La loi des séries

J’ai reçu ce matin le courrier que j’attends depuis une semaine. Je vais enfin savoir où se cache cette personne disparue.

Quelques semaines plus tôt, j’ai reçu un courrier d’un juge d’instruction qui me désigne avec pour mission de collecter le plus d’informations possibles sur une personne disparue. Sa famille la recherche depuis plusieurs jours et les faits sont suffisamment troublants pour que la justice soit saisie.

Mes missions sont simples: je dois contacter la gendarmerie pour qu’elle m’amène un ordinateur qui a été mis sous scellé. Je dois examiner son contenu à la recherche de tout indice permettant de savoir ce que la personne disparue a pu devenir.

Derrière un énoncé simple des missions se cache en fait un problème terrible: pas de recherche possible par mot clef, pas de piste particulière qui pourrait guider l’exploration numérique, rien a priori.

Je contacte donc la gendarmerie, prends rendez-vous avec l’Officier de Police Judiciaire en charge de cette affaire, et le jour J, il m’amène l’ordinateur sous scellé. Nous discutons du dossier, je lui pose des questions sur le contexte de la disparition, je signe le reçu de remise du scellé (comme dans « NCIS »).

Me voici dans mon bureau laboratoire devant le scellé. Je le prends en photo (comme dans « Les Experts »), je l’ouvre avec précaution, je prends des notes dans mon cahier d’expertise. Je démonte le disque dur, j’en prends une empreinte numérique complète, avec mon bloqueur d’écriture pour ne pas modifier le disque original. Je démarre une machine virtuelle basée sur la copie numérique et commence l’exploration.

Comment aborder ce type de mission? Comme dans « Dr House », je dispose dans mon vaste bureau un grand tableau blanc Velleda sur lequel j’écris les différentes hypothèses et les conséquences possibles. Quelle trace peut laisser une personne qui disparaît? Est-ce une disparition volontaire? Je commence par extraire tous les fichiers du disque dur, effacés ou non, complets ou pas. Je fais ensuite la liste exhaustive des fichiers pouvant contenir du texte: documents doc, docx, wpf, odf, xls, xlsx, txt, cvs, pdf, pub, ppt, html, pst, dbx, etc. Me voici à la tête de plusieurs milliers de documents à lire.

Comme dans « FBI portés disparus », je trace une ligne de temps et je classe les différents évènements que j’arrive à retirer de la lecture des documents. Une histoire familiale commence à prendre forme, avec ses joies et ses peines. Dans cette affaire, les courriers électroniques sont les plus instructifs: des coups de gueule, des réconciliations, des mots doux… A un certain moment, les traces d’emails que je retrouve par bribe dans le cache du navigateur correspondent à l’utilisation quasi exclusive d’un webmail au détriment du logiciel local de messagerie. Me voici dans une impasse.

L’analyse complète du disque dur durera plusieurs jours nuits, et ne donnera rien de pertinent. Rien n’est plus difficile et long que les recherches qui n’aboutissent pas.

La piste du webmail me semble potentiellement prometteuse. Tel un enquêteur de « New York, unité spéciale », je contacte le juge d’instruction qui m’a désigné. Dans la vraie vie, il me faut batailler pour arriver jusqu’à lui et pouvoir discuter de mon problème: il me faudrait une commission rogatoire pour persuader l’hébergeur du webmail de m’ouvrir les portes du compte. Le magistrat soutient ma démarche et quelques jours plus tard, je reçois le sésame épistolaire.

Mais comment contacter l’hébergeur bien connu du webmail? Un bon expert judiciaire, même marginal et insociable, se doit d’être dans les bonnes listes de diffusion-qui-vont-bien sur lesquelles je lance un email à la mer. Quelques experts parisiens bien informés et partageurs me fournissent l’adresse postale de l’hébergeur et, Saint Graal de l’internaute lambda, le numéro de téléphone qui permet de tomber directement et rapidement sur quelqu’un de compétent, comme dans « RIS ».

J’explique mon souhait, je faxe ma commission rogatoire, et en retour, par fax également, je reçois les login et mot de passe de l’utilisateur de la boite webmail. Je me connecte aussitôt, en notant sur mon cahier d’expertise les jour, heure, minute et adresse IP de ma connexion.

Un rapide constat s’impose: un grand nombre d’emails n’ont pas été lu depuis plusieurs semaines… sauf quelques uns, parmi les plus personnels. Je prends des copies d’écran, je lis tous les emails, cherche sans succès des traces de réponses.

Je recontacte le service juridique de l’hébergeur pour obtenir les adresses IP des connexions ayant permis la lecture des emails dont je fournis la liste. Toutes les informations demandées vont m’être adressées par courrier postal.

J’ai reçu ce matin le courrier que j’attends depuis une semaine. Je vais enfin savoir où se cache cette personne disparue qui n’a pas résisté à la tentation de consulter sa boite email.

Les adresses IP correspondent à celle de la gendarmerie en charge du dossier. Les enquêteurs avaient eu à disposition les login et mot de passe du webmail, fournis par la famille et avaient cherché des indices dans quelques emails qui semblaient prometteurs.

Je n’ai jamais su ce qu’était devenue cette personne disparue. Peut-être aurai-je un jour la réponse dans « Victimes du passé« …

Effacement

Dans ce dossier de recherche d’images et de vidéos pédopornographiques, la justice me demandait de retrouver également tous les contacts sur l’ordinateur mis sous scellé.

Me voici en train de procéder à l’analyse du disque dur, après avoir ouvert le scellé et effectué la copie de travail du disque dur (copie identique en tout point à l’original). Comme d’habitude, je commence par créer une machine virtuelle fonctionnelle pour pouvoir me promener sur le disque dur avec l’explorateur de fichiers, afin de me faire une première idée de l’organisation générale, avant de lancer la grosse artillerie pendant des heures. Et là, je constate que les fichiers ont été effacés avec un utilitaire de nettoyage en profondeur… Plus aucune trace de quelque fichier que ce soit appartenant à l’un des utilisateurs de l’ordinateur, à part les fichiers et dossiers systèmes et les applications installées.

Bon.

Je lance quand même l’analyse avec mes outils habituels (Sleuthkit, etc), je trie les photos et films récupérés dans les différentes zones du disque dur non traitées par le nettoyage soi-disant en profondeur (zone non allouée, fichier hiberfil.sys et pagefile.sys principalement) et remplis ma mission en mon honneur et ma conscience (cf serment sous le titre du blog) en mettant de côté tout ce qui ressemble de près ou de loin à des données pédopornographiques. J’y passe quelques week-ends et quelques nuits.

Mais de contacts point. A part quelques bribes d’adresses emails récupérées difficilement par des scripts de recherche lancés sur toutes les données du disque dur susceptibles de stocker des adresses en clair (essentiellement des fichiers de logs).

Avant de commencer à rédiger mon rapport et de fournir les données trouvées, je recommence un tour d’horizon manuel du contenu non effacé du disque dur. Et sur le compte de l’utilisateur Droïdekas, je tombe sur le répertoire suivant:

« C:Documents and SettingsDroidekasApplication DataApple ComputerMobileSyncBackup »

contenant deux sous-répertoires codés.

Tiens, tiens.

Je lance mon moteur de recherche favori Duck Duck Go Yippy Google, qui me confirme qu’il s’agit bien là de la sauvegarde d’un iPhone associé à cet ordinateur.

Il se trouve que je ne suis pas spécialisé dans l’analyse inforensique de ce que nos amis polynésiens appellent un Vini, nos voisins suisses un Natel, nos cousins québécois un cell, mes enfants un portable et moi un téléphone mobile. Encore moins dans l’analyse des smartphones.

Mais Google est mon ami, et une recherche à peine poussée me permet de trouver un petit programme qui s’appelle iPhone Backup Extractor. Une fois téléchargé, antivirus-analysé, installé sur une machine virtuelle, testé, validé, et payé, je peux procéder à la récupération de toutes les données sauvegardées de cet iPhone.

Et bien entendu, de tous les contacts de l’utilisateur.

Et des SMS.

Et des rendez-vous.

Et des images et vidéos.

Cela m’a donné deux semaines de travail supplémentaire, porte de bureau fermée, avec une pensée pour ce newbie en matière de disk wiping.

Il ne faut jamais être trop confiant en matière d’effacement de traces.

Une histoire simple et banale – Conclusion

Ce billet est la suite de celui-ci.

Cette série de billets commence avec celui-ci.

Ce billet conclut cette petite série que j’ai pris plaisir à écrire. Il y avait longtemps que je souhaitais vous raconter un peu plus en détail le déroulement complet d’une expertise, comme si vous y étiez.

Les leçons que j’ai essayées de vous faire tirer de cette série de billets sont les suivantes:

– l’expert ne doit donner son avis que sur les questions qui lui sont posées. Dans certains cas, les magistrats élargissent un peu le périmètre avec des missions plus générales, ce qui était le cas ici avec « donner tout élément utile à la manifestation de la vérité ». Il est toutefois délicat de donner un avis basé « simplement » sur une expérience personnelle, qu’il est difficile de justifier scientifiquement.

– en choisissant une histoire où un « gros » essaye de faire payer un « petit », qui en plus est son client, j’ai essayé de vous montrer que les sentiments personnels, les opinions politiques ou une certaine vision du monde, n’ont pas leur place lorsqu’un magistrat vous demande votre avis. Vous devez lui fournir tous les éléments techniques à votre disposition pour l’éclairer. C’est lui le juge, pas vous. Et c’est souvent difficile. C’est d’ailleurs à mon avis l’un des rôles les plus importants des avocats lors de l’expertise: s’assurer que l’expert donne un avis objectif et technique sans sortir de son rôle.

– le savoir faire réellement technique n’est en fait qu’une petite partie de l’expertise. Ce n’est pas pour rien que j’ai intitulé cette série « une histoire simple et banale »: simple car la partie technique est facilement accessible (une base de données), et banale car on est loin de l’ambiance technophile des experts judiciaires de l’univers cinématographique ou télévisuel. La plupart des actions entreprises par l’expert judiciaire sont affligeantes de banalités. Un expert judiciaire, ce n’est pas un super spécialiste hyper pointu en sécurité des systèmes d’informations, c’est un ultra généraliste (en informatique) qui a en général beaucoup d’heures de vol. Cela explique parfois les reproches qui me sont remontés sur des confrères du genre « mais cet expert est nul, il ne sait même pas faire une injection SQL!! » (mes contacts sont suffisamment gentils pour ne pas me faire ce type de reproches directement ;-). C’est souvent une question de confrontation de générations. J’ai personnellement rarement vu (mais cela existe) un jeune informaticien qui soit un excellent généraliste, alors que j’en ai vu beaucoup qui soient de super bons spécialistes.

– les avocats ne sont pas des adversaires. Il faut comprendre leur métier, leur rôle de conseil auprès de leur client et écouter les remarques qu’ils ont à faire. Il faut bien sur rester sur le terrain technique, votre domaine, mais se laisser un peu emmener sur le terrain juridique, surtout s’ils sont de bons guides. Il faut les laisser faire leur travail, et en général ils vous laisseront faire le votre. C’est vrai que l’expert judiciaire est un peu seul face aux parties. Je rêve d’ailleurs d’un système où l’expert serait assisté d’un avocat. C’est, par chance, mon cas… Je dois dire que c’est surtout parce que c’est aussi faire le constat que la justice française ne dispose pas de moyens suffisants pour remplir sa mission. Bien sur, tant que vous n’êtes pas concernés, vous vous en fichez un peu, mais le jour où vous y aurez à faire… Néanmoins, en tant que citoyen, je serais prêt à travailler gratuitement pour la justice, si par contre l’Etat me donne accès aux outils logiciels adaptés aux missions que la justice me confie.

Alors certains vont me demander la décision finale du tribunal dans l’affaire éditeur de ERP/PGI c/ ARRAKIS et CORRINO. Je sens que je vais les décevoir, car la mission de l’expert judiciaire s’arrête lorsqu’il dépose son avis sous forme de rapport. Il n’est pas tenu au courant des suites données à l’affaire. Je crois savoir que parfois cela vaut mieux pour lui car les avocats ne sont pas nécessairement tendres avec un rapport qui leur est défavorable… Bien sur, il est possible de contacter le greffe au bout d’un certain temps pour savoir si l’affaire est terminée et savoir quelles ont été les décisions prises. J’aimerais toujours connaître l’avis du magistrat qui a lu mon rapport, savoir s’il l’a trouvé clair, et en discuter avec lui. Mais le système ne fonctionne pas comme cela. C’est parfois dommage, et toujours un peu frustrant. J’espère partager ici un peu de ma frustration 😉

J’aime pourtant à croire que le « gros » éditeur de ERP/PGI s’est fait débouter de toutes ses demandes, que les sociétés CORRINO et ARRAKIS continuent de travailler en bonne intelligence et que M. Leto conserve une sauvegarde sans limite de temps avant et après chaque migration importante.

Une histoire simple et banale 7e partie

Ce billet est la suite de celui-ci.

Cette série de billets commence avec celui-ci.

La date butoir indiquée aux parties est arrivée, toutes m’ont adressées des critiques conclusions dires dans les temps. Il me faut maintenant entreprendre la rédaction du rapport final.

Je commence logiquement par les réponses à chaque dire que je numérote. Pour le présent exercice, je vais prendre les dires dans l’ordre d’arrivée:


1) Maitre Stéphane:

« Mission 5 dernier paragraphe:

« La société CORRINO n’a pas effectué cette dernière partie du paramétrage ».

Vous ne pouvez pas l’affirmer, le service technique de ARRAKIS aurais très bien pu changer les droits après l’installation de CORRINO (même si ce n’est probablement pas le cas). »

Réponse de l’expert:

Je reconnais qu’il s’agit d’une pure conjecture de ma part. Je supprime la phrase suivante de mon rapport final:

« La société CORRINO n’a pas effectué cette dernière partie du paramétrage, probablement à cause d’une maîtrise technique fragilisée par le changement de logiciel pendant la prestation (le logiciel ERP est devenu PGI). »


2) Maitre Anonyme/Voyou:

« Comme vous l’avez constaté par vous-même, le logiciel n’a pas été installé selon les licences acquises. Nous souhaitons donc que la société xxx paye les licences correspondantes à l’installation qui a prévalue jusqu’à notre intervention. »

Réponse de l’expert:

Contrairement à votre affirmation, je n’ai pu faire le constat du défaut d’installation à la date de la réception du logiciel. J’ai simplement constaté, à travers les sauvegardes du système, qu’une année après la recette, les licences n’étaient pas en conformité avec les droits acquis. La cause de cette mauvaise configuration n’a pas pu être établie.

Je complète mon pré-rapport en remplaçant la phrase suivante:

« A mon avis, l’éditeur du logiciel ERP/PGI n’a subi aucun préjudice, malgré le mauvais paramétrage du logiciel par la société CORRINO, paramétrage corrigé dès qu’il a été signalé. »

par la phrase ainsi rédigée:

« A mon avis, l’éditeur du logiciel ERP/PGI n’a subi aucun préjudice, malgré le mauvais paramétrage du logiciel par la société CORRINO constaté dans la sauvegarde la plus ancienne (date), paramétrage corrigé dès qu’il a été signalé (date signalement). »

Je complète également mon pré-rapport en ajoutant le paragraphe suivant à la fin de ma réponse à la mission n°5:

« Le mauvais paramétrage du logiciel peut donc être le fait de la société CORRINO, sans que je puisse en apporter la preuve formelle. Ce mauvais paramétrage peut tout aussi bien être le fait de la société ARRAKIS, bien qu’aucune trace d’usage des droits supplémentaires ainsi acquis n’ait pu être trouvée. Le mauvais paramétrage pourrait être causé par le manque de précision des indications fournies par l’éditeur du logiciel lors du remplacement d’ERP par PGI (voir documents d’installation fournis en annexe X). Enfin, une intrusion dans le système informatique par un tiers pourrait également être envisagée, même si aucune trace n’a été découverte. »


3) Maitre Mister K.

« Comme indiqué dans le rapport, les traces obtenues ne permettent pas d’écarter une utilisation des fonctions liées aux droits de niveau 1.

D’autre part, le fait que lesdites fonctions aient été utilisées ou non n’enlève rien au fait que l’installation trouvée chez ARRAKIS viole clairement la licence qui lui a été accordée.

A ce titre, nous exigeons une mise à niveau rétrospective de la licence majorée par les frais de traitement liés à ce dossier. »

Réponse de l’expert:

Le préjudice est le dommage qui est causé à autrui d’une manière volontaire ou involontaire. Dans son ouvrage intitulé « L’expertise judiciaire en informatique de gestion », Jean-Marie Breton et Edouard Piégay écrivent au chapitre 5 « Préjudices et réparations »: L’expert judiciaire constate des dommages ou désordres survenus (ou prétendus) dans des installations ou dans des matériels ou des données ou des programmes informatiques. Il peut aussi constater l’inexistence des dommages ou désordres allégués par une ou plusieurs parties.

A la page 69, les auteurs rappellent que « l’expert ne doit pas qualifier juridiquement un fait car il pénétrerait dans le domaine du juriste ». C’est pourquoi dans le présent rapport, je me contente de présenter des faits informatiques et de donner mon avis.

Cet avis est que l’éditeur du logiciel ERP/PGI n’a subi aucun préjudice.


4) Maitre Orobas/Shaddam:

« Votre analyse fait totalement l’impasse sur les aspects techniques et les difficultés rencontrées par les ingénieurs et les techniciens de la société Corrino lors de la transition du logiciel ERP vers le logiciel PGI.

Il me semble pourtant évident que lors de cette transition, des problèmes de compatibilité entre les différentes versions ont pu apparaitre.

Dans ces conditions, il est possible que certaines fonctions qui devaient être accessible à un utilisateur de niveau 2, n’étaient accessible que pour les utilisateur de niveau 1. On peut encore supposer que lors de la transition, les utilisateurs de niveau 2 avaient des problèmes de stabilité que la société Corrino ne pouvaient résoudre du fait de la faible quantité d’information distillé par la société éditrice du logiciel PGI

Il appartient donc à la société éditrice de PGI de prouver que lors de la transition, elle a correctement informé les techniciens et ingénieurs de la société Corrino afin de leur permettre de correctement paramétrer le logiciel PGI. »

Réponse de l’expert:

Vous faites l’hypothèse de problèmes de stabilités qui n’ont pas été établis de manière contradictoire lors des réunions d’expertise. Je ne saurais en tenir compte.

Concernant les informations données par l’éditeur du logiciel ERP/PGI concernant le paramétrage des droits, le point a été abordé en réunion d’expertise à travers les documents fournis par l’éditeur (voir annexe X) qui me semblent clairs pour un informaticien.

De plus, la société CORRINO produit une brochure publicitaire à ses futurs clients (voir annexe X), brochure dans laquelle elle met en avant la qualification avancée de ces équipes sur les logiciels ERP/PGI, ainsi que leurs formations continues sur ces produits. Je ne peux donc les considérer comme inexpérimentés sur l’offre logicielle concernée.


5) Maitre Scif:

I) « Au point 2) vos termes semblent reprocher à ma cliente d’avoir fait évoluer son logiciel pour mieux répondre aux besoins des utilisateurs. En sa qualité de sachant il appartenait à la société CORRINO de se tenir informée de ces évolutions techniques. Je vous prie donc de bien vouloir préférer une formulation plus appropriée. »

Réponse de l’expert:

Je ne fais que rapporter des propos tenus par la société CORRINO de manière contradictoire en réunion d’expertise. Par ailleurs, la société CORRINO a indiqué avoir privilégié le respect des délais dans le projet d’informatisation de la société ARRAKIS, plutôt que de tout stopper pour aller se former sur le nouveau logiciel PGI.

Je maintiens la formulation utilisée dans le paragraphe concerné.


II) « Au point 3), vous retiendrez que la société ARRAKIS a directement méconnu la licence qui lui a été octroyée. Vous retiendrez donc sa responsabilité conjointe et solidaire à l’égard de ma cliente avec la société CORRINO. »

Réponse de l’expert:

Le contrat de prestation mentionne que la société CORRINO assure l’installation du logiciel ERP et effectue une recette en présence de la société ARRAKIS sur des jeux d’essai fournis par cette dernière (et à défaut sur des jeux d’essais standards fournis par le prestataire CORRINO). Il n’est nul part fait mention d’une vérification par la société ARRAKIS de la conformité de l’installation aux licences acquises. L’installation dans les règles de l’art en la matière est implicite et à la charge seule de la société CORRINO.


III) « Au point 4) je m’étonne que vous ne reteniez aucun préjudice au motif de l’absence d’utilisation effective des droits. Je vous rappelle qu’une licence logiciel ne porte que sur des droits d’utilisation, indépendamment de l’usage qui en est fait ; droits d’utilisation dont a effectivement bénéficié la société ARRAKIS au détriment de ma cliente indépendamment de toute faute de celle-ci. Vous évaluerez – à tout le moins à titre d’élément d’appréciation quand bien même vous ne proposeriez pas au tribunal de le retenir – donc le préjudice en prenant pour référence la tarification commerciale de ma cliente. Vous évaluerez également le préjudice moral, le préjudice d’image, le préjudice financier et le préjudice d’agrément. Je vous prie de bien vouloir d’ores et déjà trouver ma note d’honoraires d’un montant de 24 867 euros que vous intégrerez à l’évaluation du préjudice de ma cliente. »

Réponse de l’expert:

Je vous renvoie à la réponse que je fais au dire n°3 que je reproduis ici pour faciliter la lecture:

Le préjudice est le dommage qui est causé à autrui d’une manière volontaire ou involontaire. Dans son ouvrage intitulé « L’expertise judiciaire en informatique de gestion », Jean-Marie Breton et Edouard Piégay écrivent au chapitre 5 « Préjudices et réparations »: L’expert judiciaire constate des dommages ou désordres survenus (ou prétendus) dans des installations ou dans des matériels ou des données ou des programmes informatiques. Il peut aussi constater l’inexistence des dommages ou désordres allégués par une ou plusieurs parties.

A la page 69, les auteurs rappellent que « l’expert ne doit pas qualifier juridiquement un fait car il pénétrerait dans le domaine du juriste ». C’est pourquoi dans le présent rapport, je me contente de présenter des faits informatiques et de donner mon avis.

Cet avis est que l’éditeur du logiciel ERP/PGI n’a subi aucun préjudice.


IV) « Au point 5), je partage vos regrets quant au fait que les sociétés ARRAKIS et CORRINO n’ont, indépendamment de ma cliente, victime, pas conservé les éléments nécessaires pour se dégager de leur responsabilité. »

Réponse de l’expert:

Je n’ai pas de réponse particulière à faire à ce dire.


V) « Toujours au point 5), vous faites état de pratiques courantes des utilisateurs de logiciels pour des motifs de confort en semblant justifier de telles pratiques, sans prendre en considération le point de vue des sociétés éditrices. Je vous rappelle que les licences accordées par ma cliente ne permettent pas d’accorder temporairement des droits supplémentaires à un utilisateur. Ma cliente est ouverte à négocier l’ouverture de tels droits temporaires contre une rémunération destinée à couvrir ses frais ; aucune démarche n’a cependant en l’espèce été entreprise en ce sens par les sociétés CORRINO et ARRAKIS. Je vous prie d’envisager la possibilité de retirer ce passage du rapport définitif. »

Réponse de l’expert:

Je n’affirme pas que la société CORRINO a pu procéder de la sorte, puisque la réunion d’expertise technique n’a pas pu prouver de telles pratiques. Je ne fais que présenter un avis basé sur mon expérience personnelle.

Mon rapport reste inchangé sur ce point.


Le rapport est ensuite imprimé dans sa version définitive, en autant d’exemplaires que de parties, plus deux pour le tribunal (et un pour moi).

Les annexes citées dans le rapport sont imprimées et numérotées. Les autres sont numérisées sur un cédérom joint à chaque exemplaire.

Chaque rapport est relié et relu pour vérifier qu’il ne manque aucune page. Je signe chaque exemplaire.

Les rapports sont envoyés en recommandé avec avis de réception. Chaque envoi est assorti d’un courrier d’accompagnement adapté. J’adresse le rapport directement aux sociétés car parfois celles-ci sont en froid avec les avocats que j’ai rencontrés lors des réunions d’expertise. J’adresse néanmoins un courrier (en RAR également) par courtoisie aux avocats pour qu’ils sachent que leur cliente (et le tribunal) vont recevoir mon rapport final.

L’envoi du rapport final au tribunal me sort du procès en cours. Je deviens la cible des sociétés mécontentes de mon travail et/ou de mon avis, mais je ne le saurai pas, sauf convocation par le tribunal (ce qui ne m’est jamais arrivé).

J’adresse enfin ma note de frais et honoraires au tribunal.

Le prochain billet sera est la conclusion de cette série.

Une histoire simple et banale 5e partie

Ce billet est la suite de celui-ci.

Cette série de billets commence avec celui-ci.

Me voici de nouveau présent dans l’entreprise ARRAKIS. Quinze jours ont passé, je suis en présence de Monsieur Léto, le DSI de l’entreprise, et d’un de ses ingénieurs. Nous allons enfin pouvoir aborder la partie technique du problème.

Tout d’abord, je lui rappelle les conditions de l’exercice que nous nous apprêtons à faire: je dois réaliser moi-même toutes les opérations, avec son aide bien entendu, mais moi-même.

« Ah bon? Mais nous avons déjà installé le serveur de test et procédé à l’installation de PGI et d’une première sauvegarde… »

« Et bien, cela montre que c’est possible, vous avez certainement résolu tous les petits désagréments que l’on rencontre dans ce genre d’installation, ce qui va nous faire gagner beaucoup de temps, mais je dois procéder moi-même à l’installation pour pouvoir remplir ma mission. »

Nous voici donc à recommencer l’installation d’un deuxième serveur de test (je préfère que l’on garde le 1er pour permettre à l’informaticien d’aller vérifier le paramétrage qu’il-a-mis-en-place-mais-pas-noté-sur-une-fiche-de-procédure-parce-que-bon-hein-on-a-autre-chose-à-faire). Je pousse les cédéroms, je suis les procédures, je prends des copies d’écran pour mon rapport. Comme je m’y attendais, tout cela prend quand même du temps, c’est-à-dire une bonne partie de la matinée.

Vient ensuite la restauration de la plus vieille sauvegarde, datant d’un an, et en particulier des dumps de la base. Mon objectif n’est pas de peaufiner un serveur de pré-production, ni de convaincre Monsieur Léto de l’utilité des exercices de restauration.

Je lui glisse quand même un petit avis personnel sur le fait de procéder à une sauvegarde complète du système AVANT installation du logiciel PGI, puis à une sauvegarde juste APRÈS recettage, sauvegardes qu’il est judicieux de conserver INDÉFINIMENT en cas de litige ultérieur. Il me répond assez classiquement, qu’on n’est pas en permanence à penser à une situation de litige avec ses partenaires. C’est une erreur, il faut toujours prévoir le pire.

Nous prélevons le contenu de la table contenant les droits des utilisateurs, selon la procédure indiquée par l’éditeur dans le fameux courrier à l’origine de l’affaire. J’utilise les outils de l’éditeur, avec lesquels je suis peu familier, sous la commande de l’ingénieur qui lui les connaît bien et manque plusieurs fois de m’arracher le clavier des mains tant il est exaspéré de ne pouvoir taper lui même les commandes. Pour me racheter un peu à ses yeux, je joue avec Toad sur mon PC pour examiner les entrailles du logiciel PGI.

Nous procédons ainsi pour toutes les sauvegardes encore actives dans la société ARRAKIS. Nous mangeons un sandwich sur place, entre deux restaurations de dump de la base. A chaque fois, je prélève une copie du contenu de la table des droits des utilisateurs que j’imprime aussitôt avec une mise en page basique.

A chaque fois, je constate invariablement que tous les utilisateurs sont au niveau 1, alors qu’ils devraient être uniquement au niveau 2.

A partir d’un certain moment, le contenu de la table change, juste après la réception du courrier de l’éditeur informant de l’anomalie constatée.

Je demande alors à Monsieur Léto s’il peut m’expliquer la différence entre le niveau 1 et le niveau 2 et quelles sont les opérations permises uniquement par le niveau 1. Il sort le manuel du logiciel PGI, me trouve la page répondant à mes questions. Je note que le niveau 1 permet d’utiliser des outils réservés aux administrateurs de la base. Je constate sur le système de production que ces outils ne sont pas installés sur les postes des utilisateurs, mais uniquement sur le poste de Monsieur Léto et de son ingénieur système. Je constate que la société ARRAKIS a payé pour avoir le droit niveau 1 pour deux utilisateurs dits « avancés ». Je constate également (grâce à mon petit outil « Toad ») que le logiciel PGI historise les accès privilégiés de niveau 1. Je peux ainsi constater que l’historique du système de production nous montre que les accès niveau 1 ont été limités dans le temps à la période du projet de déploiement initial et à quelques accès (probablement lors d’opérations de maintenance effectuées par la société CORRINO). Tous les accès ont été effectués à partir des deux postes affectés aux deux utilisateurs et toujours sous leurs identifiants personnels.

Je demande les bons d’interventions de la société CORRINO signés par Monsieur Léto à la fin de chaque intervention, ce qu’il me fournit assez facilement (c’est rare). Je note de les demander également à la société CORRINO.

Je demande enfin le fonctionnement des synchronisations horaires des systèmes informatiques (serveurs et postes utilisateurs). Monsieur Léto me montre que tous ses systèmes se synchronisent sur un groupe de serveurs de temps indépendants de l’entreprise et garantissant l’heure exacte sur tous les postes. Il souligne l’importance de cette exigence par la présence d’un logiciel de pointage horaire pour tous les salariés qui ne sont pas au forfait jour.

Il est 20h30, j’ai tous les éléments techniques pour rédiger mon pré-rapport.

Il me manque les documents de chaque avocat contenant leurs arguments au sujet de leur estimation des préjudices. Il me faudra ensuite relancer l’un des avocats qui tarde à m’adresser ce document.

Il me reste à rédiger mon pré-rapport, puis à le soumettre aux parties[1] pour qu’elles m’adressent leurs dires.

La suite de ce billet est à lire ici.

——————–

Crédit images darkroastedblend.com

[1] A chaque entreprise ET à son avocat, en recommandé avec avis de réception. Il arrive que l’entreprise se fâche avec son avocat et que celui-ci soit déchargé du dossier. N’envoyer qu’aux avocats est donc risqué. N’envoyer qu’aux entreprises fait perdre du temps, en particulier aux avocats. De plus, c’est mettre ceux-ci dans une situation de découvrir mon travail après leur cliente, ce que je trouve particulièrement impoli. Je recommande donc de toujours adresser les documents à la fois aux entreprises ET à leurs avocats.

Une histoire simple et banale 4e partie

Ce billet est la suite de celui-ci.

Cette série de billets commence avec celui-ci.

Il est 14h. La réunion peut reprendre. Je vois sur les visages que la pause d’une heure que j’ai accordée n’a pas été suffisante. Les repas ont du être expédiés. Tant pis. Tout le monde n’est pas encore arrivé, mais les trois parties sont représentées. Je commence toujours à l’heure, malgré le « quart d’heure régional » universel dans chaque région de France. Un avocat appelle son cabinet parce qu’il n’avait pas vraiment prévu de rester toute la journée. Pour éviter d’entrer trop vite dans le vif du sujet, j’organise avec Monsieur Léto (DSI d’ARRAKIS) l’opération de restauration des sauvegardes de PGI. Je prends rendez-vous sous quinzaine pour ne pas prendre de retard et respecter la date de dépôt de mon rapport telle que fixée par le tribunal. Note à moi-même: ne pas oublier de poser un jour de congé sur cette date auprès de mon employeur, en espérant qu’une réunion importante ne viendra pas s’y coller d’ici là.

Tout le monde est là. J’aborde le point n°4 de ma mission: l’estimation des préjudices. Tout le monde est concentré.

Dès ma première mission d’expertise, j’ai été confronté au problème de l’estimation du préjudice. Ayant été nommé expert judiciaire à 35 ans, je ne peux pas dire que j’avais une grande expérience de la vie d’un responsable informatique ou d’un dirigeant d’entreprise. Quand bien même, chaque entreprise est différente, chaque secteur d’activité aussi, et bien entendu, chaque problème a des conséquences différentes.

J’ai donc compris très vite qu’il était plus facile, plus réaliste et plus proche de la vérité de commencer par demander aux parties, à tour de rôle, leur propre estimation de leurs préjudices, avec leurs arguments techniques.

Dans le dossier qui m’intéresse ici, j’ai commencé par la société ARRAKIS, plus précisément par son avocat. Celui-ci m’explique qu’il entend prouver que sa cliente n’a pas demandé la configuration de droits informatiques supérieurs à ceux qu’elle a acquis par licence, et que s’il est prouvé que la configuration permettait des actions illicites, elle n’en a pas fait usage. Elle estime la procédure engagée par l’éditeur de PGI à l’encontre de sa cliente comme abusive et nuisible aux bons rapports à venir nécessaire au travail en confiance entre un client et son fournisseur. Il demande le remboursement des frais d’expertise et le paiement des frais engagés dans la procédure, soit les honoraires d’avocat et le temps passé par les personnes à traiter ce dossier. Il va me fournir une liste détaillée et argumentée. Bien.

Je fais remarquer un peu perfidement que cette estimation est assez différente de celle apparaissant dans les documents présentés au Tribunal… L’avocat me répond avec le sourire que face à un tribunal, il faut parfois hausser un peu la barre pour arriver à obtenir le juste prix. Les deux autres avocats ne bronchent pas. Je continue à prendre des notes.

L’avocat de la société CORRINO estime lui que sa cliente a fait correctement son travail. Qu’à l’époque, les instructions d’installation du logiciel PGI n’était pas très claires suite à l’évolution ERP vers PGI en cours de projet. Que, sous réserve d’une hypothèse non prouvée, des droits informatiques trop grands aient pu être accordés, c’était uniquement pour faciliter les tests du logiciel et son appropriation par les équipes informatiques des deux sociétés. Il estime le préjudice de la société CORRINO relatif à la perte d’image et de confiance de la société ARRAKIS, soit 10 000 euros et au paiement des frais de la procédure abusivement engagée par l’éditeur de PGI. Je demande que me soit fournies les factures des frais engagés et une estimation des frais à venir.

Enfin, l’avocat de l’éditeur du logiciel PGI, prend la parole. Il est le seul représentant de l’éditeur qui n’a pas jugé bon de lui adjoindre un informaticien.

« Monsieur l’expert, il n’est pas contestable que le logiciel PGI, dont la société ARRAKIS a acquis un droit d’usage « niveau 2 », est installé d’une manière non conforme puisque tous les utilisateurs disposent d’un « niveau 1″. Je peux le prouver sur la base d’une table que la société ARRAKIS nous a adressé à notre demande. Je demande donc le paiement de la licence correspondant à un droit d’usage de deux ans au niveau 2 pour tous les utilisateurs, ainsi que le paiement d’un montant amiable permettant de clore le dossier contentieux. L’ensemble s’élève à 100 000 euros. »

Je fais remarquer que les droits d’installation ne sont pas nécessairement au niveau 2 depuis l’installation du logiciel, il y a deux ans. « C’est fort probable » me répond l’avocat. « Mais ce n’est pas prouvé » répondis-je.

J’écoute alors les trois avocats débattre, se répondre, s’interpeler sur des points de droit. Droit des contrats, droit des licences, droit d’usage, droit de ceci, droit de cela. Je ne suis pas dans mon élément. Je demande la parole.

J’explique alors que je suis un spécialiste informatique, un technicien. Que les arguments de droit qui me sont proposés dans cette discussion, me sont pour la plupart incompréhensibles.

Cela jette un froid dans la réunion. Il n’est pas « correct » d’énoncer son incompétence. Je continue malgré tout en expliquant que je souhaite que les trois avocats me fournissent chacun un document sous quinzaine dans lequel ils vont pouvoir exposer tous leurs arguments juridiques. Je les analyserai avant de les joindre à mon rapport. Inutile de leur dire que mon épouse va bosser pour moi.

Il est 17h. Je propose de clore la réunion. Je remercie tout le monde (malgré les quelques noms d’oiseaux qui ont fusé) pour son bon déroulement. J’ai 100 km de route à faire et la journée a été épuisante nerveusement.

Et je n’ai pas encore vu un seul ordinateur dans cette expertise.

La suite de ce billet est à lire ici.

——————–

Crédit images darkroastedblend.com

Une histoire simple et banale 3e partie

Ce billet est la suite de ce billet.

Cette série de billets commence avec celui-ci.

Je commence toujours la réunion en demandant à chacun ses prénom, nom et fonction. Cela me permet d’établir la feuille de présence et de vérifier que je dispose des bonnes orthographes et libellés de fonction (certaines personnes sont très sensibles à un mauvais libellé de fonction). J’essaye également de mémoriser rapidement les noms et fonctions pour ne pas commettre d’impairs pendant la réunion.

Étant arrivé en avance, je prends toujours la place autour de la table qui permet de discuter avec tout le monde. C’est souvent aussi la place que prend traditionnellement le dirigeant lors de ses propres réunions. C’est donc le meilleur fauteuil. C’est symbolique mais pratique.

Je me présente succinctement (ingénieur centralien directeur informatique dans une grande école) puis rappelle le rôle d’un expert judiciaire, et en particulier ce qu’il ne fait pas, c’est-à-dire juger un dossier. Cette étape est très importante, car elle conditionne beaucoup l’ambiance du reste de la réunion et de la procédure: je cherche à faire comprendre aux parties que je ne donne qu’un avis à un magistrat, même s’il s’agit d’un avis important car souvent suivi, et aux avocats que j’ai compris a minima mon rôle (ce n’est pas le cas de tous les experts, en tout cas d’une partie de ceux qu’a pu fréquenter mon épouse).

Je propose ensuite un tour de table en demandant à chacun de présenter succinctement sa vision du dossier. Je dois dire que c’est assez rarement succinct, mais que cela permet à chacun d’avoir (en principe) rapidement la parole, tant l’envie d’exploser est souvent palpable chez certains. En général, au bout d’une heure, tout le monde a pu s’exprimer au moins sur l’essentiel, évacuer un peu de la tension initiale, dire parfois quelques noms d’oiseaux, et on peut commencer l’examen des pièces et la partie technique.

Il y a quelques règles de bons usages à suivre:

– je m’adresse à chaque avocat en disant « Maitre » (sans accent depuis la réforme de 1990 sur les rectifications orthographiques du Conseil supérieur de la langue française, approuvé à l’unanimité par l’Académie française et qui depuis juin 2008 est la référence)

– j’apprécie que chaque participant s’adresse à moi en disant « Monsieur l’expert », mais je ne m’en offusque aucunement si ce n’est pas le cas.

– je vouvoie tous les participants, même dans les entreprises où le tutoiement est de rigueur et où il m’est arrivé une fois que tout le monde me tutoie, suivant en cela l’exemple du dirigeant. Je suis très vieux jeux sur ce point, y compris sur ce blog ou sur Twitter. Peut-être pas autant que Desproges qui disait: « je ne tutoie que les personnes avec lesquelles j’entretiens des relations sexuelles, qu’elles fassent partie de ma famille ou non. (De l’autre côté) ». C’est une question de respect, n’y voyez aucune afféterie.

– je ne coupe jamais la parole, même si le discours est parfois un peu long ou soporifique.

– lorsque la réunion tourne au pugilat verbal, une partie se tourne souvent vers moi pour que je fasse quelque chose. J’attends alors de pouvoir m’exprimer, je rappelle que je ne suis pas maitre d’école dans une cours de récréation et je demande à chaque avocat d’expliquer à son client l’intérêt qu’il peut avoir à ce que l’expert travaille dans le calme. Cela suffit généralement à calmer tout le monde. Il faut peut-être que j’amène un MP5 pour le poser en évidence sur la table…

– je laisse toujours les avocats s’exprimer, voire « faire le show ». Ils sont en présence de leur client et s’appliquent à justifier leurs honoraires. Il faut qu’ils puissent montrer toutes leurs compétences. S’ils s’engagent sur un discours juridique qui n’a pas nécessairement sa place dans une réunion d’expertise (plutôt technique), je les laisse briller dans le domaine qui est le leur, tout en veillant à ne JAMAIS m’engager sur ce terrain (qui n’est pas le mien). J’écoute par contre attentivement car j’apprends toujours beaucoup de choses. Je n’oublie pas que les réunions d’expertise sont particulièrement soporifiques pour les avocats quand elles sont très techniques (et elles le sont toujours).

Lors du début de l’examen des pièces écrites communiquées avant l’expertise, j’explique que par souci du contradictoire, je n’ai fait que les survoler en préparant la réunion (ce qui objectivement est plutôt faux) ce qui va expliquer le temps assez conséquent que l’on va passer sur chaque pièce pour que les deux parties me présentent son intérêt. Il va de soi que cela oblige aussi les parties à sélectionner les pièces dignes d’intérêt.

Monsieur Léto, directeur informatique de la société ARRAKIS, m’explique qu’il a été contacté par la société éditrice du logiciel PGI dans le cadre d’une opération de maintenance, deux années après l’installation réussie de ce logiciel par la société de service CORRINO. Je demande à voir le courrier correspondant et constate que la demande porte sur l’envoi d’un ensemble de fichiers obtenus par l’exécution de commandes d’export de tables.

Bien entendu, dans ces données se trouve codé le descriptif des droits des utilisateurs, objet du litige.

Les parties autour de la table s’enflamment alors sur le thème « est-ce normal de demander ce type d’information? », avec débats et échanges de point de vue juridique.

Je relis discrètement mes missions. Cette question ne fait pas partie de mes missions: je coupe court à la discussion avec cette constatation qui fait l’effet d’une douche froide sur quelques participants.

Mon problème est de déterminer si le logiciel PGI a été installé par la société de service CORRINO en conformité avec les licences concédées par l’éditeur de PGI. Point.

Je demande alors à Monsieur Léto quelle est la date de la plus vieille sauvegarde disponible. Cette question est en général une question difficile pour un informaticien. Je lui propose d’aller voir avec son équipe et de me donner la liste de toutes les sauvegardes encore disponibles aujourd’hui, deux ans après l’installation du logiciel. Il revient et me donne la liste: un an pour la plus vieille.

J’explique alors aux parties une imprécision dans l’intitulé de ma mission principale: à quelle date correspond l’expression « était installé » dans la phrase « dire si le logiciel PGI était installé par la société de service CORRINO en conformité avec les licences concédées par l’éditeur de PGI« ?

Position de la société ARRAKIS: date de la recette du logiciel PGI en fin de projet

Position de la société CORRINO: date de l’installation du logiciel ERP, avant mise à jour vers PGI

Position de la société éditrice de PGI: toutes les dates entre la recette du logiciel PGI et aujourd’hui…

Je prends note des positions de chaque partie (je ne donne pas d’avis personnel immédiatement).

Je constate qu’il ne m’est pas possible d’observer personnellement l’état du système lors de l’installation initiale (pas de sauvegarde remontant à cette période).

L’entreprise ne disposant de serveur de test ou de pré-production, je constate qu’il ne m’est pas possible de procéder à la restauration des sauvegardes sur un serveur approprié sans mettre en danger la production actuelle de l’entreprise. Je propose aux parties qu’une copie des sauvegardes disponibles me soit confiée pour restauration par mes soins, avec l’aide d’un technicien d’ARRAKIS. Ce travail se faisant hors réunion, j’ai besoin de l’accord des parties pour ne pas me voir reprocher un travail non contradictoire (et l’annulation de l’ensemble de l’expertise). Les 3 parties me donnent leur accord.

Sans malice, j’explique à Monsieur Léto qu’il est intéressant pour sa société de procéder à un tel exercice de restauration sur un serveur hors production afin de tester l’ensemble de sa procédure de sauvegarde. J’obtiens évidemment son aval (en présence de son patron) et l’assurance d’avoir les moyens matériels et humains de procéder à ces restaurations. Mon objectif est bien évidemment d’obtenir les différentes données de configuration contenues dans les tables définissant les droits des utilisateurs, et cela à la date de chaque sauvegarde disponible. Rendez-vous est pris pour une date ultérieure.

Je décide de suspendre la réunion, car il est bientôt 13h. Je refuse toute proposition de me restaurer en présence de l’une ou l’autre des parties (à défaut de nullité de l’expertise si toutes les parties ne sont pas présentes pendant le repas). Je reste sur place et profite de l’heure disponible pour mettre par écrit toutes mes impressions, mettre mes notes au clair, vérifier le chargeur de mon MP5, changer les piles de mon enregistreur MP3, reclasser les pièces du dossier, etc.

L’après-midi sera consacré à l’estimation des préjudices. C’est toujours un gros morceau. Je prends quelques forces en mangeant une barre de céréale. Je me sens seul dans la salle.

La suite de ce billet est à lire ici.

——————–

Crédit images darkroastedblend.com

[1] Cette série de billet s’appuie sur l’ensemble des très nombreuses expertises que j’ai pu mener dans ce domaine particulier des conflits au Commerce. Je ne dévoile aucun secret ni ne brise la confidentialité d’une affaire particulière. Je « romance » au sens de la décision de la chambre de discipline de ma compagnie des experts judiciaires rendue dans l' »affaire Zythom« .

[2] Les noms des sociétés évoquées dans cette série de billets sont empruntés à l’univers du Cycle de Dune de Frank Herbert. Toute ressemblance avec des sociétés existantes serait fortuite.

Une histoire simple et banale 2e partie

Ce billet est la suite de celui-ci.

J’ai lu attentivement tous les commentaires sous le billet de la 1ère partie, et je dois dire que la 1ère phrase du 1er commentateur aurait du vous mettre la puce à l’oreille: je ne suis pas là pour prendre parti. Le magistrat m’a donné des missions, et je dois les suivre. Strictement.

Bien entendu que je trouve le procédé de l’éditeur de PGI a priori détestable, surtout deux ans après. Bien sur que j’aime les logiciels libres et qu’un choix différent d’éditeur n’aurait pas entraîné ce type de problème (« TROLL ON » mais peut-être d’autres? « TROLL OFF »).

Mais vous êtes nombreux à avoir proposé de bonnes idées d’investigations. Et dans ce type de dossier, il y a plusieurs approches possibles. Voici la mienne.

A ce stade de l’affaire, la présentation que je vous ai faite dans la 1ère partie est celle issue des conclusions des avocats des deux parties. Ce n’est pas pour rien que la 1ère mission qui m’est confiée est de « convoquer les parties et entendre tous sachants« . Je dois me faire mon propre avis en matière technique. Je n’ai pas à suivre l’avis de tel ou tel avocat, aussi brillant soit-il. Je n’ai pas à suivre non plus l’avis des experts informatiques qui seront amenés par l’une ou l’autre des parties, que ces experts soient judiciaires (en mission privée) ou pas. Je donne mon avis en mon honneur et en ma conscience. Je suis indépendant.

Cette indépendance a un prix: je serai seul, quand les parties seront probablement accompagnées de leur avocat et de leurs experts.

Elle a un coût également: je ne travaille pas gratuitement. Avant donc de commencer à organiser la première réunion, il faut se préoccuper de ne pas laisser trop de plumes dans cette histoire. Je n’ai pas envie de me lancer dans une procédure aléatoire de recouvrement de créance auprès d’une entreprise mauvaise payeuse.

1ère étape donc, même si elle ne fait pas très geek ou glamour: l’estimation du montant probable de la procédure. Je regarde le lieu du litige (siège social de la société ARRAKIS). Je regarde également où se trouve la société CORRINO (des fois qu’un déplacement chez elle soit nécessaire ce qui est peu probable ici, mais j’ai déjà vécu ça). Les deux sociétés se trouvent à 100 km de chez moi, à 1h de route. J’estime que le dossier demandera une première journée d’expertise pour l’analyse de toutes les pièces du dossier et commencer les investigations techniques, puis une deuxième journée avec tous les sachants que j’aurai pu convoquer. Si tout va bien, une 3e journée ne sera pas nécessaire, il me restera à écrire mon pré-rapport, le soumettre aux parties, répondre aux dires et rédiger le rapport définitif que je déposerai.

Mon taux horaire a augmenté depuis 2007 et s’établit maintenant à 90 euros de l’heure de travail (et à la moitié pour le temps passé en déplacement). Il semblerait que je sois dans la moitié inférieure des taux pratiqués par mes confrères qui, d’après la dernière enquête de la revue expert seraient plutôt entre 70 euros et 130 euros de l’heure (expertise judiciaire informatique).

L’estimation pour ce dossier est donc de:

– Deux journées: 2 x 8h x 90€

– Déplacements: (4 x 1h x 45€) + (4 x 100km x 0.56€)

– Rédaction pré-rapport: env 5h x 90€

– Réponse aux dires et rapport final: env 5h x 90€

– Recommandés et photocopies pré-rapport et rapport (2 exemplaires par partie, 2 pour le tribunal, 1 pour l’expert): env 300€

Soit un total arrondi à 3000 euros.

Et oui.

Et c’est l’estimation du coût plancher…

J’adresse donc en réponse au magistrat qui me désigne un courrier d’acceptation des missions auquel je joins cette estimation détaillée des frais et honoraires prévisionnels avec la phrase clef: « Je sollicite le versement d’une allocation provisionnelle égale au montant des honoraires et frais dont la taxation est demandée et la désignation de la ou des parties qui en feront l’avance. »

2e étape, organisation de la 1ère réunion:

Cette étape n’est à commencer qu’après réception de l’avis de versement de la provision (versée auprès du greffe du tribunal). Si les choses traînent un peu en longueur, il est de bon ton d’essayer de joindre le greffe du tribunal pour savoir où en est la demande de provision. Il m’est arrivé plusieurs fois de constater que la partie désignée par le tribunal pour l’avance sur frais et honoraires avait décidé d’arrêter la procédure, ou qu’un accord était intervenu entre les parties, sans bien sur que personne ne daigne me contacter pour me dire de tout stopper.

Mon agenda sous les yeux, je procède à un petit rétro-planning à partir de la date indiquée dans l’ordonnance de désignation d’expert pour le dépôt de mon rapport. 1 weekend pour le rapport final, 3 semaines pour la rédaction des dires par les avocats des parties, 2 semaines pour la rédaction du pré-rapport après la dernière réunion d’expertise (c’est-à-dire 3 weekends, car la semaine, je travaille comme salarié), un mois entre les deux réunions d’expertise, il m’est arrivé que l’organisation ne soit pas possible (en général à cause du délai mis par la partie désignée pour verser la provision initiale). Il faut donc dans ce cas, dès le départ, écrire au magistrat pour lui expliquer la situation et faire une demande de prolongation de date de dépôt du rapport…

Mon premier coup de fil est adressé à la société qui va recevoir la réunion: y a-t-il une salle assez grande pour recevoir tout le monde (au moins 10 personnes), y a-t-il des dates à éviter (inventaire, salon important, fermeture estivale ou hivernale, etc)? Les autres coups de fils sont pour les avocats (des sociétés ARRAKIS et CORRINO, et celui de l’éditeur de PGI). Il n’est pas facile d’arriver à accéder directement à un avocat, mais en général leurs services de secrétariat sont efficaces et habitués à la galère de la recherche d’une date commune pour la 1ère réunion d’expertise.

Le plus difficile à cette étape pour moi est de contacter l’avocat de l’éditeur du logiciel PGI. Je vous rappelle que cette société est une grosse structure américaine. Je passe quelques coups de téléphone pour essayer d’obtenir quelqu’un du service juridique en France. Dans le cas présent, j’ai de la chance, j’arrive à obtenir quelqu’un du service recouvrement (qui a l’air facile à joindre;). La personne est parfaitement au courant de la situation de l’entreprise ARRAKIS mais refuse de me communiquer des dates pour une réunion d’expertise. La seule information que j’arrive à confirmer est l’adresse postale de leur service.

Après les avocats, je contacte les gérants des sociétés ARRAKIS et CORRINO. Je m’assure de leur disponibilité dans les différents créneaux retenus. Dès qu’une date semble satisfaire tout le monde, je retéléphone à tout le monde pour leur permettre de libérer les créneaux bloqués et noter la date retenue.

J’adresse ensuite une convocation par courrier recommandé avec avis de réception à chaque avocat et à chaque gérant. Dans le cas de l’éditeur de PGI, j’adresse une convocation au siège social français et au service recouvrement. Sur chaque courrier, je mentionne la phrase clef suivante: « Cette réunion régulièrement convoquée se tiendra, même en l’absence d’une des parties. » Par correction pour les avocats, je préviens dans la convocation que les horaires probables de la réunion seront 9h-12h et 13h-18h.

Il ne me reste plus qu’à poser une journée de congés auprès de mon employeur pour la date concernée. Je note également dans un petit cahier le temps déjà passé dans l’organisation de la réunion, le prix des recommandés. Je complète le dossier de l’affaire. Je n’ai pas de secrétaire.

3e étape: la réunion chez ARRAKIS.

Je décris assez bien la situation et l’état d’esprit de ce premier contact dans ce billet de 2009 que je vous invite à (re)lire.

Les trois parties sont autour de la table. La société ARRAKIS étant chez elle, elle souhaite faire participer à la réunion toute son équipe informatique. J’explique au gérant de l’entreprise que pour l’instant, je ne souhaite écouter que Monsieur Léto, le responsable informatique. Pas facile, dès le début de la réunion de faire comprendre que c’est moi qui décide qui doit se trouver autour de la table et que je limite à trois personnes par partie. Après tout, je suis un étranger dans son entreprise. Un peu de tact et de diplomatie, tout en expliquant que j’entendrai tous les sachants, et la réunion commence.

Ma mission n°1 est en bonne voie.

La suite de ce billet est à lire ici.

———————-

[1] Les noms des sociétés évoquées dans cette série de billets sont empruntés à l’univers du Cycle de Dune de Frank Herbert. Toute ressemblance avec des sociétés existantes serait fortuite.

Source photo: travail de Yanik Balzer et Max Qwertz, dans le cadre de leurs études à l’école internationale de design à Cologne.

Une histoire simple et banale

Il y a des affaires qui nécessitent des moyens techniques importants, ou des connaissances pointues en matière d’analyses inforensiques. Il y a des dossiers qui dépassent mes compétences, soit par leur complexité, soit par les enjeux associés, et qui nécessitent l’intervention de confrères bien plus armés et aguerris que moi. L’intervention de spécialistes de la sécurité, du chiffrage, des télécommunications, du grand banditisme, du terrorisme s’avère parfois nécessaire, et je ne suis alors qu’une petite pièce dans le dossier, vite mise de côté quand elle ne comprend pas qu’elle doit se déporter d’elle-même.

Il y a les séries américaines et françaises, où l’on voit des personnages toujours compétents réagir avec précision et discernement dans toutes les situations extrêmement subtiles. Il y a donc dans l’esprit du public une image des experts judiciaires dont l’intervention dénoue une situation nécessairement complexe et incompréhensible par le commun des mortels.

Et pourtant, mes dossiers sont pour la plupart des histoires techniquement simples et banales.

Une société de vente en gros de matériaux de construction, que j’appellerai « ARRAKIS« , dispose d’un service informatique très compétent. Le directeur informatique, Monsieur Léto, souhaite améliorer la productivité de son entreprise et monte le projet d’intégrer l’ensemble des fonctions de l’entreprise dans un système informatique centralisé qui permettra à tous les utilisateurs de collaborer plus efficacement et d’augmenter leur efficacité. J’appellerai ce logiciel « ERP« .

Monsieur Léto souhaite se faire accompagner pour l’installation d’ERP par une société de service spécialiste de ce logiciel. En effet, Monsieur Léto ne souhaite pas que son service sache déployer ERP dans la société ARRAKIS (le déploiement n’aura lieu qu’une seule fois), mais que celui-ci se concentre sur le soutien aux utilisateurs une fois le logiciel déployé.

Après appel d’offres et étude des différentes réponses, Monsieur Léto retient la société de service CORRINO qui a déjà déployé ERP auprès de plusieurs sociétés de même taille qu’ARRAKIS, à chaque fois avec succès.

La société de service CORRINO désigne un chef de projet et celui-ci établit avec Monsieur Léto un planning de projet pour le déploiement d’ERP. Le planning s’étale sur 10 mois, temps jugé normal par les deux parties pour l’installation, le paramétrage, les tests, les formations et le passage en production d’ERP.

ARRAKIS et CORRINO travaillent ensemble de manière satisfaisante pendant toute la durée du projet.

A ce stade de mon récit, je me dois de préciser que le logiciel ERP est conçu par un important éditeur américain et appartient à une gamme de produits permettant d’équiper aussi bien des TPE que des grosses entreprises multinationales. Par le jeu incessant de rachats/fusions, la gamme de produits vient d’être étendue et le nom harmonisé par les équipes marketings de l’éditeur.

Pendant les 10 mois de déploiement du logiciel ERP chez ARRAKIS par la société CORRINO, le logiciel a changé de nom et s’appelle désormais PGI. Pour être plus précis, le logiciel ERP version 11.2 devient le logiciel PGI version 7.5 avec quelques modules supplémentaires (fournis gratuitement) et un périmètre fonctionnel un peu plus important.

Monsieur Léto (directeur informatique chez ARRAKIS) prend bonne note des changements, s’assure que le projet n’est pas impacté de manière importante du fait que les modifications sont essentiellement marketings et poursuit le déploiement de « PGI » avec la société de service CORRINO.

Le projet se termine correctement, l’informatisation est réussie, la productivité des utilisateurs augmente, tout va bien.

Deux années s’écoulent tranquillement.

L’entreprise ARRAKIS paye une maintenance annuelle auprès de l’éditeur de PGI à travers la société de service CORRINO qui garde un oeil sur le bon fonctionnement de PGI.

Et justement, dans le cadre d’une intervention de maintenance concernant la mise à jour du logiciel PGI vers une version supérieure, l’éditeur du logiciel demande à la société de service CORRINO de lui envoyer le contenu d’une table de la base de données intégrée au logiciel PGI installé chez ARRAKIS.

Et là patatra. La société américaine éditrice du logiciel PGI déclare que celui-ci est installé d’une manière non conforme au contrat de licence. Ce constat s’appuie sur le contenu de la table envoyée par la société CORRINO. Cette table contient les droits des différents utilisateurs du logiciel et l’éditeur constate que tous les utilisateurs sont « niveau 1 » alors que le contrat de vente précise que seuls deux d’entre eux peuvent posséder ce droit, tous les autres étant « niveau 2 ».

L’éditeur de « PGI » demande à la société ARRAKIS de régulariser sa situation et réclame 100 000 euros au titre des licences indument utilisées.

La société ARRAKIS se tourne vers sa société de service CORRINO qui a procédé à l’installation et à la configuration des licences.

La société de service CORRINO explique aux deux autres sociétés qu’elle a configuré le logiciel ERP conformément aux licences achetées alors, que le passage à PGI en cours de projet l’a obligé à étendre les droits des utilisateurs pendant les phases de tests, et que le paramétrage final ne permet pas aux utilisateurs d’exploiter les droits supplémentaires qu’ils possèdent.

L’éditeur américain, par l’intermédiaire de son service juridique, maintient sa demande de régularisation de 100 000 euros.

La société ARRAKIS prend attache avec un avocat et se tourne vers la justice française. Les avocats des sociétés ARRAKIS et CORRINO exposent leurs conclusions et demandent au magistrat la désignation d’un expert judiciaire en informatique.

Je reçois un courrier avec comme missions de:

1) convoquer les parties et entendre tous sachants

2) dire si le logiciel PGI était installé par la société de service CORRINO en conformité avec les licences concédées par l’éditeur de PGI

3) si non, établir les responsabilités des sociétés ARRAKIS et CORRINO

4) estimer les préjudices

5) donner tout élément utile à la manifestation de la vérité.

Cette affaire est d’une affligeante banalité technique. Elle montre que pour être expert judiciaire, il ne faut pas nécessairement être un hacker white hat, un pentester de haute volée ou un développeur Occam.

Je vous laisse réfléchir sur les actions à mener en tant qu’expert judiciaire stagiaire.

La suite de ce billet est à lire ici.

——————————-

Les noms des sociétés évoquées dans cette série de billets sont empruntés à l’univers du Cycle de Dune de Frank Herbert. Toute ressemblance avec des sociétés existantes serait fortuite.

Cette série de billet s’appuie sur l’ensemble des très nombreuses expertises que j’ai pu mener dans ce domaine particulier des conflits au Commerce. Je ne dévoile aucun secret ni ne brise la confidentialité d’une affaire particulière. Je « romance » au sens de la décision de la chambre de discipline de ma compagnie des experts judiciaires rendue dans l' »affaire Zythom« .

Une vie privée

Daniel a 40 ans. Il travaille dans une grande société. Il est plutôt bien avec sa hiérarchie, il reste dans le coup au niveau technique même si les nouveaux embauchés dans son service « poussent » un peu et marchent sur ses plates-bandes. Il en a vu d’autres…

Le soir, après le travail, il rentre comme beaucoup de monde avec les transports en commun. Il lit les journaux gratuits, ou un magasine, ou un livre qu’il a toujours sur lui. Il se tient au courant des affaires du monde, il s’intéresse aux potins des peoples ou s’évade dans l’univers créé par un auteur de roman à succès.

Arrivé chez lui, il se détend avec ses enfants, prépare le repas car sa femme travaille aussi, mais rentre plus tard. La famille est réunie autour de la table, chacun raconte sa journée et ses activités. Daniel et sa femme couchent les enfants, s’assurent que les dents sont brossées et que tous les écrans sont bien éteints (la DS et les téléphones portables sont rangés dans le couloir sur leurs chargeurs respectifs).

Daniel regarde un peu la télévision avec sa femme, mais préfère, au bout d’un petit quart d’heure, se retrouver seul dans son bureau devant son ordinateur. Il aime bien discuter avec quelques amis sur internet, tout en surfant sur des sites en lien avec ses centres d’intérêt. Plutôt qu’un blog qu’il trouve trop indiscret, Daniel tient un journal intime sur son ordinateur. C’est pratique d’ailleurs, parce qu’avec l’ordinateur, il peut noter plus facilement les liens des sites qu’il commente pour lui-même dans son journal intime informatisé.

Daniel est dans l’air du temps.

Daniel aime bien, un peu plus tard dans la soirée, aller surfer sur quelques sites pornographiques. Il commence par des sites de charme, où les femmes sont légèrement vêtues, et dans des poses qu’il trouve excitantes. Puis, il passe à des sites plus hards, avec des vrais bout de films pornographiques. Dans son journal intime, il note chaque masturbation avec un commentaire sur le film qui a soutenu sa libido. S’il a un peu honte, il sait que c’est lié à son éducation, et n’en tient pas compte. La puissance du désir, et la satisfaction du plaisir sont des tempêtes qui balayent tout sur leur passage.

Avec le temps, Daniel a repéré quelques thèmes qui l’émoustillent un peu plus que les autres sur les sites pornographiques. Daniel aime bien les filles qui s’habillent en collégiennes, qui ont des couettes, et des petits seins. Daniel repère les mots clefs qui donnent accès à ce type de contenu: teen, preteen, etc. La plupart des mots clefs sont donnés sur des forums de lutte contre la pornographie enfantine. Daniel est un habitué de la lecture des forums en général, mais il va surtout sur les forums d’échange de photos artistiques de nus de tous âges.

Sur son ordinateur, Daniel stocke des photos et des films pornographiques. Il ne les regarde pas souvent, mais il aime bien les accumuler. Il aime bien l’idée d’avoir sa propre collection et l’idée de pouvoir la regarder quand ça le chante. Mais internet est si vaste, qu’il préfère finalement continuer l’exploration de nouveautés et sa collection s’agrandit. A quoi bon effacer ou faire le tri, son espace disque est si grand. Et Daniel veille bien à ce que son compte informatique soit protégé par un mot de passe qu’il est le seul à connaître. Sa vie privée ne regarde que lui. Il veut conserver un espace intime pour lui seul. Ses fantasmes ne regardent personne d’autre.

Daniel aimait bien les catalogues de vêtements féminins de vente par correspondance. Il se rappelle très bien ses émois d’adolescent sur les pages présentant les sous-vêtements. Il a trouvé plusieurs sites où l’on voit des jeunes filles d’une dizaine d’années en petit maillots de bain dans des poses très suggestives. Certaines parfois sortent de l’eau avec des vêtements qui leur collent à la peau. Daniel sent qu’il franchit une limite, mais seul derrière son ordinateur, il lance quelques recherches et commence à télécharger des ZIP d’images pornographiques mettant en scène des enfants.

Daniel note avec précision dans son journal le jour où il a commencé sa collection d’images pédopornographiques. Pendant plusieurs années, Daniel amassera des dizaines de milliers d’images et de films d’enfants torturés par des adultes.

Ces images, ces films et ce journal intime, j’ai du en feuilleter tous les éléments, Daniel ayant fini par être repéré par les services de police. Son ordinateur m’a été remis sous scellé pour être expertisé avec comme mission d’en « extraire tout fichier de nature pédopornographique ». Pendant plusieurs semaines, tous les soirs et les week-ends, je me suis enfermé dans mon bureau pour analyser chaque image, chaque film et chaque passage du journal intime de Daniel.

Je ne sais pas comment réagissent les autres experts judiciaires, ou les OPJ, greffiers, magistrats et avocats traitant de ce sujet. Je suppose qu’ils sont plus forts que moi. Parce que, quand j’ai analysé le fichier zip mentionné dans le journal intime de Daniel par le commentaire « images particulièrement excitantes », moi, je pleurais en silence devant mon ordinateur.

Épilogue:

Je ne sais pas ce que Daniel est devenu, s’il a été jugé ou condamné. Je ne suis pas juge de son comportement, je ne sais pas s’il est malade, s’il a fait un pas de trop, si la société doit se féliciter d’un passage à l’acte virtuel qui empêchera le vrai passage à l’acte. Je ne sais pas si les Daniel doivent être pourchassés, ou ceux qui les alimentent en photos et films sordides. Ce que je pense, c’est que les hommes qui font réellement subir ces tortures aux enfants, les filment et en font commerce doivent être recherchés et punis. Ce que je pense aussi, c’est qu’il est parfaitement inutile de faire croire qu’en cherchant à « civiliser internet », on empêchera ces personnes de nuire IRL. Les moyens techniques et les procédures d’investigation existent, mais les moyens humains et les financements manquent. Les politiques doivent trouver ce travail trop dans l’ombre.

Il y a beaucoup d’endroits dans le monde où une vie ne vaut pas chère. C’est un concept simple que tout le monde comprend, moi le premier. Et pourtant, c’est vraiment dur de se le prendre de plein fouet en mettant des images et des films dessus. C’est certainement ce que l’on doit apprendre en premier dans les écoles de journalisme. Pas dans les écoles d’informatique.

Daniel est-il un pédophile IRL? Un futur pédophile? Je ne sais pas.

Les fantasmes de Daniel financent-ils des réseaux pédophiles? Je ne sais pas, mais les services de police le savent, eux. Et les politiques en charge des décisions. Mais à force d’utiliser ce prétexte pour lutter contre le « piratage » de chansons, comment savoir? Avais-je à entrer dans la vie privée de Daniel, dans ses fantasmes? La société devait-elle détruire la vie de Daniel en saisissant son ordinateur?

Finalement, je ne sais pas grand chose.

Mais je m’interroge.