Archives par mot-clé : Anecdotes expertises

Points de vue

Publié le par

Nous sommes plusieurs hommes en costume ou en uniforme dans la pièce, sous le regard stressé du locataire des lieux qui assiste à notre perquisition.

Quelques minutes auparavant, nous avons sonné à 6h05 à la porte du logement, comme demandé par notre ordre de mission. J’assiste les forces de l’ordre, l’huissier et le serrurier. Je n’en mène pas large.

L’homme nous a ouvert la porte un peu hagard. Il était déjà debout et en train de se préparer pour aller travailler. Sa femme est en robe de chambre, se demande ce qu’il se passe, qui peut frapper à la porte à cette heure, et nous dit de ne pas faire de bruit pour ne pas réveiller les enfants.

Chacun observe la scène de son propre point de vue. L’huissier explique l’intervention à l’homme qui vient d’ouvrir la porte, les policiers sont en attente, légèrement en retrait. Le serrurier et moi sommes derrière ce rideau humain en train de découvrir la violence psychologique de ce type d’intervention. L’homme qui ouvre la porte écarquille les yeux et écoute les griefs qui lui sont reprochés. Sa femme qui est derrière lui est en colère mais pense à ses enfants qui dorment…

Je suis maintenant dans une pièce encombrée de matériel informatique : plusieurs ordinateurs fixes, des ordinateurs portables, des téléphones, des switchs, des câbles… Sans bruit, les policiers ouvrent les armoires, les tiroirs, les placards, pendant que l’huissier prend des notes. La liste du matériel à analyser s’allonge, me dis-je. Le serrurier s’ennuie dans un coin.

J’entends un enfant qui pleure et sa maman qui lui parle pour le rassurer. Quelques minutes après, je le vois entrer dans le bureau où nous sommes. Il me regarde. De son point de vue, je suis un étranger qui est dans le bureau de son papa en train de fouiller ses affaires.

Je l’ai lu quelque part, les enfants voit le monde plus grand qu’il n’est, plus impressionnant. Pour leur parler, il est conseillé de se mettre à leur hauteur. Face à cet enfant apeuré, mais suffisamment courageux pour affronter un groupe d’inconnus, je m’assois sur les talons et met mon regard au niveau du sien. Je lui parle avec ma voix la plus douce possible en essayant d’y gommer toute la tension que je ressens. Je le rassure sur nos intentions, je reprends les arguments utilisés par sa mère. Il repart prendre son petit déjeuner.

Pendant notre échange de moins d’une minute, tout le monde s’est arrêté de parler et de travailler, pour nous regarder et nous écouter. Les policiers ont hoché la tête en voyant le « petit d’homme » partir la tête haute. Le père a hoché la tête. La mère, toujours en colère, m’a foudroyé du regard. Question de point de vue.

Avant de me relever, je perçois sous le plan de travail du bureau, un petit NAS qui est jusqu’à présent passé inaperçu à la fouille du bureau. J’ai pu le signaler à l’huissier qui l’a ajouté à ses notes, et a allongé ma liste des choses à analyser. Il n’était visible qu’accroupi devant le bureau. Question de point de vue.

–oOo–

Il y a plusieurs façons de réagir à cette anecdote :

– il y a le lecteur qui privilégiera le point de vue « intrusion dans la vie privée ».

Le réflexe est alors de se mettre du côté de la famille, de se demander si c’est bien normal de pouvoir entrer chez les gens comme cela. La maison doit être sanctuarisée. C’est un point de vue que je partage aussi.

– il y a celui qui se demandera comment mieux planquer ses données.

Cacher ses données privées pour les protéger devrait être un réflexe chez tout le monde. Les solutions ne manquent pas: externalisation chez un tiers de confiance, répartition dans plusieurs pièces, chiffrement, etc. Les données privées doivent répondre à des niveaux d’accès contrôlés: le monde extérieur, les amis, les enfants, le conjoint… Et il faut bien sur prévoir le cas où le monde extérieur s’invite à l’intérieur. C’est mon point de vue.

– il y a celui qui se placera du côté de la loi, du côté de la force publique, du côté de la société, du côté des victimes de cet homme.

Cet homme est suspecté d’avoir commis des actes criminels odieux. Il est facile de le voir comme un monstre, comme un danger pour les autres. Et si c’était mes enfants qui avaient été les victimes de ses actes ? Je partage ce point de vue.

– il y a celui qui se placera du côté de l’expert.

Comment un homme de science réagit-il lorsqu’il est sorti de sa tour d’ivoire pour être plongé dans le quotidien d’un huissier, d’un policier ? Est-il formé, est-il prêt ? Doit-il assister en simple spectateur et refuser d’être acteur ? Doit-il tout accepter, ou tout laisser faire ? L’expérience de Milgram est passée par là…

– il y a le point du vue du policier, de l’huissier, du magistrat, de l’informaticien, de l’avocat, mais aussi du comptable, de l’instituteur, de l’ancienne victime, du politique, du médecin, de la secrétaire… J’écoute souvent ses points de vue lorsque je discute avec ces personnes. Je partage souvent leurs vues.

Prêter ses connaissances au service de la justice, c’est aussi remettre en cause ses positions, ses opinions, son point de vue. C’est faire du doute un élément de méthodologie scientifique. Les choses sont toujours plus compliquées qu’elles n’en ont l’air. Le café du commerce est un monde en noir et blanc sans nuances de gris ni couleurs.

Enfin, c’est mon point de vue.

Et le votre ?

Les géants

Publié le par

Parfois, je me rend compte à quel point je peux être pitoyable, à mes yeux tout au moins. Pour beaucoup de lecteurs (à ce que je comprends de certains emails que je reçois), je suis une sorte de héros hypercompétent capable de tout faire en informatique. C’est très loin d’être le cas: je suis nul en sécurité informatique, je suis nul en développement informatique moderne, je ne capte rien en téléphonie mobile, je ne connais pas la différence entre un processus et un thread, je ne dispose pas d’outils extraordinaires, ni de connaissances incroyables…

J’ai déjà expliqué tout cela en images dans le billet « expert judiciaire, ce qu’on pense que je fais« .

La justice n’ayant aucun moyen technique à m’offrir, les services de l’état (police ou gendarmerie) ne fournissant aucun logiciel ni matériel aux experts judiciaires hors de leur rang, je me débrouille comme je peux. En voici un exemple.

Un scellé m’est remis pour analyse, avec comme mission principale de relever la présence éventuelle d’images ou de films pédopornographiques. Après la copie du disque dur, me voici à analyser tous les fichiers encore présents, entiers ou sous forme de traces dans les recoins du disque dur.

A un moment de mes observations manuelles, je note la présence du logiciel Shareaza. Je n’ai bien évidemment rien contre le partage P2P, technologie parfaitement légale, mais dans le cas que l’on m’a confié, je m’intéresse de près au contenu partagé.

N’ayant pas la chance de disposer d’un logiciel de type P2P Marshal, me voilà avec sur les bras des dizaines de fichiers avec des noms longs comme un jour sans pain et des extensions « .partial » et « .sd ».

Les fichiers « .partial » contiennent les données en cours de téléchargement (ou de partage) et les fichiers « .sd » contiennent des données de gestion des téléchargements. Une ouverture de ces fichiers .sd avec Notepad++ montre une partie en clair contenant le nom du fichier en cours de téléchargement. Intéressant ! Je trouve dans la plupart des fichiers .sd des noms contenant des références pédopornographiques. Je note tout cela dans mon rapport.

J’installe sur un ordinateur monté pour l’occasion (une machine virtuelle en fait) le logiciel Shareaza que je récupère sur internet dans la même (ancienne) version que celle trouvée sur l’ordinateur placé sous scellé. Je télécharge quelques vidéos et documents mis en partage de manière légale par des internautes, et j’observe le comportement des différents fichiers .part et .sd lors des différentes manipulations.

A un moment, je réalise que, comme la plupart des fichiers .part nommés dans les fichiers .sd contiennent des vidéos, il me suffit de renommer les fichiers en question avec l’extension correspondant au type de vidéos qu’ils sont censés contenir: j’ajoute .avi/.mpg/.mov au choix après l’extension .partial et j’essaye d’ouvrir la vidéo avec VLC.

VLC est un logiciel fantastique qui a entre autre la capacité de lire des vidéos incomplètes, avec des pans entiers manquants.

Bingo, j’arrive à lire toutes les vidéos (ou presque), dont celles de nature pédopornographique. Je passe encore un week-end pénible, à classer les vidéos, à en extraire des images choisies pour le rapport et à les graver sur un DVD annexé au rapport.

Rien d’autre qu’un travail fastidieux, loin de l’image d’Épinal de l’expert omniscient et omnipotent, enfermé dans mon bureau pour éviter que mes enfants ne voient leur père regarder des images pédophiles sur ses écrans.

Je l’ai déjà écrit moultes fois ici même: je suis nul et je suis faible.

« Nous sommes des nains juchés sur des épaules de géants. Nous voyons
ainsi davantage et plus loin qu’eux, non parce que notre vue est plus
aiguë ou notre taille plus haute, mais parce qu’ils nous portent en
l’air et nous élèvent de toute leur hauteur gigantesque. » (Bernard de Chartres, XIIe siècle)

Évidemment, les géants représentent nos prédécesseurs, mais aussi le
savoir accumulé dans les livres ou sur internet. C’est aussi
l’expérience de nos collaborateurs, les conseils de nos aînés, les avis
de nos confrères.

Merci à tous les géants.

Le témoin

Publié le par

Il arrive qu’on demande à l’expert judiciaire de venir témoigner lors d’un procès. Un de mes confrères à bien voulu me faire l’honneur de raconter son expérience sur mon blog dans ce billet.

Cela ne m’était jamais arrivé, jusqu’à cette semaine.

Je dois dire que je n’étais pas pressé de vivre cette expérience (mais suffisamment curieux quand même pour souhaiter le faire au moins une fois dans ma vie).

J’ai reçu il y a quelques mois l’email suivant:

Bonjour Monsieur l’expert,

Je vous informe que je vais vous citer comme témoin dans le dossier X dans lequel vous m’avez adressé un rapport d’expertise privée particulièrement clair et précis.

Vous allez recevoir une convocation pour une audience qui aura lieu le 1er avril (ce n’est pas une plaisanterie) au TGI de Vulcain.



Je vous remercie de me dire si vous acceptez de venir témoigner, afin que je lance la procédure.



Je vous prie d’accepter, Monsieur l’expert, mes salutations respectueuses,



Signé: Maître Spock

Enfin, ce moment tant craint était arrivé: participer à un procès, devant une cour, dans un tribunal, en public, devant tout le monde, comme dans les séries ! J’en parle aussitôt à mon épouse qui me répond d’un air entendu: « j’espère que tu seras indemnisé vas-y ça me fera des vacances« .

Je réponds donc « oui » à Maître Spock et quelques jours plus tard, un huissier de justice sonne à ma porte pour me remettre en main propre une citation comme témoin pour l’audience du 1er avril (je ne m’en remets pas) d’un tribunal situé à l’autre bout de la galaxie France…

Je note le rendez-vous dans mon agenda de ministre, je pose un jour de congé auprès de mon employeur pour cette date, je déplace les rendez-vous déjà programmés.

Le temps passe.

La date s’approchant, je prend mes billets de train et j’achète les tickets de métropolitain nécessaires à mon transport jusqu’au tribunal. Le week-end précédent, je me plonge dans le rapport que j’avais déposé dans ce dossier, j’apprends par cœur les faits, les dates et tous les éléments techniques du rapport, les annexes, les critiques remarques de la partie adverse sur mon travail, les éléments de procédure… Bref, je passe un bon week-end (qui en plus est celui du second tour des élections municipales où j’ai tenu un bureau de vote et soit dit en passant fêté ma la victoire de ma liste et ma brillante élection). Bref je bosse à fond le dossier.

Plus le jour approche et plus je sens une boule d’angoisse se former. Mon épouse me rassure: « tu vas en chier y arriver, tu es le meilleur ».

Le jour J, je prends le train le matin très tôt pour traverser la France, tellement tôt que, malgré 4 heures de train, j’arrive devant le tribunal avec deux heures d’avance. J’en profite pour repérer les lieux, trouver la salle d’audience, me présenter au greffe, me faire expliquer un peu la procédure: « bah, vous allez prêter serment, puis vous faire cuisiner répondre aux questions ».

Je trompe mon stress en allant me glisser dans le public (peu nombreux) d’un procès d’assises qui se tenait dans la salle voisine (véridique). Une histoire de cambriolage par des pieds nickelés, de coups de couteaux, de séquestration, de vol… On se détend comme on peut.

Un quart d’heure avant l’audience, Maître Spock arrive et m’explique comment il voit les choses: « vous allez être isolé dans la salle des témoins, puis l’huissier viendra vous chercher, vous prêterez serment, puis je vous poserai quelques questions, puis la cour vous posera aussi quelques questions, ainsi que la partie adverse ». Devant mon visage transpirant, il ajoute: « mais ne vous inquiétez pas, rien de compliqué. Soyez vous même et répondez sans trop entrer dans les détails techniques ».

Ok.

Donc l’inconnu total.

Je ne sais pas quand on va venir me chercher.

Je n’assiste pas aux débats.

Je ne connais pas les questions qui vont m’être posées.

Je ne sais pas où je vais poser mon sac, mon manteau, mon pull, mon écharpe (je suis en chemise car je transpire déjà 10L d’adrénaline).

Je ne sais pas qui est qui dans la salle (Président, procureur, avocats, parties). Je ne connais que deux personnes: Maître Spock et l’innocent qu’il défend.

Ah si, je sais une chose: la presse judiciaire est là.

Ok, ok.

Mon coeur bat la chamade.

[minute historique: autrefois afin de parlementer ou lors d’une reddition, on émettait un
signal avec un tambour ou une trompette ; on appelait cela battre la
chamade, source Wikipédia]

Me voici en train d’attendre dans la salle des témoins (en fait dans la salle des pas perdus, le tribunal ne disposant pas de salle pour isoler les témoins).

Comme d’habitude, je constate avec un étonnement tout scientifique, que si l’on note t le temps d’attente, mon niveau de stress augmente proportionnellement à t, alors que mon encéphalogramme varie en 1/t…

Je fais alors la seule chose que je sais faire dans ces cas là: je récite la litanie contre la peur des sœurs du Bene Gesserit:

Je ne connaîtrai pas la peur car la peur tue l’esprit.

La peur est la
petite mort qui conduit à l’oblitération totale.

J’affronterai ma peur.

Je lui permettrai de passer sur moi, au travers de moi.

Et lorsqu’elle
sera passée, je tournerai mon œil intérieur sur son chemin.

Et là où
elle sera passée, il n’y aura plus rien.

Rien que moi.

J’appelle mes followers Twitter à l’aide. Ils me remontent le moral.

Les minutes passent.

Je ne sais pas si mon affaire passe en premier (il y a plusieurs affaires convoquées à la même heure).

Les minutes semblent être des heures.

Des personnes entrent dans la salle d’audience: des personnes en robes noires, des personnes à l’air sombre, des personnes angoissées, des personnes avec des blocs notes, des avocats rigolards, un policier…

Les minutes deviennent une heure.

Je sursaute à chaque sortie d’une personne dont je suis persuadé qu’elle vient me chercher. Je n’ai pas hâte d’entrer dans l’arène, j’ai envie qu’on m’oublie, je suis pressé d’en finir, j’ai hâte d’entrer dans l’arène.

Les minutes deviennent deux heures.

J’entends quelques bribes de mots en provenance de la salle, je reconnais la voix de stentor de Maître Spock. Je sens que je vais bientôt être appelé.

Je regarde sur internet l’origine du mot « stentor » [minute culturelle: dans la mythologie grecque, Stentor (en grec ancien Στέντωρ / Sténtôr) est le crieur de l’armée des Grecs lors de la guerre de Troie. Son nom vient du verbe στένειν / sténein qui signifie « gémir profondément et bruyamment, mugir ». Il reste dans l’expression populaire « avoir une voix de Stentor » qui, dès l’Antiquité, signifie avoir une voix très puissante, retentissante et parfaitement audible. Les scholiastes d’Homère précisent que Stentor est d’origine thrace, qu’il est le premier à se servir d’une conque comme trompette de guerre et qu’il est mis à mort après avoir été vaincu par le dieu Hermès dans une joute vocale. Source Wikipédia]

J’en profite également pour relire le serment des témoins: « Je jure de parler sans haine et sans crainte, de dire toute la vérité, rien que la vérité. » (source Wikipédia: liste des serments).

Je relis la litanie contre la peur.

(normalement, si j’ai réussi mon exercice d’écriture de billet, vous êtes là maintenant chaud bouillant comme je pouvais l’être).

Quand, soudain, l’huissier audiencier sort de la salle et

(roulement de tambours)

(sonneries de trompettes)

(mon cœur s’arrête)

(je me lève, au ralenti, style « Matrix »)

(ça fait mal au doigt, hein)

Ah, tiens, non, ce n’est pas l’huissier audiencier, c’est Maître Spock.

Maître Spock:

« Bonjour Monsieur l’expert, je suis désolé, mais l’affaire est reportée ».

Ah, ok.

« Mais elle est reportée à une date ultérieure que je vous communiquerai dès que j’en aurai connaissance ».

Oui. Bien sur.

« Je suis désolé »

Oui, moi aussi.

Nous sommes sortis du tribunal pour aller prendre un verre avec la presse judiciaire. Après quelques bières, mon sang contenait à nouveau quelques globules rouges. Les discussions portaient sur le futur nouveau gouvernement. Fidèle à ma longue habitude des réunions publiques (c’est-à-dire lorsque je participe à un groupe de plus de deux personnes), je suis resté dans un coin à écouter et à boire les paroles des célébrités présentes.

Bilan:

Points négatifs:

– un procès auquel je ne pouvais pas assister (puisque cité comme témoin)

– 8h de transport (TGV, métro, RER)

– 2h d’attente car arrivé en avance

– 2h d’attente en salle des pas perdus faisant office de salle des témoins

– une journée de congés perdue

– je ne sais pas si je serai remboursé (car je n’ai pas été appelé à la barre)

– ce billet de blog qui est frustrant pour tout le monde

Points positifs:

– j’ai servi la justice et tenté de participer à la défense d’un innocent

– j’ai révisé la litanie contre la peur

– j’ai serré la main (deux fois) de Pascale Robert Diard et pris un verre avec elle.

That just made my day.

Le pédophile

Publié le par

J’aime bien télécharger des films de toutes sortes sur internet. Des films piratés pour la plupart, et beaucoup de films pornos. A force d’essais et d’erreurs, j’ai appris pas mal de trucs pour trouver les films qui m’intéressent. Sur les forums, les gens discutent des différents outils qui leur permettent d’échanger des programmes gratuits, des œuvres du domaine public, des photos qu’ils ont prises pendant leurs vacances. J’aime bien Shareaza que j’utilise depuis longtemps. C’est un logiciel P2P qui permet de partager tout et n’importe quoi, et surtout de trouver ce que l’on recherche.

Moi, ce que j’aime, c’est télécharger tous les morceaux de musique à la mode, enfin à la mode de ma jeunesse, c’est-à-dire la Vraie Musique. J’ai tous les tubes des chanteurs que j’aime, mais dont les DVD sont trop chers pour moi. C’est pareil pour tous les films de cinéma que je n’irai pas voir en salle parce que c’est trop cher. Enfin, c’est cher mais aussi c’est un peu la honte d’aller voir un film porno ou de le louer… Alors je télécharge en masse, tous les films pornos que je trouve avec Shareaza.

Quand j’y repense, je me rends compte que mes goûts ont évolué. Avant, j’allais sur YouPorn, avec son rangement bien pratique en catégories. J’ai testé un peu tous les genres: amateur, couples, hairy, mature, voyeur, 3D, etc. Mais très vite, ma catégorie préférée a été « teen ». Toutes ces actrices en tenue d’écolière, ou avec des couettes… j’ai trouvé ça très « stimulant ». Alors, avec mon programme Shareaza, j’ai recherché parmi tous les films pornos que je pouvais télécharger, ceux plus orientés sur les jeunes filles.

Puis de « teens », je suis passé à « preteens ».

Puis de « preteens », je suis passé à « pre teen hard core », les fameuses « pthc ». Les noms des fichiers vidéos sont évocateurs: « Allan -4yo pthc pedo », « David & Helen -10yo »… Je ne parle pas anglais, mais j’ai très vite trouvé les bons mots clefs pour télécharger les films qui m’intéressent. Mon ordinateur est allumé 24h/24 et je télécharge en permanence. J’ai plus de 10 000 films maintenant.

J’ai été surpris quand la police est venue m’interroger. Je croyais que les réseaux P2P étaient protégés et qu’on ne pouvait pas savoir qui téléchargeait… Et puis dans la masse des gens qui téléchargent, je pensais passer inaperçu. Il paraît que mon adresse IP a été « flashée » en Russie lors du téléchargement d’un fichier surveillé. Le signalement à Interpol a amené la police jusqu’à chez moi et mon matériel a été saisi. Interpol, sans blague !

Lors du procès, j’ai pu lire le rapport de l’expert judiciaire qui a analysé le contenu de mon disque dur. J’ai pu voir le regard crispé des greffiers et magistrats du tribunal quand ils ont regardé quelques unes des copies d’écran, et la liste des noms de fichiers. Mon avocat a tout fait pour éviter qu’on projette des extraits de films pendant l’audience. J’ai pu constater le dégoût dans les yeux de mes proches. Il paraît que je suis un pédophile, moi qui n’ai jamais touché un enfant.

Je suis en prison maintenant, mais je lis dans le journal que je ne suis pas le seul à faire la même chose.

C’est si facile. A portée de quelques clics.

——————————————————

Mes lecteurs habituels le savent bien, je romance mes histoires pour ne pas divulguer d’informations sur les dossiers sur lesquels j’interviens, avec l’autorisation de la compagnie d’expert judiciaire de la cour d’appel à laquelle j’appartiens (relire les billets de l’affaire Zythom, en particulier celui sur la décision de la compagnie). Ce billet est donc une « romance ».

Souvent, j’écris mes textes à la première personne, parce que c’est mon blog. Ici, je voulais surprendre quelques lecteurs en écrivant le billet du point de vue du pédophile. Je me demande combien se sont fait prendre, et à partir de quelle phrase ils ont compris. Les auteurs débutants se posent toujours de drôles de questions…

J’ai écrit ce texte en réaction à tout ceux qui me disent qu’ils surfent depuis longtemps sur internet et qu’ils n’ont jamais rencontré de contenus pédopornographiques, que les médias en font trop, que la police devrait faire autre chose que de traquer les internautes, que le gouvernement utilise ce faux prétexte pour censurer la liberté d’échanger des contenus numériques… S’il est évident que des forces financières sont à la manœuvre pour éviter le naufrage de leur modèle économique, il n’est pas possible de nier que nos autoroutes de l’information ne transportent pas que des marchandises légales. S’il y a beaucoup à dire sur tous ces sujets (ce qui n’est pas l’objet de ce billet), je suis personnellement confronté aux images et films échangées par les pédophiles. J’en souffre, mais je continue, parce que je suis fier d’être un petit maillon de la chaîne des gens qui luttent contre ces pratiques.

On ne peut pas nier leurs existences.

Je souffre autant de plonger dans la pédopornographie, que d’entendre dire par les uns qu’elle n’existe pas ou peu, et par les autres qu’elle justifie l’ajout de nouvelles lois avec le prétexte de « civiliser » internet.

Les pédophiles existent.

Internet facilite leurs échanges.

Les lois actuelles suffisent amplement.

Il faut simplement donner les moyens à la justice.

AMHA.

Coup de coeur

Publié le par

Un petit billet en passant, comme ça, sur un coup de cœur.

J’ai découvert le blog d’un confrère qui écrit des billets avec talent : Nuits de Chine, nuits câlines.

La rubrique Histoires d’expertises est particulièrement intéressante.

Je vous recommande particulièrement trois histoires :

A l’heure du laitier

On fait quoi maintenant ?

Là, ça va pas être possible

Comment ai-je pu passer à côté de ce blog si longtemps, je ne sais, mais ça fait un lien de plus dans ma blogroll et dans mon agrégateur de flux RSS 😉

Bonne lecture.

Le tri

Publié le par

Me voilà encore une fois devant un ordinateur que je dois analyser. Les informations transmises par l’Officier de Police Judiciaire me disent qu’une lointaine autorité a signalé à Interpol que l’ordinateur aurait servi à télécharger des images pédopornographiques.

Moi, je ne suis qu’un tout petit maillon de la chaîne: je n’ai pas saisi l’ordinateur, je ne connais pas son contexte de connexion à internet, j’ai simplement une unité centrale saisie pas loin de chez moi et posée sur mon bureau, avec pour mission de dire si elle contient des images pédopornographiques et si possible comment elles sont arrivées là…

Bien, bien, bien.

Je prends des photos du scellé, comme j’ai vu faire dans les séries américaines. J’ouvre le scellé, je dépose l’unité centrale sur mon bureau. Elle sent la cigarette. Je prends des photos, puis j’ouvre l’unité centrale avec un tournevis, proprement pour ne pas laisser de marques. Je prends des photos de l’intérieur, puis j’enlève le disque dur. Enfin, je prends en photo le disque dur, je note ses caractéristiques, son modèle, son numéro de série. J’en fais une copie numérique bit à bit en priant pour qu’il ne rende pas l’âme à ce moment là… Je dormirai mal cette nuit-là.

Le lendemain, je m’assure que la copie s’est bien passée, je remonte le disque dur dans l’unité centrale, je prends des photos, je range le scellé. Le vrai travail d’investigation peut commencer.

Les données du disque dur se présentent de plusieurs façons:

– bien rangées dans des ensembles qu’on appelle « des fichiers »

– en vrac partout ailleurs sur le disque dur.

Les fichiers non effacés sont accessibles via les tables d’allocation des fichiers.

Les fichiers effacés sont, pour certains, encore accessibles via ces mêmes tables (qui se comportent comme des index de livres). La majorité de ces fichiers proviennent des mécanismes de mise en cache des navigateurs. Quelques uns viennent de la suppression de fichiers choisis par l’utilisateur.

Puis il y a les « paquets de données » éparpillés sur le disque dur, référencés nulle part (la référence a été définitivement effacée). Ces paquets contiennent des traces de fichiers ayant un jour été « cohérents ». On trouve de tout dans ces paquets, des bouts d’images, des bouts de téléchargements, des bouts de conversations, des bouts de fichiers systèmes, etc.

Une fois récupéré l’ensemble de toutes ces données (effacées, pas effacées, en fichiers ou en bout de fichiers), je me retrouve face à un Everest de données qu’il me faut trier. Je vous parle ici d’un tas de cinq cents mille fichiers.

Cinq cents mille.

Première étape: éliminer les fichiers « communs », ceux qui appartiennent de façon certaine au système d’exploitation ou aux applications connues. Pour cela, je vous recommande la « National Software Reference Library » qui contient plusieurs bases de données intéressantes.

Mais ensuite, il faut tout regarder.

Je commence par les plus gros fichiers: je tombe alors sur des films qu’il faut que je visionne. Je me tape en accéléré et par morceaux tous les grands blockbusters des cinq dernières années…

Je regarde toutes les bases de données présentent sur le disque dur,
et en particulier la base de registres, les fichiers logs du système et
les bases de données des différentes applications. La plupart de ces bases sont codées en binaire de manière propriétaire par les éditeurs concernés. J’analyse chaque base: applications de messagerie, logiciel d’échange de données, chat, etc. J’obtiens la liste des connexions effectuées, les fichiers téléchargés, les données échangées…

Je continue mon tri.

Viennent ensuite les archives ZIP, 7Z et autres dont j’extrais les fichiers. 15 archives résistent et me demandent un mot de passe… que je cracke pour tomber sur du porno banal. Internet, c’est pour le porno.

Je continue mon tri.

Je regroupe toutes les images dans un ensemble de répertoires (Windows n’aime pas les répertoires contenant trop de fichiers). Je passe des soirées entières, pendant plusieurs semaines, à les regarder: mariages, soirées, vacances d’un côté, et tout le contenu porno des caches des navigateurs utilisés…

Je continue mon tri.

Il me reste quelques fichiers qui résistent à mon classement. Chacun représente un défi qu’il me faut relever. Surtout que pour l’instant, je n’ai rien trouvé de pédopornographique. J’ouvre les fichiers avec un éditeur hexadécimal. Je regarde leurs empreintes numériques, leur contenu. Je pense aux différents défis lancés par les conférences sur la sécurité informatique. Je me sens nul. Ici les fichiers illisibles sont simplement des images ou des fichiers word avec des entêtes corrompus.

Tout cela pour rien. Enfin, pas vraiment. Cela prouve l’innocence de l’utilisateur du PC, ce qui n’est pas rien. Pour moi, cet ordinateur est clean du point de vue de mes missions. Sur mon rapport j’indique que je n’ai trouvé aucune donnée pédopornographique. Je n’écris pas qu’il n’y en a pas. J’écris que je n’en ai pas trouvées. Ni trace d’un téléchargement qui pourrait laisser supposer la présence de telles données.

Et encore une fois, la fin de ce long tri ennuyeux me rend heureux: ma mission est terminée, et elle se termine bien. Il ne reste plus qu’à expliquer ma note de frais et honoraires, maintenant. Mais ça, c’est une autre histoire…

Je suis trop faible

Publié le par

Je suis fasciné par son regard d’une infinie tristesse, malgré son sourire forcé. Le visage de cette petite fille est rempli, dévoré par ses deux grands yeux marrons. J’ai son visage sur des dizaines de photos, prises sous des angles différents. Elle regarde parfois l’objectif, parfois dans le vide. Le plus dur, c’est quand ses yeux plongent dans les miens.

Sur chaque photo d’elle, un sexe d’homme. Près de son visage, dans sa bouche ou dans ses mains. Sans être médecin, je lui donne cinq ou six ans. Je suis en pleine expertise judiciaire sur des photos pédopornographiques.

Je suis seul dans mon bureau, chez moi, porte fermée, avec interdiction donnée à mes enfants de me déranger. Je les entends passer près de ma fenêtre en riant. Il fait beau, c’est un beau week-end de printemps.

Nouvelle photo, toujours d’elle. Ses grand yeux m’obsèdent. Son petit corps nu semble si fragile qu’on a envie de la protéger, de traverser l’écran pour empêcher cet homme de l’approcher, de lui faire du mal, de la violer. Mais je suis impuissant à agir, je ne peux que regarder et prendre des notes pour mon rapport.

J’ai honte de ma faiblesse, de mes réactions, de ma sensiblerie. Tant de personnes travaillent dans des conditions difficiles: médecins, pompiers, gendarmes, policiers… Mais ils se soutiennent, se parlent, échangent, évacuent par des mots les horreurs qu’ils cotoient.

Moi, je suis seul. Je n’ai pas de formation pour gérer ce que je ressens, ce que je vois. Je suis un simple informaticien qui aide la justice. Je n’ai que ce blog.

Photo suivante. Cela fait maintenant trois heures que mon cerveau absorbe ces images, que je les inventorie. Je fais une pause, je ferme les yeux. Pourquoi est-ce que je n’arrive pas à contenir mes larmes ? Je suis un homme, je dois savoir gérer mes émotions. Je laisse la crise passer. Je suis un homme, rien de ce qui est humain, je crois, ne m’est étranger (Térence).   

Je suis un faible.

Je reprends mes investigations, un peu apathique. Rien ne m’oblige à passer autant de temps sur chaque photo. J’accélère la visualisation. D’autres filles, d’autres visages, d’autres âges, d’autres hommes, tant de positions.

Il est tard, la nuit est avancée. Je termine mon rapport, je rédige les annexes, grave les DVD. Pour faciliter la lecture du rapport papier par les OPJ, greffiers et magistrats, j’évite les illustrations, je les repousse en fin de rapport, en annexe.

J’ai choisi quelques photos parmi les plus marquantes.

J’ai choisi celles où cette enfant regarde l’appareil photo avec ses grands yeux tristes, avec dans la bouche ce sexe aussi grand que sa tête.

J’ai encore cette image dans la tête.

Il faut que j’arrive à gérer mes émotions.

Les autres experts y arrivent bien.

Je suis trop faible.

—————————————

Source photo: chilloutpoint.com

Un petit week-end

Publié le par

Dans le cadre des rediffusions estivales, le billet du jour, publié en septembre 2009, raconte une anecdote terrible que j’ai vécue lors d’une expertise judiciaire. J’en ai encore des frissons.

Bonne (re)lecture et bon courage.

—————————–

Elle est vêtue de vêtements chatoyants et court sur une route de terre.
Plusieurs personnes courent avec elle. La vidéo n’est pas de très bonne
qualité. On ne distingue pas bien ce que ces personnes tiennent à la
main.

Le vidéaste zoome maladroitement.

Optiquement la femme s’approche de moi, simple téléspectateur sur mon
écran d’ordinateur, et je constate que les personnes qui courent avec
elle sont des hommes, munis de machettes, qui courent après elle.

L’un d’eux la rattrape et lui plante la machette dans le crane.

Les yeux de la femme sont exorbités alors qu’elle hurle en tombant. La
vidéo n’a pas de son mais son cri me saute au yeux. L’homme itère son
geste et lui fait éclater le crane.

Des morceaux de cervelle s’éparpillent sur la piste, alors que les derniers poursuivants arrivent à sa hauteur.

Ils rient.

Et moi, malgré mes dix années d’expérience comme expert judiciaire, je pleure.

Cette séquence, je viens de la subir en visionnant le contenu d’un
disque dur mis sous scellé. Comme d’habitude, le magistrat m’a missionné
pour analyser le disque dur à la recherche d’images et de films
pédopornographiques. Et comme d’habitude, je visionne un nombre
important d’images et de films, parmi lesquels se trouve un nombre
important d’images et de films pornographiques, parmi lesquels peuvent
se trouver cachés un certain nombre d’images et de films
pédopornographiques… et ce film tourné probablement pendant les
massacres du Rwanda.

Et je dois visionner chaque film pour remplir ma mission correctement.

Ceux qui pensent que la violence présente à la télévision ou au cinéma
banalise la violence réelle se trompent. Je regarde avec frissons « Le
silence des agneaux », « Hannibal », « Alien » ou tout autre slasher movie.
Mais tout est faux. « C’est du cinéma ». Même quand c’est tiré d’un fait
réel, le spectateur sait qu’il assiste à une mise en scène.

Mais quand on « sent » que c’est vrai, que les images sont réelles, c’est
très différent. On assiste à la mort violente d’une personne et on n’y
est pas préparé. Peut-on s’y préparer d’ailleurs? Même les 20 premières
minutes de « Il faut sauver le soldat Ryan » ne m’ont pas préparé à ça. Et
pourtant elles m’ont secoué.

J’ai survolé très rapidement le reste de la vidéo pour m’assurer
qu’aucune scène pédopornographique n’avait été insérée au milieu de ces
scènes de massacres. Il n’y en avait aucune. Je n’en ai pas trouvé
d’ailleurs sur ce disque dur. Juste de la pornographie. Et cette vidéo
de massacres dans un fichier portant un nom de film pornographique.

Mais cette scène restera gravée dans mon esprit.

La France ne peut accueillir toute la misère du monde, mais elle doit savoir en prendre fidèlement sa part. J’ai eu ma part pour ce week-end.

C’était juste un petit week-end pour un petit expert judiciaire de province.

Le dernier maillon…

Publié le par

Cette année 2013 a jusque là été plutôt chargée, tant du point de vue professionnel, que du point de vue des expertises judiciaires ou de la préparation de la campagne des élections municipales… C’est aussi une bien belle année du côté privé, avec par exemple l’arrivée des 50 ans et la fête que mes amis viennent de m’offrir 😉

Dans les semaines qui viennent, je vais essayer de profiter de ma petite famille. Je vais donc délaisser un peu ce blog. Mais je sais que vous avez de la lecture avec la parution récente du tome 4, qui permet aux retardataires d’avoir une lecture ciblée de billets sélectionnés. Je remercie au passage tous ceux qui ont acheté ou téléchargé les différents tomes du blog. Cela me fait plaisir de voir que ce modeste blog perso suscite un tel intérêt.

Du coup, je vous ai programmé
quelques billets qui sont des rediffusions d’anciens billets du blog
auxquels je souhaite donner une seconde chance, en général parce qu’ils
ont une place particulière dans mon cœur. Pour repérer rapidement ces
rediffusions, je commencerai toujours les billets par « Dans le cadre des
rediffusions estivales » 😉

Dans le cadre des rediffusions estivales, le billet du jour, publié en août 2009, raconte une anecdote judiciaire où j’ai voulu mettre en avant le rôle des petites mains qui forment souvent le cœur des entreprises. C’est un billet pour lequel j’ai une certaine tendresse.

Bonne (re)lecture.

—————————————

Elle venait d’entrer dans la salle, impressionnée par tant de personnes.

La réunion durait depuis plusieurs heures, j’avais écouté toutes les
explications fournies par les parties, et je ne comprenais toujours pas
pourquoi les deux entreprises en étaient arrivées là.

J’avais surtout compris que le support informatique effectué par la
société de service ne s’était pas déroulé correctement et que les deux
entreprises étaient maintenant au bord du gouffre, l’une parce qu’elle
avait perdu toute ses données et l’autre son plus gros client.

Mais après avoir écouté, dans l’ordre de bienséance hiérarchique, les
grands patrons, puis les avocats, les chefs de service et les chefs de
projet, je ne comprenais pas ce qui avait fait tout capoter.

On me parlait de milliers d’euros de pertes par jour, de licenciements,
de dépôt de bilan. Et moi, je ramenais toujours les débats sur le
terrain de l’expertise judiciaire en informatique,
rappelant que mes missions n’incluaient pas l’analyse comptable et
financière de la situation, mais la recherche des causes techniques
(exclusivement).

Bon, j’avais compris dès le début de la réunion que les rapports humains
s’étaient vite envenimés dans cette affaire qui aurait peut-être pu se
régler plus simplement et plus rapidement si les deux parties avaient
usées d’un peu plus de diplomatie…

Enfin quoi, un serveur ne tombe pas en panne en même temps que son
système de sauvegarde: disques durs en miroir (RAID1), sauvegardes
quotidiennes complètes avec rotation sur trois bandes, archivage d’une
bande chaque semaine hors site.

La société de service me décrit un système de sécurité des données
infaillibles, et un suivi des procédures avec traçabilité, etc. « Nous
sommes certifiés ISO machin, vous comprenez, notre société est au
dessus de tout soupçon, nous n’employons que des personnes compétentes,
suivant des formations régulièrement, nous avons mis en place un système
de télésurveillance avec prise de contrôle à distance qui nous permet
de faire des interventions en un temps record… » m’a expliqué de long en large le patron de la SSII.

« Nous payons très cher un service support qui n’a pas été capable d’empêcher ce désastre… »
Me dit le patron de l’entreprise, entre deux invectives, au milieu de
reproches divers sans rapport avec l’affaire qui nous concerne.

Nous avions passé en revu l’accès distant du support via internet, les
fiches ISO machin d’intervention des techniciens, les rapports, les
dossiers techniques, les courriers recommandés.

Moi, je voulais voir la personne qui avait appelé le support…

Elle venait d’entrer dans la salle, impressionnée par tant de personnes.

Je lui pose les questions d’usage: prénom, nom et intitulé de la
fonction au sein de l’entreprise. Dans un silence à la tension palpable,
elle me raconte sa version de cette journée noire.

Elle: « Comme d’habitude, avant de
partir déjeuner, j’ai mis la bande dans le serveur et lancé la
sauvegarde. Je sais que c’est une opération importante alors je la fais
toujours avec précautions. Mon chef m’a dit que les bandes étaient très
chères. »

Moi: « Comment saviez-vous que c’était la bonne bande à placer dans le boîtier? »

Elle: « Les bandes sont numérotées et je dois mettre la bande correspondant au numéro du jour. »

Moi: « Pouvez-vous préciser? J’avais cru comprendre qu’il n’y avait que trois bandes. »

Elle: « Oui, mais la bande numéro 3 a
été mise de côté par le comptable après la clôture des comptes. Il m’a
dit de mettre la bande numéro 1 les jours impairs et la bande numéro 2
les jours pairs. J’ai trouvé cela astucieux, car avant, je devais à
chaque fois noter dans un cahier le numéro de la bande utilisée. »

Moi: « Montrez-moi ce cahier, s’il vous plaît. Donc depuis huit mois les
sauvegardes ne se faisaient que sur deux bandes. Pouvez-vous me dire ce
qui c’est passé à votre retour de pause déjeuner? »

Elle: « Les assistants m’ont appelé
pour me dire que leurs terminaux ne fonctionnaient plus et pour me
demander de redémarrer le serveur. J’y suis allé et j’ai vu que l’écran
était tout bleu avec des inscriptions que je n’ai pas comprises. Avant
de redémarrer le serveur, j’ai appelé le support. Le technicien m’a dit
que cela arrivait de temps en temps et qu’il fallait que je redémarre le
serveur. Je lui ai dit que la sauvegarde ne s’était pas terminée
correctement. Il m’a dit de la relancer. »

Moi: « Vous avez utilisé la même bande? »

Elle: « Oui. C’est d’ailleurs ce que
m’a demandé le technicien lorsque je l’ai rappelé une heure plus tard
pour lui dire que de nouveau plus rien ne fonctionnait et que la
sauvegarde s’était encore mal terminée. Il m’a alors indiqué que la
bande devait être défectueuse et que c’est ça qui devait « planter » le
serveur. Il m’a alors recommandé d’utiliser une autre bande. C’est pour
cela que j’ai mis la bande n°2 alors que ce n’était pas le bon jour. »

Moi: « Vous n’avez pas de bandes neuves? »

Elle: « On ne m’en a pas donné et j’ai cru que c’était parce qu’elles coûtaient cher. »

Moi: « Mais, quand votre chef vous a dit qu’elles avaient de la valeur,
ne voulait-il pas dire cela à cause des données qui étaient stockées
dessus? »

Elle: « Ce n’est pas ce que j’ai compris. On m’a dit qu’elles étaient chères… »

Moi: « Mais en mettant la deuxième bande, ne vous êtes-vous pas dit que
si elle venait également à être effacée, il n’y aurait plus de
sauvegarde? »

Elle: « Non, je n’ai fait que suivre les indications du support… »

Je l’ai regardé sortir de la salle et j’ai eu une pensée émue pour les
gens qui sont les derniers maillons de la chaîne de commandement, les
petites mains. Ce sont souvent elles qui ont les plus grandes
responsabilités in fine.

Mais je n’ai pas oublié l’ensemble des décideurs:

– un disque dur en miroir sans remontée d’alertes et sans surveillance.
Résultat: depuis plusieurs mois, l’un des deux disques était en panne.
Il ne restait plus qu’à attendre la panne du deuxième, ce qui venait
d’arriver pendant le stress généré par la sauvegarde.

– une mauvaise formation des employés concernant le système de
sauvegarde (et le coût des bandes en regard du coût de la perte des
données). Ils n’avaient pas conscience que lorsqu’une sauvegarde
démarre, elle écrase les données précédentes. Si elle est interrompue
brutalement, la bande est inexploitable. Deux bandes inexploitables à
cause d’un disque en train de tomber en panne et toutes les données sont
perdues…

– une prise de contrôle à distance inopérante en cas d’écran bleu qui aurait du déclencher la venue en urgence d’un technicien.

– la décision du support de sacrifier une deuxième bande de sauvegarde
sans s’être renseigné sur l’existence d’une autre bande de sauvegarde récente et en état.

– la décision de retirer une bande du jeu de trois sans prévenir le
support, surtout quand cela annule la sauvegarde hebdomadaire avec
déport hors site.

– l’absence totale d’exercice de restauration de données et de tests des bandes utilisées.

– la situation de quasi abandon du serveur du point de vue physique avec
traces de serpillière sur la carcasse posée à même le sol et sur la
multiprise parafoudre…

Il y avait beaucoup de choses à dire sur le respect de l’état de l’art
par les deux entreprises. Il y a de nombreuses fois où je n’envie pas le
juge qui doit trancher. Je me contente de rester un simple technicien
de l’informatique.

Mais j’ai encore aujourd’hui une pensée pour le dernier maillon de la
chaîne, celui à qui on dit d’appuyer sur le bouton et qui fait tout
exploser…

———————–

Source image xkcd

Les innocents

Publié le par

Lorsqu’un enquêteur me confie un scellé, celui-ci est bien entendu accompagné d’une mission, comme par exemple : « fournir tous les éléments en rapport avec les faits ». Ce type de mission présente une particularité redoutable : il est impossible de prévoir le temps que l’on va mettre pour analyser le contenu du scellé…

Prenons un exemple. Je suis contacté par téléphone par un enquêteur, en général un gendarme ou un policier. Celui-ci évoque quelques éléments de son dossier en rapport avec la mission qu’il compte me confier. Souvent l’enquêteur me demande conseil sur la rédaction exacte de la mission, pour ne pas faire de bourde (exemple de bourde : « imprimer sur papier toutes les images retrouvées ». Je DOIS effectuer la mission, même s’il y a 20 000 images !).

L’enquêteur aime également être précis sur les termes techniques qu’il va utiliser pour décrire la mission, surtout dans un domaine qu’il ne maîtrise pas forcément. Encore que dans le domaine de l’informatique, gendarmes, policiers et magistrats ont énormément progressé ces dernières années. Je trouve de moins en moins de scellés sans disque dur… Et de plus en plus de scellés avec leurs périphériques USB !

Mais je n’arrive quasiment jamais à avoir une réponse à cette question simple : quelle est la taille du ou des disques durs.

Prenons un exemple plus précis : l’enquêteur m’explique que le propriétaire de l’ordinateur est soupçonné d’échanger des images pédopornographiques. Son ordinateur a été placé sous scellé et ma mission, si je l’accepte, est la suivante (vous remarquerez qu’en fait, il y a plusieurs missions):

– réceptionner le scellé et le briser

– faire une copie des données numériques présentes sur les disques durs présents dans le scellé

– rechercher toutes traces d’images pédopornographiques

– rechercher tous les échanges effectués en rapport avec ces images (emails, sites internet, chat, etc.)

– fournir tous les éléments en rapport avec les faits

– placer sur cédérom ou dvd tous les éléments trouvés, en deux exemplaires

– reconstituer le scellé et rédiger un rapport.

En général, l’enquêteur arrive assez vite sur ce qu’il a en tête depuis le début de la conversation : « acceptez-vous la mission ? ».

A ce stade, j’essaye d’en savoir un peu plus : système d’exploitation, taille des disques durs… En général sans succès. J’essaye aussi de négocier la livraison du scellé à mon domicile (souvent possible, mais de moins en moins).

Mais avant tout cela, il me faut accepter la mission et établir un devis, qui doit aussi être accepté par le magistrat qui supervise l’enquête pour que l’expertise démarre. Autant vous dire que le devis est parfaitement pifométrique au nez doigt mouillé. Dans l’affaire qui m’intéresse, j’ai estimé l’analyse à environ 20 heures de travail, parce que je suis un grand naïf et que je me refuse à établir des devis plus réalistes…

Après prise de rendez-vous et dépôt d’une demi-journée de congés payés, le jour J, à l’heure H prévue, l’enquêteur est à ma porte, avec le scellé. Il vérifie mon identité avec un lecteur d’empreinte rétinienne en me demandant mon nom, et je signe les papiers d’acceptation de mission et de réception du scellé.

Il ne me reste plus qu’à jeter le scellé sur un mur pour le briser, et ma première mission est terminée. Je plaisante. J’ouvre le scellé en coupant le cordon de l’étiquette jaunie par le temps (ce type d’étique date probablement du milieu du siècle dernier) attachée subtilement autour de l’ordinateur. Sache, jeune padawan enquêteur, que je m’amuse beaucoup à essayer d’accéder à l’ordinateur SANS briser le scellé. Seul un Chevalier Jedi sait emmailloter correctement un scellé pour que PERSONNE ne puisse l’ouvrir sans le briser.

On s’amuse comme on peut.

C’est à ce moment-là, dans l’affaire en question, que je me suis rendu compte que le scellé contenait un disque dur de 3 To…

Bien bien bien. Je m’équipe comme il faut d’un nouveau NAS pour absorber l’image du disque dur, plus toutes les données extraites. Soit environ 6 To. Rien que ce travail là m’a pris un mois. Entre réglages, tests divers, hésitations, mesures de performances, le temps s’écoule très vite le soir et les week-ends (n’oubliez pas que le reste du temps j’ai un vrai métier).

Je procède, la main tremblante, à la copie du disque dur. Tout est fait pour qu’il ne tombe pas en panne à ce moment là : ventilateur, onduleur, encens et divers rites liés à ma foi. La copie a duré 48h pendant lesquelles j’ai très mal dormi.

Voici venu le temps de l’exploration préalable de la copie du disque dur. C’est un moment que j’aime bien : en effet, au cœur des ténèbres, j’aime l’odeur du napalm au petit matin… Je me promène l’air de rien sur le disque dur pour regarder à qui j’ai affaire.

Ce disque dur avait l’air d’appartenir à quelqu’un de normal.

Mince.

Je procède alors à la récupération de toutes les images présentes sur le disque dur, effacées ou non. Me voici à la tête de dizaine de milliers d’images. Pendant des jours (en fait des nuits), je trie, je regarde, je cherche des images pédopornographiques: rien !

Je vérifie la présence de logiciels de chiffrage, de stéganographie. J’étudie en profondeur la base de registre qui garde trace de… tout en fait: clefs et disques durs USB installées et branchés, logiciels installés, supprimés, etc. Rien d’intéressant !

Je lis tous les documents doc, pdf, txt, cvs, odt, le contenu des zip, 7z, rar, etc. Nenio !

Je cherche tous les fichiers de grandes tailles, je vérifie la présence de containers TrueCrypt ou équivalent. Niente !

Je dresse la liste de tous les logiciels de communication présents (il y en a beaucoup) : Skype, Windows Live, Outlook, Firefox, Chrome, Internet Explorer… Pour chacun, je dis bien POUR CHACUN, il me faut étudier leurs traces, les messages échangés, leurs bases de données, souvent chiffrées d’une manière propriétaire.

Je commence par les outils de messagerie : déchiffrage des bases, analyse des échanges. Patiemment, outils après outils, avec l’aide des sites spécialisés en inforensique, avec les outils développés par la communauté, je cherche des échanges entre pédopornographes, des éléments en rapport avec les faits. Nichts !

L’enquêteur m’appelle de temps en temps pour me presser connaître l’état d’avancement de mes investigations. Je le tiens au courant. Si je trouve quelque chose, j’ai sa ligne directe et un forfait illimité.

J’attaque ensuite les historiques de navigation. Entre les différents comptes des utilisateurs de l’ordinateur, et les fichiers effacés, je me suis retrouvé avec 800 000 fichiers à analyser ! Cookies, URL, données des caches… Un confrère m’a orienté vers un logiciel que je ne connaissais pas : NetAnalysis. Test de la version d’essai, achat à mes frais de la licence, attente de la réception du dongle. Une fois le dongle reçu, j’analyse les données, je reconstitue les pages consultées à partir des données en cache, y compris les caches effacés. Un mois passe. Nada !

L’utilisation de l’ordinateur semble normale : du surf sur des sites pornographiques (internet, c’est pour le porno), des photos de famille, des films d’amateur, de la musique, des accès Youtube, le bon coin, Meetic. Rien d’anormal. Dim !

Je suis dans le cas de figure où l’on creuse partout sans savoir ce que l’on cherche réellement comme cadavre, dans une affaire où il n’y a pas de corps… Il faut me rendre à l’évidence, j’ai affaire à un innocent !

Mince.

Enfin.

300 heures de travail, à la recherche de preuves ignobles, la peur au ventre de tomber sur des images immondes, pour finalement me dire que l’ordinateur semble normal. Que son propriétaire est normal. Que ses utilisateurs sont normaux.

Soulagement.

Je n’ai pas pu m’empêcher néanmoins d’avoir un petit pincement au cœur quand j’ai rédigé ma note de frais et honoraires dans laquelle je mentionne 20 heures de travail. Mais j’ai travaillé pour la France, j’ai blanchi un innocent, je dispose de deux NAS performants et d’une clim pour mon bureau, j’ai appris à me servir d’un logiciel efficace acheté à mes frais. J’ai occupé mes soirées et mes week-ends.

Je suis heureux.

Mais ce sont quand même les innocents qui demandent le plus d’efforts.

————————————

Source image MegaPortail.