Je sauvegarde mais j’ai tout perdu quand même

Pour faire suite à mon précédent billet sur les sauvegardes, une petite anecdote d’expertise:

Une entreprise poursuit son prestataire informatique suite à la perte de quatre mois de données clients (bons de commandes, bons de travaux, factures…).

Les faits:

  • une sauvegarde du serveur est faite tous les jours;
  • deux bandes sont utilisées alternativement (jours pairs et jours impairs);
  • un jour, pendant la sauvegarde, le serveur plante avec un écran bleu de la mort;
  • le prestataire, contacté par téléphone, conseille de redémarrer le serveur et de voir s’il fonctionne correctement;
  • une fois redémarré, le serveur fonctionne correctement et est utilisé normalement par l’entreprise;
  • le lendemain, le serveur replante de la même façon lors de la sauvegarde;
  • cette fois-ci le serveur ne redémarre plus, son disque étant HS.

Si vous avez bien suivi les faits, les deux plantages du serveur ont eu lieu à chaque fois pendant la sauvegarde, deux jours de suite. Il n’y a donc aucune sauvegarde fonctionnelle, puisqu’à chaque fois les sauvegardes ont été écrasées par les nouvelles sauvegardes non terminées.

Le disque étant HS, l’entreprise n’a plus de donnée !

Sa seule solution a été de restaurer les données conservées lors de la clôture de son année comptable, quatre mois auparavant et de saisir à la main toutes les données dont une trace papier a pu être retrouvée. Imaginez si 11 mois s’étaient écoulés depuis…

Interrogé par mes soins, la personne responsable des sauvegardes m’a indiqué que le prestataire avait émis l’hypothèse (parmi d’autres) que la bande utilisée pouvait être défectueuse et être responsable du plantage du serveur. C’est pourquoi la deuxième bande avait été utilisée (en plus, il s’agissait de la bande du jour).

Conclusion:

Je ne rapporterai pas ici le contenu de mon rapport qui reste confidentiel, mais plutôt quelques leçons que l’on peut tirer de cette mésaventure:

  • il faut faire des sauvegardes des données importantes;
  • en cas de destruction (même partielle) d’une sauvegarde, il faut immédiatement mettre de côté les sauvegardes précédentes;
  • les sauvegardes « jours pairs/jours impairs » sont très insuffisantes. Il faut privilégier des schémas de sauvegarde plus efficaces (complète, incrémentale, différentielle…);
  • il faut être conscient qu’un disque dur peut lâcher d’un coup
  • il faut former ses équipes aux bons réflexes.

Ces remarques sont valables tant pour un particulier que pour un chef d’entreprise, pour une entreprise individuelle comme pour une multinationale.

J’espère avoir fait peur à tout le monde.

Exemple de mission

Madame Marie-Claude MARTIN, vice-présidente du TGI de Paris, publie dans la revue « Experts » (numéro 73 de décembre 2006), un excellent article intitulé « la personnalité de l’expert ».

Dans le paragraphe consacré à la désignation de l’expert, elle écrit:

« […] plusieurs comportements sont susceptibles d’être observés:

– « L’expert sans problème« : Je lis la mission, elle rentre parfaitement dans mes attributions, je l’accepte.

– « L’expert aventureux, ou téméraire, ou intéressé« : La mission ne paraît pas relever de ma compétence, mais elle m’intéresse ; je prendrai un sapiteur ultérieurement […]

– « L’expert optimiste qui dit toujours oui« : Je suis surchargé, je prends quand même cette mission, je me ferai aider au besoin par l’équipe qui m’entoure […].

– « L’expert stressé qui ne sait pas dire non« : Je suis surchargé, mais si je dis non, je ne serai plus désigné et je vais rapidement me trouver sans mission.

Voici sans transition, un exemple de mission que j’ai reçue il y a quelques années:

L’an deux mille NN,

le dix huit décembre à dix heures trente

Nous, TTT PPP

Capitaine de Police

en fonction à AAA

Officier de Police Judiciaire en résidence à AAA

Poursuivant l’enquête

Prions et au besoin requérons Monsieur ZYTHOM

domicilié NN rue SS à KKK

expert en informatique près la Cour d’Appel de ZZZ

A effet de procéder aux actes ci-après:

– Assister les services d’enquête du Commissariat de AAA au cours de la perquisition qui s’effectuera au NN rue YY à AAA et à la saisie du matériel informatique utile à la manifestation de la vérité ;

– Prendre possession, dans ce même commissariat du scellé n°NN (PV n°NNNN/NNN) comportant les faux billets de 50 euros, portant le même numéro NNNNNNNNN, saisis par les services d’enquête au NN rue YY à AAA le NN mois NNNN ;

– Analyser les faux billets ainsi que les contenus des disques durs, imprimantes et autres matériels informatiques utiles à la manifestation de la vérité, saisis ;

– Dire si le matériel informatique saisi a été utilisé pour la contrefaçon, la falsification ou l’impression des faux billets saisis ;

– Faire tous actes utiles à la manifestation de la vérité.

Dont procès verbal.

J’ai accepté la mission, alors que je n’avais jamais participé à une perquisition, ni vu de faux billets. J’avais plusieurs missions en cours et commençait à voir les délais courir de façon stressante. Enfin, cela faisait plusieurs mois qu’aucun magistrat ne m’avait proposé de nouvelles missions… Je suis donc un « expert aventureux, téméraire, intéressé, optimiste stressé surchargé qui dit toujours oui et ne sait pas dire non« .

Me voici habillé pour 2007.

PS: Une perquisition, c’est très dérangeant. Je n’ai pas trouvé trace de fichiers en rapport avec les faux billets malgré des investigations techniques approfondies. Un faux billet, et bien, c’est comme un vrai, mais faux.

Faire parler l’imprimante

Il y a quelques temps, je suis allé donner ma carte me présenter devant le nouveau magistrat instructeur. Pensant échanger quelques banalités pendant cinq minutes, je fus surpris lorsqu’il me demanda « Bon, qu’est-ce que vous savez faire? ».

Moi: « Heu, ben, heu, je sais extraire des informations d’un disque dur… »

Lui: « Oui, certes, mais qu’est-ce que vous savez faire d’extraordinaire? »

Moi: « Ben, en fait, rien d’extraordinaire. Je connais bien les procédures, je connais bien l’informatique, mais je ne vois rien de particulièrement extraordinaire à raconter. »

Lui: « Ah bon? Là d’où je viens, je travaillais avec un expert capable de faire parler les imprimantes »

Moi: « Ah, ça ! Mais, heuu, cela va dépendre du modèle, mais il ne devrait pas y avoir de problème. En tout cas, je peux étudier la question. »

En revenant, dans la voiture, j’étais perdu dans mes pensées. Devais-je lui dire que je n’ai pas la moindre idée de comment une imprimante fonctionne? Moi, je clique sur « imprimer », c’est tout. Je sais la brancher, l’installer sous Windows, sous Linux. Je sais (parfois) pourquoi rien ne sort quand j’essaye d’imprimer un document (urgent). Je sais que les documents sont parfois « spoolés » avant d’être envoyés vers l’imprimante. Je sais qu’il y a des serveurs d’impression pour gérer les imprimantes en réseau.

Mais je ne sais pas du tout comment fonctionne la mémoire d’une imprimante. Je me suis senti nuuuuul.

Une fois rentré à la maison, j’ai fait des recherches sur internet (google is my friend). Puis j’ai démonté une vieille imprimante. Puis j’ai démonté une imprimante neuve. Puis j’ai fait des recherches sur les photocopieurs/imprimantes du boulot. J’ai téléphoné à mes fournisseurs pour qu’ils m’expliquent comment récupérer les dernières impressions effectuées sur le photocopieur/imprimante/fax/machine à café du travail, quitte à devoir démonter le disque dur interne du photocopieur.

Bon, voilà mes conclusions:

Pour les photocopieurs/imprimantes avec disque dur, il est possible de récupérer une grande partie des données imprimées (avec l’aide du constructeur, car parfois les données sont cryptées).

Pour les imprimantes des particuliers, le plus simple reste d’analyser le contenu du disque dur des ordinateurs qui conservent trace des fichiers générés lors des impressions. Il « suffit » de disposer des logiciels analysant les différents langages d’impression utilisés par les constructeurs d’imprimante.

Encore des frais d’achat logiciels en perspective.

Je vais quand même attendre une mission sur le sujet.

Et puis, il y a toujours les collègues des listes de diffusion qui peuvent aider.

Quand je passe près d’une imprimante maintenant, je pense « toi, si tu pouvais parler, qu’est-ce que tu pourrais raconter? »

Et parfois, cela me fait peur.

Le siècle des lumières

Etre expert judiciaire en informatique, c’est devoir être prêt à tout et devoir tout savoir sur tout.

Missionné dans un dossier où l’entreprise type « bulle internet an 2000 » avait mis la clef sous la porte, je devais analyser le contenu de tous les ordinateurs et en faire l’inventaire à fin de vente aux enchères. Accompagné du commissaire priseur disposant des clefs et de quelques informations de type « mots de passe » susceptibles de me faire gagner du temps, je me retrouve dans l’ex jeune pousse.

Je m’apprête à remplir mes missions quand soudain un horrible doute me prend.

Je me tourne vers le commissaire priseur :

« Y a-t-il de l’électricité ? »

« Non, le compteur a été coupé il y a plusieurs mois. »

« Et comment vais-je analyser le contenu des ordinateurs ? »

« Ben c’est vous le spécialiste. »

200 km pour rien, une journée de perdue.

Maintenant je sais quelle question il faut ajouter à ma « check list » d’avant expertise.

La poubelle est pleine

Un expert judiciaire en informatique se doit de disposer de tous les logiciels (parfois forts onéreux!) permettant de récupérer les fichiers effacés sur les disques durs saisis.

Cela demande la maitrise absolue de ces logiciels, mais aussi des concepts sousjacents parfois complexes de l’organisation des supports de stockage.

Parfois, c’est beaucoup plus simple que cela:

dans une récente expertise où j’accompagnais la maréchaussée lors d’une perquisition, une fois les mots de passe obtenus auprès de Madame (Ah le prestige de l’uniforme…), j’étais prêt à sortir tout mon savoir faire pour impressionner mon petit monde.

Le gendarme qui regardait l’écran par dessus mon épaule me dit: « tiens la corbeille n’est pas vidée ».

La totalité des documents supprimés depuis le début de l’utilisation de cet ordinateur se trouvaient encore dans la corbeille! Tous les documents intéressants l’enquêteur s’y trouvaient, le propriétaire de la machine pensant qu’il suffisait de faire « supprimer » pour détruire définitivement un fichier.

On s’étonne après que les gendarmes ne font plus appel aux experts informatiques.

C’est vrai que mes honoraires dans cette expertise ont du avoir du mal à passer auprès du gendarme que j’accompagnais… Mais j’ai des frais: il faut que je rembourse mes logiciels d’investigation.

Bogue

Extrait d’un de mes anciens rapports d’expertise:

« Il est à noter que pendant la réunion d’expertise, le terme « bogue » a été sujet à discussion. En effet, Monsieur XX, expert auprès de la société YY, considère que ce terme ne peut pas s’appliquer au progiciel ZZ car le dysfonctionnement a un caractère aléatoire. Pour ma part, je me réfère à la définition plus générale de la « bogue » suivante :

Bogue, n. f.

Défaut de conception ou de réalisation se manifestant

par des anomalies de fonctionnement.

Anglais : bug.

qui est présentée dans le Glossaire informatique des termes de la Commission ministérielle de terminologie informatique. Ces termes ont été publiés par la CMTI et l’AFNOR dans la collection A SAVOIR de l’AFNOR, sous le titre Glossaire des termes recommandés de l’informatique.

Je choisi donc de faire usage dans mon rapport du terme « bogue » sous cette définition qui s’applique ici parfaitement.

Le progiciel ZZ possède donc une bogue. »

Je pourrais compléter ce rapport aujourd’hui par cet extrait de wikipédia:

« En France, le terme « bogue » est recommandé par la Délégation générale à la langue française et aux langues de France (DGLF) depuis un arrêté paru au Journal officiel du 30 décembre 1983. Ce mot, qui se veut plus français, n’exprime pas une étymologie. C’est pourquoi peu de gens utilisent la version francisée. À cette époque le genre féminin était préconisé.

Cependant à la fin de la décennie 1990, les dictionnaires tels que le «Nouveau petit Robert» et «Le Petit Larousse illustré» rapportaient l’usage de ce terme au masculin, sans doute sous l’influence québécoise où l’Office québécois de la langue française (OQLF) prônait depuis longtemps l’emploi du genre masculin. Le terme français a été popularisé avec le fameux bogue de l’an 2000 qui, sans avoir entraîné de dysfonctionnement visible majeur, a néanmoins nécessité beaucoup de travaux de transformation des systèmes d’information dans la décennie 1990.

Désormais la DGLF recommande aussi le genre masculin pour ce mot. »

Reste qu’à l’époque, ce qui m’avait amusé, c’était la tentative de l’expert « adverse » de me faire écrire que le logiciel de sa cliente n’était pas « bogué » car son dysfonctionnement était aléatoire.

Ce qui m’avait amusé également, c’était la réticence de toutes les personnes présentes à la réunion à utiliser le terme français de « bogue », qui plus est en son genre féminin…

On a les amusements que l’on peut.

Déplacement payant

Dans une affaire opposant un gérant d’un magasin informatique et un de ses clients, je m’affairais à organiser la première réunion d’expertise judiciaire.

Je contacte tout d’abord les différents avocats et nous convenons de plusieurs dates possibles pour cette première réunion.

Je contacte ensuite le gérant pour proposer ces différentes dates.

Immédiatement le gérant m’informe qu’il n’est pas question pour lui de se déplacer chez son client.

Face à mon étonnement puisque le matériel défectueux se trouvait chez le client, le gérant me répond:

« Je veux bien venir à cette réunion à la condition expresse que mon client me paye le déplacement »

J’avoue être resté sans voix.

PS: J’ai bien entendu adressé les convocations par lettres recommandées avec les avertissements usuels en cas d’absence d’une des parties. Le gérant est venu, mais avec 20 mn de retard à cette réunion.

Anecdotes d’expertises

J’ai décidé d’ouvrir une nouvelle rubrique consacrée aux différentes anecdotes que j’ai pu rencontrer lors de mes expertises.
Je vais pour cela fouiller dans mes archives et réouvrir mes anciens dossiers pour y relever les méchantes attaques des avocats, les intitulés de missions délirants, les propos marquants tenus en réunion d’expertise, etc.
Cela ne fera rire certainement que moi, mais après tout, c’est mon blog.

A bientôt donc dans la rubrique « Anecdotes expertises ».