La clef USB

Tout à ma préparation du tome 3 des billets de ce blog, je délaisse un peu la création de nouveaux billets.

Du coup, comme c’est l’été et bientôt les vacances, je vous ai programmé quelques billets qui sont des rediffusions d’anciens billets du blog auxquels je souhaite donner une seconde chance, en général parce qu’ils ont une place particulière dans mon cœur. Pour repérer rapidement ces rediffusions, je commencerai toujours les billets par « Dans le cadre des rediffusions estivales » 😉

Dans le cadre des rediffusions estivales, le billet du jour, publié en décembre 2008, raconte une anecdote d’expertise judiciaire qui m’a fait beaucoup transpirer. J’en garde le souvenir qu’il ne faut jamais se laisser porter par ses habitudes…

————————————————————-

Je suis en pleine expertise informatique. Le magistrat m’a confié un
ordinateur, des cédéroms, des disquettes et des clefs USB à analyser. Je
sors toute ma panoplie d’outils d’investigation. Me voici enquêteur…

Je procède méthodiquement. Prise d’empreinte numérique avec HELIX à
travers le réseau. Prise de notes sur un cahier d’écolier pour décrire
chaque étape, tel un Gustave Bémont. Je note le nom du scellé, son
numéro, sa description.

Un cédérom, une clef USB, un disque dur… Petit à petit tous les scellés y passent.

Vient le tour d’une petite clef USB sans inscription. Je la place dans
ma machine de prise d’empreinte. Elle se met à clignoter. Bien.
Seulement voilà, la machine d’analyse (sous Linux) ne voit pas la clef
USB…

Ma machine d’analyse est sous GNU/Linux (HELIX) ce qui veut dire que
quasiment aucun périphérique ne lui résiste: toute la communauté open
source se démène pour mettre au point des pilotes permettant d’exploiter
tous les périphériques possibles et imaginables.

Par pure réflexe de Windowsien, je redémarre la machine. Toujours rien.

Je commence à transpirer: la clef USB est-elle grillée? Est-ce moi qui l’ai grillée? Aurais-je détruit une pièce à conviction?

J’essaye la clef sur tous les ports USB de tous les PC de la maison avec mon live-CD. Rien.

Je m’assois à mon bureau. Perplexe.

Mon regard tombe sur le cadre dans lequel j’ai placé ce dessin effectué par Monsieur Ucciani en dédicace.

Je prends une grosse loupe et regarde à travers le plastique de la clef
USB pour voir si un composant a lâché. Je vois une minuscule inscription
presque complètement effacée sur le dessus du plastique: Blue…tooth.

Cela fait une heure que je cherche à analyser le contenu d’une clef USB mémoire, alors que j’ai à faire à une clef USB radio…

Parfois je me félicite de bloguer sous pseudonyme.

Manon 13 ans

Nous sommes dimanche, c’est le début de l’été, il fait beau. Tout mon petit monde vaque à ses occupations. Quant à moi, je suis dans mon bureau devant mon ordinateur et, une fois n’est pas coutume, je fais du tri sur le blog. Pour être plus précis, je travaille sur le tome 3 du blog.

En relisant mes anciens billets, je tombe sur l’un de mes billets préférés (voir plus loin). J’ai écris ce texte quand ma fille aînée avait 15 ans et sa sœur puinée 11 ans. Toutes les deux étaient accros à la messagerie instantanée MSN et passaient dessus de nombreuses heures par semaine à discuter avec leurs amis.

Depuis que mes enfants ont un ordinateur leur permettant d’accéder à internet, j’ai pris de nombreuses fois la précaution de les avertir sur les dangers d’internet, sans pour autant me résoudre à les mettre sous surveillance électronique. Je n’ai jamais eu à le regretter. Nous discutons de temps en temps avec eux des risques et des dangers, et nous sommes toujours, mon épouse et moi, à l’écoute du moindre indice qui pourrait démontrer un malaise quelconque (lié à internet ou pas).

Pour autant, un papa angoissé comme moi imagine toujours le pire. Alors quand mon activité d’expert judiciaire rencontre mes craintes les plus vives, cela donne ce texte que je reproduis ici (je duplique mes billets si je veux), et que je dédie à tous les enfants internautes. Quelques instituteurs m’ont contacté pour me demander s’ils pouvaient l’utiliser dans leurs cours: surtout qu’ils n’hésitent pas à se l’approprier, à le faire lire et à le commenter. Les parents peuvent aussi s’en servir pour ouvrir une discussion avec leurs enfants. Je pense que ce billet mérite de sortir du fond des archives du blog. En tout cas, moi, il me fait toujours frissonner.

Manon13

Manon a treize ans. Elle travaille bien à l’école où elle a beaucoup
d’amis. Elle joue, elle rit comme beaucoup d’enfants de son âge.

Ses parents l’aiment, font attention à son éducation, lui achètent ce
qu’il faut, mais pas tout ce qu’elle demande. Bon, elle a quand même un
téléphone portable comme tout le monde et un ordinateur dans sa chambre.
Mais ils ont fait attention à ne pas céder pour la télévision dans la
chambre.

Manon aime bien discuter avec ses amis le soir sur son ordinateur. Elle
connait bien comme eux tous les lol, mdr et autres smileys/émoticones.
Elle utilise Windows Live Messenger et arrive à suivre une dizaine de
conversations sans problème. Elle a une webcam qu’elle utilise de temps
en temps quand ses amis en ont une. Son pseudo, c’est manon13du31, parce
qu’elle à 13 ans et qu’elle habite en Haute-Garonne, et que c’est
rigolo parce que 31 c’est 13 à l’envers.

Manon utilise aussi la messagerie électronique Windows Mail pour faire
passer à ses amis tous les textes amusants qu’elle reçoit. Son père
n’aime pas trop ça et il appelle ça des chaines, mais c’est tellement
rigolo. Et puis c’est vrai: si tu ne passes pas cet email à 15
personnes, tu risques de ne pas savoir qui est amoureux de toi le
lendemain. Et ça, c’est trop important pour risquer de le rater. Et puis
les parents ne peuvent pas comprendre, ils sont trop vieux. Son
amoureux à elle, c’est Killian. Mais il ne veut pas encore l’embrasser.

Manon s’est inscrite sur plusieurs sites web: celui où l’on peut jouer à
faire vivre des animaux, celui où ses copines discutent du beau
Michael, mais si, celui DU film. Et bien entendu, Manon a un blog où
elle met en ligne des photos d’elle et de ses copines. Mais elle change
souvent de blog, parce son père n’aime pas trop qu’elle étale sa vie
comme ça sur internet. Il ne veut pas qu’elle ouvre un compte Facebook,
et ça c’est nul parce que Cindy, elle, elle en a déjà un. Alors, pour
brouiller les pistes, elle crée régulièrement un nouveau blog avec un
nouveau pseudo: manon13_du31, manondu31_13,
manonLOL1331, manonXX13_31… Elle a même créé un blog cindy13du31 où
elle a mis une photo de Bob à la piscine. Bob, c’est le mec le plus bête
du collège, haha.

Un soir, Manon discute avec ses amis sur Messenger. Depuis plusieurs
semaines, elle grignote quelques minutes supplémentaires auprès de ses
parents qui veulent qu’elle se couche tellement tôt. Petit à petit, elle
a réussi à rester plus tard, et maintenant, c’est elle la dernière à se
déconnecter. Elle discute en ce moment avec sa nouvelle copine Célia
super sympa qu’elle connait depuis un mois.

Ce que ne savait pas Manon, c’est que cette copine, c’est un garçon. Un grand. Un homme de 20 ans.

Ce que ne savait pas Manon, c’est qu’à chaque fois qu’elle allumait sa
webcam, sa « copine » enregistrait les séquences. C’est vrai que c’était
dommage qu’à chaque fois elles ne puissent pas discuter en live, mais
c’était parce que la caméra de sa copine avait toujours un problème.

Ce que ne savait pas Manon, c’est que la séquence où elle fait la
fofolle dans sa chambre en pyjama ridicule, et bien « Célia » l’avait
enregistrée.

Et maintenant, ce garçon la menace de la diffuser sur Youtube! Il a fini
par allumer sa webcam, et elle l’entend très bien lui parler. Il lui
dit que si elle ne fait pas ce qu’il veut, il balance la vidéo…

Alors, elle fait ce qu’il lui dit.

Et lui, il enregistre.

Et il se filme.

Et elle doit regarder.

Ce que ne savait pas non plus Manon, c’est qu’un policier regarderait également les vidéos. Et un magistrat.

Ce qu’elle ne savait pas non plus, c’est qu’un expert judiciaire
regarderait toutes les vidéos, même celles qu’elle avait effacées. Et
toutes les conversations Messenger. Et tous ses emails. Et toutes ses
photos. Et tous ses blogs.

Ce qu’elle ne savait pas, c’est que ses parents verraient tout cela aussi.

En fait, Manon, 13 ans, du 31, ne savait pas grand chose.

Mais maintenant elle se sent mal.

———————

PS: Prénoms, âge, département et histoire modifiés.

Je cherche la vérité

Je fouille le contenu d’un ordinateur à la recherche de la vérité. La femme à qui appartient le PC semble pour l’instant mener une vie normale.

Les analyses de sa navigation internet montrent différents centres d’intérêt : des forums de discussion sur la politique, sur la cuisine, sur les enfants, et sur ses activités sportives. Les sites d’achat sur internet se mélangent aux sites sur les actualités nationales et internationales… Quelques sites de rencontres aussi, qui peuvent laisser penser qu’elle n’était pas pleinement satisfaite dans son couple, ou tout simplement qu’elle s’amusait avec ses fantasmes érotiques. Je ne suis pas expert psychologue.

La lecture de ses emails me semble plus pertinente : elle possède plusieurs comptes webmails, en plus de l’email fourni par son fournisseur d’accès à internet. Trois comptes plus précisément. L’un lui sert à discuter avec sa famille et ses amis, le 2e semble être son email réservé aux achats sur internet et le dernier correspond à son pseudonyme sur internet.

Elle semble mener une existence normale et heureuse, avec les joies et les peines qui touchent ou douchent tout un chacun.

Il y a aussi les photos numériques, bien classées, par année et par événement. J’y découvre les mariages, les enfants, les amis, les vacances.

Ma mission m’oblige à regarder tous les documents, à lire tous les emails, à ouvrir tous les documents. Ma mission m’impose de chercher tous les fichiers effacés, de reconstituer toute l’activité récente de cette femme.

Dans le couple, elle seule utilisait l’ordinateur « familial » d’après les explications de son conjoint. Elle y passait une heure par jour, pas plus, sauf le dimanche où elle pouvait rester plusieurs heures à surfer sur le net pendant que Monsieur bricolait dans le garage, dans le jardin, dans la maison ou dans la voiture. Elle était geek avant que le mot ne devienne à la mode.

Les conversations des messageries instantanées sont souvent très personnelles, avec la concision propre à ce type d’outil. Le temps, le quotidien, le travail, les impressions du moment…

Comme à chaque fois, je me sens mal à l’aise. Je n’aime pas pénétrer l’intimité d’une personne sans qu’elle ne me l’ait autorisé. C’est quelque chose de pénible pour moi. J’aime la vie privée, j’aime qu’on la respecte.

Mais la mission que l’on m’a donnée m’oblige à chercher la vérité.

Alors je fouille le disque dur, j’en extrais des quantités incroyables de données, empilées, alignées, entassées, effacées…

Des courriers administratifs, des déclarations, des comptes bancaires.

Des emails de toutes sortes, des spams, des chaines de messages, des blagues, des invitations pour Noel, des confidences entre amis, entre amies.

Il est tard, je travaille sur ce dossier depuis plusieurs semaines, un peu plus tous les soirs. Je commence à bien connaître cette femme, ses habitudes, ses tics de langage, ses émotions, ses phobies, ses passions, ses manies… Je suis fatigué, je commence à mélanger les commandes internets, les messages d’accroche sur les sites de rencontre, les spams pour des pilules magiques, les invitations à une fête et les factures en retard.

Cela fait plus de 100 heures que je passe à chercher la vérité en fouillant dans son ordinateur.

Pour savoir pourquoi, deux heures après l’extinction de son PC, elle est morte pendue dans la pièce.

Pour que son mari puisse savoir, pour que le juge d’instruction puisse savoir, pour que ses enfants puissent savoir.

Pour que je puisse savoir s’il s’agit d’un suicide ou d’un crime.

Je n’ai jamais su.

————————————-

PS : J’ai déjà raconté cette histoire ici, mais je voulais la reprendre d’une manière différente. Vous pouvez comparer les deux textes et me dire lequel vous préférez. La vie de cette femme me hante encore aujourd’hui.

————————————-

Source image Koscum

Watching you

On me demande souvent ce que je ferais si je devais analyser un disque dur entièrement chiffré, ou un disque effacé en profondeur. Je réponds toujours qu’un expert judiciaire n’est pas un magicien et que « Ad impossibilia nemo tenetur« [1].

Il arrive parfois qu’on puisse surmonter l’impossible.

Jaime Lannister est commercial dans l’entreprise CASTRALROC. Enfin, « était », car Jaime s’est fait licencier pour faute grave. Faute qu’il conteste devant le conseil de prud’hommes. Ceux-ci, étant étymologiquement sages et avisés, font appel à un autre homme sage, avisé, d’expérience, reconnu compétent dans un domaine et pouvant être considéré comme un expert à ce titre, c’est-à-dire un expert judiciaire. Me voici dans la place forte.

J’ai déjà décrit plusieurs fois sur ce blog le déroulement d’une expertise judiciaire contradictoire. Je suis donc assis à une grande table ronde, avec à ma droite les représentants de l’entreprise CASTRALROC et leur avocat, et à ma gauche Jaime et son avocat. Bien qu’ayant lu mon ordonnance de désignation, je demande aux deux parties de me présenter le problème.

CASTRALROC est une entreprise spécialisée dans la fabrication d’armes blanches à double tranchant, connue pour ses modèles Aiguille, Glace, Grande-Griffe et Longclaw. Entreprise de taille modeste, elle n’en dispose pas moins d’un poste de commercial, occupé par Jaime, avec des clauses de confidentialité et de non concurrence.

Il est reproché à Jaime d’avoir contacté à plusieurs reprises, par courrier postal, des entreprises concurrentes et proposé ses services, en mettant en avance son savoir-faire et sa connaissance des techniques utilisées par CASTRALROC. En particulier l’entreprise RINGS fabricant les modèles Andúril, Anglachel, Anguirel, Aranrúth, Dard, Glamdring, Gurthang, Gúthwinë, Hadhafang, Herugrim, Narsil, Orcrist et Ringil.

Jaime nie avoir rédigé de tels courriers, tout en reconnaissance des contacts avec la concurrence, contacts qu’il estime normal dans l’hypothèse d’un changement d’employeur.

Me voici donc, en présence des deux parties, devant l’ordinateur portable utilisé par Jaime dans le cadre de son travail chez CASTRALROC. Ne souhaitant pas prolonger la réunion outre mesure en effectuant devant tout le monde de longues analyses techniques, je propose aux parties de m’autoriser à les effectuer dans mon laboratoire et de revenir présenter les résultats de mes investigations lors d’une deuxième réunion.

De retour chez moi, j’effectue une copie numérique du disque dur et commence son analyse inforensique. Après quelques heures d’investigations, je constate l’absence de courriers coupables. Par contre, je trouve sur le disque dur un logiciel d’effacement de traces: Eraser. Impossible, dans ce cas, de remonter de plus de quelques jours dans la liste des fichiers effacés.

Me voici de nouveau devant les parties, lors de la deuxième réunion d’expertise. Je présente les faits. Jaime explique qu’en raison de la confidentialité des données qu’il manipule, il a pris l’habitude d’effacer efficacement les traces laissées sur son ordinateur. Je prends acte de ses explications, l’utilisation du logiciel Eraser étant parfaitement licite et logique pour qui veut se préserver d’une récupération des fichiers effacés.

Avant de clore la réunion, je demande à visiter le système informatique de l’entreprise. Un classique serveur de fichiers contrôleur de domaine, des postes vassaux clients pour chaque salarié et un photocopieur multifonction dans le couloir. L’entreprise n’a pas de système de sauvegarde centralisé, chacun copiant sur support externe ses propres données. Je ne fais aucune remarque sur la viabilité de la solution.

Dans l’entreprise où je travaille, les photocopieurs multifonctions sont loués à une société qui en assure l’entretien et la maintenance. Il se trouve que, chez nous, la configuration de certains photocopieurs multifonctions doit être faite de manière approfondie, car ils sont utilisés à la fois par le personnel de l’école et par les étudiants. J’ai donc dû me plonger, avec la société de maintenance, dans le paramétrage avancé de plusieurs modèles. C’est très bavard, un photocopieur multifonction. Cela garde trace de beaucoup d’informations: date d’impression, nom du document, nom du compte ayant demandé l’impression, nombre d’exemplaires…

Je demande donc à voir le photocopieur multifonction du couloir. Je parcours quelques menus dans la configuration et découvre le paramétrage suivant: tous les documents imprimés sont disponibles sur le disque dur du photocopieur multifonction. Il est possible de les parcourir et de demander leur réimpression… C’est ainsi que devant les yeux médusés des parties, j’ai pu retrouver tous les documents imprimés par Jaime, et en particulier les courriers adressés à l’entreprise RINGS. Après quelques manipulations, ils étaient de nouveau imprimés. J’ai eu une petite pensée pour mon moi d’il y a quelques années.

Vous qui imprimez les 200 exemplaires du carnet de chant de la chorale de vos enfants, le pdf érotique que vous avez téléchargé chez vous, ou vos cinq exemplaires du rapport d’expertise et ses annexes, sur l’imprimante du boulot, je suis sûr que vous allez y réfléchir à deux fois maintenant.

Jaime s’est alors tourné vers moi, et m’a dit: « valar morghulis », ce qui, dans langue de l’antique Valyria, signifie « Tout homme doit mourir« .

Je lui ai répondu: « Big printer is watching you ».

———————————–

[1] A l’impossible nul n’est tenu

Tome 2

Tenir un blog, pour beaucoup, c’est prendre plaisir à raconter une histoire, une anecdote ou partager un retour d’expérience. C’est utiliser un peu de la liberté d’expression dont nous disposons pour s’exprimer.

Mais c’est aussi s’exposer à la critique, à la haine et au mépris. Je reçois quelques courriers de cet ordre, qui rejoignent vite le trou noir de ma poubelle numérique. Les problèmes que j’ai rencontrés à cause de la tenue de mon blog sont venus d’ailleurs.

Je suis toujours surpris de constater que le fait qu’internet offre à tous les citoyens la possibilité de s’exprimer directement, sans les filtres habituels, dérange et contrarie un certain nombre de personnes. Dans mon cas, des personnes ont été choquées par le fait que je tienne sous pseudonyme un blog sur lequel je présente mon activité d’expert judiciaire, sans passer par les revues (et comités de lecture) ad hoc, ni par le cercle fermé et discret des réunions ou colloques organisés par les compagnies d’experts judiciaires. Le fait de donner sans filtre, directement auprès du public, une opinion, une vision, une mémoire…

Tenir un blog, confortablement installé dans le fauteuil de mon bureau, peut amener la tempête et l’opprobre des institutions avec lesquelles je travaille, l’invitation à un interrogatoire suspicieux ou la condamnation de mes pairs. C’est ainsi que l’on prend conscience de l’importance de la vie en société, de l’assaut des idées des autres et de leurs jugements.

C’est de tout cela, et d’autres choses, dont il va être question dans les pages du tome 2 du livre « Dans la peau d’un informaticien expert judiciaire », dans les anecdotes « romancées » qui sont toujours en ligne sur le blog à la date de rédaction de cet ouvrage.

Le premier billet du livre commence avec la réception d’une convocation de la Cour d’Appel auprès de laquelle je suis inscrit comme expert judiciaire. Tous les autres billets sont écrits pendant que ce que j’ai appelé l’« affaire Zythom » se déroule, mais sans que je souhaite en parler sur mon blog, même si parfois mon humeur transparaît dans certains billets comme « Sombre ». Ce n’est qu’une fois l’affaire terminée que je me suis permis de la raconter sur le blog, dans les billets qui constituent la fin du livre. Ce tome 2 couvre donc complètement cette période qui fut difficile pour mes proches et moi.

Tenir ce blog me permet de suivre une certaine thérapie par l’écriture. En paraphrasant le magistrat Philippe Bilger, je peux dire : « On est écartelé entre ce qu’on a envie d’écrire et ce qu’on a le droit de dire. Entre [l’expert] et le justicier. Le professionnel et le citoyen. La vie et l’Etat. L’élan et le recul. La réserve et l’audace. Entre soi et soi. »

« Dans la peau d’un informaticien expert judiciaire – Tome 2 – L’affaire Zythom » est disponible au format papier ici en vente chez mon éditeur.

D’autre part, vous le savez sans doute, j’aime assez l’idée de partage et de libre diffusion sans DRM. Ce livre est donc également disponible gratuitement pour tous:

au format PDF (2374 Ko),

au format EPUB (572 Ko),

au format FB2 (759 Ko),

au format LIT (554 Ko),

au format LRF (697 Ko) et

au format MOBI (744 Ko).

Vous pouvez le copier et le diffuser librement auprès de vos amis et de vos ennemis.

Vous y trouverez, comme dans le tome 1,
une sélection de billets laissés dans l’ordre chronologique de leur
publication, et qui peuvent être classés cette fois dans quatre
rubriques :

– mes activités d’expert judiciaire en informatique ;

– mon travail comme responsable informatique et technique ;

– ma découverte du monde politique comme conseiller municipal ;

– et des anecdotes pour mes amis et ma famille.

Avertissements :

Les habitués du blog le savent, mais cela va mieux en l’écrivant: la publication des billets de mon blog, sous la forme de livres, est surtout destinée à ma famille et à mes proches. C’est la raison pour laquelle j’ai choisi la démarche d’une autopublication. J’ai endossé tous les métiers amenant à la publication d’un livre, et croyez moi, ces personnes méritent amplement leurs salaires! Mise en page, corrections, choix des titres, choix des couvertures, choix du format, choix des polices de caractère, marketing, numérisation, etc., sont un aperçu des activités qui amènent à la réalisation d’un livre. Je ne suis pas un professionnel de ces questions, je vous prie donc de m’excuser si le résultat n’est pas à la hauteur de la qualité que vous pouviez attendre. Le fait d’avoir travaillé seul (avec ma maman pour la relecture, merci à elle), explique aussi le faible prix de la version papier pour un livre de 260 pages.

Je me dois également, par honnêteté envers les acheteurs du livre, de dire que les billets en question sont encore en ligne et le resteront. Les billets sont identiques, à part les adaptations indiquées ci-après.

Le passage d’un billet de blog à une version papier nécessite la suppression des liens. J’ai donc inséré beaucoup de « notes de bas de page » pour expliquer ou remplacer les liens d’origine. Dans la version électronique, j’ai laissé les liens ET les notes de bas de page. Je vous incite à lire les notes de bas de page le plus souvent possible car j’y ai glissé quelques explications qui éclaireront j’espère les allusions obscures.

J’ai également glissé, dans ce tome 2, le nom de l’avocat qui m’a assisté tout au long de l’ « affaire Zythom ». C’est un avocat redoutablement efficace, en plus d’être un homme charmant. Je lui dois d’être encore expert judiciaire et de continuer à tenir ce blog. Ce sera le teasing pour vous inciter à la lecture 😉

J’espère que ce tome 2 vous plaira. En tout cas, je vous en souhaite une bonne lecture.

Le plein de pr0n

Le PC de Jean-Pierre est rempli de fichiers images et films pornographiques. Le problème est que cet ordinateur appartient à l’entreprise REKALL pour laquelle Jean-Pierre travaille. Enfin, « était installé » car le PC est maintenant sous scellé dans mon bureau et Jean-Pierre est en procédure aux Prud’hommes contre REKALL pour licenciement abusif.

Mais revenons un peu en arrière dans le temps.

Jean-Pierre travaille tous les jours sur son ordinateur fixe professionnel, comme beaucoup d’employés de la société REKALL. Il se plaint de temps en temps de la lenteur de son PC, mais comme un peu tout le monde. C’est que son ordinateur n’est pas de toute dernière jeunesse, et les investissements de renouvellement peinent à arriver jusqu’à lui. Mais aujourd’hui, son ordinateur semble avoir rendu l’âme: il n’arrive plus à le faire fonctionner, ni à le redémarrer. Il appelle donc le service informatique de REKALL.

Le service informatique envoie un technicien qui constate la réalité du problème. Après quelques procédures magiques, le technicien constate que le disque dur est plein, entrainant le dysfonctionnement du système d’exploitation. Quelques instants plus tard, le technicien constate la présence d’un répertoire rempli de fichiers pornographiques. C’est le début des ennuis de Jean-Pierre avec la société REKALL: convocation à un entretien préalable, mise à pied puis licenciement.

Tout au long de la procédure, Jean-Pierre nie avoir téléchargé ou introduit les fichiers pornographiques. La société REKALL n’en croit pas un mot et tout le monde se retrouve devant les prud’hommes.

Un expert judiciaire est désigné, avec mission d’analyser le disque dur, d’y trouver trace des éventuels fichiers pornographiques et d’en déterminer la provenance. Me voici avec l’ordinateur affecté à Jean-Pierre par REKALL posé sur mon bureau bien enveloppé dans son scellé. Le week-end s’annonce bien…

Je brise le scellé, déballe l’ordinateur et commence mes investigations.

Ma méthode est toujours la même: je note sur un cahier toutes les opérations que j’effectue, je vérifie la présence physique de tous les supports de mémoire possibles (cédéroms dans les lecteurs, clefs USB, disques SSD, disques durs, etc.), prends des photos avant démontage, note la présence de poussières, la position éventuelle des cavaliers, des nappes de câbles… Dans le cas présent, le dossier technique semble simple: un seul disque dur est branché sur la carte mère. Je procède à son extraction, avec précaution. Je démarre l’ordinateur et inspecte les paramètres du Bios pour relever le décalage horaire avec l’heure exacte de l’horloge parlante. Le bios d’un ordinateur peut révéler parfois des informations très intéressantes. Ici, rien de particulier.

Je branche le disque dur sur mon PC de prise d’image, derrière un bloqueur d’écriture. Puis, je procède à la prise d’image proprement dite, comme décrit ici. Mon NAS personnel se remplit toute la nuit d’une image bit à bit d’environ 500 Go, fidèle copie numérique du disque dur d’origine. Je replace le lendemain le disque dur d’origine dans son PC, non sans l’avoir pris en photo et noté toutes ses caractéristiques (numéro de série, marque, modèle, etc.) sur mon petit cahier papier.Promis, dans quelques années, j’achète un encrier, une plume sergent major et le porte-plume de mon enfance 😉

J’analyse le contenu du disque dur, et sans surprise, je trouve un répertoire intitulé « nvrzkflg » contenant plusieurs centaines de gigaoctets d’images et de films pornographiques. Me voici, porte du bureau fermée, en train de plonger dans ce qui ne constitue effectivement pas des études concernant la prostitution. Je fais le plein de pr0n…

Les fichiers semblent classés par thème, du plus classique au plus exotique, mais certains détails techniques attirent mon attention. L’organisation générale du stockage des fichiers est plutôt curieuse, avec des noms de répertoire d’un seul caractère, et les vidéos sont dans toutes les langues, avec parfois des sous-titres, eux-aussi dans toutes les langues. Je le note en remarque sur mon cahier d’écolier.

Après quelques heures passées à faire le tri, je m’attaque à la question de la provenance de ces fichiers. Jean-Pierre a-t-il abusé de son accès internet, sachant que de toute manière, internet, c’est pour le porno. J’analyse alors les traces de navigation laissées dans les différents caches présents sur le disque dur: rien d’inapproprié. Jean-Pierre a bien effectué quelques courses personnelles sur des sites de VPC, mais rien en rapport avec mes missions. Je recherche des traces d’extractions de fichiers archives compressées (zip, etc.), typique de la manipulation en masse de fichiers, mais là aussi rien de probant: que des documents de la société REKALL.

Je démarre l’image du disque dur dans une machine virtuelle et procède à son analyse avec l’aide de plusieurs antivirus à jour. Bingo! La machine est infectée… Une recherche sur Google m’indique que l’infection en question est un bot d’un cloud de stockage. Autrement dit, le disque dur du pc infecté est relié à un ensemble d’autres ordinateurs (des serveurs de contrôle et d’autres pc infectés) formant une grande zone de stockage à la disposition d’une ou plusieurs personnes. Dans le cas présent, la zone de stockage semble être destinée à de la pornographie.

Pour vérifier mon hypothèse, je relie à internet mon bac à sable où je faisais fonctionner la machine virtuelle, non sans avoir lancé un bon analyseur de trafic réseau.

Je dois dire que j’ai été assez fasciné de voir ma petite machine virtuelle être contactée depuis un ordinateur que j’ai tracé jusqu’à Taïwan (certainement une machine elle-même infectée) et recevoir des commandes à exécuter pour se mettre à jour et faire le plein de pr0n.

Mon rapport a été clair (comme toujours) sur la question: Jean-Pierre pouvait être mis hors de cause. Qui était responsable de sa désagréable situation, l’antivirus inefficace?, non mis à jour?, le service informatique?, heureusement la question ne m’a pas été posée. En tout cas, depuis, je surveille un peu plus les mises à jour des antivirus de mon entreprise, et les comportements suspects de notre parc informatique. Dans une école d’ingénieurs, ce n’est pas toujours facile.

Mais surtout, je n’accuse jamais un utilisateur pour ce que je peux trouver sur son poste de travail.

Dans la peau d’un informaticien expert judiciaire T1

Ce blog approche doucement mais sûrement des 700 billets publiés, et cela malgré le nettoyage régulier que je peux faire en supprimant des vieux billets « petits riens » datant du temps d’avant Twitter. Pour autant, la plupart des billets que je laisse en ligne racontent des petites histoires chères à ma mémoire et auxquelles j’aimerais donner une seconde chance, une autre vie.

En 2007, j’avais publié un livre reprenant 126 billets des débuts du blog. J’avais trouvé un éditeur en ligne qui me permettait de réaliser moi-même mon ouvrage et de le diffuser auprès des personnes intéressées, essentiellement ma famille et mes proches.

J’ai donc repris le livre de 2007 pour en faire une seconde édition[1] qui sera le premier tome d’une série intitulée « Dans la peau d’un informaticien expert judiciaire ».

Titre du 1er tome: « L’âge d’or est devant nous ».

Si certains lecteurs sont intéressés, cet ouvrage est disponible au format papier en commandant en ligne chez mon éditeur.

D’autre part, vous le savez sans doute, j’aime assez l’idée de partage et de libre diffusion sans DRM. Ce livre est donc également disponible gratuitement pour tous:

au format PDF (1480 Ko),

au format EPUB (282 Ko),

au format FB2 (330 Ko),

au format LIT (232 Ko),

au format LRF (263 Ko) et

au format MOBI (270 Ko).

Vous pouvez le copier et le diffuser librement auprès de vos amis ou de vos ennemis.

Un chantier autrement plus long qu’une réédition commence maintenant avec la publication des prochains tomes. Tri, choix, mise en page, corrections, relectures, vont m’occuper un certain nombre de week-ends. J’en ferai probablement une note de blog, à destination de tous les petits blogueurs comme moi qui souhaiteraient se faire plaisir avec dans leur bibliothèque un livre portant leur pseudo.

Et en diffusant ainsi mes anecdotes, je suis très heureux d’aller jusqu’au bout de la logique conseillée par la commission de disciple de ma compagnie d’experts judiciaires lors du « procès » de ce blog. C’est pourquoi je souhaite à tous bonne lecture de mes romans 🙂

Comme j’ai conscience qu’un nombre important d’internautes atterrissant ici n’iront pas acheter le livre ni télécharger la version électronique, je souhaite quand même publier ci-dessous la page des remerciements.

Remerciements:

Ce livre n’existerait pas sans l’aide des personnes suivantes (par ordre chronologique):

– Mes parents, qui m’ont donné le jour, élevé et éduqué avec affection et amour. La baisse sensible du nombre de fautes dans cette seconde édition doit beaucoup à la relecture de ma mère.

– Ma sœur qui m’a soutenu tout au long de mes études, en particulier dans les moments difficiles. Je lui dois une partie de ce que je suis.

– Mon épouse qui m’a soutenu devant toutes les difficultés rencontrées lors de la tenue du blog.

– Maître Eolas, dont les encouragements et le soutien ont largement contribué au succès du blog.

– Tous les blogueurs qui entretiennent avec moi des liens à travers les internets. J’apprends souvent beaucoup de nos échanges.

– Et, bien entendu, les lecteurs du blog.

En attendant, le blog continue.

———————-

[1] La deuxième édition corrige essentiellement quelques fautes de frappe, place le numéro ISBN au bon endroit pour les diffuseurs tels qu’amazon.fr, ajoute le nom du tome et les remerciements. Inutile donc pour les personnes ayant acheté la première édition (collector!) de commander cette version sensiblement identique. Stay tuned pour les autres tomes 😉

Lætitia 38 ans

Les bureaux sont déserts. Bien qu’il soit encore tôt le matin, personne ne viendra me déranger car les bureaux resteront vides. L’entreprise est fermée depuis plusieurs mois, mais le mobilier et les équipements sont encore en place. A part cette fine couche de poussière, tout me donne l’impression que dans quelques minutes une vie active va envahir les lieux, remplissant l’atmosphère de bruits et d’agitation.

Ma mission est de récupérer, à la demande du tribunal de commerce, toutes les données concernant les sites internets des anciens clients.

J’ai fait remettre l’électricité en intervenant auprès du liquidateur judiciaire. Je me suis fait ouvrir les portes par le gardien de l’immeuble d’entreprises, et il m’a aidé à réenclencher le disjoncteur avant de me laisser seul dans les lieux. Tout un ensemble de bureaux, des locaux techniques, des salles de réunion, une cuisine, pour moi tout seul.

Je pose mon sac dans l’entrée sur le bureau d’accueil. J’en sors un poste de radio que je branche pour mettre un peu de vie. J’ouvre les volets de plusieurs fenêtres pour faire entrer la lumière. Je fais le tour des pièces pour repérer les lieux. Je prends des notes: salle serveurs, ordinateurs dans tel et tel bureau, je suis le câblage du réseau pour trouver les baies de brassage et les actifs du réseau. En une heure, j’ai redémarré le réseau, les machines de la salle serveurs et quelques ordinateurs de bureau.

Le liquidateur judiciaire m’a laissé les mots de passe de l’administrateur du réseau, mais je récupère quelques mots de passe complémentaires avec mon live CD Ophcrack. Je commence l’inspection des disques durs des serveurs: organisation générale des données, logiciels installés, structure du réseau, etc.

Au bout de quelques heures, je me rends compte que toutes les données concernant les sites internets des clients ont été effacées. Et la présence du programme eraser sur le compte de l’administrateur m’a vite fait comprendre que mes tentatives de récupération de données seront certainement vouées à l’échec. Mais j’essaye quand même et n’abandonne qu’après moultes vérifications. Nada, que tchi, que pouic. L’informaticien aurait aussi bien pu laisser bien en évidence sur une table un post-it avec mention GTFO.

Bon. Les données de la salle serveurs sont FUBAR… Il ne me reste qu’à vérifier si une copie traine quelque part sur un disque dur dans les différents bureaux. Je sens que l’après-midi va être longue, très longue.

Pendant que le poste de radio de l’entrée crie sa joie de vivre, je m’installe dans ce qui semble avoir été le bureau de la secrétaire. Quelques cartes de visite trainant sur la table m’indiquent que je suis assis à la place qu’occupait une certaine Lætitia, qui justement signifie « joie » en latin, secrétaire de direction.

Je profane son ordinateur et explore les catacombes. Son fond d’écran montre une femme d’environ 40 ans avec des enfants. Le calendrier de sa messagerie Outlook m’indique qu’elle a programmé un rendez-vous périodique intitulé « sauvegardes mensuelles ». Tiens tiens.

J’ouvre les tiroirs du bureau et tombe sur deux bandes magnétiques de type DAT.

Je retourne dans la salle serveurs où se trouve un lecteur DAT (mais curieusement plus aucune bande…) et entreprend la lecture des données stockées sur les deux bandes. Bingo. Lætitia était chargée de mettre de côté hors salle serveurs une bande de sauvegarde mensuelle contenant toutes les données des serveurs, y compris et surtout celles concernant les sites internets des clients. Les inscriptions sur les boites m’ont également indiqué que l’informaticien avait prévu le stockage d’une sauvegarde pour les mois pairs et d’une autre pour les mois impairs.

En rangeant mes affaires, je suis resté quelques minutes à regarder Lætitia sur son fond d’écran. Et je l’ai remercié, au nom de ses anciens clients.

Sur le bureau de la salle serveur, j’ai laissé un petit papier où j’ai écrit ROFLMAO. J’espère que l’admin aurait apprécié.

Emilie 4 ans

Émilie a 4 ans et s’est faite violer plusieurs fois par un ami de son père. Ce que ne savait pas Émilie, c’est que son violeur a pris des photos et filmé la scène. En fait, Émilie, à son âge, ne sait pas grand chose de la vie, si ce n’est qu’elle fait une confiance aveugle à ses parents et aux grandes personnes en général.

Ce que ne savait pas son violeur, c’est que les photos et films qu’il a faits seraient vus sur son ordinateur par un de ses « amis » qui les a vendus ensuite via des forums undergrounds spécialisés dans les images pornographiques « exotiques ».

Ce que ne savaient ni Émilie, ni son violeur, c’est que ces scènes feraient le tour du monde en quelques mois, s’ajoutant aux images de ce type dans les compilations pédophiles qui s’échangent sous le manteau, dévoyant les sites de partage et la magnifique liberté d’internet.

Jusqu’à cet ordinateur mis sous scellé et qui se trouve sur mon bureau.

Un ordinateur dont l’officier de police judiciaire m’a raconté la courte histoire: son propriétaire est en prison pour une autre histoire, il a obtenu l’autorisation d’utiliser son ordinateur dans sa cellule, il a visionné plusieurs séries d’images pornographiques en compagnie d’autres compagnons de cellule, dont certaines à caractère pédopornographique. Il a été dénoncé, son ordinateur a été saisi, une procédure ouverte.

J’ai brisé le scellé, procédé à la copie numérique du disque dur, et commencé son analyse inforensique.

J’ai trié toutes les images extraites, et tous les films. J’ai regardé chaque image pour déterminer sa nature. J’ai vu toutes ces jeunes filles d’à peine 10 ans, dénudées, aux sourires tristes, prenant des poses suggestives. Et je t’ai vu, Émilie. Bébé à peine grandi, avec tes yeux confiants, regardant un sexe d’homme trop grand pour toi. J’ai fermé les yeux et pensé à mes trois enfants qui jouent à l’étage… J’ai pensé à mes étudiants vingtenaires qui vivent à cent à l’heure leur jeunesse insouciante. J’ai senti des larmes couler sur mes joues en me disant que, bordel, à mon âge j’étais encore trop sensible. Que je pensais qu’avec le temps, comme les étudiants en médecine, comme les pompiers, comme les policiers, j’allais m’endurcir…

Alors je rouvre les yeux et je continue mon classement. Ton prénom est dans le nom de plusieurs fichiers. Ton âge aussi, et l’histoire de ton viol. Les films sont d’une atrocité sans nom. Je redresse mon esprit vacillant en cherchant dans les métadonnées des fichiers d’éventuelles traces utiles pour les enquêteurs. Je note les dates présumées de création, de modification et de dernier accès.

Je me demande l’âge que tu as aujourd’hui. La vie que tu mènes. Un bonheur est-il possible après un début de vie aussi terrible?

Je ne sais pas.

J’imprime quelques photos pour le rapport.

Il faudra que je pense à prévenir l’opératrice du centre de photocopies où j’ai mes habitudes. Il faudra que je pense à prévenir aussi la greffière à qui je vais remettre mon rapport. A ma question, elle répondra « je ne regarderai pas, je n’arrive pas à m’habituer ». Cela m’a rassuré.

A chaque expertise où l’on me demande de rechercher des images et films pédopornographiques, je retrouve ton visage. Presque à chaque fois. Tu es mon « effet Streisand » à moi.

Émilie, je pense encore à toi. Dans mon esprit, tu auras toujours 4 ans. J’espère que dans le tien, tu as tout effacé.

Marcel 70 ans

Marcel a 70 ans et s’est acheté un PC. Un beau PC tout neuf qu’il a acheté auprès du marchand au coin de la rue. Mais Marcel n’est pas content, car au bout de trois mois son PC ne marche plus.

Alors Marcel a contacté le marchand qui lui a dit de lui amener son PC. Après l’avoir gardé deux semaines, le marchand lui a rendu en lui disant qu’il ne pouvait rien faire, que le PC n’était pas réparable à moins de changer tous les composants importants, qu’il avait du prendre une surtension liée à la foudre, qu’il aurait fallu le brancher sur une prise parafoudre…

Et Marcel, il a l’impression de se faire avoir, et ça, Marcel, il n’aime pas.

J’ai beau expliquer à Marcel qu’il ne faut pas qu’il me raconte tout ça, pas tout de suite, car le marchand n’est pas encore arrivé. Marcel ne m’écoute pas, il en a gros sur le cœur, alors il parle et me raconte son histoire. Je vois bien que Marcel est en colère, je vois bien qu’il ne m’écoute pas quand je lui explique que la procédure étant contradictoire, nous ne devons pas commencer tant que toutes les parties convoquées ne sont pas arrivées. Je cherche du regard un appui de son avocat, mais celui-ci m’indique d’un haussement d’épaule son impuissance à canaliser son client.

Marcel a 70 ans, nous sommes chez lui dans son salon, assis sur le canapé, son avocat et moi. Marcel nous a servi un café et des petits gâteaux. L’intérieur de la maison est propre et bien rangé. Il y a une petite odeur de cuisine et j’essaye de deviner le plat qu’il s’est préparé à midi. Pour détourner la conversation, je lui demande ce qu’il s’est cuisiné. Un peu surpris, il me répond et m’explique que son épouse est morte depuis cinq ans et me raconte sa vie de veuf. Le changement de sujet lui a fait du bien, il semble se détendre.

Je regarde ma montre et constate que le marchand a une demi-heure de retard. J’ai pourtant été clair sur la convocation envoyée en recommandé avec avis de réception. J’abandonne Marcel et son avocat en leur demandant de m’excuser et je téléphone au marchand. Celui-ci me répond qu’il n’a pas que cela à faire et voudrait savoir qui va payer son déplacement… Je prends alors ma voix la plus glaciale possible et lui explique que la réunion d’expertise ayant été régulièrement convoquée, celle-ci se tiendra même en l’absence d’une des parties et qu’il prend le risque de ne pas voir ses éventuelles explications prises en compte. Je lui rappelle enfin qu’il est probable que l’ensemble des frais d’expertise soit à sa charge si le magistrat en décide ainsi. Et que le compteur tourne depuis déjà une demi-heure…

Cinq minutes après, le marchand est dans la place, seul, ayant estimé inutile de se faire accompagner par un avocat. La réunion d’expertise peut enfin commencer.

Le marchand prend toute l’affaire de très haut et commence à dénigrer l’avocat de Marcel. Celui-ci ne se laisse pas faire et explique au marchand quelques aspects intéressants de la loi en matière commerciale. Je les laisse s’expliquer un peu en regardant Marcel. Celui-ci s’est assis dans un fauteuil et regarde la scène avec un petit sourire. Il a sur ses genoux un dossier contenant toutes les pièces qu’il a rassemblées.

Une fois que le marchand s’est fait calmer par l’avocat de Marcel, je reprends la parole et explique que je souhaite entendre successivement chaque partie dans le calme, explique mon rôle auprès du tribunal et énonce les missions qu’il m’a données. Je passe la parole à Marcel qui semble ravit de recommencer à tout m’expliquer: l’achat du PC auprès du marchand, l’achat d’une prise parafoudre sur les conseils de son fils, facture à l’appui avec date antérieure à celle de l’achat du PC, sa découverte de l’informatique sur son nouveau matériel, avec l’aide de son fils, la panne inexpliquée au bout de trois mois et le refus du marchand de faire jouer la garantie après avoir gardé le matériel deux semaines.

Marcel s’exprime avec des mots simples. Il est en colère mais sa voix ne tremble pas. Son avocat a sa main posée sur son bras. Il a probablement à peu près l’âge de son fils. Le marchand est debout dans un coin de la pièce et a du mal à garder son calme. Une fois que Marcel a terminé, je passe le bâton de parole au marchand.

Celui-ci explique que la carte mère a subit un choc électrique dû à une surtension qui n’est pas couverte par la garantie, que son équipe et lui ont déjà passé beaucoup de temps sur ce dépannage, un temps supérieur à la valeur marchande du produit.

En présence des deux parties, j’ouvre l’unité centrale du PC et constate l’absence de traces visibles de surtension. Je constate la présence d’une multiprise parafoudre sur laquelle est branchée l’alimentation de l’unité centrale ainsi que l’écran de l’ordinateur. Je constate que l’écran fonctionne correctement en le branchant sur mon PC de test que j’ai amené dans mon coffre de voiture. J’y branche dessus à titre de vérification le disque dur du PC de Marcel, le lecteur DVD et l’alimentation. Tous ces éléments fonctionnent correctement. Après plusieurs tests, je constate que seule la carte mère est défectueuse.

Pendant tout ce temps, Marcel observe avec intérêt mes manipulations. Je le vois même prendre des notes de mes explications, ainsi qu’une photo.

« C’est pour mon fils » m’explique-t-il.

Dans mon rapport, j’indique au magistrat que la cause de la panne est un défaut sur la carte mère, défaut d’origine inconnue, apparu pendant la période de garantie. J’indique la date approximative de la panne, basée sur l’analyse du disque dur, sur les déclarations de Marcel et le dépôt du PC chez le marchand pour réparation. Je joins au rapport un extrait des analyses d’ERDF des impacts de foudre sur la période concernée sur son réseau de distribution, montrant qu’aucune fluctuation n’a eu lieu à cette date.

Un an et demi après, j’ai appelé le greffe du tribunal pour essayer de connaître la décision du tribunal. La greffière m’a répondu: « remise en état de l’ordinateur concernant le dommage matériel, paiement des honoraires d’avocat et des frais d’expertise, et enfin un dommage moral au titre du préjudice d’agrément, le tout entièrement à la charge du marchand ».

Aujourd’hui Marcel est mort, mais je suis sûr qu’avant de disparaître, il ne s’est surement pas laissé faire.