L’expert judiciaire exerce ces missions la plupart du temps seul. J’ai déjà raconté ici beaucoup d’anecdotes où je me suis senti bien seul face à mes écrans, en particulier lors d’analyses d’images et de films pédopornographiques, ou de visualisations de collections de vidéos ultra violentes… Mais la solitude peut se ressentir aussi autrement.

Il m’est arrivé, il y a quelques années, d’avoir à remplir une mission inhabituelle (pour moi) : un tribunal de commerce m’avait demandé de récupérer des données clients sur un serveur dans une entreprise qui venait de faire faillite et de faire l’inventaire du parc informatique afin de faciliter le travail du commissaire priseur.

J’ai d’ailleurs appris à mes dépens qu’il y a un certain nombre de points à vérifier avant de se déplacer pour une telle expertise. J’ai parlé de tout cela récemment cela dans le billet intitulé « Le siècle des lumières« . Voici la suite des évènements.

Quand un expert se déplace pour effectuer une mission, il est rarement mis au courant des détails très techniques qu’il va rencontrer. Dans cette affaire, et malgré mes nombreuses questions auprès de mes différents interlocuteurs, il m’était impossible d’avoir la moindre information technique intéressante : combien de PC, quel système d’exploitation (Windows, VMS, GCOS, Debian, AIX, Irix, Mac OS, NetBSD…), type des disques, leur capacité… Bon, par contre, tout le monde pouvait me donner le mot de passe du serveur (et c’était déjà ça).

Pour préparer mes affaires avant de partir, je procède donc exactement comme pour une expédition lointaine dans un pays dont on ne connaît ni la géographie ni le climat. Je mets dans une valise tous les éléments techniques qui pourraient m’être utile: disques de grosse capacité, nappes de fils, alimentations, tournevis, lampe électrique, unité centrale, écran, PC portable, papier, crayons, câbles et cartes réseaux, switchs, PQ…

Me voici donc, de bon matin, à deux cents km de chez moi, seul dans cette entreprise fermée depuis plus d’un an. Elle est située dans un grand appartement de six pièces. Il flotte dans l’air comme une odeur de renfermé. J’ouvre les volets.

Je repère très vite le serveur (installé dans la cuisine aménagée pour l’occasion en salle serveur). L’électricité ayant été remise la veille, j’appuie sur le bouton de démarrage après avoir vérifié l’état général des connexions électriques. Le serveur s’allume dans un bruit d’enfer qui semble normal.

Je regarde sur les murs de la cuisine d’anciens messages de « team building », des consignes divers, des dates à ne pas oublier, des numéros de téléphone de contacts d’urgence. Et dans un coin, une citation latine que devraient connaître tous les sysadmins : « Tempora si fuerint nubila, solus eris » (Lorsque viendra l’orage, tu seras seul).

Assis devant l’écran, je fais mes premières constations: bios, nombre et type de disques, OS, messages d’alerte… jusqu’à la fenêtre de demande d’identification. J’entre le mot de passe indiqué dans les documents qui m’ont été fournis: sésame ouvre toi, ça marche ! Je récupère les données sur mon disque externe reconnu par l’OS. C’est un coup de chance car aucune de mes nappes ne correspondent au système du serveur. Cela fait une heure que je suis là et la première partie des missions est déjà accomplie. Je suis content.

Là où cela s’est un peu corsé, c’est quand j’ai voulu remettre en état le réseau en place. En effet, de nombreuses données sont présentes sur les disques durs des différents PC et tous ne disposent pas de port USB, alors qu’ils sont tous connectés en réseau. Rien ne fonctionne, aucune machine ne voit le serveur. Petite inspection à quatre pattes en salle serveur. Je constate alors que le réseau a été « saboté ». Des câbles ont été retirés, certains branchés de manière à faire des boucles plus ou moins évidentes. A vue de nez, il manque une dizaine de câbles… Début des ennuis.

Je referme bien l’appartement à clef, puis commence à chercher un magasin d’informatique ou d’électronique. Nous sommes samedi midi, la ville est déserte. Je demande aux commerçants ouverts, mais ils sont incapables de me renseigner. Je découvre un magasin de bricolage à 10 km et je prends ma voiture pour le dévaliser… Victoire et retour dans l’entreprise.

Réseau fonctionnel, je commence à récupérer les données de chaque poste de travail (il y en a dix!). L’après midi bien entamé y passera. Le soir arrive, la pénombre aussi. Les yeux fatigués, je me lève pour allumer la lumière : rien. Tous les plafonniers ont été vidés de leurs néons et ampoules. J’allume tous les écrans et reprend le travail dans la lumière blafarde. Je sors ma lampe de poche et m’en sers pour me déplacer entre les meubles. Certains écrans grésillent. Je me sens seul.

Je préviens mon épouse de ne pas s’inquiéter. Les ombres et les fantômes de l’entreprise suffisent déjà à me mettre mal à l’aise. Quelques craquements se produisent dans les pièces voisines. Le changement de température sans doute. Au fait, il n’y a pas de chauffage… Je mets mon manteau et bouge un peu les bras pour me réchauffer. Je note sur ma « check list » de penser à prendre des vêtements chauds la prochaine fois.

23h. Fini. Je ramasse tous mes équipements, toutes mes affaires et toutes mes notes. Je remets tout en état. J’éteins et ferme tout. Me voici dans le couloir avec ma lampe de poche et mon sac de sport rempli de matériel sur l’épaule. Je me rends compte soudain que je n’ai pas pensé à prévenir les voisins ni la police de ma présence. J’ai vraiment l’air d’un cambrioleur. Par chance, personne ne viendra m’inquiéter.

Sur le chemin du retour, il n’y a personne sur la route.

Je suis encore seul.

Il m’arrive de devoir me rendre dans un tribunal de mon ressort provincial pour remettre un rapport en main propre, ou pour aller chercher des scellés. Pour le commun des mortels dont je fais partie, un tribunal est un lieu très solennel où se jouent des vies. On ne rie pas dans un tribunal. On enlève sa casquette dans un tribunal par respect républicain, on craint de contrevenir à une règle inconnue, on rase les murs dans un tribunal…

J’avais une heure devant moi, et par une porte entrouverte, gardée par un policier, j’aperçois une certaine animation : des avocats, des magistrats et du public… Je me glisse au fond de la salle et écarquille les yeux tout en ouvrant bien grand(es) les oreilles.

Tant d’avocats et tant de monde dans la salle, quelle affaire pouvait donc bien se jouer ici dont je n’avais pas entendu parler, enfermé que j’étais dans mon bureau pendant les longues semaines de mon expertise ?

Non, une simple « mise en état ».

Si j’ai bien compris le concept, il s’agit pour les magistrats de faire convoquer à la même heure toutes les parties de toutes les affaires du jour et de voir si les affaires sont « en état » d’être traitées correctement le jour même. Le magistrat présent s’informe par exemple de la régularité de la procédure suivie dans chaque dossier, il règle les incidents liés à l’échange des conclusions et à la communication des pièces, etc. Accessoirement, il règle aussi l’ordre de passage des affaires. Priorité semble-t-il à l’avocat dont l’inscription au Barreau est la plus ancienne, mais aussi aux avocats venant de loin, ou aux affaires complexes nécessitant la présence de nombreuses personnes… Autant dire que si votre affaire est simple, que votre avocat est inscrit depuis peu au barreau local, ainsi que l’avocat de votre adversaire, vous n’êtes pas sorti du palais…

Si je parle de cela aujourd’hui, c’est qu’il me reste de ce souvenir un sentiment de malaise : j’étais assis dans un endroit de la salle où se trouvait un public essentiellement constitué des personnes concernées par les affaires du jour. Ces personnes avaient la mine sombre et visiblement rêvaient d’être ailleurs.

En face de nous, un joyeux ballet se déroulait sous nos yeux : les avocats se tutoyaient, des plaisanteries fusaient entre eux, avec le magistrat et le greffe. Bref, nous assistions à une réunion de travail « entre collègues » plutôt rigolote et détendue.

Sauf que je sentais que les personnes présentes n’étaient pas du tout dans cet état d’esprit. Leur affaire représentait à leur yeux un moment très important de leur vie. Leur temps est précieux (ils ont pris un jour de congé au travail), leurs attentes immenses, leurs angoisses extrêmes. Comment mon avocat peut-il plaisanter avec l’avocat de mon adversaire qui m’a tant fait souffrir ? Pourquoi ce climat de plaisanterie dans ce lieu ? Autant d’interrogations que je lisais sur les visages.

Maintenant je sais que deux avocats peuvent être amis et pourtant plaider l’un contre l’autre en défendant au mieux les intérêts de leurs clients respectifs. Leurs intelligences s’affrontent à travers le développement de leurs arguments, et de leur persuasion. Ils n’en restent pas moins amis « en dehors du travail ».

Mais sur leur lieu de travail, sachant que leurs clients les imaginent sur un ring, eux qui sont sur le grill, j’ai le sentiment qu’ils n’auraient pas du faire preuve de cette familiarité.

D’où le malaise autour de moi.

J’ai retenu la leçon pour mes expertises. Lorsque je connais bien un avocat apparaissant dans l’un de mes dossiers, lors de la réunion avec les parties je fais comme si je ne l’avais jamais vu, et ne lui réserve aucun accueil particulier, qui pourrait passer pour un traitement de faveur. Et je ne mange pas avec les avocats des parties. Et si je connais bien l’une des parties (le monde est petit), par exemple comme client ou fournisseur de l’entreprise où j’ai un vrai métier, je refuse le dossier à cause d’un conflit d’intérêt.

En expertise, je ne rigole pas souvent en fait.

Lors d’une expertise, la première de mes missions était de venir prendre au tribunal deux ordinateurs mis sous scellés. En général, il me sont amené par des policiers ou des gendarmes, mais parfois le magistrat me demande de venir les chercher.

Une fois sur place, la greffière me dit : « Ah oui, mais le responsable des scellés est en vacances. Il va falloir que vous m’accompagniez pour aller les chercher. Et comme je ne sais pas trop ni où, ni comment ils sont rangés, cela peut nous demander un petit moment… »

J’avais fait 40 km pour arriver au tribunal, je n’allais pas faire la fine bouche et repartir les mains vides. Et puis, quand c’est demandé avec le sourire…

Nous voici donc partis à travers le dédale du tribunal, passant de couloir en couloir, montant d’un étage pour en redescendre deux, pour finir enfin par sortir par l’arrière et nous retrouver face à une gigantesque porte en bois d’un autre âge.

La greffière sort de son sac une clef comme on n’en voit que dans les films (vous savez, LA clef de la ville), la place dans la serrure et la tourne à deux mains. Nous entrons dans une salle sombre. Une fois les yeux habitués à la faible lumière issue de la seule lampe accrochée au plafond, je regarde autour de moi : je venais d’entrer dans le saint des saints, Le Lieu Interdit Au Public. Je venais aussi de faire un bon d’un ou deux siècles en arrière !

Des dizaines de fusils emballés dans des plastiques transparents tous évidemment munis de l’étiquette marron habituelle que l’on trouve sur tous les scellés (l’État doit avoir fabriqué au 19e siècle une quantité incroyable de ces étiquettes pour qu’elles aient toutes cet air suranné…)

Des couteaux, dont certains semblaient encore couverts de tâches sombres… Des épées, des cannes, des lampes, des manteaux, des postes de radio, des paquets, beaucoup de paquets ficelés (vous savez, cette ficelle grossière qui ressemble à de la paille)… Partout, du sol au plafond, serrés sur des étagères en bois d’une autre époque. J’avais l’impression d’être dans un Simenon. Je m’attendais à voir surgir le commissaire Maigret derrière une étagère.

J’étais en train de vérifier si je ne détectais pas l’odeur de la pipe du commissaire quand la greffière me sortit de ma fascination : « Bon, Monsieur l’expert, il faut trouver dans ce bazar, deux ordinateurs sous scellés numéro XZ65… Je commence par la gauche et vous par la droite. »

Mon rêve de gamin devenait réalité : fouiller la caverne d’Ali Baba !!!

Pendant une demi heure nous avons exploré (sans déranger) ce chaos ordonné, ce bazar étiqueté. J’ai touché du doigt des affaires criminelles terribles (terribles dans ma tête bien sur), des objets chargés d’histoires horribles. Des ombres terrifiantes régnaient sur ce lieu et visiblement je n’étais pas le bienvenu. Je sens encore l’odeur de poussière et de vieux papiers, comme dans un vieux grenier.

C’est la greffière qui a trouvé les ordinateurs.

Ils faisaient un peu tâches dans ce lieu d’un autre âge.

Depuis, je suis retourné souvent dans cette salle, mais jamais plus je n’ai retrouvé les sensations de cette première fois.

Dans une affaire de pédophilie (encore une !), le magistrat instructeur me demandait, entre autres choses, de « fournir la liste de toutes les adresses emails présentes sur le disque dur objet du scellé n°N. »

Une fois en possession du scellé, et muni de mes outils opensource d’investigations, j’obtiens au bout de quelques heures de recherches, une longue liste d’emails que je commence à parcourir, et très vite, je remarque qu’un nom de domaine revient très souvent.

Et là, mon sang se glace : le nom de domaine correspond à celui d’un hôpital ! Des médecins impliqués dans un réseau pédophile !!!

On dit souvent aux experts de remplir leur mission, toute leur mission, rien que leur mission. Strictement parlant, j’avais terminé cette mission, car je pouvais fournir une liste de tous les emails trouvés sur ce scellé.

Mais je ne pouvais pas m’arrêter là, et j’ai commencé à écrire sur une feuille qui écrit à qui. Comme la liste des emails était assez longue, ma feuille a commencé à ne plus ressembler à rien. J’ai eu alors l’idée d’utiliser un tableur. J’ai construit ce que l’on appelle en mathématique une matrice d’adjacence, ce qui permet de représenter un graphe orienté (qui écrit à qui). Ça m’a pris tout un week-end.

J’ai ensuite appliqué un peu de théorie des graphes (merci internet) : l’algorithme Weakly Connected Components (WCC) qui permet de trouver les sous graphes distincts dans un graphe.

Et là, j’ai découvert DEUX ensembles disjoints de correspondances ! En poussant un peu plus loin l’analyse jusqu’au contenu des emails, il y avait d’un côté, un ensemble de personnes qui s’écrivent, avec certains courriers à thème pédophile, de l’autre un ensemble d’emails qui relatent plutôt des faits médicaux.

J’ai donc poussée encore un peu plus loin en regardant les dates des fichiers présents et effacés du disque dur. Après analyse (et aidé par la gendarmerie), il s’est avéré que l’ordinateur avait commencé sa carrière au sein d’un hôpital, avant d’être vendu d’occasion pour finir dans les mains d’un pédophile. Les données effacées AVANT la vente étaient toujours présentes sur le disque dur mal effacé.

J’avais failli inscrire dans mon rapport des personnes complètement étrangères à cette affaire !

« La mission, rien que la mission, toute la mission. » Me répétait mon vieux guide d’expertise… Oui mais ! Je n’étais pas très chaud pour impliquer des personnes dont le seul tort était d’avoir leur email encore présent sur un disque dur mal effacé…

J’ai alors contacté le magistrat instructeur pour avis. Celui-ci m’a laissé le choix entre « La mission, rien que la mission, toute la mission » ou « mouillez vous un peu et faites un pré-tri ».

J’ai donc un peu mouillé ma chemise et je n’ai fait mention que des emails du réseau pédophile.

Mais quand j’y repense aujourd’hui, j’ai toujours un peu froid dans le dos.
Des restes de transpiration sans doute.

Lorsqu’un magistrat me donne comme mission d’analyser le contenu d’un ordinateur mis sous scellé pour y détecter la présence éventuelle de films et photos pédopornographiques, je sais que la tâche va être difficile. D’une part, parce qu’il va falloir extraire toutes les images et vidéos du disque dur, y compris celles qui sont effacées et celles partiellement récupérables, mais aussi parce qu’il va falloir regarder des centaines de milliers d’images et de films pour en déterminer le caractères pédopornographiques.

Avant d’extraire les données d’une copie du disque dur, je prends toujours quelques minutes pour me promener sur le disque dur en ayant démarré l’image en lecture seule sur une machine virtuelle. Cela me permet de mieux comprendre l’organisation des rangements des données sur le disque, et de commencer à me faire une idée de la difficulté de la mission : y a-t-il des logiciels de stéganographies, des outils de chiffrement, l’ordinateur est-il « bizarrement » vide, etc.

Dans cette affaire, je suis tombé sur un répertoire intitulé « print screens » contenant environ 5000 photos. Je regarde quelques unes de ces photos, ainsi que les dates de création des images: il s’agit de photos d’écran.

Sur l’ordinateur était installé un logiciel de copie d’écran automatique : une photo de l’écran était prise toutes les 10 minutes et copiée dans ce répertoire ! Je n’ai pas su dire si le logiciel avait été volontairement installé par le propriétaire du logiciel, ou par un tiers, mais le fait est que toutes les sessions du compte unique configuré sur l’ordinateur était photographiées toutes les 10mn depuis un certain temps.

J’ai ainsi pu, sans me fatiguer et de façon assez détaillée, avoir une idée de l’utilisation de cet ordinateur : les contenus des cédéroms qui ont été gravés, les impressions, les mails échangés, etc. Un slowmotion basé sur une prise toutes les 10mn…

Et effectivement, cela m’a appris beaucoup de choses sur l’utilisateur principal de l’ordinateur, confirmées par les extractions de données effectuées ensuite.

« Sale affaire, du sexe et du crime », jouait Yolande Moreau dans les années 80.
Rien n’a changé.

Je ne suis pas très friand de mondanités et j’arrive à échapper à presque toutes les rencontres informelles entre experts de justice et magistrats. Je n’aime pas l’idée de me mettre en valeur pour me vendre, et les conversations sont souvent monopolisées par quelques égos inopportuns.

Pour autant, il m’est arrivé de me retrouver invité à une audience solennelle où un confrère a eu l’idée curieuse de me présenter au nouveau magistrat instructeur. Pensant échanger quelques banalités pendant cinq minutes, je fus surpris lorsqu’il me demanda « Bon, qu’est-ce que vous savez faire? ».

Moi: « Heu, ben, heu, je sais extraire des informations d’un disque dur… »

Lui: « Oui, certes, mais qu’est-ce que vous savez faire d’extraordinaire? »

Moi: « Ben, en fait, rien d’extraordinaire. Je connais bien les procédures, je connais bien l’informatique, mais je ne vois rien de particulièrement extraordinaire à raconter. »

Lui: « Ah bon? Là d’où je viens, je travaillais avec un expert capable de faire parler les imprimantes »

Moi: « Ah, ça !
Oui, cela va dépendre du modèle et du contexte mais il ne devrait pas y avoir de problème. »

Et me voilà parti dans un exposé général sur la technologie des imprimantes, où j’explique que j’ai déjà eu à démonter une vieille imprimante pour y chercher un composant de stockage. J’ai parlé des photocopieurs/imprimantes en expliquant comment récupérer les dernières impressions stockées sur le disque dur interne du photocopieur.

Parfois les données sont chiffrées par le constructeur, il faut alors le contacter pour pouvoir récupérer les informations.

Pour les imprimantes des particuliers, le plus simple reste d’analyser le contenu du disque dur des ordinateurs qui conservent trace des fichiers générés lors des impressions. Il « suffit » de disposer des logiciels analysant les différents langages d’impression utilisés par les constructeurs d’imprimante.

Le magistrat m’écoute attentivement, puis me dit d’un regard amusé :
« un grand pouvoir donne une grande responsabilité… »

Je n’ai jamais su s’il faisait référence à Winston Churchil ou à Spider-Man. Ni s’il évoquait l’intrusion dans le monde du secret, du confidentiel, de la vie privée. Ou s’il se moquait gentiment de moi.

Mais depuis, quand je passe près d’une imprimante, je pense « toi, si tu pouvais parler, qu’est-ce que tu pourrais raconter? »

Et parfois, cela me fait peur.