Je croule sous les expertises pédopornographiques.
J’ai quatre dossiers ouverts en parallèle!
Du jamais vu pour moi…
Pour ceux qui découvrent ce blog, je les invite à lire sur ce thème ce billet, celui-ci et celui-là.
Pour analyser un scellé, j’ai pris l’habitude de procéder d’abord à une prise d’image numérique du disque dur, pour ensuite étudier son contenu (celui de l’image, pas le disque dur original).
Pour étudier le contenu de l’image, je procède toujours à peu près de la même manière: je lâche mes chiens scripts à la recherche d’images sur l’ensemble du disque dur, et pendant que mes fidèles limiers explorent la totalité du disque dur (zone allouée et non-allouée), je flâne moi-même avec un explorateur de fichiers pour m’imprégner de la logique de son propriétaire.
Cette fois-ci ma flânerie me montrait une belle machine neuve sous Vista. Le PC a peu servi, ayant été acheté depuis peu. L’historique internet montre bien quelques sites, mais rien que de très banal: les grandes enseignes habituelles d’internet, et un peu de pornographie. Le tour préliminaire de la propriété me laisse penser que cette fois-ci je ne trouverai rien de criminel.
Je commence l’introduction de mon rapport en attendant les résultats de mes scripts de recherche. Je blogue un peu aussi.
Quelques heures plus tard, une douce voix un bip m’avertit que l’exécution des scripts est terminée.
Et là, surprise: tout un lot d’images pédophiles.
Mais où pouvaient bien se cacher ces images?
En zone allouée?
Des fichiers cachés?
Des fichiers effacés?
En zone non-allouée, pas même référencé dans la table des fichiers?
Dans des fichiers zippés?
Non.
Dans le fichier thumbcache_256.db…
Késako?
Lorsque vous visualisez le contenu d’un répertoire en mode d’affichage « Miniatures », une image réduite (une « miniature ») est placée sur la représentation de chaque fichier. Si votre fichier contient des images, vous pouvez ainsi en apercevoir une représentation réduite, ce qui vous permet de trouver rapidement la bonne image.
Sous Windows XP, tous les répertoires images explorés dans ce mode contiennent ensuite un fichier caché Thumbs.db
Ce fichier contient toutes les miniatures des fichiers du répertoire. Un régal pour toutes les analystes forensiques.
Pour Vista, Microsoft a modifié son système de mise en cache des vignettes. Plutôt que de créer un fichier caché Thumbs.db dans chaque répertoire, un groupe de fichiers thumbcache_*.db contient une réduction plus ou moins fine de chaque image stockée.
Dans cette affaire, le propriétaire de l’ordinateur avait particulièrement bien effacé la trace de ces activités criminelles.
Mais il n’avait pas pensé à effacer le fichier thumbcache_256.db de Vista, révélant ainsi sa petite collection de 300 images pédophiles particulièrement atroces.
Je ne suis pas un enquêteur.
Je ne suis pas un juge.
Je suis un simple informaticien au service de la justice.
Mais j’aimerai pourtant un jour y reconnaître l’un de ces visages pour pouvoir mettre la police sur les traces des ravisseurs.
Et parfois, c’est dur.