de récupérer des données clients sur un serveur dans une entreprise en faillite et de faire l’inventaire du parc informatique pour faciliter le travail du commissaire priseur.

J’ai d’ailleurs appris à mes dépens à cette occasion qu’il y a un certain nombre de points à vérifier avant de se déplacer pour une telle expertise. Je raconte ici la suite des évènements.

Quand un expert se déplace pour effectuer une mission, il est rarement mis au courant des détails très techniques qu’il va rencontrer. Dans cette affaire, et malgré mes nombreuses questions auprès de mes différents interlocuteurs, il m’était impossible d’avoir la moindre information technique intéressante: combien de PC, quel système d’exploitation (windows, VMS, GCOS, Debian, AIX, Irix, Mac OS, NetBSD…), type des disques (SCSI, IDE…), leur capacité (1 Go, 10 Go, 100 Go, 1 To…). Bon, par contre, tout le monde pouvait me donner le mot de passe du serveur (c’est déjà ça).

Pour préparer mes affaires, je procède donc exactement comme pour une expédition lointaine dans un pays dont on ne connait ni la géographie ni le climat. Je mets dans une valise tous les éléments techniques qui pourraient m’être utile: graveur externe, disques IDE et SCSI, bloqueur d’écriture, nappes de fils, alimentations, tournevis, lampe électrique, unité centrale, écran, PC portable, DVD et cédéroms vierges, papier, crayons, câbles et cartes réseaux, switch, clef USB, disquettes…

Me voici donc, de bon matin, à deux cents kms de chez moi, seul dans cette entreprise fermée depuis plus d’un an. L’entreprise est installée dans un grand appartement de six pièces. Il flotte dans l’air comme une odeur de renfermé. J’ouvre les volets.

Je repère très vite le serveur (installé dans la cuisine aménagée pour l’occasion en salle serveur). L’électricité ayant été remise la veille, j’appuie sur le bouton de démarrage après avoir vérifié l’état général des connexions électriques. Le serveur s’allume dans un bruit d’enfer qui semble normal.

Assis devant l’écran, je fais mes premières constations: bios, nombre et type de disques, OS, messages d’alerte… jusqu’à la fenêtre de demande d’identification. J’entre le mot de passe indiqué dans les documents qui m’ont été fournis: sésame ouvre toi, ça marche! Je récupère les données sur mon disque externe USB reconnu par l’OS (Windows 2000). C’est un coup de chance car aucune de mes nappes ne correspondent au système SCSI du serveur. Cela fait une heure que je suis là et la première partie des missions est déjà accomplie. Je suis content.

Là où cela s’est un peu corsé, c’est quand j’ai voulu remettre en état le réseau en place. En effet, de nombreuses données sont présentes sur les disques durs des différents PC et tous ne disposent pas de port USB, alors qu’ils sont tous connectés en réseau. Rien ne fonctionne, aucune machine ne voit le serveur. Petite inspection à quatre pattes en salle serveur: le réseau a été « saboté ». Il s’agit en effet d’un réseau éthernet avec des câbles et connecteurs de type BNC qui doit se terminer par un bouchon de 50 ohms sur un raccord en « T ». Or le câble arrivant sur le serveur est directement raccordé à la carte réseau. Ça ne peut pas fonctionner. Le sabotage est intentionnel. Déjà à cette époque, l’utilisation de câbles réseaux BNC commençait à se faire rare. Et nul bouchon à l’horizon: ni sur le câble, ni dans l’appartement, ni dans ma valise. Début des ennuis.

Je referme bien l’appartement à clef, puis commence à chercher un magasin d’informatique ou d’électronique. Je n’ai pas de carte détaillé de la ville, pas d’accès internet, nous sommes samedi midi, la ville est déserte. Je demande aux commerçants qui sont incapables de me renseigner. Je prends mon véhicule et commence mes recherches. 2h plus tard, après avoir écumé les zones industrielles, les centres commerciaux, je tombe sur un petit magasin de maquettes qui vend aussi un peu d’électronique. Dans le capharnaüm du magasin, nous trouvons le vendeur et moi quelque chose qui ressemble à une paire de résistances terminales BNC… Victoire et retour dans l’entreprise.

Réseau fonctionnel, je commence à récupérer les données de chaque poste de travail (il y en a dix!). L’après midi bien entamé y passera. Le soir arrive, la pénombre aussi. Les yeux fatigués, je me lève pour allumer la lumière: rien. Tous les plafonniers ont été vidés de leurs néons et ampoules. J’allume tous les écrans et reprend le travail dans la lumière blafarde. Je sors ma lampe de poche et m’en sers pour me déplacer entre les meubles. Certains écrans grésillent. Je me sens seul.

A l’époque, je n’ai pas de téléphone portable, je ne peux donc pas prévenir mon épouse de ne pas s’inquiéter. Les ombres et les fantômes de l’entreprise suffisent déjà à me mettre mal à l’aise. Quelques craquements se produisent dans les pièces voisines. Le changement de température sans doute. Au fait, il n’y a pas de chauffage… Je mets mon manteau et bouge un peu les bras pour me réchauffer. Je note sur ma « check list » de penser à prendre des vêtements chauds la prochaine fois.

23h. Fini. Je ramasse tous mes équipements, toutes mes affaires et toutes mes notes. Je remets tout en état. J’éteins et ferme tout. Me voici dans le couloir avec ma lampe de poche et mon sac de sport rempli de matériel sur l’épaule. Je me rends compte soudain que je n’ai pas pensé à prévenir les voisins ni la police de ma présence. J’ai vraiment l’air d’un cambrioleur. Par chance, personne ne viendra m’inquiéter.

Sur le chemin du retour, il n’y a personne sur la route.

Je suis encore seul.

Dire à expert

En procédure civile, lorsque l’une des parties a le sentiment de ne pas avoir été entendue, ou qu’il ne lui a pas été apporté de réponse satisfaisante aux questions posées, cette partie, par l’intermédiaire de son avocat, et de façon contradictoire en en adressant une copie à l’autre partie, à la faculté de rédiger un document qui s’intitule « dire à expert » qui expose par écrit sa position. L’expert est obligé de répondre aux dires des parties.

Article 276 du Nouveau Code de Procédure Civile (NCPC pour les intimes)

L’expert doit prendre en considération les observations ou réclamations des parties, et, lorsqu’elles sont écrites, les joindre à son avis si les parties le demandent.

Toutefois, lorsque l’expert a fixé aux parties un délai pour formuler leurs observations ou réclamations, il n’est pas tenu de prendre en compte celles qui auraient été faites après l’expiration de ce délai, à moins qu’il n’existe une cause grave et dûment justifiée, auquel cas il en fait rapport au juge.

Lorsqu’elles sont écrites, les dernières observations ou réclamations des parties doivent rappeler sommairement le contenu de celles qu’elles ont présentées antérieurement. A défaut, elles sont réputées abandonnées par les parties.

L’expert doit faire mention, dans son avis, de la suite qu’il aura donnée aux observations ou réclamations présentées.

Extrait du livre blanc de l’expertise judiciaire:

En principe, le dire, que l’expert doit joindre à son rapport, doit formuler des observations ou des réclamations des parties.

Le dire doit être porteur d’une argumentation : la preuve en est que l’expert doit lui donner une suite et l’annexer à son rapport.

Or, on constate fréquemment que:

– il y a une inflation des dires, en particulier en fin d’expertise, voire à la veille du dépôt du rapport;

– il en est qui visent seulement une transmission de pièces techniques, demandées ou non par l’expert, comme si le conseil voulait s’assurer qu’elles seraient bien examinées;

– certains dires constituent plus une manière de poursuivre un dialogue conflictuel entre certains avocats ou certaines parties en prenant l’expert à témoin, qu’un apport d’argument;

– d’autres suggèrent de véritables extensions de mission sans respecter le formalisme des textes;

– des dires ­ trop longs ­ sont surchargés d’arguments hors sujet par rapport à la mission d’expertise ou même soulèvent des problèmes de droit pur qui échappent évidemment à la compétence procédurale de l’expert et au champ de la mission;

– les avocats laissent parfois leurs clients ou leurs experts d’assurance rédiger eux-mêmes des dires peu clairs souvent chargés de subjectivité, voire d’agressivité ou de contrevérités;

– ces dires hors sujet sont souvent d’un volume excessif; ils encombrent inutilement les diligences et l’avis de l’expert.

On assiste ainsi à une dérive de l’emploi du dire, qui, de support d’arguments, se transforme en un processus systématique, à la fois procédé dilatoire et rideau de fumée.

L’expert est plutôt mal protégé contre cette déviation qui constitue une véritable pollution de l’expertise.

Le juge auquel il va s’adresser ne pourra, en l’état des textes et de l’usage qu’en font certains avocats, que lui recommander de les appliquer, c’est-à-dire d’annexer au rapport des écrits largement digressifs et de formuler à leur sujet un avis, qui pourra alors être très bref… et consistera à préciser que le dire n’a aucun rapport avec la mission.

Il reste en outre à l’expert à régler, en accord avec les parties et leurs avocats ou, à défaut, avec le juge, le problème de la jonction au rapport des annexes des dires, dont le volume est souvent beaucoup plus important encore que celui des dires eux-mêmes.

Une anecdote:

J’avais déposé un pré-rapport auprès des parties afin qu’elles puissent formuler des dires. J’avais donné comme souvent une date limite correspondant à un vendredi soir afin de disposer du week-end pour répondre aux dires.

C’était avant l’introduction d’internet dans la procédure aussi les dires étaient traditionnellement adressés sous forme papier. Il me fallait donc un temps certain pour:

– soit saisir les dires sur mon ordinateur (par OCR ou saisie manuelle), ce qui est énervant quand on sait qu’une personne les a déjà saisis sous forme numérique avant de les imprimer…

– soit procéder à un découpage-ciseau-collage savamment synchronisé avec l’impression de mes réponses.

Il faut bien un week-end complet pour cela.

Dimanche soir, à 2h du matin (lundi donc en fait), mon rapport était fin prêt: 50 pages, dont 10 de savants collages et 200 pages d’annexes.

Lundi midi, je saute mon repas pour courir à la reprographie près de l’école (j’y croise souvent quelques uns de mes étudiants légèrement embarrassés de trouver l’un de leurs tortionnaires dans ce temple de la copie du savoir). Un exemplaire pour chaque partie (trois dans cette affaire), deux exemplaires pour le magistrat (la justice ne rechigne pas à faire parfois quelques économies sur le dos de la partie qui paiera l’expertise). Je garde l’original pour moi.

Lundi soir, en rentrant chez moi avec tous ces exemplaires sous le bras sur les bras, que vois-je sur mon télécopieur: un dire (tardif) de vingt pages.

Aaaaaaarg.

La date de dépôt du rapport était fixé par le magistrat au lendemain mardi. L’avocat indiquait qu’il me fallait tenir compte de son dire à défaut de nullité de mon rapport.

Que faire?

Bien sur, je pouvais expliquer que le dire étant arrivé trop tard, je n’avais pas pu l’intégrer à mon rapport avant de l’imprimer, etc. Mais j’ai le sentiment que ce type d’argument trop terre à terre ne tient guère et donne une piètre image de l’expert (et pourtant!).

J’ai donc couru jusqu’au Palais pour y déposer mon rapport en case.

Au retour, j’ai écris de ma plus belle plume:

« Maître, ayant déposé mon rapport, je ne suis plus en charge de ce dossier. Les dires que vous m’avez adressé ce jour hors délai n’ont donc pas pu être pris en compte. »

Cela a fait tout un patakès.

Mais le magistrat m’a donné raison!

Le sens caché des choses

Il est 16h et j’attends avec impatience l’arrivée des OPJ qui doivent m’apporter mon premier scellé. Ah, ça y est, ils arrivent! Deux policiers descendent de leur voiture et viennent sonner à la porte. Les voisins soulèvent leurs voilages. J’ai déjà ouvert la porte et je discute avec les deux officiers. Ils me confirment ma mission principale: la recherche d’images pédopornographiques. Ils me remettent un PC dans un grand sac noir qui ressemble à un sac poubelle sauf que celui-ci est cacheté (c’est en fait bien un sac poubelle). Je serre la main des policiers, autant par politesse que pour les voisins…

Me voici dans mon bureau. J’ouvre le scellé. Je démonte le PC et en extrait le disque dur. Je tremble un peu. C’est ma première analyse.

Je n’ai pas encore de bloqueur de lecture, mais par chance, ce modèle de disque dur possède un cavalier permettant d’empêcher l’écriture (et donc de modifier le contenu du disque dur). Je procède à la prise d’empreinte numérique, replace le disque d’origine dans le scellé et place sa copie dans mon ordinateur de travail. L’analyse peut commencer.

Je ne dispose pas (encore) de logiciel spécialisé dans l’analyse de disque et la recherche de preuve. Je débute en informatique légale et je suis seul. Aucune aide à attendre de l’extérieur: je ne connais aucun autre expert judiciaire, ni en informatique ni dans une autre spécialité. J’ai pour seul bagage mes connaissances, des livres et internet. Il faut que j’y arrive.

J’explore le disque dur d’une façon informelle, à l’aide de l’explorateur de fichiers. Rien ne semble anormal.

J’entreprends l’exploration complète et systématique de l’arborescence de fichiers. Rien. Le contenu du disque est parfaitement banal.

Je dégote sur internet un programme de récupération des fichiers effacés. Je le teste sur mon poste avant de l’employer sur le disque cible. Bingo, sur le disque cible se trouvent un petit millier de fichiers effacés dont plusieurs images à caractère pornographiques.

Je continue la recherche en dressant la liste de tous les programmes installés. Certains me sont inconnus. Internet n’étant accessible qu’au travail (nous sommes à la fin du 20e siècle, à une période où le web n’existe pas encore, internet est en mode texte et est réservé aux seuls chercheurs), j’emmène cette liste au travail et en discute avec mon équipe technique. Après identification de la plupart des programmes, il en reste deux qui sont inconnus au bataillon.

Après une rapide recherche de deux heures sur les sites gopher, je découvre qu’il s’agit de deux programmes de stéganographie.

Le mot même me fait peur, nous sommes en pleine période Jurassic Park.

Je me rappelle alors que lors de mon analyse informelle préalable, j’avais aperçu de nombreuses images haute définition (pour l’époque) de type « fond d’écran pour station de travail » (certains se rappelleront d’une image de guépard à couper le souffle).

Il se trouve que j’avais dans ma propre collection de fonds d’écran certaines des images en question. Je procède alors à une comparaison des tailles de fichiers, puis des contenus binaires. Bingo.

Le logiciel demandait un mot de passe pour chaque image. L’imagination humaine étant ce qu’elle est, je tentais tous les mots de passe « habituels ». Niet. J’essaye alors une adaptation du logiciel « crack », père des logiciels de cassage moderne. Et là, quelques heures plus tard, LE mot de passe.

Sésame ouvre toi, et toutes les images « fond d’écran » se sont avérées être réceptacles d’images cachées par stéganographie. D’images abominables bien entendu… C’est une des raisons du fond noir de ce blog.

J’ai appris beaucoup de choses sur la technique ce jour là, mais aussi beaucoup sur l’espèce humaine. Et à plusieurs niveaux, sur le sens caché des choses.