Assistance lors d’une perquisition

Etre réquisitionné pour assister la police lors d’une perquisition n’est pas une chose agréable. Outre le fait de débarquer chez quelqu’un sans y avoir été invité, devoir fouiller dans les placards, même en présence du propriétaire des lieux, est quelque chose qui m’insupporte.

Bon, heureusement, parfois le propriétaire prend la chose très correctement, voire même avec humour. C’est ce qui m’est arrivé cette semaine lorsque j’ai du assister le commissaire de la ville voisine dans une affaire de vol de codes sources.

Une entreprise en difficulté financière ne paye plus son informaticien. Celui-ci, au bout de deux mois sans salaire attaque son employeur aux prudhommes. L’employeur, mécontent, attaque son salarié au pénal pour vol de codes sources. Là où l’affaire est intéressante, c’est que l’employeur ne disposant pas de locaux, avait demandé à son salarié de travailler chez lui, sur son matériel informatique personnel.

L’informaticien, honnête et prudent, ayant rendu à son employeur tous les développements réalisés, nous a laissé perquisitionner chez lui. Après avoir vérifié qu’il n’y avait aucune trace de codes sources ni d’exécutable indument conservé, nous avons dressé procès verbal de la perquisition.

Ce procès verbal lave le salarié de tout soupçon et lui permettra d’ajouter un élément dans son dossier prudhommal.

Qui a dit que les perquisitions étaient toujours à charge?

Expert en faux

Je reçois ce jour une réquisition aux fins d’expertise avec pour missions (je mets mes commentaires entre crochets):

1) Examiner les scellés n°X et Y constitués dans la procédure n°Z [un disque dur externe et un ordinateur avec Dieu sait combien de disques durs à l’intérieur]

2) Y rechercher tout enregistrement et fichier relatif à la réalisation de faux documents,

3) Y rechercher de manière générale toutes informations relatives à des tiers afin d’en permettre l’exploitation notamment à l’effet de vérifier si le nom de ces tiers n’a pas été utilisé par Mr YYY [je mets YYY plutôt que XXX pour éviter d’attirer trop de monde sur ce blog]

4) Apporter tout élément utile à la manifestation de la vérité.

Autant vous dire que je n’ai aucune idée de ce qu’il faut chercher sur les disques durs.

Et bien, c’est cela qui me plait bien !

Un réseau bien hospitalier…

Dans une affaire de pédophilie (encore une!), j’avais parmi les missions à « fournir [au magistrat instructeur] la liste de toutes les adresses emails présentes sur le disque dur objet du scellé n°N. »

« La mission, rien que la mission, toute la mission. » Me répétait mon vieux professeur d’expertise…

Muni de mes outils opensource d’investigations, j’obtiens au bout de quelques heures de recherches, un ensemble d’emails que je commence à analyser: untel écrit à truc, truc répond avec copie à trucmuche, etc. Sur ma feuille de papier se dessine un réseau de correspondances… Euh, en fait, DEUX réseaux apparaissent! D’un côté, un ensemble de personnes qui s’écrivent, avec certains courriers à thème pédophile, de l’autre un ensemble d’emails qui relatent plutôt des faits médicaux.

Des médecins impliqués dans un réseau pédophile !!!

Oui, mais alors pourquoi DEUX ensembles disjoints de correspondances ?

J’ai donc poussée un peu plus loin en regardant les dates des fichiers présents et effacés du disque dur. Après analyse (aidé par la gendarmerie), il s’est avéré que l’ordinateur avait commencé sa carrière au sein d’un hôpital, avant d’être vendu d’occasion pour finir dans les mains d’un pédophile. Les données effacées AVANT la vente étaient bien entendu toujours présentes sur le disque dur.

J’avais failli inscrire dans mon rapport des personnes complètement étrangères à cette affaire !

Oui mais: « La mission, rien que la mission, toute la mission. »

Or, celle-ci indiquait clairement qu’il fallait que je fournisse la liste de TOUTES les adresses emails apparaissant sur le disque dur!

J’ai alors contacté le magistrat instructeur pour avis.

Celui-ci m’a laissé le choix entre « La mission, rien que la mission, toute la mission » ou « mouillez vous un peu et faites un pré-tri ».

J’ai donc un peu mouillé ma chemise et n’ai fait mention que des emails du premier ensemble. Outreau n’est jamais très loin…

Mais quand j’y repense, j’ai toujours un peu froid dans le dos. Des restes de transpiration sans doute.

Photos d’écran

Je narrais naguère ici-même une anecdote où le « soupçonné coupable » avait omis de vider la corbeille informatique de son bureau Windows, par méconnaissance de son mécanisme.

J’alimente aujourd’hui la rubrique « Anecdotes expertises » avec une affaire où mon travail a été grandement simplifié par un coup du sort.

Il s’agit d’une affaire de pédophilie supposée. Le suspect est en possession d’un ordinateur et ma mission (et je l’ai acceptée) est de faire « parler » cet ordinateur.

Me voici en train d’étudier une copie du disque dur.

Or, l’une des premières choses que je fais lors d’une analyse de disque dur, est de me promener au gré de mes envies (j’allais dire mon instinct comme à la télé) dans les différents répertoires, avant de lancer les chiens scripts d’analyse.

« Tiens, un répertoire nommé << vrac piratés >> »

« Tiens, un autre qui s’appelle << superteensk13 >>… »

Bref, je flâne.

C’est alors que je tombe sur un répertoire intitulé « print screens » contenant environ 5000 photos. Je regarde quelques unes de ces photos, ainsi que les dates de création des images: il s’agit de photos d’écran.

Le suspect avait installé un logiciel de copie d’écran automatique: une photo de l’écran était prise toutes les 10 minutes et copiée dans ce répertoire! Le sort avait voulu que le suspect ne le désinstalle pas, ne sachant probablement pas ce qu’il avait installé!

J’ai ainsi pu avoir sans me fatiguer et de façon assez détaillée l’utilisation de cet ordinateur (parties de solitaire incluses, sans jeu de mots), les contenus des cédéroms qui ont été gravés, les impressions, les webmails, etc.

Et effectivement, cela valait le détour!

.

Les scellés

Je me souviens avec quelle émotion (encore!) j’ai reçu mes premiers scellés: belles étiquettes vieillottes, empaquetage avec ficelles d’un autre âge et surtout beaux cachets de cire rouge comme à la télé!!

Pour chaque dossier avec scellés, vous lirez sur la liste des missions la phrase « vous prendrez réception des scellés n°X et Y que vous ouvrirez » (je n’ai jamais lu l’expression « briser les scellés »), puis en fin de liste, « … vous procèderez à la reconstitution des scellés ».

Mais problème: comment reconstituer un scellé ? Faut-il acheter de la cire rouge ? Où ? Faut-il acquérir un sceau ? Où ? Comment faire fondre la cire ?

Après une recherche sur Internet (essayez de la faire, c’est assez difficile), je suis finalement parti dans une boutique spécialisée « rue du Palais » pour y trouver tout le nécessaire.

J’ai donc :

un joli bâton de cire rouge,

un sceau fait sur mesure avec un joli dessin d’ordinateur (!),

un petit creuset en verre pour y faire fondre la cire,

et une bougie pour chauffer le creuset.

C’est donc parti pour la reconstitution des scellés.

Il me faut trouver un sac plastique transparent (c’est mieux).

Il me faut trouver des agrafes (mon agrafeuse est TOUJOURS vide à ce moment là).

Je plie une feuille de papier pour faire une bande que je place au bord du sac plastique et CRAC je mets mes agrafes dessus pour fermer le tout (ATTENTION pas trop d’agrafes, voir plus loin).

J’entoure le tout d’une belle ficelle que j’ai hérité de mon grand-père.

J’attache au bout l’étiquette d’origine du scellé sur laquelle j’écris la date, « scellé reconstitué par l’expert » et je signe où je peux car l’administration n’a pas prévu de case pour les experts.

Attention : nous passons à la réalisation du cachet de cire !

Ce qu’il vous faut maintenant imaginer, c’est que je suis assis par terre (je n’ose pas faire ces manipulations sur mon bureau, c’est trop dangereux…), en train de découper à la scie un morceau de cire rouge (elle est TRES dure), pour le placer ensuite dans mon petit creuset en verre que je place sur une bougie. Il faut ensuite attendre cinq bonnes minutes pour que la cire fonde.

Et là, d’un geste expert, POUR CHAQUE AGRAFE, côté sortie des agrafes, il faut verser la cire pour faire un petit rond, pas trop petit, pas trop grand, poser le creuset rapidement car la cire sèche vite, saisir le sceau et faire un joli cachet bien dégoulinant et tellement « geek ».

Remarque pour les nouveaux experts :

Si vous ne mettez pas une bande de papier pour y mettre les agrafes qui vont sceller votre sac plastique, la cire fera fondre (très artistiquement d’ailleurs) ledit sac plastique.

Remarque pour les experts expérimentés :

Par pitié, 38 ans après le premier pas sur la lune, dites moi qu’il existe un appareil simple à faire fondre la cire… et dites moi où je peux l’acheter !

En attendant, le jeu consiste à chercher à ouvrir les scellés sans les briser, afin de pouvoir les reconstituer facilement.

Mais les OPJ savent y faire et c’est quasiment impossible !

Qui a dit qu’informaticien expert judiciaire n’était pas une activité manuelle.

Arrêtez d’acheter votre informatique au restaurant !

Dans plusieurs de mes expertises, je rencontre le dialogue suivant:

– « Pouvez-vous me fournir le cahier des charges que vous avez fourni à votre fournisseur pour votre ré-informatisation? »:

– « un cahier des charges? Mais tout s’est passé par oral lors de nos discussions avec le commercial. Tenez, voici le bon de commande annoté sur lequel nous avons griffonné expliqué nos besoins. »

J’ai même eu droit à une photocopie de notes prises sur une nappe en papier !!!

Chef de PME, chef de TPE, n’achetez plus votre informatisation dans un bar ou dans un restaurant… Je sais que vous n’avez pas les moyens de salarier un informaticien, je sais que vous ne pouvez pas vous offrir le luxe d’un consultant ou d’un chef de projet, MAIS la plus petite méthode de gestion de projet commence par l’établissement de la liste de vos besoins: le cahier des charges.

Vous pouvez même ensuite envisager des concepts tels que « pouvez-vous laisser l’ancien système en place le temps que l’on teste le nouveau? ».

Et puis, si tout va mal et que vous allez en justice, travaillez le concept « laisser le système litigieux en place et ne plus y toucher » pour que l’expert ne débarque pas avec la mission « décrire le système litigieux » à laquelle il ne pourra que répondre « le système litigieux n’existe plus ».

Merci de réserver le restaurant pour fêter avec votre fournisseur la joie d’une installation réussie.

C’est sur, les notes de frais vont baisser.

Une expertise au jour le jour (4)

Cela fait deux jours que je ne peux pas continuer mon expertise pour cause de surcharge professionnelle. On ne peut pas aller à Paris pour une journée de travail (levé 4h du matin, train à 5h, réunion de 10h à 18h, train retour à 22h, couché à 23h), mener une vie familiale normale (une femme et trois enfants à bichonner quand même) et trouver les heures de concentration nécessaires pour mener à bien un travail d’expertise de qualité.

Une expertise mal faite peut briser la vie de plusieurs personnes.

Dans le cadre des recherches de photos avec des enfants, j’ai également toujours l’angoisse de passer à côté d’une photo d’un enfant disparu recherché par sa famille.

Demain samedi, je dois exceptionnellement travailler toute la journée. Il va donc falloir bloquer encore tout le dimanche pour continuer l’expertise actuelle.

C’est aussi cela, le travail d’un expert.

Une expertise au jour le jour (3)

Hier soir, premier tri manuel des données extraites du disque dur: 21 Go de photos et films tous pornographiques, et dont une grande partie concernant des mineurs de 15 ans. Deux heures de travail (21h-23h).

Parmi les missions qui m’ont été confiées, je dois préciser la proportion d’images concernant des enfants mineurs. Ceci va me demander d’étudier en détail chaque photo, et donc des jours et des jours de travail. Ce matin, j’ai donc contacté l’OPJ à l’origine du PV de missions pour lui faire part des avancées de mon expertise et lui proposer de limiter mes activités sur le classement des photos.

Surpris par ma demande dont la conséquence est de diminuer de façon importante ma future facture, il est parfaitement d’accord avec ma suggestion.

Je note tout ceci dans mon rapport (j’ai prêté serment d’accomplir ma mission, il s’agit d’expliquer pourquoi je la limite).

Je procèderai à la gravure (deux exemplaires me sont demandés) sur DVD de toutes ces données ce soir (10 DVD probablement).

A venir ensuite: étude des fichiers effacés, des navigations internet, étude des échanges sur messagerie, recherche d’informations pouvant intéresser l’enquête.

On verra ce qui pourra être fait ce soir.

Une expertise au jour le jour (2)

Bon, en rentrant hier soir, la copie était interrompue: le switch réseau n’a visiblement pas supporté le débit du transfert entre les deux PC.

Changement du switch, redémarrage de la procédure de copie sans la compression, réestimation du temps de copie: 9h. Euh, j’avais donc mal estimé le temps de la copie (hier j’avais calculé 3 jours…). On va dire que c’est à cause du switch défectueux.

La nuit passe.

Ce matin, tout est OK. La prise d’image s’est bien déroulée pendant la nuit: durée 27852s (à vos calculettes).

J’éteins la station d’accueil et range le disque d’origine.

Je fais une copie de l’image (2×160 Go: heureusement que j’inaugure mon nouveau DD de 400 Go!) et lance mes procédures automatiques de recherche d’images.

Il est 8h du matin, il faut aller travailler.

Suite des investigation ce soir après 21h… Et alors fini les automatismes, place à l’être humain!

Une expertise au jour le jour (1)

Hier dimanche, j’ai passé la journée enfermé à la maison dans mon bureau pour démarrer une expertise délicate. Je vais essayer d’en rendre compte ici au fur et à mesure.

Tout d’abord, pourquoi suis-je enfermé dans mon bureau?

Et bien il s’agit d’une recherche d’images pornographiques mettant en scène des enfants mineurs.

J’ai trois enfants, donc bureau fermé.

Première action: le rapport.

J’ouvre un rapport type, j’y place toutes les références de cette affaire, etc.

J’y retranscris les missions indiquées sur le PV, ce qui me permet de bien les étudier (je tape à deux doigts depuis toujours).

Tiens, il y a deux missions portant le numéro 5 sur le PV, une erreur de l’OPJ sans doute. Bon, je vais noter 5b la sixième mission pour ne pas décaler les autres numéros, afin de conserver une certaine lisibilité pour tous ceux qui vont avoir à lire la procédure.

Deuxième action: l’ouverture des scellés.

Il s’agit d’un lot de cédéroms et DVD, ainsi qu’une unité centrale.

Je vérifie que le contenu correspond bien aux étiquettes…

Patatra, l’étiquette du scellé mentionne 8 CD et 5 DVD, alors que je n’ai que 12 galettes. Après vérification, il manque bien un cédérom.

Bon, cela commence bien.

Je note ce problème dans mon rapport.

Troisième action: l’analyse des supports optiques.

Je procède en trois temps: étiquetage, analyse du support (nombre de sessions, type de données…) , transfert du contenu vers mon disque dur et analyse du contenu (décompression, recherche d’images et de films).

Je vérifie qu’il n’y a pas de session cachant des données.

Je procède à la récupération des données lorsque la gravure a été mal faite (erreur de redondance cyclique).

A chaque fois, je prends des notes directement dans mon rapport (partie intitulée « investigations techniques »).

Pour cette fois, l’impression des images n’est pas demandée dans les missions, mais leur gravure pour exploitation ultérieure.

Cela me prendra 6 heures pour l’étude des 12 supports optiques, totalisant trois milles images et 70 films, tous pornographiques.

Présence de nombreuses photos mettant en scène des mineurs, dont un grand nombre de mineurs de 15 ans.

Sale boulot.

Quatrième action: l’analyse de l’unité centrale.

J’ouvre l’unité centrale pour étudier visuellement son contenu.

Il n’y a qu’un seul disque dur, mais il fait 160 Go.

L’analyse promet d’être longue…

Je vérifie que les différents lecteurs (optiques, disquette, cartes mémoires) sont vides.

Je débranche le disque dur.

Je boote et entre dans le BIOS pour noter les date et heure, et forcer le boot sur « cédérom exclusif ».

Je rebranche le disque dur et boote sur un cédérom « maison » Linux.

Le disque dur est constitué de deux partitions (la première est cachée et sert aux réinstallations systèmes, la deuxième est NTFS).

Mauvaise nouvelle: mon cédérom « maison » Linux ne reconnait pas la carte réseau intégrée de cette carte mère.

Je démonte donc le disque dur et le place sur une station d’accueil « maison ».

Reboot (sur la station d’accueil donc) et copie bit à bit du disque dur à travers le réseau vers mon PC de travail.

Estimation du temps de copie (et compression): 3 jours!

Il est 22h.

Je vérifie que tout est en ordre pour fonctionner (onduleur, cables, etc).

Je suis fatigué.

L’expression « des images plein la tête » n’est pas toujours positive.

La suite dans trois jours (au mieux)…