Un petit week-end

Publié le 6 août 2013 par Zythom

Dans le cadre des rediffusions estivales, le billet du jour, publié en septembre 2009, raconte une anecdote terrible que j’ai vécue lors d’une expertise judiciaire. J’en ai encore des frissons.

Bonne (re)lecture et bon courage.

—————————–

Elle est vêtue de vêtements chatoyants et court sur une route de terre.
Plusieurs personnes courent avec elle. La vidéo n’est pas de très bonne
qualité. On ne distingue pas bien ce que ces personnes tiennent à la
main.

Le vidéaste zoome maladroitement.

Optiquement la femme s’approche de moi, simple téléspectateur sur mon
écran d’ordinateur, et je constate que les personnes qui courent avec
elle sont des hommes, munis de machettes, qui courent après elle.

L’un d’eux la rattrape et lui plante la machette dans le crane.

Les yeux de la femme sont exorbités alors qu’elle hurle en tombant. La
vidéo n’a pas de son mais son cri me saute au yeux. L’homme itère son
geste et lui fait éclater le crane.

Des morceaux de cervelle s’éparpillent sur la piste, alors que les derniers poursuivants arrivent à sa hauteur.

Ils rient.

Et moi, malgré mes dix années d’expérience comme expert judiciaire, je pleure.

Cette séquence, je viens de la subir en visionnant le contenu d’un
disque dur mis sous scellé. Comme d’habitude, le magistrat m’a missionné
pour analyser le disque dur à la recherche d’images et de films
pédopornographiques. Et comme d’habitude, je visionne un nombre
important d’images et de films, parmi lesquels se trouve un nombre
important d’images et de films pornographiques, parmi lesquels peuvent
se trouver cachés un certain nombre d’images et de films
pédopornographiques… et ce film tourné probablement pendant les
massacres du Rwanda.

Et je dois visionner chaque film pour remplir ma mission correctement.

Ceux qui pensent que la violence présente à la télévision ou au cinéma
banalise la violence réelle se trompent. Je regarde avec frissons « Le
silence des agneaux », « Hannibal », « Alien » ou tout autre slasher movie.
Mais tout est faux. « C’est du cinéma ». Même quand c’est tiré d’un fait
réel, le spectateur sait qu’il assiste à une mise en scène.

Mais quand on « sent » que c’est vrai, que les images sont réelles, c’est
très différent. On assiste à la mort violente d’une personne et on n’y
est pas préparé. Peut-on s’y préparer d’ailleurs? Même les 20 premières
minutes de « Il faut sauver le soldat Ryan » ne m’ont pas préparé à ça. Et
pourtant elles m’ont secoué.

J’ai survolé très rapidement le reste de la vidéo pour m’assurer
qu’aucune scène pédopornographique n’avait été insérée au milieu de ces
scènes de massacres. Il n’y en avait aucune. Je n’en ai pas trouvé
d’ailleurs sur ce disque dur. Juste de la pornographie. Et cette vidéo
de massacres dans un fichier portant un nom de film pornographique.

Mais cette scène restera gravée dans mon esprit.

La France ne peut accueillir toute la misère du monde, mais elle doit savoir en prendre fidèlement sa part. J’ai eu ma part pour ce week-end.

C’était juste un petit week-end pour un petit expert judiciaire de province.

Le dernier maillon…

Publié le 23 juillet 2013 par Zythom

Cette année 2013 a jusque là été plutôt chargée, tant du point de vue professionnel, que du point de vue des expertises judiciaires ou de la préparation de la campagne des élections municipales… C’est aussi une bien belle année du côté privé, avec par exemple l’arrivée des 50 ans et la fête que mes amis viennent de m’offrir 😉

Dans les semaines qui viennent, je vais essayer de profiter de ma petite famille. Je vais donc délaisser un peu ce blog. Mais je sais que vous avez de la lecture avec la parution récente du tome 4, qui permet aux retardataires d’avoir une lecture ciblée de billets sélectionnés. Je remercie au passage tous ceux qui ont acheté ou téléchargé les différents tomes du blog. Cela me fait plaisir de voir que ce modeste blog perso suscite un tel intérêt.

Du coup, je vous ai programmé
quelques billets qui sont des rediffusions d’anciens billets du blog
auxquels je souhaite donner une seconde chance, en général parce qu’ils
ont une place particulière dans mon cœur. Pour repérer rapidement ces
rediffusions, je commencerai toujours les billets par « Dans le cadre des
rediffusions estivales » 😉

Dans le cadre des rediffusions estivales, le billet du jour, publié en août 2009, raconte une anecdote judiciaire où j’ai voulu mettre en avant le rôle des petites mains qui forment souvent le cœur des entreprises. C’est un billet pour lequel j’ai une certaine tendresse.

Bonne (re)lecture.

—————————————

Elle venait d’entrer dans la salle, impressionnée par tant de personnes.

La réunion durait depuis plusieurs heures, j’avais écouté toutes les
explications fournies par les parties, et je ne comprenais toujours pas
pourquoi les deux entreprises en étaient arrivées là.

J’avais surtout compris que le support informatique effectué par la
société de service ne s’était pas déroulé correctement et que les deux
entreprises étaient maintenant au bord du gouffre, l’une parce qu’elle
avait perdu toute ses données et l’autre son plus gros client.

Mais après avoir écouté, dans l’ordre de bienséance hiérarchique, les
grands patrons, puis les avocats, les chefs de service et les chefs de
projet, je ne comprenais pas ce qui avait fait tout capoter.

On me parlait de milliers d’euros de pertes par jour, de licenciements,
de dépôt de bilan. Et moi, je ramenais toujours les débats sur le
terrain de l’expertise judiciaire en informatique,
rappelant que mes missions n’incluaient pas l’analyse comptable et
financière de la situation, mais la recherche des causes techniques
(exclusivement).

Bon, j’avais compris dès le début de la réunion que les rapports humains
s’étaient vite envenimés dans cette affaire qui aurait peut-être pu se
régler plus simplement et plus rapidement si les deux parties avaient
usées d’un peu plus de diplomatie…

Enfin quoi, un serveur ne tombe pas en panne en même temps que son
système de sauvegarde: disques durs en miroir (RAID1), sauvegardes
quotidiennes complètes avec rotation sur trois bandes, archivage d’une
bande chaque semaine hors site.

La société de service me décrit un système de sécurité des données
infaillibles, et un suivi des procédures avec traçabilité, etc. « Nous
sommes certifiés ISO machin, vous comprenez, notre société est au
dessus de tout soupçon, nous n’employons que des personnes compétentes,
suivant des formations régulièrement, nous avons mis en place un système
de télésurveillance avec prise de contrôle à distance qui nous permet
de faire des interventions en un temps record… » m’a expliqué de long en large le patron de la SSII.

« Nous payons très cher un service support qui n’a pas été capable d’empêcher ce désastre… »
Me dit le patron de l’entreprise, entre deux invectives, au milieu de
reproches divers sans rapport avec l’affaire qui nous concerne.

Nous avions passé en revu l’accès distant du support via internet, les
fiches ISO machin d’intervention des techniciens, les rapports, les
dossiers techniques, les courriers recommandés.

Moi, je voulais voir la personne qui avait appelé le support…

Elle venait d’entrer dans la salle, impressionnée par tant de personnes.

Je lui pose les questions d’usage: prénom, nom et intitulé de la
fonction au sein de l’entreprise. Dans un silence à la tension palpable,
elle me raconte sa version de cette journée noire.

Elle: « Comme d’habitude, avant de
partir déjeuner, j’ai mis la bande dans le serveur et lancé la
sauvegarde. Je sais que c’est une opération importante alors je la fais
toujours avec précautions. Mon chef m’a dit que les bandes étaient très
chères. »

Moi: « Comment saviez-vous que c’était la bonne bande à placer dans le boîtier? »

Elle: « Les bandes sont numérotées et je dois mettre la bande correspondant au numéro du jour. »

Moi: « Pouvez-vous préciser? J’avais cru comprendre qu’il n’y avait que trois bandes. »

Elle: « Oui, mais la bande numéro 3 a
été mise de côté par le comptable après la clôture des comptes. Il m’a
dit de mettre la bande numéro 1 les jours impairs et la bande numéro 2
les jours pairs. J’ai trouvé cela astucieux, car avant, je devais à
chaque fois noter dans un cahier le numéro de la bande utilisée. »

Moi: « Montrez-moi ce cahier, s’il vous plaît. Donc depuis huit mois les
sauvegardes ne se faisaient que sur deux bandes. Pouvez-vous me dire ce
qui c’est passé à votre retour de pause déjeuner? »

Elle: « Les assistants m’ont appelé
pour me dire que leurs terminaux ne fonctionnaient plus et pour me
demander de redémarrer le serveur. J’y suis allé et j’ai vu que l’écran
était tout bleu avec des inscriptions que je n’ai pas comprises. Avant
de redémarrer le serveur, j’ai appelé le support. Le technicien m’a dit
que cela arrivait de temps en temps et qu’il fallait que je redémarre le
serveur. Je lui ai dit que la sauvegarde ne s’était pas terminée
correctement. Il m’a dit de la relancer. »

Moi: « Vous avez utilisé la même bande? »

Elle: « Oui. C’est d’ailleurs ce que
m’a demandé le technicien lorsque je l’ai rappelé une heure plus tard
pour lui dire que de nouveau plus rien ne fonctionnait et que la
sauvegarde s’était encore mal terminée. Il m’a alors indiqué que la
bande devait être défectueuse et que c’est ça qui devait « planter » le
serveur. Il m’a alors recommandé d’utiliser une autre bande. C’est pour
cela que j’ai mis la bande n°2 alors que ce n’était pas le bon jour. »

Moi: « Vous n’avez pas de bandes neuves? »

Elle: « On ne m’en a pas donné et j’ai cru que c’était parce qu’elles coûtaient cher. »

Moi: « Mais, quand votre chef vous a dit qu’elles avaient de la valeur,
ne voulait-il pas dire cela à cause des données qui étaient stockées
dessus? »

Elle: « Ce n’est pas ce que j’ai compris. On m’a dit qu’elles étaient chères… »

Moi: « Mais en mettant la deuxième bande, ne vous êtes-vous pas dit que
si elle venait également à être effacée, il n’y aurait plus de
sauvegarde? »

Elle: « Non, je n’ai fait que suivre les indications du support… »

Je l’ai regardé sortir de la salle et j’ai eu une pensée émue pour les
gens qui sont les derniers maillons de la chaîne de commandement, les
petites mains. Ce sont souvent elles qui ont les plus grandes
responsabilités in fine.

Mais je n’ai pas oublié l’ensemble des décideurs:

– un disque dur en miroir sans remontée d’alertes et sans surveillance.
Résultat: depuis plusieurs mois, l’un des deux disques était en panne.
Il ne restait plus qu’à attendre la panne du deuxième, ce qui venait
d’arriver pendant le stress généré par la sauvegarde.

– une mauvaise formation des employés concernant le système de
sauvegarde (et le coût des bandes en regard du coût de la perte des
données). Ils n’avaient pas conscience que lorsqu’une sauvegarde
démarre, elle écrase les données précédentes. Si elle est interrompue
brutalement, la bande est inexploitable. Deux bandes inexploitables à
cause d’un disque en train de tomber en panne et toutes les données sont
perdues…

– une prise de contrôle à distance inopérante en cas d’écran bleu qui aurait du déclencher la venue en urgence d’un technicien.

– la décision du support de sacrifier une deuxième bande de sauvegarde
sans s’être renseigné sur l’existence d’une autre bande de sauvegarde récente et en état.

– la décision de retirer une bande du jeu de trois sans prévenir le
support, surtout quand cela annule la sauvegarde hebdomadaire avec
déport hors site.

– l’absence totale d’exercice de restauration de données et de tests des bandes utilisées.

– la situation de quasi abandon du serveur du point de vue physique avec
traces de serpillière sur la carcasse posée à même le sol et sur la
multiprise parafoudre…

Il y avait beaucoup de choses à dire sur le respect de l’état de l’art
par les deux entreprises. Il y a de nombreuses fois où je n’envie pas le
juge qui doit trancher. Je me contente de rester un simple technicien
de l’informatique.

Mais j’ai encore aujourd’hui une pensée pour le dernier maillon de la
chaîne, celui à qui on dit d’appuyer sur le bouton et qui fait tout
exploser…

———————–

Source image xkcd

Les innocents

Publié le 15 juillet 2013 par Zythom

Lorsqu’un enquêteur me confie un scellé, celui-ci est bien entendu accompagné d’une mission, comme par exemple : « fournir tous les éléments en rapport avec les faits ». Ce type de mission présente une particularité redoutable : il est impossible de prévoir le temps que l’on va mettre pour analyser le contenu du scellé…

Prenons un exemple. Je suis contacté par téléphone par un enquêteur, en général un gendarme ou un policier. Celui-ci évoque quelques éléments de son dossier en rapport avec la mission qu’il compte me confier. Souvent l’enquêteur me demande conseil sur la rédaction exacte de la mission, pour ne pas faire de bourde (exemple de bourde : « imprimer sur papier toutes les images retrouvées ». Je DOIS effectuer la mission, même s’il y a 20 000 images !).

L’enquêteur aime également être précis sur les termes techniques qu’il va utiliser pour décrire la mission, surtout dans un domaine qu’il ne maîtrise pas forcément. Encore que dans le domaine de l’informatique, gendarmes, policiers et magistrats ont énormément progressé ces dernières années. Je trouve de moins en moins de scellés sans disque dur… Et de plus en plus de scellés avec leurs périphériques USB !

Mais je n’arrive quasiment jamais à avoir une réponse à cette question simple : quelle est la taille du ou des disques durs.

Prenons un exemple plus précis : l’enquêteur m’explique que le propriétaire de l’ordinateur est soupçonné d’échanger des images pédopornographiques. Son ordinateur a été placé sous scellé et ma mission, si je l’accepte, est la suivante (vous remarquerez qu’en fait, il y a plusieurs missions):

– réceptionner le scellé et le briser

– faire une copie des données numériques présentes sur les disques durs présents dans le scellé

– rechercher toutes traces d’images pédopornographiques

– rechercher tous les échanges effectués en rapport avec ces images (emails, sites internet, chat, etc.)

– fournir tous les éléments en rapport avec les faits

– placer sur cédérom ou dvd tous les éléments trouvés, en deux exemplaires

– reconstituer le scellé et rédiger un rapport.

En général, l’enquêteur arrive assez vite sur ce qu’il a en tête depuis le début de la conversation : « acceptez-vous la mission ? ».

A ce stade, j’essaye d’en savoir un peu plus : système d’exploitation, taille des disques durs… En général sans succès. J’essaye aussi de négocier la livraison du scellé à mon domicile (souvent possible, mais de moins en moins).

Mais avant tout cela, il me faut accepter la mission et établir un devis, qui doit aussi être accepté par le magistrat qui supervise l’enquête pour que l’expertise démarre. Autant vous dire que le devis est parfaitement pifométrique au ~~nez~~ doigt mouillé. Dans l’affaire qui m’intéresse, j’ai estimé l’analyse à environ 20 heures de travail, parce que je suis un grand naïf et que je me refuse à établir des devis plus réalistes…

Après prise de rendez-vous et dépôt d’une demi-journée de congés payés, le jour J, à l’heure H prévue, l’enquêteur est à ma porte, avec le scellé. Il vérifie mon identité ~~avec un lecteur d’empreinte rétinienne~~ en me demandant mon nom, et je signe les papiers d’acceptation de mission et de réception du scellé.

Il ne me reste plus qu’à jeter le scellé sur un mur pour le briser, et ma première mission est terminée. Je plaisante. J’ouvre le scellé en coupant le cordon de l’étiquette jaunie par le temps (ce type d’étique date probablement du milieu du siècle dernier) attachée subtilement autour de l’ordinateur. Sache, jeune padawan enquêteur, que je m’amuse beaucoup à essayer d’accéder à l’ordinateur SANS briser le scellé. Seul un Chevalier Jedi sait emmailloter correctement un scellé pour que PERSONNE ne puisse l’ouvrir sans le briser.

On s’amuse comme on peut.

C’est à ce moment-là, dans l’affaire en question, que je me suis rendu compte que le scellé contenait un disque dur de 3 To…

Bien bien bien. Je m’équipe comme il faut d’un nouveau NAS pour absorber l’image du disque dur, plus toutes les données extraites. Soit environ 6 To. Rien que ce travail là m’a pris un mois. Entre réglages, tests divers, hésitations, mesures de performances, le temps s’écoule très vite le soir et les week-ends (n’oubliez pas que le reste du temps j’ai un vrai métier).

Je procède, la main tremblante, à la copie du disque dur. Tout est fait pour qu’il ne tombe pas en panne à ce moment là : ventilateur, onduleur, encens et divers rites liés à ma foi. La copie a duré 48h pendant lesquelles j’ai très mal dormi.

Voici venu le temps de l’exploration préalable de la copie du disque dur. C’est un moment que j’aime bien : en effet, au cœur des ténèbres, j’aime l’odeur du napalm au petit matin… Je me promène l’air de rien sur le disque dur pour regarder à qui j’ai affaire.

Ce disque dur avait l’air d’appartenir à quelqu’un de normal.

Mince.

Je procède alors à la récupération de toutes les images présentes sur le disque dur, effacées ou non. Me voici à la tête de dizaine de milliers d’images. Pendant des jours (en fait des nuits), je trie, je regarde, je cherche des images pédopornographiques: rien !

Je vérifie la présence de logiciels de chiffrage, de stéganographie. J’étudie en profondeur la base de registre qui garde trace de… tout en fait: clefs et disques durs USB installées et branchés, logiciels installés, supprimés, etc. Rien d’intéressant !

Je lis tous les documents doc, pdf, txt, cvs, odt, le contenu des zip, 7z, rar, etc. Nenio !

Je cherche tous les fichiers de grandes tailles, je vérifie la présence de containers TrueCrypt ou équivalent. Niente !

Je dresse la liste de tous les logiciels de communication présents (il y en a beaucoup) : Skype, Windows Live, Outlook, Firefox, Chrome, Internet Explorer… Pour chacun, je dis bien POUR CHACUN, il me faut étudier leurs traces, les messages échangés, leurs bases de données, souvent chiffrées d’une manière propriétaire.

Je commence par les outils de messagerie : déchiffrage des bases, analyse des échanges. Patiemment, outils après outils, avec l’aide des sites spécialisés en inforensique, avec les outils développés par la communauté, je cherche des échanges entre pédopornographes, des éléments en rapport avec les faits. Nichts !

L’enquêteur m’appelle de temps en temps pour ~~me presser~~ connaître l’état d’avancement de mes investigations. Je le tiens au courant. Si je trouve quelque chose, j’ai sa ligne directe et un forfait illimité.

J’attaque ensuite les historiques de navigation. Entre les différents comptes des utilisateurs de l’ordinateur, et les fichiers effacés, je me suis retrouvé avec 800 000 fichiers à analyser ! Cookies, URL, données des caches… Un confrère m’a orienté vers un logiciel que je ne connaissais pas : NetAnalysis. Test de la version d’essai, achat à mes frais de la licence, attente de la réception du dongle. Une fois le dongle reçu, j’analyse les données, je reconstitue les pages consultées à partir des données en cache, y compris les caches effacés. Un mois passe. Nada !

L’utilisation de l’ordinateur semble normale : du surf sur des sites pornographiques (internet, c’est pour le porno), des photos de famille, des films d’amateur, de la musique, des accès Youtube, le bon coin, Meetic. Rien d’anormal. Dim !

Je suis dans le cas de figure où l’on creuse partout sans savoir ce que l’on cherche réellement comme cadavre, dans une affaire où il n’y a pas de corps… Il faut me rendre à l’évidence, j’ai affaire à un innocent !

Mince.

Enfin.

300 heures de travail, à la recherche de preuves ignobles, la peur au ventre de tomber sur des images immondes, pour finalement me dire que l’ordinateur semble normal. Que son propriétaire est normal. Que ses utilisateurs sont normaux.

Soulagement.

Je n’ai pas pu m’empêcher néanmoins d’avoir un petit pincement au cœur quand j’ai rédigé ma note de frais et honoraires dans laquelle je mentionne 20 heures de travail. Mais j’ai travaillé pour la France, j’ai blanchi un innocent, je dispose de deux NAS performants et d’une clim pour mon bureau, j’ai appris à me servir d’un logiciel efficace acheté à mes frais. J’ai occupé mes soirées et mes week-ends.

Je suis heureux.

Mais ce sont quand même les innocents qui demandent le plus d’efforts.

————————————

Source image MegaPortail.

Léo 7 ans

Publié le 14 février 2013 par Zythom

Léo a sept ans. C’est un petit garçon volontaire. Il me dévisage sans peur, mais avec une lueur d’incompréhension dans le regard.

Il est 6h30 du matin.

J’accompagne un huissier de justice, avec un serrurier et deux policiers. Cinq hommes étrangers viennent d’entrer dans l’univers familier de Léo. Et de le réveiller.

Léo vit avec sa maman et son petit frère. Son papa est parti peu après la naissance du dernier. Sa mère a, paraît-il, commis un délit qui nous amène à cette perquisition matinale. Mais Léo n’en sait rien. Il s’interroge sur le bruit de la sonnette à 6h du matin. Il a entendu sa maman ouvrir la porte, puis des grosses voix dans l’entrée de la maison. Inquiet, il s’est levé et a appelé sa mère. Elle a tardé à venir le rassurer. Il est donc sorti courageusement de sa chambre.

Il est là devant moi, dans le couloir.

Je mets un genou à terre pour que mon regard soit au même niveau que le sien. Je suis un peu paniqué car mon domaine d’intervention à moi, ce sont les ordinateurs. Mon rôle dans cette perquisition consiste à suivre l’ordonnance du magistrat qui recherche des données précises « sur tout support informatique présent dans la maison ».

Je n’avais pas prévu de me retrouver face à un petit garçon affrontant un danger inconnu de lui.

Mon cerveau tourne à plein régime. Il ne me connaît pas, donc je ne peux pas me montrer familier en lui prenant la main. Je me demande ce que j’aurais aimé que quelqu’un dise à mes enfants en pareille situation.

Je lui fais un grand sourire. Je force mon visage à se détendre: « Ta maman a un petit problème avec son ordinateur. Nous sommes venus pour voir si on peut le réparer. »

C’est la seule chose qui m’est venue à l’esprit.

La mère de Léo est derrière moi et m’a entendu. Malgré son stress intense et la violence de l’intrusion dans son espace privé, elle comprend mon intention. Elle s’approche de Léo en souriant et lui confirme que nous sommes là pour résoudre un problème informatique.

Léo, sept ans, est rassuré mais continue de me regarder un peu inquiet: « J’espère que ce n’est pas mon nouveau jeu qui a abimé l’ordinateur de maman? »

Mon cœur se brise, mais aucun muscle de mon visage ne bouge. Je lui réponds qu’il y a peu de chance et que je suis sûr que c’est autre chose. C’est si compliqué les ordinateurs.

La dernière image que j’aurai de Léo est son départ pour l’école accompagné par une voisine et tenant son petit frère par la main. Je lui ai fait un petit signe de la main avec le pouce levé.

J’ai aussi fait en sorte que l’ordinateur soit toujours en état de fonctionner normalement avant le soir.

Mais que c’est dur une perquisition.

Assistance à Huissier

Publié le 20 novembre 2012 par Zythom

La tension est palpable dans la pièce trop petite pour tout ce monde. Je suis assis devant l’ordinateur en train de regarder son contenu. A côté de moi, l’huissier prend des notes sur toutes les manipulations que j’effectue. En face de moi, le salarié, assisté d’un délégué du personnel. Dans un coin de la pièce, le directeur de l’usine, très remonté. A ses côtés, un informaticien bien embêté.

Je suis en pleine mission d’assistance à huissier.

Tout le monde attend beaucoup de moi.

Je préviens tout de suite les personnes présentes que je ne suis pas Dieu, que je vais avoir besoin d’un certain nombre d’informations pour pouvoir faire mes recherches sur le poste de travail… Le responsable informatique hoche la tête.

Je demande si le PC ne peut pas être mis sous scellé pour une analyse inforensique différée. Non, l’ordinateur contient des données importantes pour la production de l’entreprise, des clefs matérielles permettant de faire fonctionner des logiciels vitaux. Il faut faire une analyse in situ, là maintenant.

J’allume le PC. Le système d’exploitation est un classique Windows XP en mode domaine. Je demande les mots de passe des comptes utilisateur et administrateur concernés. L’huissier prend des notes, me demande d’aller doucement. Je me connecte en tant qu’administrateur local de la machine.

L’huissier note tout ce que je fais. Il me demande d’expliquer en termes simples la manipulation que j’effectue et pourquoi je la fais. On n’est pas sorti de l’auberge. Surtout que je ne sais pas vraiment ce que je dois chercher.

« Cela fait deux fois que le fichier des clients est modifié alors que je suis absent et que je suis le seul à pouvoir y accéder ! » Tonne le directeur de l’usine. L’informaticien m’explique que les fichiers de log du serveur montrent des accès en provenance de cet ordinateur, sur lequel le directeur affirme n’avoir jamais travaillé.

Tout le monde parle en même temps, le salarié accusé, le délégué du personnel, le directeur de l’usine… Je ne suis pas là pour animer la réunion, ni l’huissier d’ailleurs. Je regarde tout le monde s’énerver. Je suis l’observateur privilégié d’un drame interne de l’entreprise.

Je n’ai aucune idée de la méthode que je dois suivre pour prouver l’utilisation frauduleuse d’un compte sur l’ordinateur. Pourtant on attend de moi une tâche impossible: dire qui a piraté le compte du directeur et comment. Je demande les logs d’accès au serveur Windows 2003. L’informaticien est un peu embêté. Il m’explique que du fait d’une panne de disque dur et d’un remplacement à la va vite par un disque plus petit, il a fallu faire de la place, que la réinstallation du serveur a été faite très vite, que les logs d’accès sont minimalistes. Bref, une sécurité bâclée. Mais je sais que le compte informatique a été utilisé sur le poste devant lequel je me trouve. En tout cas, semble l’avoir été. En fait, je sais très peu de chose, mais qu’un salarié est accusé.

J’ai été appelé la veille, par l’huissier de justice, qui voulait
savoir si j’étais disponible pour une intervention en entreprise prévue
le lendemain matin.

Z : « Mais une intervention sur quel type de matériel et pour y rechercher quoi ? »

H : « Un salarié est accusé d’avoir modifié des données sur le serveur. »

Z : « Ah bon ? Mais quel type de serveur, quel système informatique ? »

H : « Ah ça, je ne sais pas. Mais il faut qu’on y soit à 8h demain matin. »

Z : « Gmblmblmbl. Je vérifie mon agenda et j’appelle mon patron pour voir si je peux me libérer et je vous rappelle. »

Me voilà donc à 8h dans un bureau où tout le monde me regarde. Je regarde les logiciels installés sur l’ordinateur. Je demande des explications pour certains d’entre eux. L’informaticien me renseigne. L’huissier prend des notes. Rien ne semble anormal.

Je demande au directeur de l’usine de me donner son mot de passe: « Vlehd233 » me répond-il. Je note scrupuleusement, en faisant répéter. Il me précise qu’il a changé le mot de passe depuis, mais que c’est celui-là qu’il utilisait depuis longtemps.

Je lance une recherche de cette chaîne de caractères sur tous les fichiers du disque dur. J’explique à l’huissier qui prend bonne note. Rien. Je procède à la récupération de tous les fichiers effacés de l’ordinateur et regarde la liste des fichiers.

Un exécutable attire mon attention: unshadow.exe

A partir de mon ordinateur portable, j’effectue une petite recherche sur internet… John The Ripper. Ce bon vieux JTR, que j’utilisais il y a des années pour tester la fiabilité des mots de passe de mes étudiants. Je note la date du fichier. Je trie par ordre des dates la liste des fichiers récupérables. Je repère tout un groupe de fichiers ayant la même date. Je restaure le répertoire parent. Dans le dossier, je retrouve des fichiers textes, dont un contenant la chaîne de caractères « Vlehd233 ».

Je lève les yeux sur le salarié et lui demande pourquoi je trouve trace du logiciel « John The Riper » sur son poste de travail, ainsi que la présence du mot de passe du directeur de l’usine dans le même répertoire.

L’huissier prend note de ses explications.

J’ai fini mon intervention. Je range mon matériel en mesurant le bol que j’ai eu. Depuis, je refuse de travailler ainsi au petit bonheur la chance. Chacun son métier.

Je ne suis pas spécialiste en sécurité informatique.

Les Assises

Publié le 8 novembre 2012 par Zythom

J’aime bien discuter avec d’autres experts judiciaires, et faire un retour d’expérience sur tel ou tel point technique de nos activités. Récemment, j’ai rencontré un expert judiciaire qui a vécu une expérience qu’il n’oubliera pas : témoigner dans un procès d’assises. Il a accepté que je rédige un billet sur son expérience pour vous la faire partager ici. Comme il est d’usage sur ce blog, les dates, lieux, sexes et noms des personnes ont été modifiés. L’expert judiciaire s’appellera Luwin.

———————————————-

Le tribunal est silencieux pendant que je m’avance jusqu’à la barre. Nous sommes aux Assises et je dois témoigner en tant qu’expert judiciaire en informatique.

Il y a quelques semaines, un huissier est venu me délivrer une « citation à expert devant la cour d’assises ». Je suis appelé à témoigner en personne, c’est ce qui est inscrit. Ouf, c’est la cour d’assises de mon département. La dernière fois c’était à l’autre bout de la France. Je regarde les dates : mince, ça coince, entre les cours aux étudiants et des réunions prévues depuis plusieurs mois.

L’affaire ? Ah, oui, je me souviens. Quelques années auparavant, j’ai été désigné dans ce dossier pour analyser le contenu d’un ordinateur et y retrouver des vidéos tournées par l’accusé. Sale affaire. Les victimes sont des adolescents, encore enfants au moment des faits reprochés. Des faits graves.

Après les copies d’usage, et au premier abord, l’ordinateur était vierge de vidéos. Puis j’ai utilisé mes outils fétiches, comme Defrazer du NFI. Une par une, des vidéos sont reconstituées par les outils. Cela a pris des heures, des jours. Elles étaient toutes effacées, présentes uniquement sous forme de traces. Les vidéos n’ont plus de nom, le système de fichier les a oubliés. C’est donc moi qui les nomme, car il faut bien qualifier le contenu, décrire l’insoutenable.

Je sais que je n’ai pas retrouvé toutes les vidéos, que certaines sont incomplètes, que la plupart n’ont pas le son associé. Mais il n’y a pas à se méprendre : l’accusé est sur les vidéos, les petits garçons aussi. Ce qui était la parole d’un jeune garçon sur un procès-verbal d’audition devenait la réalité devant mes yeux. Je me suis alors rendu compte que seul l’accusé et moi avions vu ces vidéos.

Je dissipe mes souvenirs et contacte le greffe de la cour d’assises. Revenons sur Terre. Par chance la date et l’heure prévues pour l’audition tombent dans un créneau horaire libre. Dans le passé, il m’est déjà arrivé de faire changer la date ou l’heure d’audition. Tant que l’on s’y prend suffisamment tôt, et que l’ordonnancement des auditions est flexible, le greffe est conciliant.

Puis je m’enquiers du nom du président de la cour. Une question me dérange : dois-je présenter les vidéos aux jurés ? En effet ces vidéos sont présentes dans le rapport, sous forme d’annexes numériques, mais les jurés n’en ont pas connaissance. Ni du rapport d’ailleurs. Le greffier m’explique que la salle d’audience est toute neuve et que l’on peut projeter sur trois écrans (deux en face des jurés, un derrière eux), et m’indique le nom et le téléphone du magistrat.

Avant de l’appeler je ressors le rapport de mes archives. Le dossier comporte beaucoup de dates, d’éléments techniques. Je me replonge dans l’affaire, me remémore ces détails troublants comme ces courriers de l’accusé vers ses victimes, ou ses navigations Internet.

Je contacte le magistrat, qui prend le temps de m’expliquer le déroulement des assises. Il ne voit pas d’objection à ce que les vidéos soient projetées : il s’agit d’un élément central du dossier.

Cela m’a tétanisé.

Il y a un fossé entre un travail technique et scientifique solitaire dans son laboratoire et la présentation des résultats devant une assemblée, surtout lorsqu’il s’agit d’une cour d’assises, avec l’avenir d’un homme en jeu. Je n’ose même pas imaginer ce que devait être une cour d’assises quand la peine de mort existait. Puis je visionne à nouveau les vidéos, revois les victimes. Pour que l’œuvre de justice soit complète, je dois témoigner. C’est le jury qui décidera.

Le mieux à faire dans ces cas-là est de bien se préparer et de gérer tant que faire se peut la montée du stress. D’abord on contacte les collègues plus aguerris, ceux qui sont déjà passé par là. Tous répondent en prodiguant moult conseils, me soutiennent et m’encouragent, j’écoute beaucoup. Je sens bien qu’il est assez rare qu’un expert judiciaire en informatique vienne en personne dans un procès d’assises. Pour un expert psychiatre ou légiste, il doit s’agir d’une routine.

Puis viennent les inquiétudes techniques : comment faut-il faire pour projeter des séquences vidéos dans un tribunal ? Comment sont-ils équipés ? Que faut-il amener ?

J’ai bien entendu le greffier, mais je suis de nature méfiante. D’autant plus que je n’aurai pas le temps de « visiter » la salle avant d’y aller. La salle est neuve m’a assuré l’huissier, il ne devrait pas y avoir de problème particulier. Mais je décide de doubler le matériel en amenant mon propre vidéoprojecteur, deux ordinateurs portables, des clés USB et un DVDRom avec tout mon dossier gravé. Et une rallonge électrique. Et une multiprise. On ne sait jamais.

Le jour J approche. La tension monte.

Je mets à disposition chaque moment « libre » pour préparer le plan de mon « témoignage ». Aux assises, la procédure est orale, c’est-à-dire que les témoins doivent puiser dans leur mémoire les réponses aux questions. Quand il s’agit d’informatique, il est matériellement impossible de se souvenir de tous les fichiers, dates, éléments du dossier, sans avoir recours à la consultation du rapport. Les présidents de cour m’ont toujours autorisé à avoir recours à mes notes, à condition bien sûr de ne pas me plonger dans le rapport pour en faire la lecture à voix haute. Disons que le rapport est plutôt vu comme un aide-mémoire. Cela me rassure, car même si je suis sûr de venir à la barre avec tout le rapport en tête, tellement je l’aurai lu et relu, je ne suis pas à l’abri d’un trou de mémoire sur une question inattendue.

Je rédige alors un mémo, de trois pages au maximum, écrit gros car ma vue baisse, qui reprend les étapes principales de mon rapport.

Jour J.

J’arrive une heure et demi avant le début de l’audience. Je n’arrivais pas à dormir et je déteste arriver en retard. J’en profite pour prendre un expresso au « café du palais » (il y a toujours un « café du palais » à côté d’un tribunal). Je découvre alors dans le journal le contexte complet de l’affaire dans laquelle j’interviens. Auparavant je n’avais que l’ordonnance de commission d’expert et uniquement les informations nécessaires à la mission d’expertise. C’est encore plus glauque que prévu.

Le tribunal ouvre ses portes. Il n’y a presque personne. Je présente ma carte d’expert au portique d’entrée, ce qui me permet de ne pas sortir tout mon attirail de mes sacs.

Je me rends dans la salle, il n’y a personne. J’attends patiemment et au bout d’un moment l’huissier audiencier arrive. Il m’informe que la journée d’hier a été très longue et que ce matin nous aurons aussi le témoignage d’un militaire, initialement prévu la vieille, avant que je puisse passer. Bon.

Je demande si je peux commencer à brancher mon matériel. L’huissier me CRIE qu’il ne comprend rien au matériel. Je lui CRIE en retour de m’indiquer qui peut m’aider. Nous CRIIONS de concert non pas par énervement, mais parce que la pluie vient de tomber, et résonne de manière phénoménale dans la salle d’audience, située au dernier étage. Je comprends néanmoins que c’est le greffier « qui sait ». Le greffier arrive peu de temps après, avec l’arrêt de la pluie. « Ah, vous avez pris votre ordinateur ? Mais je ne sais pas comment on le branche, c’est tout neuf ici, vous n’avez pas une clé USB ? ». J’explique que j’ai les logiciels nécessaire au visionnage des vidéos sur mon PC, que je le maîtrise, et que je préférerais le garder, s’il vous plaît, merci. Le greffier n’y voit aucun inconvénient mais me laisse me débrouiller, il faut simplement que son ordinateur à lui continue de fonctionner.

L’endroit où je vais témoigner est en face du Président de la cour. C’est un pupitre, avec un micro. C’est tout. Pas de prise électrique ou vidéo. Je récupère une prise vidéo attachée à la caméra de document et une prise électrique vers le greffier. Je connecte mon portable : fils trop courts, je ne parviens pas jusqu’au pupitre. Je laisse donc mon ordinateur vers le greffier, je me déplacerai.

L’heure de début d’audience arrive et la salle s’est remplie. Finalement, de me concentrer sur les petits aléas techniques m’a permis d’ « oublier » là où j’étais. Mais je sens le stress qui revient.

J’avise une personne en uniforme sur un siège et vais me placer à côté d’elle. Il s’agit certainement du témoin qui va me précéder.

Une sonnerie stridente retentit. La cour fait son entrée, tout le monde se lève. Le Président et les deux magistrats professionnels qui le secondent sont au centre, les jurés de chaque côté. Le Procureur Général est à ma droite, avec les avocats de l’accusation. L’avocat de la défense est à ma gauche. Je le reconnais, c’est un bon.

Le Président ouvre les débats et appelle le militaire à témoigner. La personne à côté de moi se lève et s’avance à la barre. Le Président lui demande de décliner ses nom, âge, qualités et de prêter serment. Le militaire rend son témoignage entièrement de mémoire, avec tous les noms, lieux, dates et heures parfaitement appris. Je me sens misérable avec mon aide-mémoire. Le Président demande à l’Avocat Général puis aux avocats de l’accusation s’ils ont des questions, et donne la parole à l’avocat de la défense. Les questions pleuvent sur le pauvre militaire, accompagnées de rhétorique cinglante. L’avocat arriverait presque à faire passer le militaire pour un bourreau. Le militaire ne se départ pas de son calme et répond brièvement. « Avez-vous d’autres questions, Maître ? », demande le Président. « Non ?, dans ce cas nous vous remercions M. LeMilitaire et appelons à la barre l’expert informatique, M. Luwin ».

C’est à moi. Étrangement je suis très calme lorsque je me lève. Toutes les personnes présentes me regardent. La salle est silencieuse pendant que je m’avance jusqu’à la barre. Tout le monde sait que mon témoignage, et les vidéos que j’ai récupérées, sont essentiels.

Président : Veuillez décliner vos nom, date et lieu de naissance, adresse et qualité.

L : Luwin, 01-01-1970 à St Unix la Chapelle, expert judiciaire.

P : M. Luwin, Jurez-vous « de parler sans haine et sans crainte, de dire toute la vérité, rien que la vérité » ? Levez la main droite et dites « je le jure ».

L : Je le jure.

P : M. Luwin, veuillez décrire à la cour le déroulement de vos opérations d’expertise.

L : M. le Président, puis-je m’aider de mon aide-mémoire manuscrit ?

P : Mais bien sûr Monsieur l’Expert.

L : Merci Monsieur le Président. L’ordonnance qui m’a commis avait quatre chefs de mission, je vais les reprendre et expliquer en regard de chacun d’eux quels ont été mes opérations et leurs résultats. J’ai procédé à l’examen technique, bla-bla-bla…

L : …dans les vidéos on voit l’accusé en compagnie de petits garçons…

L : …Et j’ai remis mon rapport le 11 novembre 2011 au magistrat.

P : Monsieur le Procureur Général ?

PG : Merci Monsieur le Président. Monsieur l’Expert, …/…/… et donc à quelle date le système d’exploitation a été installé ?

L : !

Je feuillette mon rapport. Heureusement que tous mes rapports sont calqués sur le même modèle. Mais il y a 2 ans, est-ce que je relevais cette date ? Ah oui, j’ai trouvé, c’est à la page…

PG : C’est à la page 17 de votre rapport Monsieur l’Expert

L : Grmmll, oui, voilà : 18 juin 2003 à 12 heure 23 minutes et 6 secondes

PG : …/…/

P : Maître Jaccuse (avocat de l’accusation) ?

J : Pas pour l’instant Monsieur le Président.

P : Maître Défend (avocat de la défense) ?

D : Oui, merci Monsieur le Président.

L’avocat s’approche du pupitre, son regard pétille. Zut, il tient quelque chose.

D : Monsieur l’expert, quelle formation avez-vous ?

L : je suis docteur/ingénieur en informatique

D : Très bien. Avez-vous une formation qui permette de déterminer que les vidéos que vous avez retrouvées sont à caractère pédopornographiques ?

L : Non, Maître

D : Ou pornographique ?

L : Non, Maître

D : Très bien. Les vidéos que vous mentionnez n’ont pas de son, comment pouvez-vous affirmer que mon client a « ordonné » à un jeune homme de réaliser tel ou tel geste sexuel ?

L : En interprétant le langage corporel, Maître

D : Vous interprétez ! Mais vous n’avez pas de formation dans ce domaine non plus ! Je pourrais interpréter, moi, d’une autre façon, n’est-ce pas ?

L : Oui, Maître

D : Je n’ai plus de question, Monsieur le Président

P : Maître Jaccuse, vous aviez une demande ?

J : Oui, je voudrais que les jurés visionnent les vidéos 3, 7 et 11 contenues dans le rapport.

P : Très bien, je déclare le huis-clos pour permettre le visionnage. Le public est prié de quitter la salle.

Le public quitte la salle. Les victimes aussi, bien qu’elles puissent rester. L’atmosphère s’alourdit.

Je me dirige vers le PC portable et commence à diffuser les vidéos. Chaque vidéo dure plusieurs minutes. Aucune n’a de son. L’effet n’en est que plus ravageur.

Une demi-heure après, je coupe le vidéoprojecteur. Les lumières reviennent dans la salle. Les visages des jurés sont fermés. La défense accuse le coup. L’atmosphère est très lourde.

Le Président déclare une suspension de séance.

Je range mon matériel méticuleusement. Mon témoignage technique est terminé. Je sors de la salle. Je m’assoie sur un banc et je souffle. Tout s’est bien passé : l’ordinateur n’a pas cafouillé, les vidéos ont fonctionné, le vidéoprojecteur n’a pas lâché, l’écran de projection était à la bonne hauteur, je n’ai pas tremblé pendant mes réponses aux questions des avocats.

Je sens la baisse d’adrénaline. Je suis vidé.

Le lendemain, j’apprendrai dans les journaux que l’homme de mes vidéos a été condamné à 10 ans de prison ferme.

——————————————————-

Source photo www.tres-drole.com

Contre expertise

Publié le 11 octobre 2012 par Zythom

Depuis deux ans, j’accepte les expertises privées commandées par des avocats. Il s’agit essentiellement de contre expertises. Les dossiers que je découvre alors sont analysés en profondeur, tant du point de vue procédure, que du point de vue technique. Et parfois, j’ai des surprises…

Léo Tyrell est informaticien, et comme souvent, la récupération de données est une demande récurrente de son entourage. A force de pratiquer, les différents outils disponibles sur internet n’ont plus aucun secret pour lui. Il est passé Maître dans l’utilisation de PhotoRec, Recuva, PC Inspector File Recovery et autres Glary Utilities.

Plus il dépanne son entourage, et plus Léo se dit qu’il existe là certainement un marché intéressant. Il décide de créer un site internet présentant ses compétences et ses tarifs. Il s’intéresse également de près à des logiciels beaucoup plus sophistiqués, utilisés par les services d’enquêtes en tout genre: EnCase Forensic, AccessData Forensic Toolkit, X-Way Forensics…

Un jour, pour une raison qui m’échappe, M. Tyrell est contacté par un juge d’instruction qui souhaite lui confier une mission. Comment le magistrat a-t-il pris connaissance de l’existence de Léo Tyrell, nul ne le sait. Par Internet probablement, ou qui sait, par le bouche à oreille.

C’est pour lui une consécration, une reconnaissance de ses compétences. Il va pouvoir mettre son savoir faire au service de la justice.

Le magistrat lui explique au téléphone qu’il travaille sur une affaire de diffamations et injures publiques sur des forums de discussions, que des ordinateurs ont été saisis, et qu’il aimerait que ceux-ci soient analysés pour retrouver le ou les auteurs des messages inappropriés. M. Tyrell, trop heureux de la reconnaissance implicite de son savoir faire, accepte avec enthousiasme.

Il reçoit quelques jours plus tard un courrier officiel du juge d’instruction avec pour mission de:

– Bien vouloir analyser les scellés UN et DEUX du PV n° 1234/5647 du SDPJ de Villevieille afin d’en extraire éventuellement des éléments constitutifs de la présente plainte;

– Faire toutes observations utiles à la manifestation de la vérité.

Comme indiqué dans le courrier du magistrat, Léo retourne le récépissé d’acceptation de mission et attend avec impatience de pouvoir récupérer les ordinateurs.

Quelques semaines plus tard, il est contacté par un Officier de Police Judiciaire pour prendre rendez-vous et venir chercher les deux scellés.

Une fois en possession des ordinateurs, il brise les scellés et démonte les disques durs à fin d’analyse. Il y trouve des emails de correspondance entre le suspect et le plaignant. Il découvre également des logiciels d’anonymisation et de VPN, utilisés probablement lors des accès aux forums de discussion.

Après quelques semaines de travail, il rend au magistrat un rapport qu’il pense brillant.

A ce stade du récit, je voudrais faire quelques remarques:

– M. Tyrell n’est pas expert judiciaire, car il n’est pas inscrit sur la liste des experts près la Cour d’Appel de sa région. Cela ne pose pas de problème particulier, car un magistrat n’est pas obligé de choisir un expert inscrit sur cette liste (à condition toutefois de motiver ce choix).

– La désignation d’un expert hors liste impose des précautions particulières: il est nécessaire qu’il ait conscience qu’il devra respecter une « déontologie » et les règles de procédure civile visées sous les articles 233 à 248, 273 à 281 et 282 à 284-1 du NCPC.

– Il devra également pouvoir justifier d’une garantie d’assurance suffisante couvrant une éventuelle mise en cause de sa responsabilité civile résultant de la mission.

– Le Code de Procédure Pénale impose la prestation de serment aux personnes non inscrites sur les listes d’experts judiciaire, à défaut par écrit (article 160). Dans le cas présent, la prestation de serment a eu lieu après l’ouverture des scellés, ce qui me semble curieux.

– L’expert nommé hors liste sera pour le reste soumis aux obligations communes à tous les experts et en particulier à la pratique de la déclaration d’indépendance. (ref Cour de Cassation).

– Enfin, l’intitulé de la mission couvre ici un champ particulièrement vaste. Sachant que l’expert désigné ne dispose que de quelques éléments du dossier qui lui sont transmis, il importe de contacter le magistrat pour se faire préciser la mission, voire se faire communiquer des pièces essentielles du dossier, comme ici par exemple, la plainte.

Afin d’analyser le travail effectué par M. Tyrell, l’une des parties me contacte et me transmet le rapport pour une contre expertise privée, entièrement à ses frais et sans garantie de pouvoir être exploitée en justice.

Mon travail commence. Il s’agit d’analyser le rapport d’expertise, d’en expliquer le contenu de manière pédagogique, et d’en effectuer la critique objective.

Dans cette affaire (romancée je le rappelle), beaucoup d’approximations ont été faites:

Sur les scellés:

– l’ouverture des scellés a été faite sans aucune précaution (pas de photographie, pas de description des contenus, pas de vérification des numéros de série, pas d’inventaire exhaustifs…).

– une liste de logiciels ayant servis à l’analyse des disques durs est bien fournie dans le rapport, mais aucune information n’est donnée sur le mode opératoire de l’utilisation de chaque logiciel.

– à aucun endroit n’est fait mention de bloqueur d’écriture, ni des précautions prises pour éviter de modifier les disques durs des scellés. Aucune somme de contrôle (hash code) n’a été calculée pour prouver la non altération des preuves.

Sur les dates d’accès internet:

– toutes les dates fournies dans le rapport font référence à la date du système d’exploitation. Mais celle-ci est-elle exacte? L’horloge du BIOS indique-t-elle une heure exacte? Le système heure d’hiver/heure d’été est-il actif? Y a-t-il eu altération de la chronologie des fichiers (par manipulation manuelle de l’horloge du système, ce qui n’est pas interdit)?

– les dates des fichiers n’ont pas été corrélés avec les dates indiquées dans les entêtes des messages emails. Aucune étude n’a été faite pour vérifier auprès des FAI que les accès constatés sur les forums correspondent aux dates fournies.

Sur les moyens techniques:

– le rapport confond compte informatique utilisé sur le PC et personne susceptible d’utiliser le compte (un membre de la famille, un ami…).

– l’un des ordinateurs est de marque Apple. Aucune mention spécifique n’est faite dans le rapport: pas d’indication sur le nom du système d’exploitation installé et sa version, pas d’état d’utilisation d’outils d’investigation spécifique à l’environnement Apple.

– le rapport cite trois logiciels commerciaux d’analyse inforensique fort onéreux. Est-il possible d’en connaître les numéros d’enregistrement de licences? (c’est un coup bas, mais il permet d’éliminer les guignols utilisant des logiciels crackés pour faire leurs investigations).

Sur le fond du dossier:

Les qualifications d’injure et de diffamation sont des notions juridiques précises que tout le monde ne maîtrise pas nécessairement. A Paris, la 17e chambre du tribunal correctionnel, dite chambre de la presse, est spécialisée dans ce domaine. C’est aussi le prétexte de billets savoureux…

Faute d’avoir demandé des précisions sur sa mission, l’expert part au
petit bonheur la chance dans l’exploration des données du disque dur,
avec des requêtes basées sur des expressions régulières de mots clefs
choisis selon l’état d’esprit de l’expert et non pas guidés par une
méthode rigoureuse. Les recherches semblent avoir été faites avec comme objectif de trouver des preuves accablant le suspect.

Le plaignant et le suspect étant manifestement en contact, tous les liens prouvant ce contact sont présentés comme étant des preuves de ce contact. La démonstration ressemble fort à une tautologie (100% des gagnants ont tenté leur chance!).

Aucune exploration n’est faite « in vivo », sur une copie du disque dur par exemple, ou dans une machine virtuelle. Ne sont pas cités les logiciels installés, en lien avec le dossier, et utilisés pour accéder aux forums de discussion.

L’utilisation d’un logiciel VPN, et d’une messagerie anonymisée n’implique pas l’intention de mal agir. Chaque internaute à le droit de chercher à protéger sa vie privée.

Conclusions:

Les « experts » voulant jouer aux experts judiciaires risquent eux-aussi la mise en cause de leur compétence devant la justice. A leurs risques et périls. Dans le cas présent, le rapport d’expertise a été écarté.

Enfin, chaque citoyen peut se voir accusé injustement d’un fait dont il est innocent. Beaucoup croient que la découverte de la vérité s’effectue « automatiquement » et « gratuitement » à travers des enquêtes sérieuses menées avec tous les moyens (humains et financiers) d’une justice moderne.

Ils se trompent lourdement.

—————————————————

Source photo megaportail

La petite fille

Publié le 7 septembre 2012 par Zythom

Le regard de cette petite fille me trouble.

Elle est habillée d’un vêtement très moulant, tellement moulant que les grandes lèvres de son petit sexe forment deux bosses très apparentes. Les anglo-saxons ont un terme d’argot pour désigner cela: le camel toe. La pose très suggestive de la petite fille ajoute à ma gêne.

Je passe à la photo suivante. Même petite fille, même tenue, autre pose tout aussi suggestive. Le décor ressemble à une scène de théâtre un peu poussiéreuse, comme surannée. Le sourire forcé de la petite fille et sa pose coincée ajoute à la tristesse de la scène.

Je passe à la photo suivante. Je cherche à donner un âge à la petite fille, basé sur le fait que j’ai moi-même trois enfants. Je dirai cinq ou six ans, mais je peux me tromper. Je suis expert judiciaire en informatique, pas expert médical. Ma mission concerne la recherche d’images pédopornographiques sur le disque dur que la gendarmerie m’a confié sous scellé. Cette série de photos n’entre pas dans cette catégorie.

Je passe à la photo suivante. Est-ce ma perception de père qui me fait deviner dans le regard de cette petite fille une profonde tristesse ? Sa tenue de danseuse sexy en justaucorps moulant et les poses dans lesquelles elle est photographiée me semblent relever plus de la page centrale d’un magasine porno que de celle d’un ouvrage artistique.

Je passe à la photo suivante. Le décor a changé, mais le sol de scène de théâtre est le même. Toujours dans un style un peu kitsch, la petite fille évolue maintenant en tutu très court, le buste nu. Elle est gracieuse malgré tout.

Je passe à la photo suivante, et la suivante, et la suivante…

Je me tasse dans mon fauteuil, mes épaules se voûtent. Je deviens trop sensible pour l’activité d’expert judiciaire. Je pense à mes enfants.

Je note les dates et heures des prises de vue relevées dans les métadonnées EXIF des fichiers images. J’ajoute une rubrique à mon rapport d’expertise pour cette centaine de photos, laissant le magistrat décider de la nature juridique de la possession de ces clichés.

Oui, le regard de cette petite fille me trouble vraiment. Il me rend profondément triste et désespéré du genre humain.

Je ferme mon rapport d’expertise et j’éteins l’ordinateur.

Je suis fatigué, et l’heure tardive n’a rien à voir avec ça.

——————————————–

Source image Luke Chueh

J’ai choisi ce dessin pour illustrer ce billet car il m’a toujours rendu triste et mal à l’aise.

——————————————–

Voyez-vous

Publié le 20 août 2012 par Zythom

Dans le cadre des rediffusions estivales, le billet d’aujourd’hui, publié le 11 avril 2009 sous l’intitulé « Le noir », rappelle que j’ai eu la chance de rencontrer des gens formidables lors de certaines expertises. Le billet est un peu court, mais cela me fait plaisir de repenser à cette personne.

————————————————

C’est lui qui m’avait ouvert la porte. Il ne pouvait pas me
reconnaître puisque je venais pour la première fois. Il a ri en me
faisant entrer tout en me demandant si mon voyage s’était bien passé.

Une heure plus tôt, j’étais complètement perdu en rase campagne.

Cette expertise judiciaire commençait mal.

C’était avant que je n’achète un GPS.

C’était avant que je ne m’équipe d’un téléphone portable.

Pourtant
j’avais l’adresse, mais j’avais oublié mon atlas routier et je n’avais
qu’une carte de France pour me guider. La maison était isolée en pleine
campagne, mais sa mère m’avait expliqué le chemin, quand je m’étais
résolu à appeler d’une cabine téléphonique d’un village voisin.

J’avais fini par trouver le chemin boueux qui semblait plus fait pour les tracteurs que pour ma 205 usée.

Et c’est lui qui m’ouvrait la porte.

Lui, le malvoyant.

Sur
le papier, le dossier semblait plutôt simple: un ordinateur équipé de
logiciels spécifiques aux malvoyants avait été livré, mais le système ne
fonctionnait pas correctement. Le fournisseur ne voulait rien savoir et
toute l’affaire avait été portée devant la justice. Le magistrat
m’avait choisi sur la liste des experts judiciaires pour expertiser
l’ensemble informatique. C’était une de mes premières affaires, en tout
cas la première chez l’habitant.

J’avais convoqué les
deux parties pour une réunion d’expertise sur le lieu où se trouvait le
matériel objet du litige. Après une demi-heure d’attente, j’ai du me
résigner à commencer en l’absence du fournisseur qui n’a pas daigné se
présenter ni s’excuser.

J’étais donc seul avec ce jeune-presque-aveugle et sa maman.

Je
découvrais pour la première fois tous les problèmes que peut rencontrer
une personne qui ne voit presque rien, en tout cas rien comme moi. Ce
jeune avait perdu sa vision centrale et ne voyait qu’avec la vision
périphérique. Pour mieux comprendre son problème, essayez de lire ce
billet en regardant à côté de l’écran…

C’est fou dans ces cas là le nombre de bévues que l’on peut faire:

« Vous voyez ce réglage? Heu… »

« Mais le problème est lumineux… »

« C’est clair, heu… »

Le
système informatique était composé d’un PC normal équipé d’un écran
gigantesque pour l’époque (les écrans plats n’existaient pas encore): un
24″ cathodique. Le système d’exploitation Windows 98 était complété par
plusieurs logiciels grossissants et un logiciel de lecture de textes.

« Montrez moi les dysfonctionnements que je puisse les voir de mes propres yeux… Heu… »

Le
jeune était plein d’énergie et manipulait le système avec dextérité. La
loupe incorporée dans Windows rendait énormes les caractères et il
collait presque son nez sur l’écran. Ses dix doigts connaissaient le
clavier par cœur (moi qui tape encore avec quatre doigts). Il utilisait
peu la souris, mais maîtrisait tous les raccourcis clavier.

Pendant la démonstration, sa mère m’a dit:

« Vous
savez, c’est lui qui a branché tout le système et fait toutes les
installations logicielles tout seul! Le fournisseur a tout fait livrer
et n’a jamais voulu envoyer quelqu’un pour nous aider. »

Ma
mission n’incluait pas le dépannage, mais très vite, je me suis rendu
compte que l’installation d’un des logiciels avait remplacé une DLL par
une version incompatible avec un autre logiciel.

J’ai
passé l’après-midi avec ce jeune à échanger des trucs sur la meilleure
façon de configurer son ordinateur. A la maman inquiète, j’ai vite
expliqué que mes honoraires n’incluraient que la partie pleinement
consacrée à l’expertise, le reste ayant été du plaisir entre deux
passionnés d’informatique.

Je n’ai pas compté non plus
le temps perdu pour trouver le chemin, ni celui qu’il m’a fallu pour
retrouver la route dans le noir de la nuit quand je les ai quitté.

Je
n’ai pas su si le fournisseur avait été condamné à payer au moins
l’expertise, mais j’ai appris récemment que cette personne a
complètement perdu la vue et qu’elle utilise toujours l’informatique
pour parcourir le web.

Peut-être écoutera-t-il ce billet.

Je sais au moins que le fond ~~noir~~ de ce blog ne perturbe pas son logiciel de lecture…

————————

Source photo https://www.azurs.net/photoblog/a/2008/05/post_4.html

bas-relief du portail sud de la cathédrale de Metz

L’énergie du vide

Publié le 6 août 2012 par Zythom

Dans le cadre des rediffusions estivales, le billet d’aujourd’hui, publié en février 2008 sous l’intitulé « Vaporexpertise », montre à quel point le travail d’un expert judiciaire peut être parfois plein de surprises. En physique, le vide est un concept qui recèle des propriétés tout à fait surprenantes:

Le vide absolu est un milieu statistiquement sans particules élémentaires. La physique quantique, qui définit le vide comme l’état d’énergie minimale de la théorie, montre qu’il reste néanmoins le siège de matérialisations spontanées et fugaces de particules et de leur antiparticules associées: on parle dans ce cas de particules virtuelles, qui s’annihilent presque immédiatement après leur création. Ces fluctuations quantiques sont une conséquence directe du principe d’incertitude qui affirme qu’il n’est jamais possible de connaître avec une certitude absolue la valeur précise de l’énergie. On appelle ce phénomène les «fluctuations quantiques du vide» (source Wikipédia).

—————————————————

J’effectue pas mal d’expertises au civil, et pourtant je me rends compte que j’en parle assez peu sur ce blog…

Dans un dossier, le disque dur du serveur de l’entreprise était au cœur
du litige. Le tribunal m’avait demandé dans les missions de venir
prendre possession du disque dur.

Une fois le rendez-vous pris avec le greffe concerné, je me présente,
vêtu de mes plus beaux atours. A force de fréquenter les mêmes
tribunaux, et malgré ma propension ochlophobe, je finis quand même par reconnaître quelques personnes… C’est le cas de cette gentille greffière dynamique:

Bonjour Monsieur l’Expert! Pouvez-vous attendre quelques instants que j’aille chercher le scellé de ce dossier?

Zythom: « Heu, bah, oui, bonjour, est-ce que vous voulez que je vienne vous aider? »

Non, merci, car vous n’avez pas le droit d’entrer dans la pièce des scellés. A tout de suite.

Une demi-heure plus tard, voici ma gentille greffière de retour… les mains vides et toute désolée: je ne trouve pas le scellé…

Nous voici bien ennuyés tous les deux: elle parce qu’elle voit bien que
je suis venu pour rien, et moi, parce que je vois bien qu’elle est
ennuyée que je sois venu pour rien.

Zythom: « Vous êtes sûr que vous ne voulez pas que je cherche avec vous?
Savez-vous reconnaître un disque dur informatique? Vous savez, ce n’est pas toujours facile… même pour un expert. »

Non, non, non… Je veux vérifier avant dans le dossier.

Gentille greffière dynamique se plonge alors avec efficacité dans une
masse de papier, et , après quelques minutes, me regarde avec un sourire
gênée: je suis désolé, mais j’ai fait
une erreur dans la transcription de vos missions, le disque dur n’est
pas chez nous, il a été confié à une entreprise de récupération de
données par le client…

Après avoir obtenu l’adresse de l’entreprise de récupération de données, je prends contact avec icelle:

Zythom: « bonjour, Monsieur, je suis expert judiciaire en informatique,
et j’ai pour mission de récupérer le disque dur qui vous a été confié
par l’entreprise CESTLAKATA. »

Bonjour, je suis désolé, mais je suis
le nouveau gérant et le nom de cette société ne me dit rien. Savez-vous
quand le disque dur nous a été confié?

Zythom: « Euh, bah, attendez que je regarde… Oui, il y a trois ans! »

Ah! Oui? Je vérifie. C’est bon,
effectivement, voici sa trace. Mais le disque dur a été détruit il y a
six mois, lorsque j’ai repris la société. C’est la procédure normale
lorsque le disque dur est irréparable et que le coût de la récupération
est trop élevée pour le client… Et puis vous savez, si on devait
garder toutes les pièces non réclamées plusieurs années…

Bien entendu, personne ne m’avait informé de cette situation lors de la première réunion d’expertise contradictoire.

J’ai donc contacté le magistrat pour l’informer de l’impossibilité de
poursuivre mes missions, le disque dur ayant été vaporisé par un pilon.
Il m’a demandé de déposer mon rapport en l’état.

C’était ma première expérience de vaporexpertise.

Je n’en ai pas eu d’autre depuis.

Des vaporwares par contre…

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Anecdotes expertises