Archives par mot-clé : Anecdotes expertises

Et pourtant la journée avait bien commencé

Publié le par

Extrait de https://salemoment.tumblr.com/
avec l’aimable autorisation de l’auteur

Je suis installé devant mon ordinateur et je commence à faire défiler les images.

Ce dimanche matin, je suis tout content de voir que la copie numérique du disque dur, commencée la veille, s’est bien déroulée. Le disque dur original est remis dans le scellé, après avoir pris les photos d’usage du numéro de série, du modèle et de la marque d’icelui.

J’ai sur mon bureau mon cahier papier sur lequel je prends toutes sortes de notes : l’heure où le gendarme m’a amené le scellé, l’heure où j’ai brisé le sceau du scellé, les diverses descriptions physiques que j’en ai fait, les photos que j’ai prises avant et après l’ouverture de l’unité centrale, l’état général de l’intérieur, l’ordre des connecteurs de branchement du disque dur, etc.

Les dernières lignes inscrites sur mon cahier concernent la fin de la prise d’image bit à bit du disque dur d’origine, l’extraction des fichiers encore présents même sous forme de traces, et l’heure de début de mes investigations sur ces fichiers.

J’ai en tête la mission que le magistrat m’a confiée : je dois lui dire si le disque dur contient des images et/ou des films de nature pédopornographique. Je dois également, à titre subsidiaire, signaler tout élément qui pourrait l’intéresser. Non seulement mes compétences techniques l’intéressent, mais aussi mes capacités divinatoires…

Je suis installé devant mon ordinateur et je commence à faire défiler les images. J’ai une sexualité “normale”, j’allais dire “banale”, une vie tranquille bourgeoise centrée sur l’informatique, les jeux vidéo et la science-fiction. Je mène une existence protégée des atrocités “lointaines”, des meurtres, des guerres. Je travaille dans une école d’ingénieurs généralistes comme directeur informatique et technique. J’aime transmettre mes connaissances et ma passion pour l’informatique. Le pire stress que je subis est la pression que je m’inflige pour que les utilisateurs bénéficient du meilleur service possible.

Les images que je regarde sont atroces. Rien ne prépare à ce type de spectacle. Je ferme la porte de mon bureau et demande à mes enfants de ne pas me déranger. Toutes les atrocités humaines défilent sur mon écran : viol d’enfants de moins de 10 ans, actes de tortures filmés pendant les guerres de Yougoslavie, êtres humains enflammés au lance-flamme…

Je trie ces images et ces films en différentes catégories. Mon cerveau se sature de ces scènes tout en “évaluant” le degré d’atrocité. Au bout de trois heures, quelques larmes coulent sur mon visage. Je viens de penser à mes enfants.

Je note l’heure sur mon cahier avec la mention “pause”.

Je prends un temps pour moi.

Il y a des gens qui font des métiers très durs : pompiers, policiers, médecins, etc. Je lis ici ou là qu’ils s’endurcissent avec l’habitude, par force. Ils exercent leurs métiers avec passion et efficacité, malgré les drames qu’ils côtoient.

Je me rends compte que je n’arrive pas à m’endurcir. Que ma sensibilité gène mon activité d’expert judiciaire, du moins sur ce type de mission. Rien ne m’a préparé à cela, et je n’ai pas demandé à l’être. Je sais que bon nombre de confrères qui me lisent sont beaucoup plus forts que moi et arrivent à aller au delà de l’horreur pour se concentrer sur la mission.

Il y a les héros du quotidien, anonymes, qui surmontent leurs angoisses et leurs dégoûts pour le bien de la communauté. Et il y a les autres, dont je fais partie, ceux qui n’arrivent pas à s’habituer.

Je reprends l’analyse des images. L’utilisateur de l’ordinateur collectionne des images qui me terrifient. Je passe d’un cadavre décapité à une enfant au regard triste face à un sexe trop grand pour elle. Je la reconnais et j’en ai déjà parlé ici, il s’agit d’une petite fille qui revient souvent dans les collections pédopornographiques. Je l’ai surnommée Yéléna et elle hante souvent ma mémoire, parfois à des moments les plus saugrenus.

La matinée passe lentement. Je fais une pause repas avec les enfants et mon épouse. J’arrive à faire bonne figure, mais tout le monde sent que je suis un peu “en panne”. J’explique que je suis fatigué et l’excuse passe comme une lettre à la poste. Je n’ose pas parler à mon épouse de ce que je vois. Je reste vague. Elle connaît la mission sur laquelle je travaille et n’insiste pas.

Je me ré-installe devant mon ordinateur et je continue à faire défiler les images. “Décidément, je le concevais, je m’étais embarqué dans une croisade apocalyptique. On est puceau de l’Horreur comme on l’est de la volupté.” Écrivait Louis-Ferdinand Céline à propos de la guerre dans “Voyage au bout de la nuit”. Comment aurais-je pu me douter de cette horreur en devenant expert judiciaire ?

Et pourtant la journée avait bien commencé avec le succès de la copie numérique du disque dur du scellé. Elle se terminera tard dans la nuit avec le transfert sur DVD des images et des films trouvés, et l’impression de quelques “morceaux choisis” qui feront le cauchemars de la greffière, du juge d’instruction et des avocats qui auront mon rapport entre les mains.

Partager ses cauchemars n’adoucit en rien son propre fardeau.

La petite fille et le réseau Tor

Publié le par

Le gendarme dépose le scellé dans l’entrée. Je lui propose de prendre un rafraîchissement. “Je veux bien un verre de jus d’orange” me dit-il. Nous discutons de la difficulté de son métier, du manque de moyens, surtout en matière numérique.

A un moment, il me dit : “j’ai vu que le scellé que je vous ai amené concernait un dossier pédopornographique”. Je hoche la tête sans laisser apparaître d’émotion particulière. En me saluant sur le pas de ma porte, il ajoute “vous savez, j’ai moi aussi des enfants…”

Je le regarde partir.

Le soir venu, je ferme la porte de mon bureau à clef pour éviter l’intrusion joyeuse de mes enfants (mes écrans sont visibles depuis la porte de mon bureau), et je commence le rituel de l’ouverture d’un scellé : photos, prises de notes, etc. Comme à chaque fois, j’essaye d’ouvrir l’ordinateur sans briser le scellé, petit défi personnel avec l’OPJ qui a réalisé le scellé. Cette fois-ci j’arrive à faire glisser la vieille ficelle sans la casser. Petite victoire inutile.

Comme souvent, l’intérieur de l’ordinateur a sa propre odeur. Un mélange de tabac et de poussières un peu particulier. J’extrais le disque dur, je vérifie qu’il n’y a rien dans le lecteur de DVD, et qu’il n’y a pas de support original de stockage.

Être expert judiciaire en informatique ne fait pas de moi un superman de la technologie. Je suis loin d’avoir les compétences d’un roxor du SSTIC ou d’un agent de l’ANSSI. Mais j’ai un atout sur eux : j’ai le temps. Je place le disque dur du scellé dans mon ordinateur de prise d’image et démarre la copie.

Pendant que la copie s’effectue, je commence la rédaction du rapport, le tri des photos et des notes déjà prises, la mission confiée par le magistrat instructeur. Je dois vérifier la présence d’images ou de films de nature pédopornographique sur le disque dur, et si possible en déterminer la source de téléchargement.

Le week-end suivant, je m’enferme à nouveau dans mon bureau et je commence à analyser les images et les films. Il y a toutes les images miniatures de type thumbnail, très nombreuses et très instructives car rarement effacées. Il y a les fichiers effacés, les fichiers archives, les fichiers chiffrés.

Des images de vie de famille, avec son lot de mariages, de fêtes, de vacances. Des films piratés plus ou moins récents. Puis viennent toutes les images pornographiques, en cache des navigateurs ou bien rangées dans des dossiers aux noms explicites. Et dans toute cette sexualité visuelle, je tombe sur toute la gamme de photos pédopornographiques…

Je regarde, triste et ému aux larmes, les visages de ces enfants maltraités, torturés, qui ont perdu trop tôt leur enfance. Je classe les images et les films par âge apparent supposé. Parfois le nom du fichier m’aide un peu : moins de cinq ans, moins de sept ans, moins de dix ans… Une petite fille revient de temps en temps, avec son sourire forcée et son regard triste. J’en ai déjà parlé sur ce blog : je l’ai appelé Yéléna. Les images sont difficiles à regarder, les films encore plus. Avec le temps, je me suis un peu endurci et mon corps ne réagit plus. La petite fille sourit pendant qu’un homme s’approche d’elle avec un sexe bien trop grand pour elle. Je continue mon classement, seul dans mon bureau. Je regarde passer quelques blagues sur Twitter. Je n’arrive pas à sourire.

Je n’oublie pas la mission qui m’est confiée : trouver les images et films pédopornographiques et essayer de savoir d’où elles viennent.

J’établis la liste de tous les programmes installés ou ayant été installés sur le disque dur de l’ordinateur. Plusieurs attirent mon attention : du VPN, du Tor-browser, du P2P, du FTP et bien entendu tous les navigateurs.

Une fois cette liste établie (à partir de l’explorateur de fichiers, de la liste des fichiers effacés et des ruches de la base de registres), je m’attelle à analyser l’historique disponible pour chaque programme. Les choses sont plutôt intéressantes : le réseau Tor est utilisé après connexion à un VPN (ce qui signifie que même le point d’entrée vers le réseau Tor est masqué). Cependant, étant en possession du disque dur de l’utilisateur, j’ai accès à la majeure partie de l’historique des connexions, et l’utilisateur ne maîtrise pas assez les traces qu’il laisse sur son propre disque pour être complètement furtif. J’ai accès à la trace de différents téléchargements, aux noms des services utilisés et aux mots de passe employés.

Je me doute bien que les serveurs utilisés auront disparu rapidement, et je ne me risque pas à le vérifier. Je n’ai pas envie que mon adresse IP apparaisse dans un serveur NSA au détour d’une DPI quelconque. La France étant particulièrement bien équipée également en la matière, je n’aimerais pas que le gendarme venu me déposer le scellé revienne pour mettre mes propres ordinateurs sous scellés…

Je rédige mon rapport pour être le plus clair possible. Entre deux paragraphes, mon esprit fatigué s’évade et je regrette qu’un outil créé pour lutter contre la censure soit détourné pour un usage de cette nature. En imprimant une sélection des photos gravées sur les DVD que je joins au rapport, je tombe sur Yéléna et son sourire triste. Je me souviens alors que son prénom signifie en russe “éclat du soleil”, que Tor est également le dieu du tonnerre dans la civilisation nordique, et par association d’idée me vient l’image d’un de mes films cultes de ma jeunesse : “Métal Hurlant” (voir l’illustration de ce billet, cliquez sur l’image pour l’agrandir). Je me surprends à sourire.

On peut sourire de tout.

La logique de l’autre

Publié le par

Quand j’ai reçu cette mission du magistrat, elle m’a semblé classique, presque banale : je dois vérifier la présence (ou pas) d’un ensemble de données commerciales qui intéressent les enquêteurs.

Je reçois quelques jours plus tard le scellé judiciaire : un bel ordinateur fixe emballé dans du papier kraft d’un autre siècle. Je prends des photos, je brise le scellé, je prends des photos, je prends des notes, j’ouvre l’ordinateur, je prends des photos de ses entrailles : il y a plusieurs disques durs de grosses capacités. Aïe.

Trois disques durs de 3 To*.

Je commande rapidement quatre disques de 4 To que j’agrège en RAID0 sur un FreeNAS créé pour l’occasion. Mon bureau ressemble à un capharnaüm de câbles, de PC ouverts, de disques durs en vrac… Plus que tout, je crains une panne matérielle impromptu sur les disques du scellé. J’installe un grand ventilateur et je me dépêche de faire une copie bit à bit de chaque disque.

Je commence mon analyse en bootant une machine virtuelle sur une copie du disque système du scellé. Première étape : comprendre la logique de rangement de l’utilisateur de l’ordinateur. Où se trouvent les données non effacées, y a-t-il un système de chiffrement, quels sont les logiciels utilisés, quels sont les différents mots de passe, etc. Je lance quelques logiciels de recherche basiques pour voir si les données que l’on me demande sont présentes en clair sur l’un des disques durs. Rien.

Je travaille sur le dossier tous les soirs (je suis salarié d’une école d’ingénieurs, j’y travaille de 8h à 19h du lundi au vendredi, je ne peux consacrer du temps à cette analyse que les soirs après 21h et les week-ends). Entre le montage du FreeNAS, les copies des disques durs et les premières analyses des données, il s’est déjà écoulé trois semaines. Le magistrat m’a demandé de rendre mon rapport en deux mois. Je suis encore dans les temps.

Je commence une analyse plus en profondeur des données, avec le logiciel TSK (The Sleuth Kit) et son interface graphique Autopsy. Quelques jours de calculs plus tard, je trouve des traces de fichiers qui concernent le dossier.

Par contre, ces traces sont “bizarres”. Les fichiers ne sont pas détectés sur un système de fichiers Windows (alors que l’ordinateur que l’on m’a amené fonctionne sous Windows), mais sous un système GNU/Linux…

C’est curieux.

Je regarde de plus près la zone du disque où j’ai repéré ces traces. Il s’agit d’un gros fichier “vdi”. C’est un type de fichier qui, par convention, est utilisé par VirtualBox. Je vérifie : oui, ce logiciel est bien installé sur le scellé.

VirtualBox est un logiciel bien connu, qui permet de gérer et faire fonctionner des machines virtuelles sur un ordinateur. Je l’utilise couramment, surtout depuis que j’ai abandonné Windows 10 pour Mint (j’ai toujours un Windows 7 “sécurisé” que je fais tourner en machine virtuelle pour certains logiciels dont j’ai encore l’usage…).

Mon utilisateur est donc adepte de VirtualBox. Je fais la liste des machines virtuelles présentes sur le scellé (enfin sur les copies des disques, ça fait longtemps que j’ai remonté le scellé et qu’il est rangé, ainsi que mon gros ventilateur), ainsi que la liste des fichiers “vdi” et assimilés.

Il y a plein de fichiers “vdi”, tous avec des noms plus ou moins farfelus…

Je récupère les informations des différentes machines virtuelles pour comprendre comment les disques virtuels sont organisés, quelle machine utilise quel(s) disque(s), et quels sont les différents systèmes d’exploitations installés.

Puis, je transfère toutes ces machines virtuelles pour les démarrer une par une sur un ordinateur fraîchement installé pour cela (avec la même version de VirtualBox que celle du scellé).

Et là, je tombe une configuration un peu surprenante : une machine virtuelle avec trois disques durs virtuels, qui, quand on la démarre, affiche une invite “openmediavault login”… OpenMediaVault est un projet open source de gestion de NAS.

Je teste les différents mots de passe récupérés sur l’hôte Windows, pour me connecter sur l’interface web, et je découvre un volume de stockage réparti en RAID1 sur deux fichiers virtuels, eux-même repartis sur deux des trois disques durs physiques. Le tout est accessible “à tout le monde” en mode SMB/CIFS depuis l’hôte Windows…

Évidemment, les données intéressantes étaient stockées à cet endroit là.

Donc je résume : l’utilisateur du scellé sur lequel est installé Windows, a installé un NAS virtuel qui propose du stockage local accessible à tous localement sans mot de passe.

Je n’ai pas compris la logique du truc. Quel est l’intérêt d’utiliser un NAS OpenMediaVault virtuel local pour stocker des données ? Quel est l’intérêt de proposer ensuite un accès “pour tous” à ces données, même localement ? Quel est l’intérêt de monter un RAID1 virtuel Debian sur deux fichiers gérés par Windows ?

J’ai eu beau tourner le problème dans ma tête, je n’ai pas compris la logique de l’autre. Parfois, il vaut mieux ne pas savoir…

J’ai évalué à 200h le temps passé sur ce dossier. Je n’en ai facturé
que 30… Et je n’ai pas fait payer le matériel acheté (essentiellement
les disques durs, que j’utilise maintenant dans mon système de
sauvegarde/stockage). Par contre, j’ai beaucoup galéré pour la rédaction du rapport. Pour rester le plus clair possible, j’ai repoussé mes investigations techniques (et les explications associées) en annexe.

Pas sur qu’elles aient été lues par grand monde 😉

——————————————

* : le dossier étant ancien, j’ai “actualisé” les valeurs citées, en particulier les capacités des disques.

L’analyse d’un disque dur et les poupées russes

Publié le par

J’arrive d’un tribunal relativement lointain où j’ai du me rendre pour aller chercher un scellé. Je le sors de ma voiture et le dépose dans mon bureau. Il s’agit d’un ordinateur assez banal sur lequel j’ai assez peu d’informations : son propriétaire est soupçonné dans une affaire brassant pas mal d’argent et le magistrat me demande de retrouver des images de complices pour lui permettre de démontrer que l’utilisateur de l’ordinateur était bien en contact avec eux…

Je prends quelques photos du scellé avant de l’ouvrir.

L’ordinateur contient plusieurs disques durs que je prends en photo. Ceux-ci sont reliés à une carte RAID. Aïe. Cela va compliquer l’analyse.

Je note scrupuleusement tous les branchements, ainsi que le positionnement des différents disques durs, et je relève leurs caractéristiques individuelles. Je note également la marque et le modèle de la carte contrôleur RAID. Dans le cadre de mon travail de responsable informatique dans une école d’ingénieurs, j’ai l’habitude de plusieurs configurations RAID : RAID logiciel, RAID matériel, RAID 0, 1, 5 et 6. Je sais d’expérience qu’il existe des cartes RAID plus ou moins exotiques. Celle que j’ai sous les yeux ne m’est pas inconnue.

En matière d’analyse inforensique d’un groupe de disques RAID, vous pouvez réaliser une image bit à bit de chaque disque séparément, indépendamment du contrôleur RAID. Vous pouvez également faire une image du disque globalement à travers le contrôleur RAID, avec le risque de rater une partition cachée par le firmware du contrôleur.

Je ne prends pas de risque : je prends dans mon stock de disques durs des disques ayant les bonnes capacités, et je procède aux prises d’images : une première prise d’images de chaque disque par sécurité (au cas où l’un d’entre eux tombe en panne), une image globale à travers le contrôleur RAID, puis un clonage de chaque disque pour reconstruction du RAID sur ma propre carte RAID afin de pouvoir démarrer l’ordinateur sur des disques différents. Bref, c’est ceinture ET bretelle.

Une fois que j’ai enfin la possibilité de regarder le contenu du groupe de disques durs, je commence mon analyse “primaire” par la recherche d’images. Au bout de quelques jours, je me rends à l’évidence : il n’y a rien d’intéressant.

Je regarde alors les différents logiciels installés, et je vois qu’un logiciel de virtualisation est présent sur le disque dur, ainsi que plusieurs machines virtuelles. Intéressant 🙂

Je récupère une copie de chaque image virtuelle et je procède à leur analyse. La plus intéressante est celle dont la date d’utilisation est la plus récente. Il s’agit d’une machine Windows. Je recommence une analyse complète. Rien.

La machine est plutôt “propre”, avec peu d’informations en cache et en base de registres. Je note la présence du logiciel “CCleaner” que je connais bien pour ses capacités de nettoyage mais aussi pour sa fonction “effaceur de disques”. Je regarde dans cette direction. Pas concluant.

Je trouve dans le répertoire de l’utilisateur quelques fichiers cc_XXX.reg typique du nettoyage par CCleaner de la base de registres. Ce sont des sauvegardes des clefs de registres qui vont être supprimées par CCleaner. Je regarde le contenu de ces fichiers et je tombe sur une information qui m’intéresse au plus haut point : la machine virtuelle Windows a contenu un jour un logiciel (effacé depuis) de stéganographie…

En informatique, la stéganographie est une technique permettant de cacher de l’information dans un fichier. Avec le nom du logiciel, je cherche sur internet, et je découvre que sa particularité est de cacher des images dans d’autres images. Bien.

Je récupère toutes les images présentes sur l’ordinateur, et sur les différentes machines virtuelles.

Je récupère tous les mots de passe présents sur l’ordinateur et ses machines virtuelles, via les outils de récupération des comptes Windows, mais surtout via les différents emails encore présents sur les différents supports (lire le billet “Cracker les mots de passe“).

Je récupère le logiciel de stéganographie sur internet. Je fais plusieurs essais sur mon ordinateur pour me familiariser avec le logiciel. C’est assez ludique.

Je me rends compte alors d’un réflexe que j’ai, à savoir de conserver une version originale de l’image dans laquelle je vais cacher l’information. J’ai donc deux fois la même image, mais avec des tailles différentes.

Je recherche sur le scellé toutes les images identiques mais de tailles différentes. J’en trouve dix !

Je teste le logiciel de stéganographie, avec ces images et tous les mots de passe que j’ai pu récupérer. BINGO ! L’un des mots de passe a été utilisé pour insérer des images dans d’autres images sur la machine virtuelle Windows.

Je récupère toutes les images cachées. Il s’agit de documents scannés contenant les noms et signatures des personnes mentionnées dans mon ordonnance de désignation.

Je préviens le magistrat par téléphone. Il me dit que cela conforte d’autres éléments de preuve. Je suis un peu déçu, mais j’attaque la rédaction de mon rapport. Il va me falloir être pédagogue pour expliquer tout cela clairement.

Parfois l’enchaînement des opérations que je note sur mon cahier d’investigation me fait peur. Et si je n’avais pas fait telle ou telle recherche ? Et si je n’avais pas vu telle ou telle information ?

Ici, l’information intéressante se trouvait cachée dans des images, qui se trouvaient dans une machine virtuelle stockées dans une grappe de disques durs… Un empilement de poupées russes que j’aurais très bien pu rater.

J’aurais simplement écrit “je n’ai pas trouvé les éléments recherchés”. Cela ne veut pas dire qu’ils n’existent pas. Cela veut simplement dire que je ne les ai pas trouvés. Et parfois, je me dis que j’ai vraiment failli passer à côté…

Et ça, ça m’empêche de dormir.

Pouvoir aider un magistrat est quelque chose d’extraordinaire

Publié le par

L’exercice de l’interview écrite est un genre auquel je me prête assez facilement, d’abord parce qu’il est facile car il ressemble beaucoup à l’écriture d’un billet de blog, ensuite parce que c’est toujours l’occasion de partager son expérience avec le plus grand nombre, et enfin parce qu’il correspond parfaitement à mon esprit d’escalier.

Il en va bien autrement avec l’interview orale, où le temps de réflexion est beaucoup plus court, avec un cheminement de la pensée qui doit rapidement être verbalisé. J’ai un mode de fonctionnement intellectuel qui demande du temps, je suis très loin d’être un esprit vif avec de la répartie…

C’est pour cela que j’ai d’abord refusé la demande de l’équipe de NoLimitSecu qui souhaitait m’interroger sur mon expérience d’expert judiciaire. C’était sans compter sur l’insistance de Sébastien Gioria (@SPoint) et sa capacité de persuasion…

NoLimitSecu est un podcast indépendant, animé par des personnes
passionnées qui sont parties prenantes dans le domaine de la
cybersécurité à des rôles et dans entreprises diverses. C’est donc avec un peu de stress que j’ai accepté de tenter l’expérience de l’enregistrement d’un podcast où je suis questionné par des spécialistes de la sécurité informatique, dont deux sont eux-mêmes des experts judiciaires ! Je me sentais un peu comme le médecin généraliste de campagne entouré de médecins spécialistes du CHR…

C’est peu de dire que j’étais dans mes petits souliers… Pourtant, je dois remercier Herve Schauer, Johanne Ulloa et Sébastien Giora pour leur bienveillance et la bonne ambiance qu’ils ont su installer lors de cette interview.

Vous trouverez le podcast de notre conversation sur le site de NoLimitSecu en suivant ce lien. Vous pouvez l’écouter directement sur leur site, ou le télécharger pour l’écouter dans les transports en commun ou dans votre voiture, ou pendant votre jogging, ou dans votre cuisine. Bref, c’est un podcast 😉

Nous y abordons les sujets suivants:

– Qu’est-ce qu’un expert judiciaire ? (à 1’20”)

– A quelle occasion t’es-tu décidé à faire un blog ? (à 1’50”)

– Pourquoi es-tu devenu expert judiciaire ? (5’25”)

– Quels sont les différents types d’expertises ? (7’23”)

– Comment devient-on expert ? (9’13”)

– Peut-on refuser une mission ? (16’34”)

– La Justice a-t-elle besoin actuellement d’experts ? (20’01”)

– Quelles sont les missions les plus demandées par les juges ? (22’47”)

– Est-ce que tu dors bien ? (24’15”)

– Quels outils utilises-tu ? (25’27”)

– Quels sont les problèmes techniques rencontrés ? (33’15”)

– As-tu été confronté à des avocats relous ? (40’48”)

– Pourrais-tu nous en dire plus sur tes méthodes de gestion de crise ? (44’12”)

– Est-ce que l’expertise judiciaire est une activité passionnante ? (45’10”)

Je vous souhaite à tous une bonne écoute.

La grosse affaire

Publié le par

L’avocat me contacte d’abord par email. Le message est concis et clair : merci de m’appeler par téléphone à ce numéro. Je profite de ma pause de pas-déjeuner pour mener sur internet une petite enquête sur le cabinet : une grosse structure basée au Luxembourg…

Je l’appelle avec mon téléphone privé-réservé-aux-expertises :

Bonjour, je m’appelle Zythom et vous m’avez contacté par email pour un de vos dossiers en me demandant de vous appeler.

“Euh, oui, sans doute, mais c’est le secrétariat, là. Vous voulez joindre quel avocat ?”

[Brblgblglb…] Je voudrais parler à Maître M.M. Murdock, s’il vous plaît.

“Ne quittez pas, je vous le passe”.

Bonjour, Maître Murdock à l’appareil, je suis content que vous m’ayez appelé aussi vite.

L’avocat me présente alors les grandes lignes de son dossier, puis répond à mes questions. La conversation devient de plus en plus technique. Je me rends compte que j’ai à faire à un avocat qui connaît bien l’informatique et qu’il est possible de voir où je vais mettre les pieds. Il s’agit d’un gros dossier international : une société basée à Hong-Kong poursuit un éditeur basé en suède pour dysfonctionnement de son logiciel de pilotage de navire marchand. Du gros, du lourd, de l’affaire avec des avocats partout dans le monde. J’ai un peu la tête qui tourne.

“Euh, mais quelle serait ma mission dans cette histoire ?”

A ce stade, je suis concentré comme jamais, et j’écoute, fasciné, l’avocat m’expliquer que les parties souhaitent un expert français en informatique impartial et que mon nom est sorti par le jeu d’un réseau relationnel improbable… Il me donne les détails de la mission. L’affaire m’intéresse au plus haut point, surtout que j’ai déjà traité un dossier contenant ce type de logiciel. Je demande un peu plus de détails techniques, que l’avocat me donne volontiers.

Le courant passe bien, la discussion est stimulante et intéressante.

Je parle de mes honoraires et l’avocat me dit “pas de problème”. Je demande alors où doit s’organiser les différentes réunions d’expertise, et l’avocat m’explique que compte-tenu du choix des parties de prendre un expert français, les réunions doivent être organisées à Paris. Je lui réponds “pas de problème”.

Nous raccrochons tous les deux en nous donnant quelques jours pour organiser la gestion administrative, les courriers, l’envoi des documents, etc. Je passe la nuit les yeux ouverts à me repasser la réunion téléphonique dans la tête. Il y a quelque chose qui cloche, mais quoi ?

Le lendemain, un doute m’habite : en quelle langue se déroulera la réunion ? Je rappelle aussitôt l’avocat qui me confirme que bien évidemment la réunion se déroulera en anglais… Je lui explique que, si je maîtrise parfaitement l’anglais technique et que cela ne me pose aucun problème de travailler en anglais, il m’est difficile pour autant d’envisager d’animer une réunion juridique pointue en anglais.

Il ne m’a jamais rappelé.

C’est ce qui s’appelle “To be left in the lurch”…

I will never set the Thames in fire

Ne me jugez pas…

Tome 6

Publié le par

Oyez, oyez, oyez braves gens, le tome 6 de la série “Dans la peau d’un informaticien expert judiciaire” vient de sortir ! Il s’intitule “Yéléna” en référence à la petite fille qui revient souvent dans certaines de mes expertises.

Vous pouvez le commander au format papier chez mon éditeur, et parce que j’aime l’esprit de partage qui règne sur internet, il est
également disponible gratuitement sans DRM au format PDF (cliquez sur les liens) :

Papier (238 pages chez mon éditeur lulu.com)

Pdf (2967 Ko)

Bien sûr, les tomes précédents sont encore disponibles, en format papier ou électronique sur la page publications.

Avertissements :

Les habitués du blog le savent, mais cela va mieux en l’écrivant: la
publication des billets de mon blog, sous la forme de livres, est
surtout destinée à ma famille et à mes proches. C’est la raison pour
laquelle j’ai choisi la démarche d’une autopublication. J’ai endossé
tous les métiers amenant à la publication d’un livre, et croyez moi, ces
personnes méritent amplement leurs salaires! Mise en page, corrections,
choix des titres, choix des couvertures, choix du format, choix des
polices de caractère, marketing, numérisation, etc., sont un aperçu des
activités qui amènent à la réalisation d’un livre. Je ne suis pas un
professionnel de ces questions, je vous prie donc de m’excuser si le
résultat n’est pas à la hauteur de la qualité que vous pouviez attendre.
Le fait d’avoir travaillé seul (avec Mme Zythom-mère pour la relecture, merci à
elle), explique aussi le faible prix de la version papier pour un livre
de 238 pages.

Je me dois également, par honnêteté envers les acheteurs du livre, de
dire que les billets en question sont encore en ligne et le resteront.
Les billets publiés dans le livre sont identiques, à part l’insertion des liens en clair, la correction des fautes de frappe et la mise en page.

J’espère que ce tome 6 vous plaira. N’hésitez pas à le faire découvrir autour de vous et à le partager.

En tout cas, je vous en souhaite une bonne lecture.

Les choses ne sont pas toujours ce qu’elles paraissent

Publié le par

Cette expertise est délicate : je dois accompagner un huissier de justice pour faire un constat sur un ordinateur d’entreprise.

Encore une fois, je connais peu le contexte technique avant l’intervention. Vais-je trouver un terminal relié à un AS/400, un magnifique Macintosh, un classique ordinateur sous Windows, un surprenant poste sous GNU/Linux ou un client léger très tendance ?

Je me rapproche de l’huissier à qui j’explique mes interrogations et qui me renvoie vers le chef d’entreprise. Je contacte icelui, qui m’informe que le poste du salarié ciblé est un classique poste sous Windows XP (nous sommes dans les années 2000), même pas virtualisé.

Je m’équipe pour l’intervention et nous voilà dans l’entreprise devant le poste de travail. Le constat est rapide, précis. L’huissier est efficace et notre couple fonctionne bien. En fin d’intervention, il m’est demandé de faire une copie du disque dur à fin d’analyse et de remettre le disque dur original à l’huissier qui le met sous scellé.

Me voilà chez moi, sur mon ordinateur personnel, à analyser le contenu du disque dur du salarié à la recherche des éléments constitutifs de la faute lourde. Je lance l’analyse du disque dur et mes scripts d’extraction de données. Je jette un coup d’œil aux résultats avant d’aller me coucher, l’affaire semble entendue…

Le lendemain, je commence la rédaction de mon rapport en annexant tous les documents gênants retrouvés sur l’ordinateur. Je les classe dans les catégories suivantes :

– les fichiers non effacés présents sur le compte informatique du salarié

– les fichiers non effacés présents hors du compte informatique du salarié

– les fichiers effacés toujours présents dans la corbeille du compte informatique

– les fichiers effacés toujours présents sur le disque dur (hors compte).

Les données “intéressantes” sont, dans cette affaire là, dans la dernière catégorie, en particulier dans la zone “non allouée” du disque dur.

Suivant les précautions d’usage, je rédige le rapport en précisant que les données retrouvées ne disposant plus des métadonnées du système d’exploitation, il n’est pas possible de les dater ni d’en connaître l’origine. Concentré sur ma rédaction, j’explique que les bribes de données retrouvées sont regroupées par mon logiciel de récupération dans des fichiers, mais que l’histoire du (nom du) fichier d’origine a disparu.

Ces données sont pourtant bien présentes sur le disque dur de l’ordinateur que l’entreprise a attribué à son salarié mis en cause.

Soudain, un doute m’assaille…

Je contacte le service informatique de l’entreprise, et avec l’autorisation du chef d’entreprise, je leur pose quelques questions concernant la gestion du parc informatique. Je découvre alors que l’entreprise fait tourner son parc, en affectant les ordinateurs puissants et neufs au service R&D, puis les “recycle” un an après aux salariés des bureaux, et enfin dans les ateliers.

Le disque dur que j’analyse a donc eu plusieurs vies, le service informatique procédant à chaque fois à un formatage rapide du disque avant d’installer la nouvelle configuration adaptée au salarié.

Les données traînant dans la zone non allouée du disque dur n’appartiennent à personne et il m’est impossible de retracer leur historique de transfert. Ces données peuvent tout aussi bien avoir été introduites sur le disque dur par le dernier salarié auquel l’entreprise a affecté l’ordinateur, que par le premier.

J’ai travaillé ma rédaction en insistant pédagogiquement sur ces points et j’ai rendu mon rapport.

Quelques mois plus tard, j’apprenais qu’un collègue de ce salarié avait reconnu la faute grave, pris sur le fait en train de manipuler les données confidentielles interdites. J’ai appelé le service informatique de l’entreprise qui m’a confirmé que l’ordinateur avait été affecté un temps à ce salarié, et que mon rapport les avait forcé à tracer l’historique de l’affectation du poste de travail.

Rétrospectivement, j’ai félicité mon moi antérieur pour les précautions qu’il avait prises, évitant ainsi d’incriminer un innocent. Jeunes experts en informatique, pesez avec prudence les affirmations que vous écrivez dans vos rapports. N’oubliez pas que derrière un compte informatique nominatif peut se cacher une autre personne (connaissant le mot de passe du compte qui n’est pas le sien). N’oubliez pas qu’un logiciel malveillant peut simuler une action délictuelle à l’insu de l’utilisateur de l’ordinateur. Et n’oubliez pas qu’une donnée égarée sur un disque dur peut avoir été introduite par un utilisateur antérieur. N’oubliez pas non plus les logiciels de prise de contrôle à distance et autres produits de déploiement applicatifs…

Bref, beaucoup des informations qui peuvent être extraites d’un ordinateur sont à prendre avec des pincettes.

Le disque dur chiffré

Publié le par

Le gendarme arrive parfaitement à l’heure au rendez-vous. Les présentations sont rapidement faites, ainsi que la vérification d’identité. Il me remet le paquet. Je lui propose de prendre un rafraîchissement, mais il décline mon offre car il a un dossier urgent en attente. Nous nous quittons sur le pas de ma porte.

Le paquet qu’il m’a remis est plutôt léger. L’étiquette marron clair so 19e indique qu’il s’agit d’un ordinateur portable de marque Apple. Une fois dans mon bureau, je brise le scellé et ouvre le paquet. Je note scrupuleusement la date et l’heure dans mon cahier de notes d’investigation.

Je sors du papier kraft un magnifique ordinateur portable que je pose délicatement sur mon bureau, dégagé pour l’occasion. La bête est superbe. Je prends quelques photos pour l’état des lieux. Aucune éraflure, aucune trace d’usure, la machine est comme neuve.

Je note la marque, le modèle, le numéro de série dans mon carnet de notes. Je regarde l’objet sous toutes les coutures : comment vais-je bien pouvoir le démonter pour pouvoir en extraire le disque dur ?

Je cherche sur internet de l’aide et, après quelques instants, trouve le site d’un passionné qui explique comment entreprendre l’opération chirurgicale. Première étape : fabriquer les outils de démontage. J’applique la devise d’Hippocrate, bien connu des médecins, et qui devrait aussi être inscrite au mur de toutes les salles serveurs : Primum non nocere, deinde curare (D’abord ne pas nuire, ensuite soigner). Comme à chaque fois, je ne dois laisser aucune trace : le matériel qui m’est confié ne doit pas être endommagé. Dans ce cas particulier, aucune vis n’apparaît. Il va falloir ouvrir l’œuvre d’art par petites pressions délicates pour déclipser les différents éléments.

Le site me conseille de fabriquer des leviers à base de plastique mou… à partir de vieilles brosses à dents. Me voilà dans mon garage à meuler des brosses à dents pour en faire des sortes de tournevis mous… Mes enfants pensent parfois que je suis fou.

Après moultes précautions et quelques litres de transpiration, j’arrive à ouvrir les entrailles de la bête et à en extraire le disque dur. Quatre heures ont déjà passé, et j’en suis à peine à photographier l’étiquette du disque dur. Le sol de mon bureau est jonché de toutes les pièces que j’ai dû démonter pour en arriver là, positionnées sur un ensemble de feuilles de papier indiquant la place de chaque pièce… Ménage interdit avant le remontage complet !

Je place le disque dur dans ma station d’analyse et démarre le processus de copie numérique avec blocage d’écriture. Il va durer toute la nuit. Pendant ce temps, je prie pour que le disque dur ne choisisse pas ce moment là, juste là, pour tomber en panne. Je n’ai nulle envie de faire jouer mon assurance d’expert judiciaire, ni d’appeler l’officier de police judiciaire pour lui annoncer ce type de nouvelle…

Nous sommes dimanche : la copie numérique s’est terminée, les hashs MD5 ante et post copie montrent que le contenu disque dur n’a pas été modifié et que la copie est fidèle. Je souffle un peu.

Je commence l’analyse inforensique de la copie numérique pour répondre à la mission. Et là, surprise : l’ensemble du disque dur est chiffré.

Aïe.

Il me faut le mot de passe pour déchiffrer et accéder au contenu du disque dur. Sans ce sésame, pas d’accès possible. Pas de porte dérobée connue, pas de contournement possible…

Je relie attentivement la procédure qui m’a été donnée : il n’y a pas de mot de passe fourni par le propriétaire, celui-ci refusant toute aide en ce sens.

Je tente alors ce que tout le monde fait dans ce cas là : essayer tous les outils de cryptanalyse en ma possession, et j’en ai une jolie collection. Je prépare un ordinateur avec le processeur le plus puissant, et la carte graphique la plus performante que j’ai, et je lance mes programmes d’attaque par force brute, avec réglages sur une grosse semaine de calculs. Je ventile la pièce pour chauffer un peu la maison…

Tous les soirs, en rentrant du boulot, je vérifie si la chance est de mon côté. Rien. Même au bout d’une semaine. La mort dans l’âme, je commence à rédiger un rapport d’expertise expliquant mon échec. Comme je le dis souvent, à l’impossible nul n’est tenu. Un bon chiffrement associé à un bon mot de passe n’est pas déchiffrable, même avec des moyens illimités. Alors, moi, avec mes petits ordinateurs de simple particulier…

Je relis une n-ième fois la mission que la justice me demande de remplir : je dois indiquer si oui ou non le fichier SECRETINDUS.xls est ou a été présent sur l’ordinateur. Impossible de le savoir si je n’arrive pas à accéder en clair aux données stockées sur le disque dur.

Et là, une idée saugrenue, parfaitement irrationnelle, me vient à l’esprit : chercher la chaîne de caractère “SECRETINDUS” sur l’ensemble du disque dur. Je lance la commande idoine. Quelques minutes se passent pendant lesquelles je me dis que je dois être bien fatigué pour chercher une chaîne en clair dans des données chiffrées. J’essaye de calculer la probabilité que cette suite de caractères apparaisse aléatoirement dans une soupe de caractères…

Puis bingo : la chaîne est présente sur le disque ! En vérifiant l’endroit où apparaît la chaîne de caractères, je trouve tout le chemin de stockage d’un fichier “SECRETINDUS.xls”… La preuve est là, sous mes yeux. Mais par quel miracle ?

Je pousse un peu plus loin mes investigations. Comment ai-je pu trouver des données en clair au milieu d’un disque dur chiffré ? Après quelques heures d’analyse avec mon éditeur hexadécimal, je comprends que le système d’exploitation de l’ordinateur portable que j’ai à analyser a un petit défaut (corrigé par Apple depuis) : lorsque les batteries de l’ordinateur arrivent au bout du bout, l’ordinateur fait en urgence une copie non chiffrée de la mémoire sur le disque dur, pour permettre une récupération des données de l’ordinateur lors du redémarrage. C’est ce dump que je peux explorer en clair, avec la chance d’y trouver la trace d’accès au fichier demandé…

Je dois admettre que j’ai eu beaucoup de chance sur ce coup là, comme la fois où erazer avait été utilisé sur l’ordinateur, effaçant tout sur son passage, sauf le contenu de petites bases MySql bien pratiques…

 

Par contre, je ne vous raconte pas le temps que j’ai passé sur cette expertise, sans commune mesure avec le temps que j’ai indiqué sur ma note de frais et honoraire. Ah, et le remontage du scellé s’est bien passé. Je n’ai laissé aucune trace ni fait de rayures et toutes les vis ont retrouvé leur place. Le propriétaire a du être content.

 

L’intimidation

Publié le par

L’avocat me lance un regard noir, il est furieux.

Je viens de donner mon avis en réunion d’expertise, et celui-ci est très défavorable à son client.

La tension est palpable dans la salle de réunion, les esprits sont fatigués, la réunion dure déjà depuis plus de six heures (avec une pause déjeuner d’une heure, je ne suis pas un monstre).

Je sais que le moment est délicat, mais je sais aussi que c’est le travail et le rôle de l’expert que d’expliquer aux parties où il en est de ses réflexions, même si elles ne font pas plaisir à tout le monde. Je ne suis pas là pour faire plaisir à tout le monde, je suis là pour comprendre les enjeux techniques et donner un avis écrit en répondant aux questions (écrites) posées par le magistrat (qui n’est pas présent).

L’avocat se lève et range ses affaires. Il fulmine.

Il me regarde en partant et me lance : “Nous nous reverrons !”

La violence du propos et les sous-entendus qu’il laisse planer m’atteint de plein fouet. Ma formation GERME m’aide à gérer la situation. De toute manière, la réunion d’expertise est terminée.

Reste une question qui m’obsède sur le chemin de retour vers mon havre de paix sucré : “qui protège l’expert judiciaire contre les tentatives d’intimidation ?”.

La base de ses protections est l’article 434-8 du Code Pénal français :

“Toute menace ou tout acte d’intimidation commis envers un magistrat, un
juré ou toute autre personne siégeant dans une formation
juridictionnelle, un arbitre, un interprète, un expert ou l’avocat d’une
partie en vue d’influencer son comportement dans l’exercice de ses
fonctions est puni de trois ans d’emprisonnement et de 45 000 euros
d’amende.”

En théorie.

En pratique, cela relève souvent du fonctionnement gris des relations interpersonnelles : il faut savoir fermer les oreilles et ne pas monter sur ces grands chevaux à chaque provocation, et encore moins en voir derrière chaque mot ou sous-entendus.

Il faut encaisser les coups, et ne pas les rendre.

Il faut laisser glisser les critiques et ne pas prendre la mouche.

Il faut gérer son égo et celui des autres.

Bien sur, il n’est pas possible d’excuser une agression physique, ni une agression tout court, fut-elle psychologique.

Pourtant, qui pour me dire de stopper toutes opérations d’expertise et de déposer une plainte pour menace ou agression, sur les bases de ce bel article 434-8 du Code Pénal ?

Qui pour me dire alors ce qu’il en sera du travail réalisé ?

Qui pour me dire si je dois déposer mon rapport en l’état ?

Mon travail pourra-t-il être payé, et par qui, surtout s’il n’est pas fini ?

Il faut surtout savoir qu’en déposant plainte contre l’une des parties, l’expert n’est plus indépendant. Son rapport pourrait-il être considéré comme objectif ?

Je n’ai pas les réponses à toutes ces questions. Il me faut donc prier et me souvenir du serment solennel que je voulais faire il y a maintenant de longues années :

“La
nuit se regroupe, et voici que débute ma garde. Jusqu’à ma mort, je
la monterai. Je ne prendrai femme, ne tiendrai terres, n’engendrerai. Je
ne porterai de couronne, n’acquerrai de gloire. Je vivrai et mourrai à
mon poste. Je suis l’épée dans les ténèbres. Je suis le veilleur au
rempart. Je suis le feu qui flambe contre le froid, la lumière qui
rallume l’aube, le cor qui secoue les dormeurs, le bouclier protecteur
des royaumes humains. Je voue mon existence et mon honneur à
l’Expertise, je les lui voue pour cette nuit-ci comme pour toutes les
nuits à
venir.”

Je n’ai jamais revu cet avocat.

J’ai pris femme et j’ai engendré trois enfants.

J’ai une grande épée deux mains.

Mais j’ai prêté un autre serment !

Pour cette nuit comme pour les autres, il est encore inscrit sur le fronton de ce blog…