Archives par mot-clé : Anecdotes expertises

Chaud chaud chaud !

Publié le par

Le B.A.BA de l’expert judiciaire en informatique est d’être capable de procéder à la recherche d’informations sur un disque dur.

Voilà deux jours que je tente de faire une image du disque dur d’un scellé: je lance la prise d’image (huit heures annoncées à chaque fois) et PAF, quand je reviens quelques heures plus tard (ou le lendemain matin) la prise d’image s’est arrêtée en cours de route…

J’ai essayé avec plusieurs logiciels, plusieurs distributions GNU/Linux, rien n’y fait.

Quand soudain une idée surgit du fond de ma mémoire: la température!

Pour effectuer une analyse de disque dur en toute sécurité, il faut travailler sur une image. Pour réaliser cette image, vous pouvez procéder de plusieurs manière, mais pour ma part, j’utilise un PC dédié sur lequel je place le disque dur préalablement retiré de son PC d’origine. Comme cela, je connais bien le BIOS (de mon PC dédié), je maîtrise sa carte réseau (reconnue par mes distributions GNU/Linux), etc.

Mais, tout cela se fait carcasse ouverte, fils et nappes « en l’air ». Du coup, les disques durs sont un peu « pendants ». Ce qui fait qu’ils ne sont pas fixés à l’armature métallique du PC… Grave erreur: la dissipation de la chaleur se fait mal et la température des disques monte, monte, monte.

Comme je n’y ai pensé qu’après avoir relancé une prise d’image qui a démarré il y a trois heures et que je ne veux pas perdre (encore) plus de temps, me voici avec un ENORME ventilateur de bureau TRES bruyant visant le disque dur pour le refroidir.

Du coup, je travaille avec un casque antibruit sur les oreilles.

On ne plaisante pas avec les experts judiciaires qui ont endommagé une preuve.

Assistance lors d’une perquisition

Publié le par

Etre réquisitionné pour assister la police lors d’une perquisition n’est pas une chose agréable. Outre le fait de débarquer chez quelqu’un sans y avoir été invité, devoir fouiller dans les placards, même en présence du propriétaire des lieux, est quelque chose qui m’insupporte.

Bon, heureusement, parfois le propriétaire prend la chose très correctement, voire même avec humour. C’est ce qui m’est arrivé cette semaine lorsque j’ai du assister le commissaire de la ville voisine dans une affaire de vol de codes sources.

Une entreprise en difficulté financière ne paye plus son informaticien. Celui-ci, au bout de deux mois sans salaire attaque son employeur aux prudhommes. L’employeur, mécontent, attaque son salarié au pénal pour vol de codes sources. Là où l’affaire est intéressante, c’est que l’employeur ne disposant pas de locaux, avait demandé à son salarié de travailler chez lui, sur son matériel informatique personnel.

L’informaticien, honnête et prudent, ayant rendu à son employeur tous les développements réalisés, nous a laissé perquisitionner chez lui. Après avoir vérifié qu’il n’y avait aucune trace de codes sources ni d’exécutable indument conservé, nous avons dressé procès verbal de la perquisition.

Ce procès verbal lave le salarié de tout soupçon et lui permettra d’ajouter un élément dans son dossier prudhommal.

Qui a dit que les perquisitions étaient toujours à charge?

Expert en faux

Publié le par

Je reçois ce jour une réquisition aux fins d’expertise avec pour missions (je mets mes commentaires entre crochets):

1) Examiner les scellés n°X et Y constitués dans la procédure n°Z [un disque dur externe et un ordinateur avec Dieu sait combien de disques durs à l’intérieur]

2) Y rechercher tout enregistrement et fichier relatif à la réalisation de faux documents,

3) Y rechercher de manière générale toutes informations relatives à des tiers afin d’en permettre l’exploitation notamment à l’effet de vérifier si le nom de ces tiers n’a pas été utilisé par Mr YYY [je mets YYY plutôt que XXX pour éviter d’attirer trop de monde sur ce blog]

4) Apporter tout élément utile à la manifestation de la vérité.

Autant vous dire que je n’ai aucune idée de ce qu’il faut chercher sur les disques durs.

Et bien, c’est cela qui me plait bien !

Un réseau bien hospitalier…

Publié le par

Dans une affaire de pédophilie (encore une!), j’avais parmi les missions à « fournir [au magistrat instructeur] la liste de toutes les adresses emails présentes sur le disque dur objet du scellé n°N. »

« La mission, rien que la mission, toute la mission. » Me répétait mon vieux professeur d’expertise…

Muni de mes outils opensource d’investigations, j’obtiens au bout de quelques heures de recherches, un ensemble d’emails que je commence à analyser: untel écrit à truc, truc répond avec copie à trucmuche, etc. Sur ma feuille de papier se dessine un réseau de correspondances… Euh, en fait, DEUX réseaux apparaissent! D’un côté, un ensemble de personnes qui s’écrivent, avec certains courriers à thème pédophile, de l’autre un ensemble d’emails qui relatent plutôt des faits médicaux.

Des médecins impliqués dans un réseau pédophile !!!

Oui, mais alors pourquoi DEUX ensembles disjoints de correspondances ?

J’ai donc poussée un peu plus loin en regardant les dates des fichiers présents et effacés du disque dur. Après analyse (aidé par la gendarmerie), il s’est avéré que l’ordinateur avait commencé sa carrière au sein d’un hôpital, avant d’être vendu d’occasion pour finir dans les mains d’un pédophile. Les données effacées AVANT la vente étaient bien entendu toujours présentes sur le disque dur.

J’avais failli inscrire dans mon rapport des personnes complètement étrangères à cette affaire !

Oui mais: « La mission, rien que la mission, toute la mission. »

Or, celle-ci indiquait clairement qu’il fallait que je fournisse la liste de TOUTES les adresses emails apparaissant sur le disque dur!

J’ai alors contacté le magistrat instructeur pour avis.

Celui-ci m’a laissé le choix entre « La mission, rien que la mission, toute la mission » ou « mouillez vous un peu et faites un pré-tri ».

J’ai donc un peu mouillé ma chemise et n’ai fait mention que des emails du premier ensemble. Outreau n’est jamais très loin…

Mais quand j’y repense, j’ai toujours un peu froid dans le dos. Des restes de transpiration sans doute.

Photos d’écran

Publié le par

Je narrais naguère ici-même une anecdote où le « soupçonné coupable » avait omis de vider la corbeille informatique de son bureau Windows, par méconnaissance de son mécanisme.

J’alimente aujourd’hui la rubrique « Anecdotes expertises » avec une affaire où mon travail a été grandement simplifié par un coup du sort.

Il s’agit d’une affaire de pédophilie supposée. Le suspect est en possession d’un ordinateur et ma mission (et je l’ai acceptée) est de faire « parler » cet ordinateur.

Me voici en train d’étudier une copie du disque dur.

Or, l’une des premières choses que je fais lors d’une analyse de disque dur, est de me promener au gré de mes envies (j’allais dire mon instinct comme à la télé) dans les différents répertoires, avant de lancer les chiens scripts d’analyse.

« Tiens, un répertoire nommé << vrac piratés >> »

« Tiens, un autre qui s’appelle << superteensk13 >>… »

Bref, je flâne.

C’est alors que je tombe sur un répertoire intitulé « print screens » contenant environ 5000 photos. Je regarde quelques unes de ces photos, ainsi que les dates de création des images: il s’agit de photos d’écran.

Le suspect avait installé un logiciel de copie d’écran automatique: une photo de l’écran était prise toutes les 10 minutes et copiée dans ce répertoire! Le sort avait voulu que le suspect ne le désinstalle pas, ne sachant probablement pas ce qu’il avait installé!

J’ai ainsi pu avoir sans me fatiguer et de façon assez détaillée l’utilisation de cet ordinateur (parties de solitaire incluses, sans jeu de mots), les contenus des cédéroms qui ont été gravés, les impressions, les webmails, etc.

Et effectivement, cela valait le détour!

.

Les scellés

Publié le par

Je me souviens avec quelle émotion (encore!) j’ai reçu mes premiers scellés: belles étiquettes vieillottes, empaquetage avec ficelles d’un autre âge et surtout beaux cachets de cire rouge comme à la télé!!

Pour chaque dossier avec scellés, vous lirez sur la liste des missions la phrase « vous prendrez réception des scellés n°X et Y que vous ouvrirez » (je n’ai jamais lu l’expression « briser les scellés »), puis en fin de liste, « … vous procèderez à la reconstitution des scellés ».

Mais problème: comment reconstituer un scellé ? Faut-il acheter de la cire rouge ? Où ? Faut-il acquérir un sceau ? Où ? Comment faire fondre la cire ?

Après une recherche sur Internet (essayez de la faire, c’est assez difficile), je suis finalement parti dans une boutique spécialisée « rue du Palais » pour y trouver tout le nécessaire.

J’ai donc :

un joli bâton de cire rouge,

un sceau fait sur mesure avec un joli dessin d’ordinateur (!),

un petit creuset en verre pour y faire fondre la cire,

et une bougie pour chauffer le creuset.

C’est donc parti pour la reconstitution des scellés.

Il me faut trouver un sac plastique transparent (c’est mieux).

Il me faut trouver des agrafes (mon agrafeuse est TOUJOURS vide à ce moment là).

Je plie une feuille de papier pour faire une bande que je place au bord du sac plastique et CRAC je mets mes agrafes dessus pour fermer le tout (ATTENTION pas trop d’agrafes, voir plus loin).

J’entoure le tout d’une belle ficelle que j’ai hérité de mon grand-père.

J’attache au bout l’étiquette d’origine du scellé sur laquelle j’écris la date, « scellé reconstitué par l’expert » et je signe où je peux car l’administration n’a pas prévu de case pour les experts.

Attention : nous passons à la réalisation du cachet de cire !

Ce qu’il vous faut maintenant imaginer, c’est que je suis assis par terre (je n’ose pas faire ces manipulations sur mon bureau, c’est trop dangereux…), en train de découper à la scie un morceau de cire rouge (elle est TRES dure), pour le placer ensuite dans mon petit creuset en verre que je place sur une bougie. Il faut ensuite attendre cinq bonnes minutes pour que la cire fonde.

Et là, d’un geste expert, POUR CHAQUE AGRAFE, côté sortie des agrafes, il faut verser la cire pour faire un petit rond, pas trop petit, pas trop grand, poser le creuset rapidement car la cire sèche vite, saisir le sceau et faire un joli cachet bien dégoulinant et tellement « geek ».

Remarque pour les nouveaux experts :

Si vous ne mettez pas une bande de papier pour y mettre les agrafes qui vont sceller votre sac plastique, la cire fera fondre (très artistiquement d’ailleurs) ledit sac plastique.

Remarque pour les experts expérimentés :

Par pitié, 38 ans après le premier pas sur la lune, dites moi qu’il existe un appareil simple à faire fondre la cire… et dites moi où je peux l’acheter !

En attendant, le jeu consiste à chercher à ouvrir les scellés sans les briser, afin de pouvoir les reconstituer facilement.

Mais les OPJ savent y faire et c’est quasiment impossible !

Qui a dit qu’informaticien expert judiciaire n’était pas une activité manuelle.

Arrêtez d’acheter votre informatique au restaurant !

Publié le par

Dans plusieurs de mes expertises, je rencontre le dialogue suivant:

– « Pouvez-vous me fournir le cahier des charges que vous avez fourni à votre fournisseur pour votre ré-informatisation? »:

– « un cahier des charges? Mais tout s’est passé par oral lors de nos discussions avec le commercial. Tenez, voici le bon de commande annoté sur lequel nous avons griffonné expliqué nos besoins. »

J’ai même eu droit à une photocopie de notes prises sur une nappe en papier !!!

Chef de PME, chef de TPE, n’achetez plus votre informatisation dans un bar ou dans un restaurant… Je sais que vous n’avez pas les moyens de salarier un informaticien, je sais que vous ne pouvez pas vous offrir le luxe d’un consultant ou d’un chef de projet, MAIS la plus petite méthode de gestion de projet commence par l’établissement de la liste de vos besoins: le cahier des charges.

Vous pouvez même ensuite envisager des concepts tels que « pouvez-vous laisser l’ancien système en place le temps que l’on teste le nouveau? ».

Et puis, si tout va mal et que vous allez en justice, travaillez le concept « laisser le système litigieux en place et ne plus y toucher » pour que l’expert ne débarque pas avec la mission « décrire le système litigieux » à laquelle il ne pourra que répondre « le système litigieux n’existe plus ».

Merci de réserver le restaurant pour fêter avec votre fournisseur la joie d’une installation réussie.

C’est sur, les notes de frais vont baisser.

Une expertise au jour le jour (4)

Publié le par

Cela fait deux jours que je ne peux pas continuer mon expertise pour cause de surcharge professionnelle. On ne peut pas aller à Paris pour une journée de travail (levé 4h du matin, train à 5h, réunion de 10h à 18h, train retour à 22h, couché à 23h), mener une vie familiale normale (une femme et trois enfants à bichonner quand même) et trouver les heures de concentration nécessaires pour mener à bien un travail d’expertise de qualité.

Une expertise mal faite peut briser la vie de plusieurs personnes.

Dans le cadre des recherches de photos avec des enfants, j’ai également toujours l’angoisse de passer à côté d’une photo d’un enfant disparu recherché par sa famille.

Demain samedi, je dois exceptionnellement travailler toute la journée. Il va donc falloir bloquer encore tout le dimanche pour continuer l’expertise actuelle.

C’est aussi cela, le travail d’un expert.

Une expertise au jour le jour (3)

Publié le par

Hier soir, premier tri manuel des données extraites du disque dur: 21 Go de photos et films tous pornographiques, et dont une grande partie concernant des mineurs de 15 ans. Deux heures de travail (21h-23h).

Parmi les missions qui m’ont été confiées, je dois préciser la proportion d’images concernant des enfants mineurs. Ceci va me demander d’étudier en détail chaque photo, et donc des jours et des jours de travail. Ce matin, j’ai donc contacté l’OPJ à l’origine du PV de missions pour lui faire part des avancées de mon expertise et lui proposer de limiter mes activités sur le classement des photos.

Surpris par ma demande dont la conséquence est de diminuer de façon importante ma future facture, il est parfaitement d’accord avec ma suggestion.

Je note tout ceci dans mon rapport (j’ai prêté serment d’accomplir ma mission, il s’agit d’expliquer pourquoi je la limite).

Je procèderai à la gravure (deux exemplaires me sont demandés) sur DVD de toutes ces données ce soir (10 DVD probablement).

A venir ensuite: étude des fichiers effacés, des navigations internet, étude des échanges sur messagerie, recherche d’informations pouvant intéresser l’enquête.

On verra ce qui pourra être fait ce soir.

Une expertise au jour le jour (2)

Publié le par

Bon, en rentrant hier soir, la copie était interrompue: le switch réseau n’a visiblement pas supporté le débit du transfert entre les deux PC.

Changement du switch, redémarrage de la procédure de copie sans la compression, réestimation du temps de copie: 9h. Euh, j’avais donc mal estimé le temps de la copie (hier j’avais calculé 3 jours…). On va dire que c’est à cause du switch défectueux.

La nuit passe.

Ce matin, tout est OK. La prise d’image s’est bien déroulée pendant la nuit: durée 27852s (à vos calculettes).

J’éteins la station d’accueil et range le disque d’origine.

Je fais une copie de l’image (2×160 Go: heureusement que j’inaugure mon nouveau DD de 400 Go!) et lance mes procédures automatiques de recherche d’images.

Il est 8h du matin, il faut aller travailler.

Suite des investigation ce soir après 21h… Et alors fini les automatismes, place à l’être humain!