GPS

Nous utilisons de plus en plus d’appareils qui tracent nos déplacements, en toute connaissance de cause, mais parfois aussi à notre insu.

J’ai découvert récemment dans un article que certains systèmes GPS d’information de trafic routier utilisent le fait que, même en veille, nos téléphones mobiles se signalent aux bornes du réseau. Une accumulation anormale de téléphones sur une route signifie donc un bouchon, information que l’on peut relayer aux abonnés à ces systèmes d’alertes routières. Sans le savoir, vous contribuez au fonctionnement de ces systèmes.

Dans le cadre d’une affaire de grand banditisme, une expertise judiciaire a été ordonnée sur le système GPS d’une des voitures saisies. Voici son histoire.

Certaines voitures haut de gamme disposent d’un système GPS intégré. Il s’agit ici d’un GPS comprenant un disque dur. Les OPJ ayant placé ce disque dur sous scellé, me voici avec une analyse hors du commun. Je contacte le magistrat en charge du dossier. Celui-ci me rassure, il dispose de suffisamment d’éléments. L’expertise est demandée en complément, au cas où… Me voici donc avec un disque dur à analyser, mais sans le mode d’emploi détaillé, si je puis dire.

Mon premier réflexe est de procéder à une copie bit à bit du disque dur, en utilisant les outils qui me servent pour mes autres expertises judiciaires: bloqueur d’écriture, création d’une image numérique fidèle (tenant compte des éventuels secteurs défectueux du disque) et analyse de celle-ci. Seulement voilà, le disque dur est formaté avec un format propriétaire inconnu par mes outils d’analyse. Pas d’analyse possible à mon niveau… et aucune information exploitable pour l’instant.

Démarre alors une après-midi de coups de téléphone. Tout d’abord à l’OPJ pour qu’il me donne plus de détails sur la marque et le modèle du GPS. Des coups de fils au distributeur français, au sous traitant allemand, au distributeur « Europe ». Après moultes musiques d’attente, de rappel à cause de réunions, de filtres de secrétaireries, j’arrive au sésame de tout expert judiciaire (comme de toute personne appelant à l’aide un support): une personne compétente techniquement au bout du fil.

Après plusieurs jours de négociations, d’explications, d’échanges d’emails, nous convenons de la procédure suivante: j’amènerai moi-même à la structure technique parisienne le disque dur pour qu’il soit analysé en ma présence via une procédure interne spéciale propre au constructeur. Sous le sceau de la confidentialité.

Le jour J, me voici dans un petit local de banlieue, accueilli par un technicien attentif. Je lui explique les conditions dans lesquelles je souhaite que soit effectuée l’opération, je lui fournis mon bloqueur d’écritures et le disque dur. Il place le tout dans un système d’analyse propriétaire qui effectue la lecture complète des données du disque dur. Il m’explique que le GPS embarqué effectue environ une mesure par seconde et la stocke sur le disque dur considéré comme une bande sans fin. Je ressors de là avec un fichier Excel contenant toutes les mesures (et bien sur le disque dur remis sous scellé).

Me voici de retour chez moi avec un ensemble de coordonnées GPS codées en dégrés décimaux WGS84 (World Geodetic System 1984) et un ensemble de conseils précieux fournis par le technicien « faites bien attention lors de la conversion si vous comptez utiliser des cartes pour y placer les points ».

C’est effectivement assez délicat de passer de celles-ci à mes habituelles coordonnées LAMBERT (utilisées en spéléo avec les cartes IGN d’état major) au format sexagésimal (base 60).

J’ai donc eu l’idée d’utiliser Google Earth qui utilise une projection cylindrique simple avec un plan de référence WGS84 pour sa base d’images. J’ai ainsi pu placer les points de mon fichier Excel sur une carte (après moultes essais, je dois l’avouer). Et étudier les déplacements de la voiture concernée. Et ses arrêts longues durées à certaines adresses. Adresses qui se sont révélées être celles de présumés complices, soi-disant inconnus de l’utilisateur de la voiture.

Comme Google Earth n’est pas un logiciel d’expertise (lire les conditions d’utilisation) et ne garantit pas l’exactitude des reports de points, j’ai effectué plusieurs vérifications avec mes cartes IGN pour m’assurer que je ne commettais par d’erreur. J’ai rendu un rapport complet expliquant ma méthode et les adresses des points d’arrêt relevés. Le magistrat au téléphone avait l’air content de mon travail. Malheureusement je ne connais pas les suites données au dossier, étant « expulsé » de la procédure dès le dépôt de mon rapport.

Mais depuis, je ne regarde plus mon téléphone ni mon Tomtom de la même manière…

Mâles venus

Nous sommes deux devant la maison. Le temps est maussade, il fait plutôt frisquet dans le vent et le ciel est menaçant. Il est 10 heures du matin.

La petite maison est plutôt proprette avec son jardin et ses belles clôtures toutes neuves. Entourée de terrains vagues, elle n’en paraît que plus jolie dans son isolement, comme une tâche de couleurs dans un univers gris.

J’ai dans ma mallette tout le nécessaire pour une intervention en territoire technique inconnu. Je ne sais même pas combien d’ordinateurs je vais devoir analyser, ni leur âge, ni les systèmes d’exploitation que je vais affronter. Je sais simplement quelles données je dois rechercher, et encore, c’est un peu flou. Une mission floue dans un paysage gris.

L’ordonnance qui me concerne a désigné également un huissier. Chaque métier a ses détracteurs, ses clichés et sa croix à porter. Le métier d’huissier de justice porte, à mon humble avis, un lourd tribut à cette règle. Pourtant, à chaque fois que j’ai eu à travailler avec des huissiers, je n’ai rencontré que des personnes affables, compétentes et plutôt sympathiques.

Les huissiers de justice doivent parfois faire des constatations sur du matériel informatique. Ils se sont très vite formés à la spécificité du domaine, en particulier lors des constats internet à faire après s’être assuré que le cache du navigateur a bien été vidé.

La plupart des huissiers que j’ai rencontré maitrisent très bien l’informatique. Mais parfois, les magistrats souhaitent qu’ils soient assistés d’un informaticien, auquel cas ils désignent un expert judiciaire en informatique. D’où ma présence parfois à leur côté.

L’huissier sonne au portillon. Il y a de la lumière dans la maison. Une voiture est garée devant l’entrée. Tout est calme aux alentours.

Un volet roulant remonte devant la baie vitrée. Le voilage se soulève. Un visage de femme apparaît. Elle nous regarde sans sourire.

L’huissier est vêtu d’un costume sombre, il tient une sacoche à la main. J’ai un grand manteau noir, un costume passe partout, une cravate dont j’ai eu du mal à faire le nœud ce matin. Et ma mallette à la main. Nous sommes deux représentants de la Justice, investis du pouvoir d’investigation. Nous sommes deux hommes en gris observés par une femme derrière une baie vitrée.

Je ne sais pas pourquoi, mais je pense aux Men in Black.

Le voilage retombe.

La porte reste close.

L’huissier sonne une nouvelle fois.

Plus rien ne bouge dans la maison.

« Heu, on fait quoi, là, Maître? ».

« Rien, l’ordonnance ne mentionne pas l’emploi de la force publique pour entrer ».

Nous avons attendu 10 minutes, sonné plusieurs fois. Puis nous sommes repartis. Deux hommes puissants, la queue entre les jambes

Deux heures de route, une heure de préparation, un peu de stress face à l’inconnu. Pour rien. Dans la voiture, sur le chemin du retour, je pousse un soupir de soulagement. Je n’aime pas ce type de mission.

Dirdir, expert traductrice interprète

Je reçois aujourd’hui sur mon blog, une invitée d’une partie du monde de l’expertise judiciaire que je ne connais pas beaucoup, mais que les avocats rencontrent régulièrement, et souvent dans des circonstances dramatiques: l’expert traducteur interprète.

Extrait de la revue « Experts »:

« L’expert traducteur-interprète est un expert judiciaire. Comme tel, il doit avoir un certain niveau de formation juridique, bien qu’il ne soit pas essentiellement un juriste. Le droit régit la vie des peuples, et le traducteur est celui qui connaît cette vie des peuples, où le droit s’incarne. Le traducteur n’est pas expert dans une branche déterminée, même si certains se sont spécialisés en droit, en médecine ou en mécanique. Le traducteur est un généraliste dans les matières qu’il traduit et un spécialiste en langue. Sa formation permanente comme auxiliaire de justice est double : dans sa spécialité, la langue, et là, elle échappe au contrôle des magistrats, et dans le domaine juridique, et là, elle requiert les orientations de ces derniers. »

Dirdir, puisque ce sera son pseudonyme sur ce blog[1], est un expert judiciaire[2] tout juste inscrit sur la liste probatoire de deux ans. Elle nous fait part de ses premières impressions.


Par Dirdir:

Je comprends immédiatement que nous sommes les parents pauvres de l’expertise judiciaire. Dès le jour de la prestation de serment, je vois bien, comment ne pas en être frappée, que nous ne sommes pas comme les autres. Il est aisé de nous distinguer: nous sommes des femmes, nous sommes jeunes, nous appartenons visiblement à la classe moyenne, et nous sommes souvent des étrangères. Les autres? Hommes blancs, 50 ans, costumes bien coupés. Des hommes d’affaires, des hommes de pouvoir. Je me sens minable, mal habillée, pourtant je suis belle, je suis élégante, mais tout me renvoie au fait que je n’appartiens pas au même monde.

Une fois rentrée chez moi, je me documente. Statistiques: les traducteurs interprètes sont les plus mal payés de tous les experts. Résumé d’un article de sociologie: des experts marginaux à l’activité invisible et dévalorisée. Chroniques de la revue Expert: les conditions de travail sont difficiles, on n’est jamais informé du contenu des affaires sur lesquelles on doit travailler.

Lors des formations, nous suivons un cycle commun à tous les experts en période probatoire, les interventions ne nous concernent quasiment pas. C’est intéressant, on y apprend maintes choses, mais cela ne nous concerne pas. Les anecdotes ne nous concernent pas. Le principe du contradictoire ne nous concerne pas. La rédaction d’un rapport d’expertise ne nous concerne pas. La manière dont on doit s’exprimer si on est appelé à la barre aux assises ne nous concerne pas. Nous, ce qu’on aimerait savoir, ce sont plutôt des choses comme: si un terme juridique n’a pas d’équivalent parfait, comment on le traduit, est-ce qu’on a le droit de mettre une note de bas de page? De quelle manière peut-on se préparer efficacement aux séances d’interprétation? Ainsi que: comment remplir un mémoire de frais, à qui l’envoyer, quels sont les délais de paiement. Pourtant, et c’est tout le paradoxe, nous représentons un pourcentage non négligeable des experts probatoires. Je le sais, je connais les chiffres.

Je commande mes cachets. C’est un grand plaisir, mes cachets, mes beaux cachets, ne le dites à personne, mais je passe ma journée à tamponner des feuilles de brouillon, juste pour voir l’effet que cela me fait, expert traductrice interprète, avec mon nom et mon prénom, mon adresse, ma cour d’appel. La nuit du nouvel an, c’est encore plus idiot, au moment de lever ma coupe de champagne pour trinquer, je m’écrie, ça y est, je suis officiellement expert judiciaire. Car je suis si fière, si fière d’avoir été nommée expert, c’est un vieux rêve que de travailler pour la justice, j’ai toujours adoré le droit, le monde judiciaire, c’est tellement important la justice, qu’y a-t-il de plus important que la justice?

Entrer dans une société secrète. Je suis sûre que tout le monde le pense, il y a cette jouissance, oui cette jouissance à faire désormais partie d’un cercle particulier. Quelque chose d’exclusif, où on ne pénètre pas comme cela. Je balaie de mon esprit le fait que les critères de sélection sont opaques, que si ça se trouve, je n’ai pas du tout été choisie pour mes diplômes, mes compétences, mes expériences, je balaie tout cela et je me raconte en toute mauvaise foi une belle histoire, si je suis expert ce n’est pas par hasard, c’est que je le mérite, la sélection est rude et j’ai été élue, regardez comme je brille de mille feux. Et je le reconnais, je le confesse, la carte de visite, la signature à la fin des courriels, la mention sur le CV, je me suis précipitée sur tous ces gadgets, j’ai marqué expert judiciaire partout où je le pouvais.

Je croyais bêtement qu’on était un peu égaux, entre experts. Que j’étais autant expert judiciaire que les autres. Mais non. Nous sommes une catégorie à part, c’est l’évidence même, ne serait-ce parce que, précisément, nous ne produisons pas à proprement parler des expertises. Certes, nous aidons les magistrats, nous les éclairons en leur permettant de comprendre une langue qu’ils ne maîtrisent pas. Cependant nous ne donnons pas notre avis. Nous ne disons pas, très chère Cour je crois bien que cette maison s’est effondrée à cause des galeries creusées par les lapins nains qui se sont échappés de l’animalerie du coin de la rue. Nous n’écrivons pas, il me semble qu’au regard de l’état actuel des connaissances scientifiques, le mis en examen est un brin schizophrène étant donné qu’il se prend pour le général de Gaulle. En vérité, il est difficile de trouver une activité qui soit plus éloignée de l’action de donner son avis que l’interprétation ou la traduction. Ce qu’on nous demande, c’est d’être fidèles. Tout le texte, rien que le texte. Surtout pour les prestations assermentées. Rien à voir avec un avis d’expert.

Au demeurant, même notre titre n’est pas clair. Quand je dis aux gens, je suis devenue expert judiciaire, ils me regardent avec des yeux ronds. Si je dis expert traductrice interprète, ils comprennent au moins que ça doit avoir un vague lien avec les langues étrangères, mais pour autant, il ne leur viendrait pas à l’idée de me solliciter pour une traduction certifiée conforme à l’original. Non, ce qui parle aux gens, c’est traducteur assermenté, interprète assermenté. Là, oui, tout le monde voit parfaitement. Celui qu’il faut appeler pour la traduction d’un acte de naissance, et qui va faire payer très cher son coup de tampon. Celui qu’il faut solliciter pour l’interprétation à la mairie, quand on épouse un étranger ou une étrangère.

Il y a des pays où les traducteurs interprètes au service de la justice ne font pas partie du corps des experts. Je me demande parfois si ce ne serait pas mieux.

Je veux dire: plus juste.

————————————-

[1] Elle m’assure qu’il s’agit d’une coïncidence, mais je n’ai pas pu m’empêcher de penser au Dirdir de Jack Vance. Saint Asimov est avec nous.

[2] C’est Dirdir qui m’a fait remarquer que « expert judiciaire » n’existe qu’au masculin, et qu’il ne faut pas dire « experte judiciaire ». Je trouve cela dommage, mais je m’incline devant sa recommandation. Je milite pourtant pour la féminisation de tous les mots, même quand cela peut paraître ridicule d’un premier abord. Bon, je sors du sujet là.

Never forget

L’ordinateur est devant moi, encore dans son emballage plastique transparent. L’étiquette du scellé contient une information qui m’effraie déjà: une date préhistorique.

Je regarde cette machine avec un brin de nostalgie: il s’agit d’une marque aujourd’hui disparue, datant de l’époque où l’on parlait de machines « compatibles IBM pc ». Le processeur est fièrement indiqué sur une étiquette en façade: Intel 286. Je me frotte les yeux.

Je brise le scellé, et j’ouvre l’unité centrale de l’ordinateur. Comme souvent, l’intérieur est très sale, d’une poussière pâteuse brunâtre de mauvais augure. Je regarde les différentes nappes de connexion, et je me demande comment je vais bien pouvoir relier tout cela à mon matériel d’analyse…

Quelques jours auparavant, j’avais reçu un coup de fil d’un magistrat me demandant si j’acceptais une mission d’analyse de contenu de disque dur concernant un dossier dans lequel l’ordinateur avait été mis sous scellé vingt ans auparavant. Une histoire criminelle concernant un mineur. La date de prescription approchant, un nouvel élément invitait le magistrat à réouvrir ce dossier et à demander une expertise sur un point précis à chercher sur l’ordinateur.

Un PC de 20 ans…

J’ai donc commencé par prendre des photos de toutes les étapes du démontage, en particulier du nettoyage, jusqu’à pouvoir extraire le disque dur de l’ordinateur. Je pose celui-ci sur mon bureau et déchiffre les inscriptions de l’étiquette: capacité du disque dur: 40 Mo… avec connecteurs SCSI 1ère génération.

Par acquis de conscience, je branche le vieil ordinateur nettoyé et sans disque pour voir, et bien sur: rien. Ni Bios, ni lueur d’espoir de lire quoique ce soit sur l’écran (vert, non je plaisante, VGA).

Problème: je ne dispose pas de bloqueur d’écriture au format SCSI pour lire ce vieux disque dur sans risque de le modifier.

Là, je me suis dit: c’est quand même bien de travailler dans une école d’ingénieurs ET d’être conservateur. Dès le lendemain, je fouillais dans mes archives professionnelles affectueusement dénommées « mon musée » pour dénicher tout ce qui ressemblait de près ou de loin à des nappes SCSI, des cartes SCSI, des bouchons SCSI, des câbles SCSI, des lecteurs DAT SCSI et même des disques durs SCSI…

De retour à la maison avec mon petit matériel, je me mets en tête de brancher le vieux disque dur sur une machine fonctionnelle. Ma vieille carte contrôleur SCSI étant au format EISA, je trouve dans mon stock de vieux PC une machine à bus éponyme. Je ressors aussi une carte réseau 10Mb/s au même format de bus pour brancher tout mon petit monde à mon réseau actuel. Je précise aux vieux qui me lisent, que j’aurais pu tout aussi bien monter un réseau BNC 10BASE2 avec des résistances de terminaison O/

J’allume mon vieux 486, je règle le BIOS, je règle les interruptions avec des cavaliers sur les différentes cartes contrôleurs ajoutées. Je branche un vieux disque dur SCSI retrouvé dans mon musée, je branche un vieux lecteur cédérom SCSI récupéré sur une ancienne station de travail (une SGI O2) et je boote sur une (très) vieille distribution linux capable de reconnaître tout mon petit matériel. Instant magique que celui où les différents tests défilent sur l’écran au démarrage. Après plusieurs essais de différentes configuration, me voici avec une machine capable de lire un disque dur SCSI sans écrire dessus. Je précise que cette préparation m’aura pris deux week-ends…

Je fais un test avant/après en calculant les hash SHA1 avant et après prise d’image de mon disque dur de test. Les résultats m’indiquent que le disque dur n’a pas été modifié.

C’est risqué, mais je pense que cela suffira. Je branche le disque dur du scellé.

Après un temps objectif d’une vingtaine de minutes et subjectif de plusieurs heures de transpiration, me voici avec une image binaire identique au disque dur d’origine (secteurs défectueux y compris). Je range le disque dur dans son scellé.

Il y a plusieurs façon d’explorer une image de disque dur, j’en ai plusieurs fois parlé sur ce blog: à l’aide de commandes unix basées sur de jolies expressions régulières (tiens, Wikipédia appelle cela des expressions rationnelles, je le note), ou avec un logiciel inforensique du type EnCase, WinHex, FTK, SMART, TCT, TSK, Safeback, FRED, ou X-Ways (par exemple), ou simplement par conversion sous forme de machine virtuelle (avec LiveView par exemple).

Personnellement, j’essaye toujours d’abord la méthode « boot sous forme de machine virtuelle » qui me permet de « sentir » un peu l’organisation de l’ordinateur que j’ai à analyser.

Et voici que je me retrouve avec une machine sous Windows 3.1!

Vous savez, le système d’exploitation de Microsoft avant Windows 7, avant Vista, avant Windows XP, avant Windows Me, avant Windows 2000, avant Windows 98, avant Windows NT4, avant Windows 95, avant Windows 3.11 et avant Windows NT3.1… Pas facile de démarrer une machine virtuelle là dessus. Sans vouloir faire mon papy show, c’était l’époque des instructions HIMEM et EMM386 dans le fichier Config.sys, des Winsock.dll et autres vtcp.386 (bon, maintenant je sais que je fais très papy). Cela fait quand même très bizarre de ne pas avoir de menu contextuel, et pas une seule image JPEG. Et en fin de compte, les outils de recherche sur les contenus de fichiers ne marchaient pas beaucoup moins bien qu’aujourd’hui.

Mais finalement, j’ai pu mener à bien ma mission et rendre mon rapport. Mon seul regret: ne pas avoir parlé de toute la misère technique rencontrée, le magistrat se moquant bien de cet aspect de mon travail.

C’est une des raisons d’être de ce blog 🙂

On ne peut pas toujours tout cacher

Chaque mission est un défi, et puisque les magistrats me confient plutôt des missions techniques, il s’agit souvent pour moi d’un défi technique. Mais comme je le répète assez souvent sur ce blog, à l’impossible nul n’est tenu. Quoique.

Deux entreprises sont en conflit commercial, et l’une accuse l’autre d’avoir récupéré par l’intermédiaire d’un transfuge un certain nombre d’informations confidentielles. Les dites informations sont contenues dans des fichiers PDF qui auraient été emmenés par le salarié débauché sur son ordinateur portable personnel. Le salarié concerné nie les faits et affirme n’avoir jamais manipulé ces fichiers sur son ordinateur personnel.

La justice a fait saisir l’ordinateur en question et comme les enquêteurs disponibles sont occupés ailleurs à faire monter le taux d’enquêtes résolues, je suis désigné pour mener à bien l’investigation. Ma mission: trouver trace du fichier « SuperConf.pdf ». Me voici donc à la maison dans mon bureau à faire l’analyse du matériel saisi. J’ai déjà expliqué ici comment je procède pour copier le disque dur afin de créer une copie parfaite (aux secteurs défectueux près). J’ai déjà raconté aussi ici les galères rencontrées dans certains démontages d’ordinateurs portables.

Dans le cas présent, une fois l’image du disque dur effectuée et transformée en machine virtuelle, je commence par me « promener » dans le système de fichiers, pour « sentir » un peu le profil de l’utilisateur de l’ordinateur: quels sont les logiciels installés, les raccourcis, l’organisation général de la machine, etc.

Très vite, je tombe sur un effaceur de traces redoutable: Eraser. Là, je me dis tout de suite que mes chances de retrouver des traces du fichier PDF recherché sont assez minces. Mais, le travail devant être fait, je lance une recherche du nom de fichier dans la zone allouée du disque dur, dans la zone non allouée, dans la table des fichiers effacés/non effacés, et partout où je peux retrouver un fragment de fichier PDF.

Comme prévu, aucun fichier « SuperConf.pdf ». Par ailleurs, la liste des fichiers effacés est parfaite vide.

Par contre, je découvre un fichier non effacé qui s’appelle « SuperConf.myd » qui se trouve dans le répertoire « Documents and SettingscépasmoiApplication DataAdobeAcrobat »…

Étrange.

Une petite recherche sur Internet me laisse penser qu’il s’agit d’un fichier associé au système de gestion de base de données MySQL. Mais que vient faire ce SGBD dans le logiciel Acrobat? Je fouille un petit peu plus sur le disque dur pour finalement réaliser qu’il ne s’agit pas de l’habituel « Reader » gratuit mais bien de la version complète du logiciel phare de chez Adobe. Une recherche plus approfondie sur Internet ne donne pas grand chose (à l’époque;) sur l’association Acrobat/MySQL…

Comme je n’ai rien d’autre à me mettre sous la dent, je décide d’installer MySQL et ses outils sur une machine vierge et d’y transférer l’ensemble des fichiers .MYD récupérés sur le scellé (enfin sur son image). Je ne m’étendrai pas ici sur la configuration d’une instance MySQL et sur les différents échauffements toujours nécessaires pour dérouiller mes connaissances sur ce merveilleux langage qu’est SQL. J’arrive à « monter » les différents fichiers .MYD dans le SGBD et à lancer quelques commandes SELECT * dans le requéteur.

Et là, avec une certaine surprise je dois dire, je découvre que le logiciel Acrobat garde trace de tous les fichiers qu’il a manipulés, avec les informations associées: Auteur, mots clefs, nom du fichier, chemin d’accès, taille du fichier, dates diverses, sujet et d’autres encore. Et en l’espèce, tout ce qui concernait mon fichier « SuperConf.pdf »: Erazer avait effacé toute trace du fichier d’origine, mais n’avait rien retiré des traces laissées dans la base de données interne d’Acrobat.

J’ai pu ainsi rendre un rapport précisant bien que le fichier « SuperConf.pdf » avait bien été présent sur l’ordinateur mis sous scellé. Avec bien entendu toutes les réserves que je fais à chaque fois et que je rencontre trop rarement autour de moi: les dates ne prouvent pas grand chose, la présence du fichier ne signifie pas nécessairement que sa manipulation ait été faite par le propriétaire de l’ordinateur, etc.

J’ai ainsi pu vérifier une fois encore le principe de l’échange de Locard, ou son équivalent informatique:

On ne peut chiffrer ou déchiffrer une donnée, l’inscrire ou la supprimer d’une mémoire, sans apporter et déposer une trace sur l’ordinateur, sans modifier et prendre quelque chose qui s’y trouvait auparavant.

Je dois admettre que j’ai au final passé beaucoup plus de temps à essayer de rédiger un rapport clair et facilement compréhensible qu’à mener les investigations techniques…

Informatique embarquée

Il est 9h ce samedi là, je suis au commissariat de Police à la demande d’un magistrat. Je ne sais rien de l’affaire qui me concerne à part qu’il y aura des ordinateurs à inspecter chez un particulier, j’ai donc rempli le coffre de ma voiture avec l’indispensable.

J’appréhende toujours ce type de mission. Débarquer chez les gens avec la police ou la gendarmerie n’est pas quelque chose d’agréable. Pourtant, quand j’y réfléchis, j’ai prêté serment d’apporter mon concours à la Justice, et cela quelles que soient les circonstances.

L’opération a lieu un samedi à cause de moi car j’ai des difficultés à me libérer les jours de la semaine. Le dossier est assez simple en apparence: il s’agit d’un travailleur indépendant qui aurait fait des malversations informatiques. Le policier gradé m’explique le dossier en détail et je l’écoute attentivement. Une fois ses explications effectuées, je lui pose quelques question sans illusions: quel type d’ordinateurs allons nous inspecter, quel volume de données, quel est le niveau technique du propriétaire… Aucune de ces question n’a de réponse. Je lui explique l’importance de ce type d’informations, il comprend et compatit. Nous partons pour la perquisition.

Je suis la voiture de police banalisée. Le policier a souri à la vue de ma vieille Peugeot 205 en disant « c’est solide ces voitures là » d’un air entendu. Il semble s’y connaître en automobile, aussi je coupe court à la conversation d’un « oh vous savez, moi, du moment qu’elle démarre et qu’elle m’amène là où je veux aller… »

Nous sortons de la ville. La circulation est dense et j’ai perdu de vue la voiture de police. Le policier qui est monté avec moi m’indique le chemin jusqu’au bord d’une rivière où je découvre que la perquisition va avoir lieu sur un bateau!

Le ponton est désert, et parmi les quatre bateaux arrimés, un seul semble habité. A défaut d’huis, les policiers frappent sur un panneau du ponton près du bateau. Le propriétaire sort de la cabine et nous regarde surpris: face à lui nous sommes quatre, trois policiers en uniforme et moi (en costume).

Le gradé se présente et explique la raison de la perquisition. Les épaules de l’homme s’affaissent et il nous laisse le passage. Nous voilà à cinq sur un bateau de 6 mètres. Je reste sur le pont du bateau pendant que les policiers pénètrent dans la cabine avec le propriétaire. Le bateau bouge au gré des masses humaines qui s’agitent à l’intérieur. Je m’assois et observe la scène. Les policiers font un inventaire rapide des lieux sans mettre de désordre. Ils ouvrent les rangements (et sur un bateau, il y en a beaucoup), ils soulèvent des trappes, poussent des battants et ouvrent des tiroirs. Pendant ce temps là, je regarde l’extérieur du bateau et le paysage avec ma mallette d’intervention sur les genoux.

Au bout d’un quart d’heure, les policiers m’appellent et je pénètre dans la cabine. J’entre dans l’intimité d’un homme seul. L’intérieur est propre malgré l’age apparemment avancé du bateau. Tout ce qui ressemble à du matériel informatique a été rassemblé sur la table à cartes qui sert de table à manger et de bureau. Les hommes sortent pour nous laisser de la place car l’espace est exigu.

Je passe les deux heures suivantes à ausculter les disques durs, cédéroms et autres supports de stockage. Je fournis en direct les éléments pouvant intéresser l’enquêteur. Le propriétaire commente les données et donne ses explications. Je me concentre sur la partie technique, effectue les copies de données pour investigations ultérieures et fouille les recoins des disques avec quelques outils de recherche de chaines de caractères.

Avec le recul des années, je perçois les avancées (à venir) des droits de la défense. Cet homme était seul face à nous. Le policier a été parfaitement correct dans son interrogatoire et ma présence « neutre » peut en témoigner. Mais je n’aurais pas aimé être à sa place: il était sous pression, sa voix dévoilait une tension certaine et il était visiblement mal à l’aise.

En fin de perquisition, alors que l’enquêteur mettait de l’ordre dans sa procédure, je me suis permis de discuter avec le propriétaire. La naïveté de mes questions a réussi à le faire sourire: « mais comment faites vous pour recharger votre ordinateur? », « comment accédez-vous à internet? », « et pour le courrier postal, vous le recevez comment, vous avez une adresse fixe? », « vous faites comment pour le nettoyage de la coque? », « vous n’avez pas peur d’être agressé quand vous êtes tout seul sur la rivière? »… Il me montre les astuces techniques, les aménagements du bateau qu’il a réalisé. Il me parle de barrots et de barrotins. Il reprend vie.

Il aurait parfaitement pu être accompagné par un avocat. Mes investigations techniques auraient été les mêmes, les questions du policier probablement aussi. La tension aurait sans doute aussi été présente, mais partagée avec une personne de confiance, avec un soutien.

Je ne vois vraiment que des avantages à la possibilité de se faire assister par un avocat, à tout moment de quelques procédures que ce soit. Pour ce que j’en sais, aucun élément n’a été découvert contre lui.

Ce soir là, je suis rentré moins sûr de moi.

Cave ne ante ullas catapultas ambules

Je suis en train de terminer une expertise informatique particulièrement éprouvante qui m’a pris presque tout mon temps libre depuis quatre semaines.

Être expert judiciaire, c’est en général une activité parallèle à une activité principale, les magistrats voyant dans cette activité principale la garantie d’un certain niveau de compétence et d’une mise à niveau permanente.

Dans mon cas, je suis salarié dans une école d’ingénieurs. Cela occupe mon temps de 9h à 19h, coupé par une pause d’une demi heure pour avaler une saladette devant mon ordinateur.

Depuis quatre semaines, donc, de 21h à 23h, et les quatre dimanches concernés, j’ai consacré toutes mes forces à analyser le contenu de plusieurs scellés qui m’ont été confiés pour en retirer 60 Go de films et photographies pornographiques et pédopornographiques.

Lors du devis initial adressé au Procureur de la République, j’avais indiqué qu’il me faudrait sans doute 30 heures de travail, ce qui dans mon cas représente une « grosse » expertise. A 90 euros de l’heure (tarif spécial service public), le devis me paraît toujours élevé. Mais, quand on sait que l’on sera (peut-être) payé deux ans plus tard

Mais si vous comptez bien, j’ai déjà passé plus de 60 heures dans la gadoue… et je n’ai pas encore terminé. Que se passe-t-il donc? Je suis tombé sur un PC infecté par de nombreux virus, vers et autres chevaux de Troie…

Et bien quoi, me direz-vous, ne suffit-il pas de passer un bon coup d’antivirus pour nettoyer tout cela? Certes, mais alors, quid de la volonté de l’utilisateur de télécharger tous les fichiers trouvés sur l’ordinateur?

Si vous lisez le serment prêté par l’expert judiciaire, et que j’ai modestement placé en sous-titre de ce blog, j’ai juré de donner mon avis en mon honneur et en ma conscience. Un avis, cela se donne quand on le demande: c’est le but des missions confiées par le magistrat. L’honneur, concept relativement complexe, a à voir avec l’éthique personnelle et le sentiment du devoir. Et enfin, j’ai déjà parlé ici de la conscience et de ses difficultés.

Ma vision personnelle des missions est qu’il faut savoir y lire « l’esprit de la mission ». Personne ne m’a demandé dans cette expertise de savoir si oui ou non l’ordinateur qui m’a été confié appartient sans le savoir à un réseau de stockage distribué. Une sorte d’Amazone S3 version bad boys. Mais imaginez un peu la scène si c’était vrai, si un ordinateur contaminé, non content d’être dans un botnet pour spammer le monde entier, était utilisé pour stocker des données forcément compromettantes, comme par exemples des images pédopornographiques.

Dois-je, en ma conscience, dire au magistrat: « mais je n’ai pas regardé car vous ne me l’avez pas demandé »? Non. Mais dans ce cas, le travail est gigantesque: il faut analyser le code de chaque virus, de chaque ver, de chaque cheval de Troie pour savoir ce qu’il cherche à faire en s’étant implanté sur cet ordinateur… Et cela prend du temps, beaucoup de temps…

Alors, pour rester dans une fourchette de temps raisonnable (j’ai également une date limite pour réaliser une expertise judiciaire), je procède de la façon suivante: j’utilise plusieurs antivirus, je note toutes les détections faites lors des analyses (nom du programme malveillant, nom du fichier infecté), et je me renseigne sur les sites des éditeurs d’antivirus sur l’activité de chaque programme malveillant détecté. Et comme chaque éditeur utilise une terminologie différente, cela prend encore plus de temps.

Je compile tout cela pour le magistrat, afin de donner mon avis à cette question qu’il ne m’a pas posée: l’utilisateur est-il responsable de l’arrivée sur cette machine des fichiers illégaux que j’y ai trouvés.

Et parfois, ce n’est pas facile d’y répondre.

Un conseil: installez un bon antivirus.

L’expert judiciaire ou le collaborateur biodégradé

Monsieur Z. est un expert judiciaire qui a de la bouteille: 20 années de pratique de l’expertise judiciaire et le double d’expérience professionnelle. Il ne gagne pas beaucoup d’argent, mais dans son domaine, c’est un technicien reconnu.

Il travaille consciencieusement chaque dossier et s’applique à rendre des rapports clairs et complets.

Ce matin, il a rendez-vous pour une dernière réunion dans une affaire qui en a compté de nombreuses, tant le dossier était complexe. Il sait qu’après cette réunion, il remettra aux parties un pré-rapport pour leur permettre de lui faire part de leurs réflexions (les dires des parties) auxquelles il répondra dans son rapport définitif.

Mais nous n’en sommes pas là, et Monsieur Z. se rend à la réunion qu’il a organisée avec les parties et leurs avocats. Il espère que tout le monde sera présent, parce qu’il en a passé du temps à faire converger tous les agendas vers une date qui puisse satisfaire tout le monde. Il est serein, malgré le stress qui monte un peu.

La réunion se déroule en présence de tout le monde, Monsieur Z. écoute les différents points de vue, pose des questions sur ce dossier qu’il connait maintenant très bien, et commence à préparer les parties en donnant oralement l’avis qu’il compte mettre dans son pré-rapport. C’est alors que la situation dérape: l’une des personnes présente perd ses nerfs et agresse l’expert en le jetant à terre! Les avocats s’interposent, mais trop tard et Monsieur Z. est sonné.

Le soir même, Monsieur Z. dépose une plainte contre son agresseur. Dès le lendemain, il contacte le magistrat qui l’a désigné dans cette affaire pour prendre conseil auprès de lui. Il lui explique que les investigations sont presque terminées, qu’il est prêt à remettre un pré-rapport aux parties et que c’est quand son agresseur a compris que le vent était contraire qu’il s’est jeté sur lui. Le magistrat lui demande de finir son expertise. Un mois plus tard, il remet son pré-rapport aux parties, ainsi qu’une copie pour information au magistrat.

Une semaine après le dépôt du pré-rapport, l’agresseur dépose une demande en récusation de l’expert à la « suite d’un incident révélant une inimitié notoire au sens de l’article 341 CPC« . Lorsqu’un expert est récusé, il est relevé de ses missions et un autre expert est désigné pour le remplacer. Si le rapport est déjà déposé, celui-ci est nul et le travail est considéré comme non fait.

Cette demande est rejetée quelques mois plus tard. L’expert n’est pas récusé. Appel de cette décision est aussitôt fait.

Pendant ce temps là, la plainte de Monsieur Z. arrive en haut de la pile du tribunal correctionnel. L’agresseur est jugé et est condamné.

Quatre mois s’écoulent encore pendant lesquels l’expert continue ses investigations, répond aux dires des parties et rédige son rapport final qu’il dépose au tribunal. Il joint à son rapport sa note de frais pour les dépenses avancées dans ce dossier (location d’une salle de réunion, déplacements, etc) et sa note d’honoraires pour le temps passé et le prix de son expérience.

Un an après, la Cour d’Appel juge la demande de récusation de l’expert et confirme l’ordonnance rejetant la demande de récusation. L’expert n’est pas récusé. Un pourvoi est formé pour contester cette décision.

Monsieur Z. n’est toujours pas payé de ses diligences.

Deux ans plus tard, la Cour de cassation, sur le fondement de l’impartialité objective (l’expert est en procès avec l’une des parties du fait du dépôt de sa plainte), casse la décision de la Cour d’appel et renvoie devant une autre Cour. Cette dernière statue sur la demande de récusation un an plus tard et décide que l’inimitié notoire est caractérisée.

Monsieur Z. est récusé.

Monsieur Z. ne sera pas payé de ses diligences.

Monsieur Z. est condamné à payer à son agresseur l’ensemble des coûts de toutes les procédures (les « entiers dépens »).

Monsieur Z. est ruiné.

Il décède peu de temps après.

Il transmet à ses héritiers une dette substantielle.

———————————

J’ai déjà écrit en 2007 un billet sur cette affaire, « Les risques du métier« , mais je voulais la réécrire d’une autre manière qui me semble plus vivante (on peut dire aussi plus « romancée »). Lisez les deux billets pour comparer. Qu’en pensez-vous?

J’ai reparlé de cette affaire avec d’éminents juristes (dont certaine très proche) qui m’ont tout de suite fait remarquer qu’il était dangereux de déposer une plainte contre l’une des parties d’un dossier que l’on traite. Monsieur Z. n’aurait donc pas dû déposer plainte et poursuivre son expertise, tout en écrivant aux parties que le geste de son agresseur était dû à un fort stress (et qu’en grand seigneur il pouvait comprendre et pardonner). Ou s’il déposait plainte, il devait stopper son travail et déposer « en l’état » son rapport (et sa note de frais et honoraires).

Je fais respectueusement remarquer à mes juristes favoris que Monsieur Z., expert dans son domaine, mais conscient de ne pas être juriste, s’était retourné vers « son » magistrat pour prendre conseil. Qui d’autre pouvait lui dire qu’il risquait d’être abusé de la sorte?

Pour ma part, je reprends la conclusion de mon billet initial, citation de mon confrère Gérard ROUSSEAU, Docteur en droit, expert honoraire près la Cour de cassation:

Si l’agression devient l’une des possibilités d’obtenir une récusation, la formation à l’expertise judiciaire devra pour le moins inclure une épreuve de lutte gréco-romaine, qui pourrait utilement être enseignée à l’Ecole Nationale de la Magistrature, les magistrats étant eux-mêmes récusables.

Chers confrères ou futurs confrères, préférez les conseils de votre avocat (ou abonnez vous à la revue Experts).

Ad nauseam

Bon alors, là, c’est une série de photos d’un mariage. Avec toutes les scènes habituelles que l’on peut trouver classiquement. Voilà les invités, les amis, certainement la belle famille… Quelques photos d’enfants qui jouent dans le cortège, dans la salle des fêtes, dans le noir de la fête.

C’est quoi déjà l’intitulé exact de la mission: « rechercher toutes les images de nature pédopornographique ». Bon, rien pour l’instant, des enfants qui jouent, ça n’est pas « pédopornographique ». Même si quand on a l’intitulé de la mission en tête, toute image d’enfant devient suspecte. RAS.

Tiens, un fichier ZIP qui contient des images pornographiques. Un coup de baguette magique pour supprimer le mot de passe. 200 images. Bien. Des jeunes, des vieux, des jeunes filles en socquettes et tresses. Tout cela m’a l’air d’avoir l’âge requis malgré les épilations de rigueurs.

C’est quoi déjà l’intitulé exact de la mission: « rechercher toutes les images de nature pédopornographique ». Bon, rien pour l’instant, du porno bien classique. C’est plus trash que « Bonjour Madame », mais rien de « pédopornographique ».

Ah, c’est quoi ça? Elle me paraît très jeune cette petite. Ah oui, moins de 15 ans, peut-être bien moins de 10. Elle est en maillot de bain, mais prend des poses très suggestives. Les décors changent, mais c’est toujours elle, et toujours dans des poses très très suggestives. Ah, une autre petite fille! Et une autre encore. Plus de 1000 photos de petites filles dans des décors plus ou moins artistiques. Je suis très mal à l’aise devant mon écran d’ordinateur devant ce pseudo travail artistique de catalogue de mode bizarre.

C’est quoi déjà l’intitulé exact de la mission: « rechercher toutes les images de nature pédopornographique ». Bon, rien de réellement « pédopornographique », mais quand même un peu. Je préfère laisser la décision aux enquêteurs. Les photos seront annexées au rapport d’expertise judiciaire.

Je continue l’étude du contenu de ce disque dur qui m’a été remis sous scellé. Je vérifie pour la nième fois que la porte de mon bureau est bien fermée à clef. Et mes trois enfants savent qu’il ne faut pas me déranger. Un dossier complet contenant des milliers d’images d’hommes. De la pornographie homosexuelle. Des images crues, des scènes torrides d’une sexualité que je ne partage pas.

C’est quoi déjà l’intitulé exact de la mission: « rechercher toutes les images de nature pédopornographique ». Bon, on ne me demande pas d’informations sur les goûts sexuels de l’utilisateur du disque dur. Toutes les images LGBT sont à classer dans la catégorie normale. RAS donc.

Tiens, je retrouve l’un des messieurs présents sur les photos du mariage. Il se prend en photo dans sa salle de bain. Dans toutes les positions et sous toutes les coutures. Enfin les coutures… Ce doit être l’utilisateur du disque dur. C’est un peu bizarre de garder ce type de photos sur son ordinateur. A son âge.

C’est quoi déjà l’intitulé exact de la mission: « rechercher toutes les images de nature pédopornographique ». On ne me demande pas mon avis personnel sur l’attitude « normale » à avoir dans l’intimité de sa salle de bain. RAS.

Un dossier contenant des bandes dessinées pour adulte. Des centaines de BD. Des milliers de pages à regarder. Tiens, il y a des mangas. Euh, des mangas adultes avec des représentations d’enfants en situation pornographique.

C’est quoi déjà l’intitulé exact de la mission: « rechercher toutes les images de nature pédopornographique ». La loi punit la représentation d’un mineur présentant un caractère pornographique (source bulletin officiel du ministère de la justice n° 86, 1er avril – 30 juin 2002). Les images sont annexées au rapport d’expertise.

L’analyse continue ainsi, ad nauseam.

Je suis informaticien.

Je suis expert judiciaire inscrit dans cette spécialité.

Le magistrat qui me désigne le sait et me fixe une mission précise, technique.

On ne me demande pas mes opinions en matière de sexe.

On ne me demande pas de faire de la psychologie de comptoir en décidant ce qui est normal ou pas.

Quand j’ai un doute, ou que je me sens mal à l’aise, je ne dois pas me contenter de dire: je mets en annexe, les autres feront le tri. Il faut décider ce qui relève de la mission. Il faut décider ce qui relève de la dénonciation de crime.

Le reste, c’est la vie privée.

Et parfois, c’est dur de faire les choix, quand on sait qu’on peut briser une vie.

Mais briser la vie de qui? Celle de l’utilisateur du disque dur? Celle de sa prochaine victime s’il y en a une? La mienne?

————————————

Image tirée du site officiel de la série télévisée Cold Case.

Perquisition

Il est huit heures du matin. Les policiers frappent à la porte d’un pavillon. Je les accompagne.

J’ai prêté serment d’apporter mon concours à la Justice. Mais je suis dans mes petits souliers: je participe à une perquisition chez un particulier, et je dois dire que je n’aime pas ça.

Une femme nous ouvre la porte en peignoir. Un policier lui explique la procédure pendant que ses collègues entrent en silence. L’action est calme et nous sommes loin des clichés des séries TV. Une fois la maison explorée, les policiers m’invitent à entrer pour effectuer ma mission: le juge m’a demandé d’analyser les différents appareils informatiques présents dans la maison.

Il s’agit d’une affaire de trafic portant sur plusieurs centaines de milliers d’euros.

Depuis une semaine, je me prépare tous les soirs en essayant d’imaginer tous les cas techniques devant lesquels je peux tomber. J’ai un sac contenant un boot cd DEFT, des tournevis de toutes tailles et de toutes formes, stylos et bloc notes, un dictaphone numérique, un ordinateur portable avec carte réseau gigabit et disque de grosse capacité pour la prise d’image en direct, une lampe électrique, un bouchon 50 ohms et un connecteur en T, le live CD d’Ophcrack, un câble réseau, un prolongateur et un câble croisé, une boite de DVD à graver (et quelques disquettes formatées, cela sert encore…), une bouteille d’eau et un paquet de biscuits. Grâce aux lecteurs de ce blog, j’ai ajouté un appareil photo, un GPS, du ruban adhésif toilé et résistant, des élastiques de toutes tailles, des trombones, un clavier souple ne craignant pas l’humidité avec la connectique qui va bien, un tabouret en toile, des vis, patafix et colliers, une tour sur roulette avec carte SATA et quelques disques vierges de rechange, un ventilateur pour les disques, une petite imprimante, toute la connectique pour les organiseurs (Palms, Blackberry, iphone, etc.), des étiquettes/pastilles de couleur, des stylos et des feutres, un petit switch 10/100/1000, un câble série, un câble USB, une nappe IDE, une nappe SATA et des adaptateurs USB, SATA, IDE…

Pour l’instant, je tiens à la main une petite mallette avec mes principaux outils: bloc note, stylo et boot cd. Le reste est dans ma voiture. La maitresse de maison nous explique que son mari est en voyage d’affaire et ses enfants chez leur grand-mère. Elle est seule chez elle. J’ai un sentiment de malaise face au viol de sa vie privée. Décidément, je ne suis pas fait pour ce type d’intervention. L’OPJ sent mon désarroi et le met sur le compte de l’inexpérience. Il m’emmène au bureau de la maison où trône un ordinateur au milieu d’un paquet de disques durs extractibles. Mon travail commence.

J’explique à l’OPJ ma procédure de prise d’images. Il tique un peu quand je lui annonce mon estimation des durées. Bien sur, si j’avais été invité au briefing de la veille, j’aurais pu expliquer tout cela…

J’installe tout mon petit matériel dans un coin de la pièce, à même le sol. Je démonte les différents disques durs et les place dans ma « tour infernale » (mon PC d’investigation). J’ai l’impression que les policiers me regardent en pensant au professeur Tournesol.

Pendant les deux heures qui vont suivre, je vais étudier tous les papiers découverts par les policiers pour voir s’ils peuvent contenir des éléments de nature à me faciliter l’analyse inforensique des disques durs. Mais je ne trouve rien. La corbeille à papier est également vide IRL. Le monde moderne.

Les policiers s’ennuient un peu, quand finalement j’arrive à booter la première image dans une machine virtuelle VMware. L’un d’entre eux me dit en souriant: « finalement, deux heures pour démarrer un PC, c’est un peu comme chez moi ». Je ne me laisse pas déconcentrer et pars à la recherche de tous les indices possibles.

Les mots de passe Windows sont vite découverts avec Ophcrack. L’historique internet me fournit une liste de sites visités, ainsi que plusieurs pseudos (en clair dans les url). Les historiques MSN me donnent plusieurs emails et identités numériques. J’explore les différents outils de messagerie installés: Outlook Express, Thunderbird, surtout les emails de création de comptes avec envoi de mots de passe. Je conserve tout cela précieusement car tout ceci me donne l’impression que le propriétaire du PC change régulièrement de pseudo.

La liste des mots de passe utilisés me donne une petite idée de la stratégie de choix de l’utilisateur: un mélange avec les prénoms de ses enfants et des dates qui s’avèreront être les dates du jour de création des comptes.

J’effectue une petite recherche des fichiers de grosses tailles qui met en évidence trois fichiers de 4 Go sans extension. Je tente le coup avec l’application TrueCrypt contenue dans ma clef USB « LiberKey« . J’essaye les différents mots de passe trouvés précédemment et l’un d’entre eux marche sur un fichier, deux autres sur l’un des fichiers restants. Cela signifie donc qu’un utilisateur du PC connait TrueCrypt et l’utilise pour chiffrer des données dans un fichier protégé par le système à double détente de TrueCrypt. Mais il me manque encore quelques mots de passe.

Parmi les outils de mémorisation des mots de passe, le navigateur est le plus utilisé. Je lance le navigateur installé et vérifie dans les options appropriées la liste des mots de passe mémorisés en association avec différents comptes internet.

Je note tous les login/mot de passe des comptes. Je vérifie avec l’OPJ que mon ordre de mission m’autorise à me connecter sur les comptes internets. Un coup de fil au magistrat lève les doutes. Je fais consigner la démarche sur le PV. Je choisis en premier lieu le webmail le plus fréquemment utilisé. J’y découvre une quantité d’emails que je récupère avec le Thunderbird de ma clef USB. Et bien entendu, parmi ces emails, un certain nombre d’emails contenant des mots de passe.

Ce travail s’effectue en parallèle de la prise d’image des autres disques qui sont montés au fur et à mesure sous forme de machines virtuelles. Mais le travail initial permet d’accéder plus rapidement aux espaces DATA intéressant les OPJ. Une fois franchis l’obstacle du chiffrage et des mots de passe, l’outil essentiel est une recherche Windows avec les mots clefs fournis par les OPJ. J’ai une certaine préférence pour SearchMyFiles de chez NirSoft.

La perquisition se termine en fin d’après-midi. J’imprime tous les documents découverts. Je range mon matériel. Je rappelle à l’OPJ que ma mission se poursuivra le week-end suivant avec des analyses plus longues, en particulier des zones non allouées des disques durs. Suivra ensuite la rédaction du rapport et l’impression des annexes. Comme pour une fois, ce dossier ne contient pas d’images pédopornographiques, je vais pouvoir externaliser l’impression pour faire baisser les coûts.

En sortant de la maison, je présente mes excuses à la propriétaire.

Elle est en colère et me répond durement.

Je revois encore aujourd’hui la rage de son regard.

Je la comprend.