Une histoire simple et banale 2e partie

Publié le 6 août 2011 par Zythom

J’ai lu attentivement tous les commentaires sous le billet de la 1ère partie, et je dois dire que la 1ère phrase du 1er commentateur aurait du vous mettre la puce à l’oreille: je ne suis pas là pour prendre parti. Le magistrat m’a donné des missions, et je dois les suivre. Strictement.

Bien entendu que je trouve le procédé de l’éditeur de PGI a priori détestable, surtout deux ans après. Bien sur que j’aime les logiciels libres et qu’un choix différent d’éditeur n’aurait pas entraîné ce type de problème (« TROLL ON » mais peut-être d’autres? « TROLL OFF »).

Mais vous êtes nombreux à avoir proposé de bonnes idées d’investigations. Et dans ce type de dossier, il y a plusieurs approches possibles. Voici la mienne.

A ce stade de l’affaire, la présentation que je vous ai faite dans la 1ère partie est celle issue des conclusions des avocats des deux parties. Ce n’est pas pour rien que la 1ère mission qui m’est confiée est de « convoquer les parties et entendre tous sachants« . Je dois me faire mon propre avis en matière technique. Je n’ai pas à suivre l’avis de tel ou tel avocat, aussi brillant soit-il. Je n’ai pas à suivre non plus l’avis des experts informatiques qui seront amenés par l’une ou l’autre des parties, que ces experts soient judiciaires (en mission privée) ou pas. Je donne mon avis en mon honneur et en ma conscience. Je suis indépendant.

Cette indépendance a un prix: je serai seul, quand les parties seront probablement accompagnées de leur avocat et de leurs experts.

Elle a un coût également: je ne travaille pas gratuitement. Avant donc de commencer à organiser la première réunion, il faut se préoccuper de ne pas laisser trop de plumes dans cette histoire. Je n’ai pas envie de me lancer dans une procédure aléatoire de recouvrement de créance auprès d’une entreprise mauvaise payeuse.

1ère étape donc, même si elle ne fait pas très geek ou glamour: l’estimation du montant probable de la procédure. Je regarde le lieu du litige (siège social de la société ARRAKIS). Je regarde également où se trouve la société CORRINO (des fois qu’un déplacement chez elle soit nécessaire ce qui est peu probable ici, mais j’ai déjà vécu ça). Les deux sociétés se trouvent à 100 km de chez moi, à 1h de route. J’estime que le dossier demandera une première journée d’expertise pour l’analyse de toutes les pièces du dossier et commencer les investigations techniques, puis une deuxième journée avec tous les sachants que j’aurai pu convoquer. Si tout va bien, une 3e journée ne sera pas nécessaire, il me restera à écrire mon pré-rapport, le soumettre aux parties, répondre aux dires et rédiger le rapport définitif que je déposerai.

Mon taux horaire a augmenté depuis 2007 et s’établit maintenant à 90 euros de l’heure de travail (et à la moitié pour le temps passé en déplacement). Il semblerait que je sois dans la moitié inférieure des taux pratiqués par mes confrères qui, d’après la dernière enquête de la revue expert seraient plutôt entre 70 euros et 130 euros de l’heure (expertise judiciaire informatique).

L’estimation pour ce dossier est donc de:

– Deux journées: 2 x 8h x 90€

– Déplacements: (4 x 1h x 45€) + (4 x 100km x 0.56€)

– Rédaction pré-rapport: env 5h x 90€

– Réponse aux dires et rapport final: env 5h x 90€

– Recommandés et photocopies pré-rapport et rapport (2 exemplaires par partie, 2 pour le tribunal, 1 pour l’expert): env 300€

Soit un total arrondi à 3000 euros.

Et oui.

Et c’est l’estimation du coût plancher…

J’adresse donc en réponse au magistrat qui me désigne un courrier d’acceptation des missions auquel je joins cette estimation détaillée des frais et honoraires prévisionnels avec la phrase clef: « Je sollicite le versement d’une allocation provisionnelle égale au montant des honoraires et frais dont la taxation est demandée et la désignation de la ou des parties qui en feront l’avance. »

2e étape, organisation de la 1ère réunion:

Cette étape n’est à commencer qu’après réception de l’avis de versement de la provision (versée auprès du greffe du tribunal). Si les choses traînent un peu en longueur, il est de bon ton ~~d’essayer~~ de joindre le greffe du tribunal pour savoir où en est la demande de provision. Il m’est arrivé plusieurs fois de constater que la partie désignée par le tribunal pour l’avance sur frais et honoraires avait décidé d’arrêter la procédure, ou qu’un accord était intervenu entre les parties, sans bien sur que personne ne daigne me contacter pour me dire de tout stopper.

Mon agenda sous les yeux, je procède à un petit rétro-planning à partir de la date indiquée dans l’ordonnance de désignation d’expert pour le dépôt de mon rapport. 1 weekend pour le rapport final, 3 semaines pour la rédaction des dires par les avocats des parties, 2 semaines pour la rédaction du pré-rapport après la dernière réunion d’expertise (c’est-à-dire 3 weekends, car la semaine, je travaille comme salarié), un mois entre les deux réunions d’expertise, il m’est arrivé que l’organisation ne soit pas possible (en général à cause du délai mis par la partie désignée pour verser la provision initiale). Il faut donc dans ce cas, dès le départ, écrire au magistrat pour lui expliquer la situation et faire une demande de prolongation de date de dépôt du rapport…

Mon premier coup de fil est adressé à la société qui va recevoir la réunion: y a-t-il une salle assez grande pour recevoir tout le monde (au moins 10 personnes), y a-t-il des dates à éviter (inventaire, salon important, fermeture estivale ou hivernale, etc)? Les autres coups de fils sont pour les avocats (des sociétés ARRAKIS et CORRINO, et celui de l’éditeur de PGI). Il n’est pas facile d’arriver à accéder directement à un avocat, mais en général leurs services de secrétariat sont efficaces et habitués à la galère de la recherche d’une date commune pour la 1ère réunion d’expertise.

Le plus difficile à cette étape pour moi est de contacter l’avocat de l’éditeur du logiciel PGI. Je vous rappelle que cette société est une grosse structure américaine. Je passe quelques coups de téléphone pour essayer d’obtenir quelqu’un du service juridique en France. Dans le cas présent, j’ai de la chance, j’arrive à obtenir quelqu’un du service recouvrement (qui a l’air facile à joindre;). La personne est parfaitement au courant de la situation de l’entreprise ARRAKIS mais refuse de me communiquer des dates pour une réunion d’expertise. La seule information que j’arrive à confirmer est l’adresse postale de leur service.

Après les avocats, je contacte les gérants des sociétés ARRAKIS et CORRINO. Je m’assure de leur disponibilité dans les différents créneaux retenus. Dès qu’une date semble satisfaire tout le monde, je retéléphone à tout le monde pour leur permettre de libérer les créneaux bloqués et noter la date retenue.

J’adresse ensuite une convocation par courrier recommandé avec avis de réception à chaque avocat et à chaque gérant. Dans le cas de l’éditeur de PGI, j’adresse une convocation au siège social français et au service recouvrement. Sur chaque courrier, je mentionne la phrase clef suivante: « Cette réunion régulièrement convoquée se tiendra, même en l’absence d’une des parties. » Par correction pour les avocats, je préviens dans la convocation que les horaires probables de la réunion seront 9h-12h et 13h-18h.

Il ne me reste plus qu’à poser une journée de congés auprès de mon employeur pour la date concernée. Je note également dans un petit cahier le temps déjà passé dans l’organisation de la réunion, le prix des recommandés. Je complète le dossier de l’affaire. Je n’ai pas de secrétaire.

3e étape: la réunion chez ARRAKIS.

Je décris assez bien la situation et l’état d’esprit de ce premier contact dans ce billet de 2009 que je vous invite à (re)lire.

Les trois parties sont autour de la table. La société ARRAKIS étant chez elle, elle souhaite faire participer à la réunion toute son équipe informatique. J’explique au gérant de l’entreprise que pour l’instant, je ne souhaite écouter que Monsieur Léto, le responsable informatique. Pas facile, dès le début de la réunion de faire comprendre que c’est moi qui décide qui doit se trouver autour de la table et que je limite à trois personnes par partie. Après tout, je suis un étranger dans son entreprise. Un peu de tact et de diplomatie, tout en expliquant que j’entendrai tous les sachants, et la réunion commence.

Ma mission n°1 est en bonne voie.

La suite de ce billet est à lire ici.

———————-

[1] Les noms des sociétés évoquées dans cette série de billets sont empruntés à l’univers du Cycle de Dune de Frank Herbert. Toute ressemblance avec des sociétés existantes serait fortuite.

Source photo: travail de Yanik Balzer et Max Qwertz, dans le cadre de leurs études à l’école internationale de design à Cologne.

Une histoire simple et banale

Publié le 17 juillet 2011 par Zythom

Il y a des affaires qui nécessitent des moyens techniques importants, ou des connaissances pointues en matière d’analyses inforensiques. Il y a des dossiers qui dépassent mes compétences, soit par leur complexité, soit par les enjeux associés, et qui nécessitent l’intervention de confrères bien plus armés et aguerris que moi. L’intervention de spécialistes de la sécurité, du chiffrage, des télécommunications, du grand banditisme, du terrorisme s’avère parfois nécessaire, et je ne suis alors qu’une petite pièce dans le dossier, vite mise de côté quand elle ne comprend pas qu’elle doit se déporter d’elle-même.

Il y a les séries américaines et françaises, où l’on voit des personnages toujours compétents réagir avec précision et discernement dans toutes les situations extrêmement subtiles. Il y a donc dans l’esprit du public une image des experts judiciaires dont l’intervention dénoue une situation nécessairement complexe et incompréhensible par le commun des mortels.

Et pourtant, mes dossiers sont pour la plupart des histoires techniquement simples et banales.

Une société de vente en gros de matériaux de construction, que j’appellerai « ARRAKIS« , dispose d’un service informatique très compétent. Le directeur informatique, Monsieur Léto, souhaite améliorer la productivité de son entreprise et monte le projet d’intégrer l’ensemble des fonctions de l’entreprise dans un système informatique centralisé qui permettra à tous les utilisateurs de collaborer plus efficacement et d’augmenter leur efficacité. J’appellerai ce logiciel « ERP« .

Monsieur Léto souhaite se faire accompagner pour l’installation d’ERP par une société de service spécialiste de ce logiciel. En effet, Monsieur Léto ne souhaite pas que son service sache déployer ERP dans la société ARRAKIS (le déploiement n’aura lieu qu’une seule fois), mais que celui-ci se concentre sur le soutien aux utilisateurs une fois le logiciel déployé.

Après appel d’offres et étude des différentes réponses, Monsieur Léto retient la société de service CORRINO qui a déjà déployé ERP auprès de plusieurs sociétés de même taille qu’ARRAKIS, à chaque fois avec succès.

La société de service CORRINO désigne un chef de projet et celui-ci établit avec Monsieur Léto un planning de projet pour le déploiement d’ERP. Le planning s’étale sur 10 mois, temps jugé normal par les deux parties pour l’installation, le paramétrage, les tests, les formations et le passage en production d’ERP.

ARRAKIS et CORRINO travaillent ensemble de manière satisfaisante pendant toute la durée du projet.

A ce stade de mon récit, je me dois de préciser que le logiciel ERP est conçu par un important éditeur américain et appartient à une gamme de produits permettant d’équiper aussi bien des TPE que des grosses entreprises multinationales. Par le jeu incessant de rachats/fusions, la gamme de produits vient d’être étendue et le nom harmonisé par les équipes marketings de l’éditeur.

Pendant les 10 mois de déploiement du logiciel ERP chez ARRAKIS par la société CORRINO, le logiciel a changé de nom et s’appelle désormais PGI. Pour être plus précis, le logiciel ERP version 11.2 devient le logiciel PGI version 7.5 avec quelques modules supplémentaires (fournis gratuitement) et un périmètre fonctionnel un peu plus important.

Monsieur Léto (directeur informatique chez ARRAKIS) prend bonne note des changements, s’assure que le projet n’est pas impacté de manière importante du fait que les modifications sont essentiellement marketings et poursuit le déploiement de « PGI » avec la société de service CORRINO.

Le projet se termine correctement, l’informatisation est réussie, la productivité des utilisateurs augmente, tout va bien.

Deux années s’écoulent tranquillement.

L’entreprise ARRAKIS paye une maintenance annuelle auprès de l’éditeur de PGI à travers la société de service CORRINO qui garde un oeil sur le bon fonctionnement de PGI.

Et justement, dans le cadre d’une intervention de maintenance concernant la mise à jour du logiciel PGI vers une version supérieure, l’éditeur du logiciel demande à la société de service CORRINO de lui envoyer le contenu d’une table de la base de données intégrée au logiciel PGI installé chez ARRAKIS.

Et là patatra. La société américaine éditrice du logiciel PGI déclare que celui-ci est installé d’une manière non conforme au contrat de licence. Ce constat s’appuie sur le contenu de la table envoyée par la société CORRINO. Cette table contient les droits des différents utilisateurs du logiciel et l’éditeur constate que tous les utilisateurs sont « niveau 1 » alors que le contrat de vente précise que seuls deux d’entre eux peuvent posséder ce droit, tous les autres étant « niveau 2 ».

L’éditeur de « PGI » demande à la société ARRAKIS de régulariser sa situation et réclame 100 000 euros au titre des licences indument utilisées.

La société ARRAKIS se tourne vers sa société de service CORRINO qui a procédé à l’installation et à la configuration des licences.

La société de service CORRINO explique aux deux autres sociétés qu’elle a configuré le logiciel ERP conformément aux licences achetées alors, que le passage à PGI en cours de projet l’a obligé à étendre les droits des utilisateurs pendant les phases de tests, et que le paramétrage final ne permet pas aux utilisateurs d’exploiter les droits supplémentaires qu’ils possèdent.

L’éditeur américain, par l’intermédiaire de son service juridique, maintient sa demande de régularisation de 100 000 euros.

La société ARRAKIS prend attache avec un avocat et se tourne vers la justice française. Les avocats des sociétés ARRAKIS et CORRINO exposent leurs conclusions et demandent au magistrat la désignation d’un expert judiciaire en informatique.

Je reçois un courrier avec comme missions de:

1) convoquer les parties et entendre tous sachants

2) dire si le logiciel PGI était installé par la société de service CORRINO en conformité avec les licences concédées par l’éditeur de PGI

3) si non, établir les responsabilités des sociétés ARRAKIS et CORRINO

4) estimer les préjudices

5) donner tout élément utile à la manifestation de la vérité.

Cette affaire est d’une affligeante banalité technique. Elle montre que pour être expert judiciaire, il ne faut pas nécessairement être un hacker white hat, un pentester de haute volée ou un développeur Occam.

Je vous laisse réfléchir sur les actions à mener en tant qu’expert judiciaire stagiaire.

La suite de ce billet est à lire ici.

——————————-

Les noms des sociétés évoquées dans cette série de billets sont empruntés à l’univers du Cycle de Dune de Frank Herbert. Toute ressemblance avec des sociétés existantes serait fortuite.

Cette série de billet s’appuie sur l’ensemble des très nombreuses expertises que j’ai pu mener dans ce domaine particulier des conflits au Commerce. Je ne dévoile aucun secret ni ne brise la confidentialité d’une affaire particulière. Je « romance » au sens de la décision de la chambre de discipline de ma compagnie des experts judiciaires rendue dans l' »affaire Zythom« .

Une vie privée

Publié le 23 mai 2011 par Zythom

Daniel a 40 ans. Il travaille dans une grande société. Il est plutôt bien avec sa hiérarchie, il reste dans le coup au niveau technique même si les nouveaux embauchés dans son service « poussent » un peu et marchent sur ses plates-bandes. Il en a vu d’autres…

Le soir, après le travail, il rentre comme beaucoup de monde avec les transports en commun. Il lit les journaux gratuits, ou un magasine, ou un livre qu’il a toujours sur lui. Il se tient au courant des affaires du monde, il s’intéresse aux potins des peoples ou s’évade dans l’univers créé par un auteur de roman à succès.

Arrivé chez lui, il se détend avec ses enfants, prépare le repas car sa femme travaille aussi, mais rentre plus tard. La famille est réunie autour de la table, chacun raconte sa journée et ses activités. Daniel et sa femme couchent les enfants, s’assurent que les dents sont brossées et que tous les écrans sont bien éteints (la DS et les téléphones portables sont rangés dans le couloir sur leurs chargeurs respectifs).

Daniel regarde un peu la télévision avec sa femme, mais préfère, au bout d’un petit quart d’heure, se retrouver seul dans son bureau devant son ordinateur. Il aime bien discuter avec quelques amis sur internet, tout en surfant sur des sites en lien avec ses centres d’intérêt. Plutôt qu’un blog qu’il trouve trop indiscret, Daniel tient un journal intime sur son ordinateur. C’est pratique d’ailleurs, parce qu’avec l’ordinateur, il peut noter plus facilement les liens des sites qu’il commente pour lui-même dans son journal intime informatisé.

Daniel est dans l’air du temps.

Daniel aime bien, un peu plus tard dans la soirée, aller surfer sur quelques sites pornographiques. Il commence par des sites de charme, où les femmes sont légèrement vêtues, et dans des poses qu’il trouve excitantes. Puis, il passe à des sites plus hards, avec des vrais bout de films pornographiques. Dans son journal intime, il note chaque masturbation avec un commentaire sur le film qui a soutenu sa libido. S’il a un peu honte, il sait que c’est lié à son éducation, et n’en tient pas compte. La puissance du désir, et la satisfaction du plaisir sont des tempêtes qui balayent tout sur leur passage.

Avec le temps, Daniel a repéré quelques thèmes qui l’émoustillent un peu plus que les autres sur les sites pornographiques. Daniel aime bien les filles qui s’habillent en collégiennes, qui ont des couettes, et des petits seins. Daniel repère les mots clefs qui donnent accès à ce type de contenu: teen, preteen, etc. La plupart des mots clefs sont donnés sur des forums de lutte contre la pornographie enfantine. Daniel est un habitué de la lecture des forums en général, mais il va surtout sur les forums d’échange de photos artistiques de nus de tous âges.

Sur son ordinateur, Daniel stocke des photos et des films pornographiques. Il ne les regarde pas souvent, mais il aime bien les accumuler. Il aime bien l’idée d’avoir sa propre collection et l’idée de pouvoir la regarder quand ça le chante. Mais internet est si vaste, qu’il préfère finalement continuer l’exploration de nouveautés et sa collection s’agrandit. A quoi bon effacer ou faire le tri, son espace disque est si grand. Et Daniel veille bien à ce que son compte informatique soit protégé par un mot de passe qu’il est le seul à connaître. Sa vie privée ne regarde que lui. Il veut conserver un espace intime pour lui seul. Ses fantasmes ne regardent personne d’autre.

Daniel aimait bien les catalogues de vêtements féminins de vente par correspondance. Il se rappelle très bien ses émois d’adolescent sur les pages présentant les sous-vêtements. Il a trouvé plusieurs sites où l’on voit des jeunes filles d’une dizaine d’années en petit maillots de bain dans des poses très suggestives. Certaines parfois sortent de l’eau avec des vêtements qui leur collent à la peau. Daniel sent qu’il franchit une limite, mais seul derrière son ordinateur, il lance quelques recherches et commence à télécharger des ZIP d’images pornographiques mettant en scène des enfants.

Daniel note avec précision dans son journal le jour où il a commencé sa collection d’images pédopornographiques. Pendant plusieurs années, Daniel amassera des dizaines de milliers d’images et de films d’enfants torturés par des adultes.

Ces images, ces films et ce journal intime, j’ai du en feuilleter tous les éléments, Daniel ayant fini par être repéré par les services de police. Son ordinateur m’a été remis sous scellé pour être expertisé avec comme mission d’en « extraire tout fichier de nature pédopornographique ». Pendant plusieurs semaines, tous les soirs et les week-ends, je me suis enfermé dans mon bureau pour analyser chaque image, chaque film et chaque passage du journal intime de Daniel.

Je ne sais pas comment réagissent les autres experts judiciaires, ou les OPJ, greffiers, magistrats et avocats traitant de ce sujet. Je suppose qu’ils sont plus forts que moi. Parce que, quand j’ai analysé le fichier zip mentionné dans le journal intime de Daniel par le commentaire « images particulièrement excitantes », moi, je pleurais en silence devant mon ordinateur.

Épilogue:

Je ne sais pas ce que Daniel est devenu, s’il a été jugé ou condamné. Je ne suis pas juge de son comportement, je ne sais pas s’il est malade, s’il a fait un pas de trop, si la société doit se féliciter d’un passage à l’acte virtuel qui empêchera le vrai passage à l’acte. Je ne sais pas si les Daniel doivent être pourchassés, ou ceux qui les alimentent en photos et films sordides. Ce que je pense, c’est que les hommes qui font réellement subir ces tortures aux enfants, les filment et en font commerce doivent être recherchés et punis. Ce que je pense aussi, c’est qu’il est parfaitement inutile de faire croire qu’en cherchant à « civiliser internet », on empêchera ces personnes de nuire IRL. Les moyens techniques et les procédures d’investigation existent, mais les moyens humains et les financements manquent. Les politiques doivent trouver ce travail trop dans l’ombre.

Il y a beaucoup d’endroits dans le monde où une vie ne vaut pas chère. C’est un concept simple que tout le monde comprend, moi le premier. Et pourtant, c’est vraiment dur de se le prendre de plein fouet en mettant des images et des films dessus. C’est certainement ce que l’on doit apprendre en premier dans les écoles de journalisme. Pas dans les écoles d’informatique.

Daniel est-il un pédophile IRL? Un futur pédophile? Je ne sais pas.

Les fantasmes de Daniel financent-ils des réseaux pédophiles? Je ne sais pas, mais les services de police le savent, eux. Et les politiques en charge des décisions. Mais à force d’utiliser ce prétexte pour lutter contre le « piratage » de chansons, comment savoir? Avais-je à entrer dans la vie privée de Daniel, dans ses fantasmes? La société devait-elle détruire la vie de Daniel en saisissant son ordinateur?

Finalement, je ne sais pas grand chose.

Mais je m’interroge.

GPS

Publié le 5 avril 2011 par Zythom

Nous utilisons de plus en plus d’appareils qui tracent nos déplacements, en toute connaissance de cause, mais parfois aussi à notre insu.

J’ai découvert récemment dans un article que certains systèmes GPS d’information de trafic routier utilisent le fait que, même en veille, nos téléphones mobiles se signalent aux bornes du réseau. Une accumulation anormale de téléphones sur une route signifie donc un bouchon, information que l’on peut relayer aux abonnés à ces systèmes d’alertes routières. Sans le savoir, vous contribuez au fonctionnement de ces systèmes.

Dans le cadre d’une affaire de grand banditisme, une expertise judiciaire a été ordonnée sur le système GPS d’une des voitures saisies. Voici son histoire.

Certaines voitures haut de gamme disposent d’un système GPS intégré. Il s’agit ici d’un GPS comprenant un disque dur. Les OPJ ayant placé ce disque dur sous scellé, me voici avec une analyse hors du commun. Je contacte le magistrat en charge du dossier. Celui-ci me rassure, il dispose de suffisamment d’éléments. L’expertise est demandée en complément, au cas où… Me voici donc avec un disque dur à analyser, mais sans le mode d’emploi détaillé, si je puis dire.

Mon premier réflexe est de procéder à une copie bit à bit du disque dur, en utilisant les outils qui me servent pour mes autres expertises judiciaires: bloqueur d’écriture, création d’une image numérique fidèle (tenant compte des éventuels secteurs défectueux du disque) et analyse de celle-ci. Seulement voilà, le disque dur est formaté avec un format propriétaire inconnu par mes outils d’analyse. Pas d’analyse possible à mon niveau… et aucune information exploitable pour l’instant.

Démarre alors une après-midi de coups de téléphone. Tout d’abord à l’OPJ pour qu’il me donne plus de détails sur la marque et le modèle du GPS. Des coups de fils au distributeur français, au sous traitant allemand, au distributeur « Europe ». Après moultes musiques d’attente, de rappel à cause de réunions, de filtres de secrétaireries, j’arrive au sésame de tout expert judiciaire (comme de toute personne appelant à l’aide un support): une personne compétente techniquement au bout du fil.

Après plusieurs jours de négociations, d’explications, d’échanges d’emails, nous convenons de la procédure suivante: j’amènerai moi-même à la structure technique parisienne le disque dur pour qu’il soit analysé en ma présence via une procédure interne spéciale propre au constructeur. Sous le sceau de la confidentialité.

Le jour J, me voici dans un petit local de banlieue, accueilli par un technicien attentif. Je lui explique les conditions dans lesquelles je souhaite que soit effectuée l’opération, je lui fournis mon bloqueur d’écritures et le disque dur. Il place le tout dans un système d’analyse propriétaire qui effectue la lecture complète des données du disque dur. Il m’explique que le GPS embarqué effectue environ une mesure par seconde et la stocke sur le disque dur considéré comme une bande sans fin. Je ressors de là avec un fichier Excel contenant toutes les mesures (et bien sur le disque dur remis sous scellé).

Me voici de retour chez moi avec un ensemble de coordonnées GPS codées en dégrés décimaux WGS84 (World Geodetic System 1984) et un ensemble de conseils précieux fournis par le technicien « faites bien attention lors de la conversion si vous comptez utiliser des cartes pour y placer les points ».

C’est effectivement assez délicat de passer de celles-ci à mes habituelles coordonnées LAMBERT (utilisées en spéléo avec les cartes IGN d’état major) au format sexagésimal (base 60).

J’ai donc eu l’idée d’utiliser Google Earth qui utilise une projection cylindrique simple avec un plan de référence WGS84 pour sa base d’images. J’ai ainsi pu placer les points de mon fichier Excel sur une carte (après moultes essais, je dois l’avouer). Et étudier les déplacements de la voiture concernée. Et ses arrêts longues durées à certaines adresses. Adresses qui se sont révélées être celles de présumés complices, soi-disant inconnus de l’utilisateur de la voiture.

Comme Google Earth n’est pas un logiciel d’expertise (lire les conditions d’utilisation) et ne garantit pas l’exactitude des reports de points, j’ai effectué plusieurs vérifications avec mes cartes IGN pour m’assurer que je ne commettais par d’erreur. J’ai rendu un rapport complet expliquant ma méthode et les adresses des points d’arrêt relevés. Le magistrat au téléphone avait l’air content de mon travail. Malheureusement je ne connais pas les suites données au dossier, étant « expulsé » de la procédure dès le dépôt de mon rapport.

Mais depuis, je ne regarde plus mon téléphone ni mon Tomtom de la même manière…

Mâles venus

Publié le 15 mars 2011 par Zythom

Nous sommes deux devant la maison. Le temps est maussade, il fait plutôt frisquet dans le vent et le ciel est menaçant. Il est 10 heures du matin.

La petite maison est plutôt proprette avec son jardin et ses belles clôtures toutes neuves. Entourée de terrains vagues, elle n’en paraît que plus jolie dans son isolement, comme une tâche de couleurs dans un univers gris.

J’ai dans ma mallette tout le nécessaire pour une intervention en territoire technique inconnu. Je ne sais même pas combien d’ordinateurs je vais devoir analyser, ni leur âge, ni les systèmes d’exploitation que je vais affronter. Je sais simplement quelles données je dois rechercher, et encore, c’est un peu flou. Une mission floue dans un paysage gris.

L’ordonnance qui me concerne a désigné également un huissier. Chaque métier a ses détracteurs, ses clichés et sa croix à porter. Le métier d’huissier de justice porte, à mon humble avis, un lourd tribut à cette règle. Pourtant, à chaque fois que j’ai eu à travailler avec des huissiers, je n’ai rencontré que des personnes affables, compétentes et plutôt sympathiques.

Les huissiers de justice doivent parfois faire des constatations sur du matériel informatique. Ils se sont très vite formés à la spécificité du domaine, en particulier lors des constats internet à faire après s’être assuré que le cache du navigateur a bien été vidé.

La plupart des huissiers que j’ai rencontré maitrisent très bien l’informatique. Mais parfois, les magistrats souhaitent qu’ils soient assistés d’un informaticien, auquel cas ils désignent un expert judiciaire en informatique. D’où ma présence parfois à leur côté.

L’huissier sonne au portillon. Il y a de la lumière dans la maison. Une voiture est garée devant l’entrée. Tout est calme aux alentours.

Un volet roulant remonte devant la baie vitrée. Le voilage se soulève. Un visage de femme apparaît. Elle nous regarde sans sourire.

L’huissier est vêtu d’un costume sombre, il tient une sacoche à la main. J’ai un grand manteau noir, un costume passe partout, une cravate dont j’ai eu du mal à faire le nœud ce matin. Et ma mallette à la main. Nous sommes deux représentants de la Justice, investis du pouvoir d’investigation. Nous sommes deux hommes en gris observés par une femme derrière une baie vitrée.

Je ne sais pas pourquoi, mais je pense aux Men in Black.

Le voilage retombe.

La porte reste close.

L’huissier sonne une nouvelle fois.

Plus rien ne bouge dans la maison.

« Heu, on fait quoi, là, Maître? ».

« Rien, l’ordonnance ne mentionne pas l’emploi de la force publique pour entrer ».

Nous avons attendu 10 minutes, sonné plusieurs fois. Puis nous sommes repartis. Deux hommes puissants, la queue entre les jambes…

Deux heures de route, une heure de préparation, un peu de stress face à l’inconnu. Pour rien. Dans la voiture, sur le chemin du retour, je pousse un soupir de soulagement. Je n’aime pas ce type de mission.

Dirdir, expert traductrice interprète

Publié le 17 février 2011 par Zythom

Je reçois aujourd’hui sur mon blog, une invitée d’une partie du monde de l’expertise judiciaire que je ne connais pas beaucoup, mais que les avocats rencontrent régulièrement, et souvent dans des circonstances dramatiques: l’expert traducteur interprète.

Extrait de la revue « Experts »:

« L’expert traducteur-interprète est un expert judiciaire. Comme tel, il doit avoir un certain niveau de formation juridique, bien qu’il ne soit pas essentiellement un juriste. Le droit régit la vie des peuples, et le traducteur est celui qui connaît cette vie des peuples, où le droit s’incarne. Le traducteur n’est pas expert dans une branche déterminée, même si certains se sont spécialisés en droit, en médecine ou en mécanique. Le traducteur est un généraliste dans les matières qu’il traduit et un spécialiste en langue. Sa formation permanente comme auxiliaire de justice est double : dans sa spécialité, la langue, et là, elle échappe au contrôle des magistrats, et dans le domaine juridique, et là, elle requiert les orientations de ces derniers. »

Dirdir, puisque ce sera son pseudonyme sur ce blog^[1], est un expert judiciaire^[2] tout juste inscrit sur la liste probatoire de deux ans. Elle nous fait part de ses premières impressions.

Par Dirdir:

Je comprends immédiatement que nous sommes les parents pauvres de l’expertise judiciaire. Dès le jour de la prestation de serment, je vois bien, comment ne pas en être frappée, que nous ne sommes pas comme les autres. Il est aisé de nous distinguer: nous sommes des femmes, nous sommes jeunes, nous appartenons visiblement à la classe moyenne, et nous sommes souvent des étrangères. Les autres? Hommes blancs, 50 ans, costumes bien coupés. Des hommes d’affaires, des hommes de pouvoir. Je me sens minable, mal habillée, pourtant je suis belle, je suis élégante, mais tout me renvoie au fait que je n’appartiens pas au même monde.

Une fois rentrée chez moi, je me documente. Statistiques: les traducteurs interprètes sont les plus mal payés de tous les experts. Résumé d’un article de sociologie: des experts marginaux à l’activité invisible et dévalorisée. Chroniques de la revue Expert: les conditions de travail sont difficiles, on n’est jamais informé du contenu des affaires sur lesquelles on doit travailler.

Lors des formations, nous suivons un cycle commun à tous les experts en période probatoire, les interventions ne nous concernent quasiment pas. C’est intéressant, on y apprend maintes choses, mais cela ne nous concerne pas. Les anecdotes ne nous concernent pas. Le principe du contradictoire ne nous concerne pas. La rédaction d’un rapport d’expertise ne nous concerne pas. La manière dont on doit s’exprimer si on est appelé à la barre aux assises ne nous concerne pas. Nous, ce qu’on aimerait savoir, ce sont plutôt des choses comme: si un terme juridique n’a pas d’équivalent parfait, comment on le traduit, est-ce qu’on a le droit de mettre une note de bas de page? De quelle manière peut-on se préparer efficacement aux séances d’interprétation? Ainsi que: comment remplir un mémoire de frais, à qui l’envoyer, quels sont les délais de paiement. Pourtant, et c’est tout le paradoxe, nous représentons un pourcentage non négligeable des experts probatoires. Je le sais, je connais les chiffres.

Je commande mes cachets. C’est un grand plaisir, mes cachets, mes beaux cachets, ne le dites à personne, mais je passe ma journée à tamponner des feuilles de brouillon, juste pour voir l’effet que cela me fait, expert traductrice interprète, avec mon nom et mon prénom, mon adresse, ma cour d’appel. La nuit du nouvel an, c’est encore plus idiot, au moment de lever ma coupe de champagne pour trinquer, je m’écrie, ça y est, je suis officiellement expert judiciaire. Car je suis si fière, si fière d’avoir été nommée expert, c’est un vieux rêve que de travailler pour la justice, j’ai toujours adoré le droit, le monde judiciaire, c’est tellement important la justice, qu’y a-t-il de plus important que la justice?

Entrer dans une société secrète. Je suis sûre que tout le monde le pense, il y a cette jouissance, oui cette jouissance à faire désormais partie d’un cercle particulier. Quelque chose d’exclusif, où on ne pénètre pas comme cela. Je balaie de mon esprit le fait que les critères de sélection sont opaques, que si ça se trouve, je n’ai pas du tout été choisie pour mes diplômes, mes compétences, mes expériences, je balaie tout cela et je me raconte en toute mauvaise foi une belle histoire, si je suis expert ce n’est pas par hasard, c’est que je le mérite, la sélection est rude et j’ai été élue, regardez comme je brille de mille feux. Et je le reconnais, je le confesse, la carte de visite, la signature à la fin des courriels, la mention sur le CV, je me suis précipitée sur tous ces gadgets, j’ai marqué expert judiciaire partout où je le pouvais.

Je croyais bêtement qu’on était un peu égaux, entre experts. Que j’étais autant expert judiciaire que les autres. Mais non. Nous sommes une catégorie à part, c’est l’évidence même, ne serait-ce parce que, précisément, nous ne produisons pas à proprement parler des expertises. Certes, nous aidons les magistrats, nous les éclairons en leur permettant de comprendre une langue qu’ils ne maîtrisent pas. Cependant nous ne donnons pas notre avis. Nous ne disons pas, très chère Cour je crois bien que cette maison s’est effondrée à cause des galeries creusées par les lapins nains qui se sont échappés de l’animalerie du coin de la rue. Nous n’écrivons pas, il me semble qu’au regard de l’état actuel des connaissances scientifiques, le mis en examen est un brin schizophrène étant donné qu’il se prend pour le général de Gaulle. En vérité, il est difficile de trouver une activité qui soit plus éloignée de l’action de donner son avis que l’interprétation ou la traduction. Ce qu’on nous demande, c’est d’être fidèles. Tout le texte, rien que le texte. Surtout pour les prestations assermentées. Rien à voir avec un avis d’expert.

Au demeurant, même notre titre n’est pas clair. Quand je dis aux gens, je suis devenue expert judiciaire, ils me regardent avec des yeux ronds. Si je dis expert traductrice interprète, ils comprennent au moins que ça doit avoir un vague lien avec les langues étrangères, mais pour autant, il ne leur viendrait pas à l’idée de me solliciter pour une traduction certifiée conforme à l’original. Non, ce qui parle aux gens, c’est traducteur assermenté, interprète assermenté. Là, oui, tout le monde voit parfaitement. Celui qu’il faut appeler pour la traduction d’un acte de naissance, et qui va faire payer très cher son coup de tampon. Celui qu’il faut solliciter pour l’interprétation à la mairie, quand on épouse un étranger ou une étrangère.

Il y a des pays où les traducteurs interprètes au service de la justice ne font pas partie du corps des experts. Je me demande parfois si ce ne serait pas mieux.

Je veux dire: plus juste.

————————————-

[1] Elle m’assure qu’il s’agit d’une coïncidence, mais je n’ai pas pu m’empêcher de penser au Dirdir de Jack Vance. Saint Asimov est avec nous.

[2] C’est Dirdir qui m’a fait remarquer que « expert judiciaire » n’existe qu’au masculin, et qu’il ne faut pas dire « experte judiciaire ». Je trouve cela dommage, mais je m’incline devant sa recommandation. Je milite pourtant pour la féminisation de tous les mots, même quand cela peut paraître ridicule d’un premier abord. Bon, je sors du sujet là.

Never forget

Publié le 4 février 2011 par Zythom

L’ordinateur est devant moi, encore dans son emballage plastique transparent. L’étiquette du scellé contient une information qui m’effraie déjà: une date préhistorique.

Je regarde cette machine avec un brin de nostalgie: il s’agit d’une marque aujourd’hui disparue, datant de l’époque où l’on parlait de machines « compatibles IBM pc ». Le processeur est fièrement indiqué sur une étiquette en façade: Intel 286. Je me frotte les yeux.

Je brise le scellé, et j’ouvre l’unité centrale de l’ordinateur. Comme souvent, l’intérieur est très sale, d’une poussière pâteuse brunâtre de mauvais augure. Je regarde les différentes nappes de connexion, et je me demande comment je vais bien pouvoir relier tout cela à mon matériel d’analyse…

Quelques jours auparavant, j’avais reçu un coup de fil d’un magistrat me demandant si j’acceptais une mission d’analyse de contenu de disque dur concernant un dossier dans lequel l’ordinateur avait été mis sous scellé vingt ans auparavant. Une histoire criminelle concernant un mineur. La date de prescription approchant, un nouvel élément invitait le magistrat à réouvrir ce dossier et à demander une expertise sur un point précis à chercher sur l’ordinateur.

Un PC de 20 ans…

J’ai donc commencé par prendre des photos de toutes les étapes du démontage, en particulier du nettoyage, jusqu’à pouvoir extraire le disque dur de l’ordinateur. Je pose celui-ci sur mon bureau et déchiffre les inscriptions de l’étiquette: capacité du disque dur: 40 Mo… avec connecteurs SCSI 1ère génération.

Par acquis de conscience, je branche le vieil ordinateur nettoyé et sans disque pour voir, et bien sur: rien. Ni Bios, ni lueur d’espoir de lire quoique ce soit sur l’écran (vert, non je plaisante, VGA).

Problème: je ne dispose pas de bloqueur d’écriture au format SCSI pour lire ce vieux disque dur sans risque de le modifier.

Là, je me suis dit: c’est quand même bien de travailler dans une école d’ingénieurs ET d’être conservateur. Dès le lendemain, je fouillais dans mes archives professionnelles affectueusement dénommées « mon musée » pour dénicher tout ce qui ressemblait de près ou de loin à des nappes SCSI, des cartes SCSI, des bouchons SCSI, des câbles SCSI, des lecteurs DAT SCSI et même des disques durs SCSI…

De retour à la maison avec mon petit matériel, je me mets en tête de brancher le vieux disque dur sur une machine fonctionnelle. Ma vieille carte contrôleur SCSI étant au format EISA, je trouve dans mon stock de vieux PC une machine à bus éponyme. Je ressors aussi une carte réseau 10Mb/s au même format de bus pour brancher tout mon petit monde à mon réseau actuel. Je précise aux vieux qui me lisent, que j’aurais pu tout aussi bien monter un réseau BNC 10BASE2 avec des résistances de terminaison O/

J’allume mon vieux 486, je règle le BIOS, je règle les interruptions avec des cavaliers sur les différentes cartes contrôleurs ajoutées. Je branche un vieux disque dur SCSI retrouvé dans mon musée, je branche un vieux lecteur cédérom SCSI récupéré sur une ancienne station de travail (une SGI O2) et je boote sur une (très) vieille distribution linux capable de reconnaître tout mon petit matériel. Instant magique que celui où les différents tests défilent sur l’écran au démarrage. Après plusieurs essais de différentes configuration, me voici avec une machine capable de lire un disque dur SCSI sans écrire dessus. Je précise que cette préparation m’aura pris deux week-ends…

Je fais un test avant/après en calculant les hash SHA1 avant et après prise d’image de mon disque dur de test. Les résultats m’indiquent que le disque dur n’a pas été modifié.

C’est risqué, mais je pense que cela suffira. Je branche le disque dur du scellé.

Après un temps objectif d’une vingtaine de minutes et subjectif de plusieurs heures de transpiration, me voici avec une image binaire identique au disque dur d’origine (secteurs défectueux y compris). Je range le disque dur dans son scellé.

Il y a plusieurs façon d’explorer une image de disque dur, j’en ai plusieurs fois parlé sur ce blog: à l’aide de commandes unix basées sur de jolies expressions régulières (tiens, Wikipédia appelle cela des expressions rationnelles, je le note), ou avec un logiciel inforensique du type EnCase, WinHex, FTK, SMART, TCT, TSK, Safeback, FRED, ou X-Ways (par exemple), ou simplement par conversion sous forme de machine virtuelle (avec LiveView par exemple).

Personnellement, j’essaye toujours d’abord la méthode « boot sous forme de machine virtuelle » qui me permet de « sentir » un peu l’organisation de l’ordinateur que j’ai à analyser.

Et voici que je me retrouve avec une machine sous Windows 3.1!

Vous savez, le système d’exploitation de Microsoft avant Windows 7, avant Vista, avant Windows XP, avant Windows Me, avant Windows 2000, avant Windows 98, avant Windows NT4, avant Windows 95, avant Windows 3.11 et avant Windows NT3.1… Pas facile de démarrer une machine virtuelle là dessus. Sans vouloir faire mon papy show, c’était l’époque des instructions HIMEM et EMM386 dans le fichier Config.sys, des Winsock.dll et autres vtcp.386 (bon, maintenant je sais que je fais très papy). Cela fait quand même très bizarre de ne pas avoir de menu contextuel, et pas une seule image JPEG. Et en fin de compte, les outils de recherche sur les contenus de fichiers ne marchaient pas beaucoup moins bien qu’aujourd’hui.

Mais finalement, j’ai pu mener à bien ma mission et rendre mon rapport. Mon seul regret: ne pas avoir parlé de toute la misère technique rencontrée, le magistrat se moquant bien de cet aspect de mon travail.

C’est une des raisons d’être de ce blog 🙂

On ne peut pas toujours tout cacher

Publié le 20 janvier 2011 par Zythom

Chaque mission est un défi, et puisque les magistrats me confient plutôt des missions techniques, il s’agit souvent pour moi d’un défi technique. Mais comme je le répète assez souvent sur ce blog, à l’impossible nul n’est tenu. Quoique.

Deux entreprises sont en conflit commercial, et l’une accuse l’autre d’avoir récupéré par l’intermédiaire d’un transfuge un certain nombre d’informations confidentielles. Les dites informations sont contenues dans des fichiers PDF qui auraient été emmenés par le salarié débauché sur son ordinateur portable personnel. Le salarié concerné nie les faits et affirme n’avoir jamais manipulé ces fichiers sur son ordinateur personnel.

La justice a fait saisir l’ordinateur en question et comme les enquêteurs disponibles sont occupés ailleurs à faire monter le taux d’enquêtes résolues, je suis désigné pour mener à bien l’investigation. Ma mission: trouver trace du fichier « SuperConf.pdf ». Me voici donc à la maison dans mon bureau à faire l’analyse du matériel saisi. J’ai déjà expliqué ici comment je procède pour copier le disque dur afin de créer une copie parfaite (aux secteurs défectueux près). J’ai déjà raconté aussi ici les galères rencontrées dans certains démontages d’ordinateurs portables.

Dans le cas présent, une fois l’image du disque dur effectuée et transformée en machine virtuelle, je commence par me « promener » dans le système de fichiers, pour « sentir » un peu le profil de l’utilisateur de l’ordinateur: quels sont les logiciels installés, les raccourcis, l’organisation général de la machine, etc.

Très vite, je tombe sur un effaceur de traces redoutable: Eraser. Là, je me dis tout de suite que mes chances de retrouver des traces du fichier PDF recherché sont assez minces. Mais, le travail devant être fait, je lance une recherche du nom de fichier dans la zone allouée du disque dur, dans la zone non allouée, dans la table des fichiers effacés/non effacés, et partout où je peux retrouver un fragment de fichier PDF.

Comme prévu, aucun fichier « SuperConf.pdf ». Par ailleurs, la liste des fichiers effacés est parfaite vide.

Par contre, je découvre un fichier non effacé qui s’appelle « SuperConf.myd » qui se trouve dans le répertoire « Documents and SettingscépasmoiApplication DataAdobeAcrobat »…

Étrange.

Une petite recherche sur Internet me laisse penser qu’il s’agit d’un fichier associé au système de gestion de base de données MySQL. Mais que vient faire ce SGBD dans le logiciel Acrobat? Je fouille un petit peu plus sur le disque dur pour finalement réaliser qu’il ne s’agit pas de l’habituel « Reader » gratuit mais bien de la version complète du logiciel phare de chez Adobe. Une recherche plus approfondie sur Internet ne donne pas grand chose (à l’époque;) sur l’association Acrobat/MySQL…

Comme je n’ai rien d’autre à me mettre sous la dent, je décide d’installer MySQL et ses outils sur une machine vierge et d’y transférer l’ensemble des fichiers .MYD récupérés sur le scellé (enfin sur son image). Je ne m’étendrai pas ici sur la configuration d’une instance MySQL et sur les différents échauffements toujours nécessaires pour dérouiller mes connaissances sur ce merveilleux langage qu’est SQL. J’arrive à « monter » les différents fichiers .MYD dans le SGBD et à lancer quelques commandes SELECT * dans le requéteur.

Et là, avec une certaine surprise je dois dire, je découvre que le logiciel Acrobat garde trace de tous les fichiers qu’il a manipulés, avec les informations associées: Auteur, mots clefs, nom du fichier, chemin d’accès, taille du fichier, dates diverses, sujet et d’autres encore. Et en l’espèce, tout ce qui concernait mon fichier « SuperConf.pdf »: Erazer avait effacé toute trace du fichier d’origine, mais n’avait rien retiré des traces laissées dans la base de données interne d’Acrobat.

J’ai pu ainsi rendre un rapport précisant bien que le fichier « SuperConf.pdf » avait bien été présent sur l’ordinateur mis sous scellé. Avec bien entendu toutes les réserves que je fais à chaque fois et que je rencontre trop rarement autour de moi: les dates ne prouvent pas grand chose, la présence du fichier ne signifie pas nécessairement que sa manipulation ait été faite par le propriétaire de l’ordinateur, etc.

J’ai ainsi pu vérifier une fois encore le principe de l’échange de Locard, ou son équivalent informatique:

On ne peut chiffrer ou déchiffrer une donnée, l’inscrire ou la supprimer d’une mémoire, sans apporter et déposer une trace sur l’ordinateur, sans modifier et prendre quelque chose qui s’y trouvait auparavant.

Je dois admettre que j’ai au final passé beaucoup plus de temps à essayer de rédiger un rapport clair et facilement compréhensible qu’à mener les investigations techniques…

Informatique embarquée

Publié le 24 novembre 2010 par Zythom

Il est 9h ce samedi là, je suis au commissariat de Police à la demande d’un magistrat. Je ne sais rien de l’affaire qui me concerne à part qu’il y aura des ordinateurs à inspecter chez un particulier, j’ai donc rempli le coffre de ma voiture avec l’indispensable.

J’appréhende toujours ce type de mission. Débarquer chez les gens avec la police ou la gendarmerie n’est pas quelque chose d’agréable. Pourtant, quand j’y réfléchis, j’ai prêté serment d’apporter mon concours à la Justice, et cela quelles que soient les circonstances.

L’opération a lieu un samedi à cause de moi car j’ai des difficultés à me libérer les jours de la semaine. Le dossier est assez simple en apparence: il s’agit d’un travailleur indépendant qui aurait fait des malversations informatiques. Le policier gradé m’explique le dossier en détail et je l’écoute attentivement. Une fois ses explications effectuées, je lui pose quelques question sans illusions: quel type d’ordinateurs allons nous inspecter, quel volume de données, quel est le niveau technique du propriétaire… Aucune de ces question n’a de réponse. Je lui explique l’importance de ce type d’informations, il comprend et compatit. Nous partons pour la perquisition.

Je suis la voiture de police banalisée. Le policier a souri à la vue de ma vieille Peugeot 205 en disant « c’est solide ces voitures là » d’un air entendu. Il semble s’y connaître en automobile, aussi je coupe court à la conversation d’un « oh vous savez, moi, du moment qu’elle démarre et qu’elle m’amène là où je veux aller… »

Nous sortons de la ville. La circulation est dense et j’ai perdu de vue la voiture de police. Le policier qui est monté avec moi m’indique le chemin jusqu’au bord d’une rivière où je découvre que la perquisition va avoir lieu sur un bateau!

Le ponton est désert, et parmi les quatre bateaux arrimés, un seul semble habité. A défaut d’huis, les policiers frappent sur un panneau du ponton près du bateau. Le propriétaire sort de la cabine et nous regarde surpris: face à lui nous sommes quatre, trois policiers en uniforme et moi (en costume).

Le gradé se présente et explique la raison de la perquisition. Les épaules de l’homme s’affaissent et il nous laisse le passage. Nous voilà à cinq sur un bateau de 6 mètres. Je reste sur le pont du bateau pendant que les policiers pénètrent dans la cabine avec le propriétaire. Le bateau bouge au gré des masses humaines qui s’agitent à l’intérieur. Je m’assois et observe la scène. Les policiers font un inventaire rapide des lieux sans mettre de désordre. Ils ouvrent les rangements (et sur un bateau, il y en a beaucoup), ils soulèvent des trappes, poussent des battants et ouvrent des tiroirs. Pendant ce temps là, je regarde l’extérieur du bateau et le paysage avec ma mallette d’intervention sur les genoux.

Au bout d’un quart d’heure, les policiers m’appellent et je pénètre dans la cabine. J’entre dans l’intimité d’un homme seul. L’intérieur est propre malgré l’age apparemment avancé du bateau. Tout ce qui ressemble à du matériel informatique a été rassemblé sur la table à cartes qui sert de table à manger et de bureau. Les hommes sortent pour nous laisser de la place car l’espace est exigu.

Je passe les deux heures suivantes à ausculter les disques durs, cédéroms et autres supports de stockage. Je fournis en direct les éléments pouvant intéresser l’enquêteur. Le propriétaire commente les données et donne ses explications. Je me concentre sur la partie technique, effectue les copies de données pour investigations ultérieures et fouille les recoins des disques avec quelques outils de recherche de chaines de caractères.

Avec le recul des années, je perçois les avancées (à venir) des droits de la défense. Cet homme était seul face à nous. Le policier a été parfaitement correct dans son interrogatoire et ma présence « neutre » peut en témoigner. Mais je n’aurais pas aimé être à sa place: il était sous pression, sa voix dévoilait une tension certaine et il était visiblement mal à l’aise.

En fin de perquisition, alors que l’enquêteur mettait de l’ordre dans sa procédure, je me suis permis de discuter avec le propriétaire. La naïveté de mes questions a réussi à le faire sourire: « mais comment faites vous pour recharger votre ordinateur? », « comment accédez-vous à internet? », « et pour le courrier postal, vous le recevez comment, vous avez une adresse fixe? », « vous faites comment pour le nettoyage de la coque? », « vous n’avez pas peur d’être agressé quand vous êtes tout seul sur la rivière? »… Il me montre les astuces techniques, les aménagements du bateau qu’il a réalisé. Il me parle de barrots et de barrotins. Il reprend vie.

Il aurait parfaitement pu être accompagné par un avocat. Mes investigations techniques auraient été les mêmes, les questions du policier probablement aussi. La tension aurait sans doute aussi été présente, mais partagée avec une personne de confiance, avec un soutien.

Je ne vois vraiment que des avantages à la possibilité de se faire assister par un avocat, à tout moment de quelques procédures que ce soit. Pour ce que j’en sais, aucun élément n’a été découvert contre lui.

Ce soir là, je suis rentré moins sûr de moi.

Cave ne ante ullas catapultas ambules

Publié le 25 octobre 2010 par Zythom

Je suis en train de terminer une expertise informatique particulièrement éprouvante qui m’a pris presque tout mon temps libre depuis quatre semaines.

Être expert judiciaire, c’est en général une activité parallèle à une activité principale, les magistrats voyant dans cette activité principale la garantie d’un certain niveau de compétence et d’une mise à niveau permanente.

Dans mon cas, je suis salarié dans une école d’ingénieurs. Cela occupe mon temps de 9h à 19h, coupé par une pause d’une demi heure pour avaler une saladette devant mon ordinateur.

Depuis quatre semaines, donc, de 21h à 23h, et les quatre dimanches concernés, j’ai consacré toutes mes forces à analyser le contenu de plusieurs scellés qui m’ont été confiés pour en retirer 60 Go de films et photographies pornographiques et pédopornographiques.

Lors du devis initial adressé au Procureur de la République, j’avais indiqué qu’il me faudrait sans doute 30 heures de travail, ce qui dans mon cas représente une « grosse » expertise. A 90 euros de l’heure (tarif spécial service public), le devis me paraît toujours élevé. Mais, quand on sait que l’on sera (peut-être) payé deux ans plus tard…

Mais si vous comptez bien, j’ai déjà passé plus de 60 heures dans la gadoue… et je n’ai pas encore terminé. Que se passe-t-il donc? Je suis tombé sur un PC infecté par de nombreux virus, vers et autres chevaux de Troie…

Et bien quoi, me direz-vous, ne suffit-il pas de passer un bon coup d’antivirus pour nettoyer tout cela? Certes, mais alors, quid de la volonté de l’utilisateur de télécharger tous les fichiers trouvés sur l’ordinateur?

Si vous lisez le serment prêté par l’expert judiciaire, et que j’ai modestement placé en sous-titre de ce blog, j’ai juré de donner mon avis en mon honneur et en ma conscience. Un avis, cela se donne quand on le demande: c’est le but des missions confiées par le magistrat. L’honneur, concept relativement complexe, a à voir avec l’éthique personnelle et le sentiment du devoir. Et enfin, j’ai déjà parlé ici de la conscience et de ses difficultés.

Ma vision personnelle des missions est qu’il faut savoir y lire « l’esprit de la mission ». Personne ne m’a demandé dans cette expertise de savoir si oui ou non l’ordinateur qui m’a été confié appartient sans le savoir à un réseau de stockage distribué. Une sorte d’Amazone S3 version bad boys. Mais imaginez un peu la scène si c’était vrai, si un ordinateur contaminé, non content d’être dans un botnet pour spammer le monde entier, était utilisé pour stocker des données forcément compromettantes, comme par exemples des images pédopornographiques.

Dois-je, en ma conscience, dire au magistrat: « mais je n’ai pas regardé car vous ne me l’avez pas demandé »? Non. Mais dans ce cas, le travail est gigantesque: il faut analyser le code de chaque virus, de chaque ver, de chaque cheval de Troie pour savoir ce qu’il cherche à faire en s’étant implanté sur cet ordinateur… Et cela prend du temps, beaucoup de temps…

Alors, pour rester dans une fourchette de temps raisonnable (j’ai également une date limite pour réaliser une expertise judiciaire), je procède de la façon suivante: j’utilise plusieurs antivirus, je note toutes les détections faites lors des analyses (nom du programme malveillant, nom du fichier infecté), et je me renseigne sur les sites des éditeurs d’antivirus sur l’activité de chaque programme malveillant détecté. Et comme chaque éditeur utilise une terminologie différente, cela prend encore plus de temps.

Je compile tout cela pour le magistrat, afin de donner mon avis à cette question qu’il ne m’a pas posée: l’utilisateur est-il responsable de l’arrivée sur cette machine des fichiers illégaux que j’y ai trouvés.

Et parfois, ce n’est pas facile d’y répondre.

Un conseil: installez un bon antivirus.

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Anecdotes expertises