Le dernier soutier

Ce billet est écrit dans le respect des recommandations du procureur de la République concernant ce blog suite à l’affaire Zythom.

Ceci est une histoire vraie. Ces événements ont eu lieu en France au 21e siècle. À la demande des survivants, les noms ont été changés. Par respect pour les morts, le reste est décrit exactement comme cela s’est déroulé (ref).

Dans ce dossier d’assurance en rapport avec un ransomware ayant bloqué pendant plusieurs mois l’entreprise, me voici en réunion d’expertise face au directeur général, au DSI, au représentant de l’assureur et aux avocats mandatés par chaque partie pour représenter leurs intérêts.

Comme souvent, la réunion démarre par un état des lieux basés sur tous les documents échangés entre les parties. C’est assez laborieux, mais c’est la base : il faut étudier les pièces, et le faire de manière contradictoire, c’est-à-dire devant toutes les parties concernées. L’entreprise est de taille moyenne, avec environ 2000 ordinateurs répartis sur plusieurs sites français. On me présente des diagrammes relatifs aux investissements informatiques, l’état du parc de machines, les liens réseaux entre les sites, entre le siège et les usines, la collecte d’information, les projets, la migration en cours vers le cloud…

La journée se déroule sans accroc notable et lorsque les pièces ont été présentées et discutées, je demande à ce que les sachants techniques soient auditionnés. C’est toujours un moment délicat car très impressionnant pour les personnes dont je demande l’avis et qui ne sont pas au courant…

Je demande à entendre le responsable du service qui gère les postes de travail. Celui-ci m’explique le fonctionnement général de son périmètre : les ordinateurs sont gérés avec un logiciel de gestion de parc, qui inventorie beaucoup d’informations, dont en particulier l’état des mises à jour. Il me parle de la mastérisation des postes. Il me décrit la politique de déploiement des mises à jour qui consiste à allumer les ordinateurs à distance la nuit pour leur faire appliquer les différentes mises à jour, les faire redémarrer une fois, par principe, les éteindre ensuite par soucis d’économie d’énergie. Les salariés sont habitués à cette procédure et ont comme consigne d’éteindre leur ordinateur tous les soirs.

Le responsable précise en fin d’intervention, que le processus de mise à jour est géré in fine par l’équipe réseau qui est la seule à pouvoir allumer les ordinateurs la nuit par une procédure complexe liée à la segmentation réseau. Je lui demande si son équipe vérifie bien à chaque fois que les mises à jour sont correctement appliquées sur tous les postes, et s’il dispose d’un indicateur de suivi. Il m’informe que c’est l’équipe réseau qui suit tout cela. J’insiste en lui demandant qui est responsable du maintien en condition opérationnelle des ordinateurs de l’entreprise, et je sens un flottement dans la salle : « oui, c’est moi, mais c’est l’équipe réseau qui sait faire les mises à jour de manière centralisée ».

Je surprend un échange de regards entre le directeur général et le DSI qui commence à transpirer un peu. Je demande à voir le responsable de l’équipe réseau.

Le DSI me répond alors : « Alors, heu, il y a eu un petit problème au sein de l’équipe réseau, quelques mois avant la cyberattaque… Comment dire, oui, un problème de relation humaine. Le responsable de l’équipe réseau est parti brutalement, en abandonnant son poste… »

Je demande s’il a été remplacé, ou s’il a un adjoint que je pourrais interroger.
Le DSI : « Alors, oui, il y a bien quelqu’un, mais… Bon, je vais le faire appeler… »

C’est alors qu’entre dans la pièce un jeune un peu pâle, intimidé par les regards qui se posent sur lui. Je le fais asseoir près de moi, et lui demande de se présenter.

« Bonbonjour, je m’appelle Antoine. Quand Monsieur Jérôme est parti, il a emmené toute l’équipe avec lui, et j’ai dû gérer les parefeux et les routeurs de l’entreprise, renouveler les contrats des fibres noires et des accès internets, modifier les règles BGP, les exceptions, les changements, les mises à jour de firmwares, les configurations et les différentes mises à jour. Puis le ransomware a explosé toute l’organisation et j’ai été mobilisé comme tout le monde sur la gestion de crise et la remise en état des ordinateurs… »

Moi : « Mais vous êtes tout seul ? Vous avez quel âge ? »
Lui : « J’ai 23 ans, je suis en dernière année de formation par alternance. »

Tout le fonctionnement du réseau informatique de l’entreprise ne reposait plus que sur une personne, excellente par ailleurs. Un geek très compétent et impliqué dans son travail. Mais cette personne ne savait pas qu’elle devait également s’occuper de la mise à jour des ordinateurs de l’entreprise. Elle ne savait pas non plus que le démarrage nocturne des ordinateurs ne fonctionnait plus, que l’état des mises à jour montrait que les postes n’étaient plus à jour depuis plusieurs mois, ni qu’un pirate avait un pied dans l’entreprise grâce à un phishing réussi…

Toute l’entreprise tournait grâce à une personne qui faisait ce qu’elle pouvait.

Le dernier soutier.

Je lui ai demandé s’il avait déjà visité le Nebraska, il m’a répondu que non. Personne n’a compris ma question, mais personne n’a insisté.

Source Xkcd https://xkcd.com/2347/

Toutes blessent, la dernière tue

Dans ce dossier d’expertise judiciaire, la mission donnée par le magistrat contenait une exigence classique : il me fallait horodater avec précision les évènements. L’effraction de la porte d’entrée, les accès à l’entrepôt et le vol du matériel informatique.

Me voilà donc sur les lieux des faits, plusieurs mois après. Non pas que mes diligences soient poussives, mais les moyens de l’administration judiciaire étant ce qu’ils sont, ma désignation en tant qu’expert avait été faite plusieurs mois après le vol.

Il y avait beaucoup à faire, et la journée se déroule à pas de charge, quand vient sur le tapis les moyens de preuve concernant les heures (et date) des faits.

Premier moyen: la vidéosurveillance.

Me voici à visionner une copie des vidéos de vidéosurveillance, avec les dates et heures inscrites sur la vidéo. Je demande comment ces dates et heures sont obtenues. Silence autour de la table. Je demande si le système est relié à une horloge externe fiable… Je demande si les changements d’heures sont pris en compte, si l’heure affichée est bien UTC+01:00… Silence. Je suggère qu’une personne appelle l’entreprise en charge du système de vidéosurveillance, et l’on me répond que le contrat de support n’a pas été reconduit. Je demande l’accès direct au système en place (et non pas à une copie) pour mener les investigations moi-même.
Le système n’est pas synchronisé avec une source fiable et dérive dans le temps…

Deuxième moyen : les logs de connexions

Parmi le matériel volé, deux ordinateurs étaient des machines utilisées par les salariés de l’entrepôt, et donc discutaient avec le serveur central. Je m’intéresse donc à la date d’arrêt de ces discussions, ce qui me permettrai de donner avec une bonne précision le moment du vol. Nous voilà donc à la recherche des logs.
Hélas, l’effacement automatique des logs a fait disparaître les informations qui m’intéressent…

Troisième moyen : les sauvegardes du serveur des logs de connexions

Quand il n’est pas possible d’accéder à un fichier car il a été effacé, il est souvent intéressant d’aller regarder dans les sauvegardes d’icelui, y compris pour les logs systèmes.
Mais l’administrateur informatique avait exclu la sauvegarde des logs, car ceux-ci prenaient trop de place sur le système de sauvegarde.

Quatrième moyen : le demi tour

Lorsque l’on fait du parachutisme, une fois le parachute ouvert correctement, il faut regarder en bas pour trouver la zone prévue d’atterrissage. Si l’on ne la trouve pas, la règle d’or est qu’elle est derrière nous, et il suffit de faire un demi tour sur soi-même pour pouvoir la trouver. J’ai souvent pu appliquer cette règle dans la vie de tous les jours : quand on ne trouve pas de solution, il faut réfléchir autrement, en faisant un demi tour mental.

En visitant le local technique où se trouvent les serveurs et switchs de l’entrepôt, j’ai remarqué un onduleur électrique géré par le service technique. Un onduleur est un appareil assez simple, qui contient des batteries et permet d’assurer le maintien de l’alimentation électrique en cas de coupure de courant. Les onduleurs professionnels embarquent un petit ordinateur qui peut parfois être administré à distance. Cet ordinateur est donc potentiellement relié à internet et à un serveur de temps. Il note également scrupuleusement les évènements, et en particulier les coupures de courant.

Les cambrioleurs ayant coupé le courant avant leur effraction, l’onduleur avait noté l’heure exacte de la coupure. Une fois effectuées la vérification du fuseau horaire de l’onduleur, la conversion dans le fuseau horaire de la France métropolitaine, et la vérification de la bonne synchronisation avec le serveur de temps, j’ai pu avoir avec une bonne précision le moment de l’effraction.

Et remplir avec précision cette partie de ma mission

« Vulnerant omnes ultima necat. Toutes blessent, la dernière tue. Il s’agit des heures, évidemment. C’est écrit dans le marbre, ou sur la pierre, sous les cadrans solaires. Comme tout ce qui est gravé en latin, la formule s’impose, et semble d’autant plus vraie qu’elle intime l’humilité, paraît indiscutable en vertu même de sa sévérité – les hommes croient toujours aux messages qui leur disent qu’ils ne sont que poussière. » — (Philippe Delerm, La vie en relief, Seuil, 2021, page 222)

L’expertise à voile

Cette expertise s’annonçait particulière, comme à chaque fois devrais-je dire. Il s’agissait une perquisition, ce que je n’aime guère, mais avec une particularité : le mis en cause habite sur un voilier. Je regarde les quelques informations qui me sont fournies dans l’extrait de dossier que l’on m’a adressé : aïe, la personne est un informaticien. Techniquement, cela signifie que le niveau de difficulté risque d’être plus élevé.

Le jour J, j’arrive à l’heure au rendez-vous pris avec la maréchaussée (sans jeu de mot) dans ce petit port. Tout est calme et silencieux, à part le vent qui fait vibrer toutes les drisses et balancines contre les mâts, à part bien sûr les raillements des goélands et les rires des mouettes. Bref, on ne s’entend plus parler à voix basse…

Nous voici tous serrés dans cette petite cabine de voilier, auprès de laquelle une coquette studette parisienne semble être un luxueux palace. Le chef des gendarmes fait assez justement remarquer que compte tenu de la coopération du mis en cause, il n’est peut-être pas nécessaire de tous rester dans la cabine, et me voici donc à accomplir ma mission sous l’œil attentif de l’habitant des lieux, et celui de l’OPJ qui suit scrupuleusement les opérations.

La mission ? Trouver tous les éléments, sur tous supports, permettant d’être utile à la manifestation de la vérité (voir détails dans le dossier).

Les voileux savent qu’une cabine, toute petite qu’elle soit, contient un grand nombre de rangements, de coins et de recoins. Me voici donc à la recherche de tous les supports, papiers et électroniques, susceptibles de contenir une information intéressant le juge d’instruction. C’est une fouille que je n’aime guère tant elle consiste à entrer dans l’intimité des gens.

J’essaye de ne pas déranger l’ordre des rangements, ni de déballer outrageusement la vie privée du mis en cause. Je fouille les différents tiroirs et caissons, et m’intéresse plus particulièrement à l’ordinateur, au téléphone, au disque dur externe et aux clefs USB.

Je ne trouve aucune donnée concernant l’enquête, ni aucune donnée manifestement illégales.

Je m’approche du système de navigation du voilier et je m’intéresse un peu au GPS marin. Je demande alors au mis en cause : vous avez des cartes marines numériques ? Sa réponse est un peu hésitante et confuse. Je regarde alors le GPS et en extrais une carte SD que j’examine sur mon ordinateur portable d’expertise. RAS, mais je fais une copie bit à bit de la carte SD que j’analyse aussitôt avec l’excellent logiciel PhotoRec. Et là bingo : des données effacées s’avèrent très intéressantes. La carte SD avait servi dans un appareil photo, et comme outil de transfert entre deux ordinateurs.

J’ai ainsi pu vérifier in extremis le principe de l’échange de Locard, qui veut qu’on laisse toujours une trace de son passage.

Note : ce billet respecte les recommandations du procureur de la République au sujet de la confidentialité des dossiers d’expertise.

La revue Next INpact vit ses derniers instants sauf si

Parmi les rares abonnements payants auxquels j’ai souscrits, celui de Next INpact arrive loin devant : c’est pour moi une revue tenue par des journalistes spécialisés de très haut niveau et particulièrement compétents. C’est aussi la seule revue dont je lis les commentaires publiés sous les articles, car les abonnés partagent une passion commune, celle de l’informatique.

Si j’écris ce billet, c’est parce qu’après 23 années d’existence, la revue risque de disparaître, et que j’ai la chance de pouvoir atteindre quelques milliers d’internautes à travers ce blog, non seulement pour vous encourager à vous abonner à cette revue qui ne vous imposera aucune publicité, mais surtout pour aller voir les financiers de votre entreprise et leur parler de mécénat et défiscalisation :

Nous pouvons être sauvés grâce au soutien des acteurs du numérique, à l’aide de mécénats défiscalisables – le mécénat d’entreprises ouvrant droit à une réduction d’impôt égale à 60 % du montant du don (IR ou IS) dans la limite de 0,5 % du chiffre d’affaires ou 20 000 euros maximum en cas de dépassement de cette limite.
Je reste convaincu que certains souhaiteraient que nous poursuivions notre aventure aussi longtemps que possible. Une fois que la société INpact mediagroup sera fermée, il ne sera plus possible de revenir en arrière. Si vous souhaitez nous aider, c’est maintenant ou jamais.

Si vous connaissez Bernard Arnaud (ou son conseiller fiscal), ou si vous travaillez dans une entreprise du numérique capable de comprendre les enjeux autour de cette formidable équipe, ne tardez pas.

SPIP et la récidive

Le billet précédent intitulé « Du côté du pédophile » m’a valu une avalanche de messages plus ou moins bienveillants, certains internautes n’ayant lu que le titre du billet et d’autres ne supportant pas qu’une personne soupçonnée de pédopornographie puisse être défendue, et encore moins relaxée au bénéfice du doute.

N’écoutez pas l’opinion publique qui frappe à la porte de cette salle. Elle est une prostituée qui tire le juge par la manche, il faut la chasser de nos prétoires, car, lorsqu’elle entre par une porte, la justice sort par l’autre.

Extrait de la plaidoirie de Me Paul Lombard, avocat de Christian Ranucci, devant la Cour d’assises des Bouches-du-Rhône

Et parmi ce déluge de haine, un message de lumière, du type de ceux qui redonnent espoir en la nature humaine : un message d’un agent du SPIP.

Dans mon parcours personnel, Spip a d’abord désigné le petit écureuil sauvé par Spirou dans L’Héritage de Bill Money, puis après ma rencontre avec l’avocate qui illumine ma vie, le Service Pénitentiaire d’Insertion et de Probation, et enfin le fameux Système de Publication pour l’Internet dont la mascotte est également un écureuil.

Voici donc un extrait du message que m’a envoyé un membre du SPIP qui m’a autorisé à le reproduire ici :

Réaction à votre dernier billet

Pour situer ma question, je travaille désormais pour le service pénitentiaire d’insertion et de probation. A ce titre, il m’est arrivé d’accompagner des personnes condamnées pour détention d’images pédopornographiques. L’un de nos objectifs est de prévenir la récidive.

Le suivi, en milieu pénitentiaire ou à l’extérieur, articule plusieurs démarches, en fonction du profil de l’individu. Le principe est le suivant : j’étudie la situation de l’usager, et nous identifions un ou plusieurs éléments dont la résolution permettrait de diminuer la probabilité d’une récidive. Pour les délinquants sexuels, le travail sur les faits est une des modalités du suivi, et il peut être crucial.

Dans le cas précis de la détention d’images pédopornographiques, plusieurs personnes condamnées adoptent un discours fréquemment similaire sur le contexte de commission de l’infraction.

Elles indiquent qu’elles fréquentaient des sites pornographiques "classiques", téléchargeaient des fichiers vidéo et, d’un site à l’autre, se sont retrouvées sur des sites internet qui auraient téléchargé automatiquement des fichiers interdits sur leur disque dur de manière involontaire ; elles ne reconnaissent pas les avoir recherchés, ni avoir souhaité les charger sur leur disque dur.

Leur propos sonne fort improbable aux oreilles des professionnels ; il ressemble à une tentative plus ou moins assumée de se dédouaner ; je crois aussi que certains se convainquent d’une histoire qui leur permet de s’arranger avec leur culpabilité reconnue.
De ce fait, il est important pour le professionnel de reconnaître la part de vraisemblance de ce discours.

Concrètement, mes questions sont les suivantes :

- Est-il possible que des fichiers illégaux soient téléchargés par l’utilisateur d’un site pornographique « classique », à son insu ou, en tout cas, de manière indésirable ?
- Cet aspect volontaire du téléchargement est-il discernable à l’expertise ?
- Cet aspect volontaire fait-il systématiquement partie des questions posées à l’expert dans les ordonnances de commission ?
- Dans le cas contraire, quand vous répondiez à votre mission d’expert, apportiez-vous une information sur cet aspect, en considérant par exemple qu’il s’agissait d’une notion couverte par les « éléments permettant la manifestation de la vérité » ?

1) Est-il possible que des fichiers illégaux soient téléchargés par l’utilisateur d’un site pornographique « classique », à son insu ou, en tout cas, de manière indésirable ?

Avant de répondre à cette question, je précise que la personne autrice du message a précisé pourquoi elle utilisait l’expression site pornographique « classique » : Il me semble que les exploitants de ces sites pornographiques « classiques » ne sont pas forcément respectueux des règles de la propriété intellectuelle, ni même des personnes qui y apparaissent, ce qui me pousse à employer cet adjectif plutôt que « légal », qui me paraît inapproprié.

Le fonctionnement usuel d’un navigateur internet met en jeu un système de plusieurs caches, dont l’un se trouve sur l’ordinateur de l’internaute. Surfer sur internet revient donc à télécharger sur son ordinateur des images, des vidéos et différents fichiers textes, le tout stocké en mémoire vive de l’ordinateur et également dans le cache du navigateur, ce qui fait le régal des experts qui analysent son contenu lorsque la machine est entre leurs mains.

Il est donc parfaitement possible qu’un internaute télécharge des fichiers à son insu, l’exemple le plus fréquent étant le pixel espion utilisé dans les technologies de pistage.

Beaucoup de sites pornographiques sont financés par de la publicité, et lorsque celle-ci s’ouvre dans de multiples fenêtres ou différents bandeaux plus ou moins attendus par l’internaute, il n’est pas rare que certaines images, images animées ou vidéos se retrouvent dans le cache du navigateur. Et parmi ces éléments non sollicités se glissent parfois des scènes non conformes à la législation, ou qui y ressemblent fortement.

Je voudrais aussi souligner que la notion de « fichiers illégaux » relève de l’appréciation d’un magistrat, et qu’il n’est pas toujours facile de savoir faire cette distinction. Je détaille ma manière de faire dans le billet intitulé « Images pédophiles« . Je voudrais ainsi citer deux extraits de l’article 227-23 du code de procédure pénale :

« Le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende.« 
Ainsi certains mangas qui sont légaux au Japon sont illégaux en France s’ils représentent un dessin de mineur en situation pornographique.

« Les dispositions du présent article sont également applicables aux images pornographiques d’une personne dont l’aspect physique est celui d’un mineur, sauf s’il est établi que cette personne était âgée de dix-huit ans au jour de la fixation ou de l’enregistrement de son image.« 
Plusieurs sites pornographiques « classiques » disposent d’une rubrique dédiée aux scènes intégrant des personnes ayant les attributs d’une certaine jeunesse (couettes, absence de pilosité, sucette…). Cette rubrique peut donc contenir des vidéos tombant sous le coup de la loi.

2) Cet aspect volontaire du téléchargement est-il discernable à l’expertise ?

Non, sauf si l’internaute doit valider un test « prouvant » son humanité, souvent un test de type « CAPTCHA », acronyme de l’anglais « Completely Automated Public Turing test to tell Computers and Humans Apart », soit en français « Test public de Turing entièrement automatisé pour distinguer les ordinateurs des humains ».

Il n’est pas possible de discerner un téléchargement volontaire d’un téléchargement réalisé par un malware. Il n’est pas non plus possible en général de discerner un téléchargement réalisé par le propriétaire de la machine, de celui d’une personne tierce utilisant le compte du propriétaire de la machine. C’est d’ailleurs pourquoi sur ce dernier point, l’autorité de régulation de la communication audiovisuelle et numérique (ARCOM = Hadopi+CSA) poursuit le propriétaire de l’abonnement internet « pour défaut de sécurisation » lors du téléchargement illégal d’un film ou d’une musique (et non pas celui qui a effectué le téléchargement).

3) Cet aspect volontaire fait-il systématiquement partie des questions posées à l’expert dans les ordonnances de commission ?

Non, c’est même très rare.

4) Dans le cas contraire, quand vous répondiez à votre mission d’expert, apportiez-vous une information sur cet aspect, en considérant par exemple qu’il s’agissait d’une notion couverte par les « éléments permettant la manifestation de la vérité » ?

Oui, et je rappelle ces points dans le billet intitulé « Pédophilie et malware » que je vous invite à lire in extenso. Extrait :

Oui, le cadre de l’expertise judiciaire est très précisément fixé par le magistrat qui me désigne.
Oui, j’effectue toujours une recherche des virus et malware sur les scellés qui me sont confiés, alors que cela ne m’est pas demandé.
Oui, dans mon rapport, je n’écris pas “le suspect a téléchargé tel ou tel film pédopornographique”, mais j’écris “j’ai trouvé sur le scellé tel ou tel film pédopornographique”, en expliquant que je ne peux pas savoir qui manipule l’ordinateur.
Oui, et pas seulement parce que c’est ma nature, je vis dans l’angoisse de passer à côté d’un piratage particulièrement bien camouflé, et de subir ce que cet expert du passé a subi.

Je voudrais aussi citer un autre de mes billets intitulé « Ad nauseam » :

Je suis informaticien.
Je suis expert judiciaire inscrit dans cette spécialité.
Le magistrat qui me désigne le sait et me fixe une mission précise, technique.
On ne me demande pas mes opinions en matière de sexe.
On ne me demande pas de faire de la psychologie de comptoir en décidant ce qui est normal ou pas.
Quand j’ai un doute, ou que je me sens mal à l’aise, je ne dois pas me contenter de dire: je mets en annexe, les autres feront le tri. Il faut décider ce qui relève de la mission. Il faut décider ce qui relève de la dénonciation de crime.
Le reste, c’est la vie privée.
Et parfois, c’est dur de faire les choix, quand on sait qu’on peut briser une vie.
Mais briser la vie de qui? Celle de l’utilisateur du disque dur? Celle de sa prochaine victime s’il y en a une? La mienne?

Enfin voici également un extrait du billet intitulé « Cave ne ante ullas catapultas » (ie si j’étais vous, je ne marcherais pas devant une catapulte) :

Ma vision personnelle des missions est qu’il faut savoir y lire “l’esprit de la mission”. Personne ne m’a demandé dans cette expertise de savoir si oui ou non l’ordinateur qui m’a été confié appartient sans le savoir à un réseau de stockage distribué. Une sorte d’Amazone S3 version bad boys. Mais imaginez un peu la scène si c’était vrai, si un ordinateur contaminé, non content d’être dans un botnet pour spammer le monde entier, était utilisé pour stocker des données forcément compromettantes, comme par exemples des images pédopornographiques.

Dois-je, en ma conscience, dire au magistrat: “mais je n’ai pas regardé car vous ne me l’avez pas demandé”? Non. Mais dans ce cas, le travail est gigantesque: il faut analyser le code de chaque virus, de chaque ver, de chaque cheval de Troie pour savoir ce qu’il cherche à faire en s’étant implanté sur cet ordinateur… Et cela prend du temps, beaucoup de temps…

Alors, pour rester dans une fourchette de temps raisonnable (j’ai également une date limite pour réaliser une expertise judiciaire), je procède de la façon suivante: j’utilise plusieurs antivirus, je note toutes les détections faites lors des analyses (nom du programme malveillant, nom du fichier infecté), et je me renseigne sur les sites des éditeurs d’antivirus sur l’activité de chaque programme malveillant détecté. Et comme chaque éditeur utilise une terminologie différente, cela prend encore plus de temps.

Je compile tout cela pour le magistrat, afin de donner mon avis à cette question qu’il ne m’a pas posée: l’utilisateur est-il responsable de l’arrivée sur cette machine des fichiers illégaux que j’y ai trouvés.

Et parfois, ce n’est pas facile d’y répondre.
Un conseil: installez un bon antivirus.

Enfin, n’oubliez jamais que la science est le domaine du doute. Dans le billet intitulé « L’éternel voyage de la science« , je rappelle les malheurs du Professeur Tardieu, expert judiciaire, qui a fait condamner nombre d’innocents, et la conclusion du billet :

Il en sera toujours ainsi. Si savant soit-il, un savant ne peut savoir que tout ce qui se sait à son époque. Il s’en rend compte et, devant la justice, il emploie volontiers cette formule de haute modestie: “Dans l’état actuel de la science, je crois pouvoir affirmer telle ou telle chose”. Mais de cette réserve philosophique nul ne tient compte.
“Voilà ce qui me paraît être la vérité”, dit le savant.
“Voilà la certitude”, traduit la foule ignorante, oublieuse de “l’éternel voyage” de la science.

Je frémis à l’idée qu’un de mes scellés fasse sonner un antivirus d’aujourd’hui, alors qu’aucun des antivirus utilisés à l’époque de l’expertise ne détectait la présence d’un malware, inconnu alors.

J’espère avoir répondu à vos questions et que mes réponses vous aideront dans votre travail et serviront la cause de la Justice.

Du côté du pédophile

Allo, bonjour Monsieur l’expert, Maître McKie à l’appareil. Je vous appelle pour une expertise privée.

Bonjour Maître.
Vous savez que je ne suis plus inscrit sur la liste des experts judiciaires ?

Oui, oui, mais vous m’avez été chaudement recommandé par un confrère avec qui vous avez travaillé et qui m’a dit beaucoup de bien de vous…

Mmmm, pouvez-vous m’en dire plus sur cette mission que vous souhaitez me confier ?

Alors, je pense que c’est assez simple pour un homme de l’art, mais c’est un peu du chinois pour moi au niveau technique : mon client est poursuivi pour téléchargement illégal. Ses ordinateurs ont été saisis et les enquêteurs ont trouvé des traces dessus. Mais il conteste le fait que ce soit lui qui les ait téléchargés, ni quiconque de son entourage familial.

Mmmm, pourriez-vous préciser le type de téléchargement illégal ?

Mon client est poursuivi pour téléchargement de films et photographies pédopornographiques.

Vous voulez que je disculpe un pédophile ?

Un homme accusé de pédophilie, Monsieur l’expert, mais présumé innocent.

Pendant des années, je suis intervenu comme expert judiciaire dans des dossiers de recherche de films et d’images pédopornographiques. J’en ai trié des milliers, des dizaines de milliers, des centaines de milliers. Je pleurais la nuit devant mon ordinateur en classant les images et les films par âge des victimes, en les cataloguant par thème, par pose, par acte… Mais j’étais désigné par un magistrat pour une mission précise : cet ordinateur contient-il des films ou des images pédopornographiques ? Si oui, les extraire sur un support de stockage.

Le magistrat m’autorisait à accéder au scellé, et me fournissait les quelques pièces du dossier nécessaires à mes investigations. Je faisais un travail scientifique d’investigation le plus précis possible sachant que la vie d’autres personnes pouvait en dépendre. Mais une fois mon rapport déposé, le scellé reconstitué et rendu, je n’avais plus affaire à la justice, ni accès au dossier, ni même des informations sur les suites données à mon travail.

Dans le cas d’une expertise privée, la situation est très différente : je travaille au côté d’un avocat, j’ai accès à tout le dossier auquel il a accès, et je rencontre et je discute avec son client.

Disculper un pédophile, jamais.

Un homme accusé de pédophilie, mais présumé innocent.

Je me souviens alors de ce que m’a dit un jour mon épouse, Avocate : tout être humain a droit à une juste peine. Pour cela, il doit être défendu devant ses juges par un avocat qui va présenter la part d’humanité qui existe en chacun de nous, même chez le pire criminel.

J’accepte d’examiner le dossier. Les enquêteurs présentent des faits, ici la présence avérée d’images et de films pédopornographiques sur un ordinateur, mais comme souvent, ils omettent d’explorer toutes les pistes pouvant expliquer ces faits. C’est alors à l’avocat, et son expert technique, de se lancer dans cette recherche.

Les faits sont simples : un ordinateur contient des images et des films pédopornographiques, effacés mais dont les traces persistent sur le disque dur et sont reconstituables. Le dossier contient beaucoup d’images…

Je retrouve des images que je connais bien pour y avoir été confronté lors de mes trop nombreuses expertises sur ce sujet. J’y croise le regard triste et le sourire forcé de la petite fille que j’ai appelé Yéléna. J’en parle à Me McKie qui m’avoue ne pas avoir voulu regarder les images jointes au dossier. J’ai l’impression d’avoir perdu une part de mon humanité en m’étant endurci et insensibilisé.

Mais je constate aussi que beaucoup de personnes avaient accès à l’ordinateur, dont beaucoup trop de monde externe à la cellule familiale. Je constate que le mot de passe du compte utilisé au démarrage de l’ordinateur était connu de tous, facile à trouver ou à pirater. Je constate que les données incriminées ont été transférées vers une clé USB qui n’a pas été retrouvée. Enfin, je constate qu’UNE incohérence apparaît dans les listings de bornage du téléphone mobile du présumé innocent, qui prouve que les choses se passaient dans son dos : il est innocent.

Il a été relaxé.

Me McKie m’a raconté qu’une fois dans une affaire de drogue où son client contestait fermement sa participation au trafic, et où il avait plaidé la relaxe, convaincu de son innocence, le client était venu (libre) le remercier à la sortie du tribunal, et lui avait dit « vous savez Maître, je ne recommencerai plus« .

Je ne suis pas fait pour ce métier.

Yénéla à 20 ans (création Zythom avec l’IA Midjourney)

Effet Maître Eolas

Les récents billets de Maître Eolas sur son blog ont suscité un afflux important de visiteurs sur ce blog, et je les accueille avec plaisir, comme « au bon vieux temps des blogs » quand un blogueur influent malicieux mettait un lien vers un autre blog pour tester sa résistance aux attaques DDoS ^^

Pour tous ceux qui m’ont sollicité par email, je vais faire une réponse groupée à vos questions dans ce billet :

Oui, je fais toujours des expertises, mais comme je ne suis plus expert judiciaire, il s’agit uniquement d’expertises privées.

Pour éviter toutes les demandes un peu farfelues, je n’accepte que les expertises privées demandées par l’intermédiaire d’un avocat (et contacté par lui).

Je fais très peu d’expertises, car j’ai un vrai métier qui me prend à plein temps, 24/7 y compris pendant les vacances. Autant dire que votre dossier a peu de chance d’être accepté…

Oui, une expertise coûte cher, n’est pas remboursée et rarement prise en charge par les assurances à 100%. Mais je travaille parfois pro bono, si votre client n’est pas riche (dossier à l’AJ) ET que le dossier est intéressant techniquement.

Enfin, je n’ai pas de spécialité informatique particulière (cela n’existait pas en 1999 lors de ma prestation de serment comme « expert informatique »), mais j’ai une appétence pour les analyses critiques de rapports d’expertise judiciaire informatique (exégèse scientifique). Je n’ai pas mon pareil pour déceler un mauvais expert judiciaire pontifiant (heureusement, il y en a très peu ^^).

Ah oui, je suis plutôt mauvais à l’oral à la barre, car j’ai une trouille bleue dès que je suis dans un tribunal. Très bon à l’écrit, très mauvais à l’oral (sauf dans un amphi). Vous êtes prévenu (enfin « averti »).

Toutes les informations pour me contacter sont dans ma page contact.

Sinon, vous pouvez simplement ajouter ce blog dans vos flux RSS ou vos marques-pages, et venir me lire de temps en temps, voire, soyons fou, poster un commentaire agréable…

La source de la faille de sécurité

Pas de service informatique à proprement parler dans cette PME, mais un responsable informatique qui pilote un prestataire. La fonction support est donc externalisée, comme c’est malheureusement trop souvent le cas quand un consultant vient se mêler des relations humaines.

Le chef d’entreprise m’accueille un peu surpris : « je croyais que la réunion était prévue à 9h ». Je lui explique que j’arrive toujours en avance pour être sur que les conditions d’accueil de la réunion d’expertise sont optimales. Il opine du chef, étant lui-même fort en avance.

Nous échangeons quelques banalités, puis il me dit : « sale affaire quand même ». Je le rassure en lui disant qu’il n’y a pas de raison pour qu’on n’avance pas sur le sujet, même si je n’en sais rien moi-même…

L’entreprise s’est faite dérober 40 000 euros le mois précédent et personne ne comprend comment cela a pu se produire. Plusieurs personnes sont suspectées, la police est en train d’enquêter. Mais le chef d’entreprise est inquiet et voudrait que les choses avancent BEAUCOUP plus vite, car la police n’a pas vraiment encore commencé son enquête. Son avocat lui a conseillé de faire appel à un expert judiciaire pour une mission privée. Son directeur financier m’a contacté et me voilà sur site pour démêler la pelote. Je ne suis pas sur d’y arriver, mais j’ai proposé d’essayer.

L’heure de la réunion est arrivée. Le comité de direction est au complet, je pourrais dire au garde à vous. Ma discussion informelle avec le chef d’entreprise m’a permis de cerner un peu le profil du personnage : autoritaire, exigeant avec lui-même et avec les autres, ne laissant pas ou peu la place aux doutes ou aux hésitations, intelligent mais avec des idées bien arrêtées.

Je regarde les personnes assises autour de la table. Je remarque une certain tension dans l’air. Personne ne parle, tout le monde attend que le patron prenne la parole. Celui-ci laisse une dizaine de secondes de silence s’écouler, puis introduit rapidement le sujet et me passe la main. Je me présente, puis je demande aux personnes autour de la table de se présenter, tout en prenant le temps de noter leurs prénom, nom et fonction. Cela pose la réunion dans un rite qui ne leur est pas habituel.

Puis le directeur financier m’explique qu’une facture de 40 000 euros a été payée à un fournisseur, mais à la mauvaise banque. Ce qui fait que le fournisseur réclame toujours le paiement de sa facture. Classique. J’évoque une arnaque au président ou une usurpation d’identité. Plusieurs personnes hochent la tête. Je me fais remettre des impressions des échanges, j’écoute les explications et les interrogations. Je vois bien que tout le monde a sorti le parapluie et que le chef d’entreprise cherche le coupable de cette catastrophe. Le directeur financier me vante les mérites de ses procédures à double vérification, le responsable informatique me vante les mérites de la sécurité de son parc informatique, de ses serveurs infonuagiques et de ses parefeux « gérés par le meilleur prestataire qui soit »… Bref, l’entreprise est sure, impossible de se faire piéger. Et pourtant…

A la pause de 10h30, je propose discrètement au chef d’entreprise de me laisser gérer la réunion « qui va prendre un tournant très technique ennuyeux » et lui suggère subliminalement de prendre la décision de quitter la salle pour aller gérer des choses plus importantes, ce qu’il fait d’assez bonne grâce (étant bien clair que c’est lui qui a pris cette décision). A la reprise de la réunion, j’annonce aux personnes présentes que compte tenu de la tournure technique que va prendre la suite des opérations, je souhaite ne pas leur faire perdre leur temps et les recevrait individuellement en tête à tête sur des créneaux d’une heure. Tout le monde a l’air un peu plus à l’aise

Je commence à lancer mes filets à grosses mailles.

Je reste seul avec le responsable informatique. Je lui demande de me fournir les impressions des emails avec leurs entêtes complètes. Je lui demande de convoquer le responsable technique du prestataire informatique immédiatement pour une réunion d’une heure dans l’après-midi. Je veux l’accès à tous les logs des équipements : postes de travail, routeurs réseaux, serveurs, téléphonies, parefeux, etc. Il est plus à l’aise qu’en présence de son chef d’entreprise et voit en moi l’un de ses pairs.

Je vois ensuite le responsable administratif et financiers. Je lui pose des questions sur le fonctionnement de son équipe, sur qui fait quoi. Il se lance dans une explication détaillée des subtilités de son art. Je l’arrête rapidement en lui disant que je suis nul en comptabilité/finance et que je souhaite voir rapidement en tête à tête la personne qui a mené les opérations de changement des informations bancaires. Il est un peu dépité, résiste au fait que je sois seul avec son collaborateur. Mais je suis intraitable.

Le responsable informatique revient avec une pile de feuilles d’impression contenant tous les emails échangés. Il reste avec moi pour m’aider à en prendre connaissance et à écrire sur le grand tableau blanc la ligne de temps des échanges, façon FBI. J’ai vu ça dans les séries et c’est vrai que c’est une bonne idée (sauf que c’est difficile à afficher proprement). Je repère un problème dans les entêtes des emails.

Une personne passe la tête par la porte et m’informe être en charge de la facturation. Je change de table en laissant le tas de papier en vrac, demande à l’informaticien de sortir et reçoit les confidences du comptable. « Vous savez, c’est dur de travailler ici. tout le monde est chef, mais nous sommes peu nombreux à faire, vous comprenez ? ». Je comprends. Je lui explique que je suis moi-même un peu chef, et donc très ignorant de son travail et que s’il pouvait me l’expliquer en termes simples. Il sourit et me détaille son activité. Je lui demande s’il se souvient d’une intervention particulière du service informatique dans le mois qui précède, il réfléchit et me signale une intervention assez longue sur son poste par le service informatique. Intrigué, je demande des détails : « Oh, j’avais des soucis avec Excel, et le service support de Microsoft m’a contacté par téléphone et m’a aidé à les régler. »

Le responsable technique du prestataire informatique arrive en retard sur son créneau horaire, mais avec tous les accès techniques. « Nous avons un puits de logs, vous savez ».

J’ai une idée en tête, je vais pouvoir lancer mes filets à petites mailles.

Deux heures plus tard, je crois avoir la solution. Je convoque à nouveau le comptable, mais en présence de l’informaticien et du responsable technique du prestataire. Je lui demande de nous détailler l’intervention du support informatique Microsoft. Et avant que les deux chefs ne réagissent, je leur demande d’écouter attentivement et de laisser parler le sachant.

« Alors voilà, j’ai reçu un coup de téléphone du support Microsoft pour le problème d’Excel que j’avais signalé, et nous avons passé une heure au téléphone. Ils m’ont fait installer un logiciel sur son poste pour pouvoir intervenir à distance, et ils ont fait plein de trucs pour me dépanner ». Je vois la mine déconfite du responsable informatique, mais avant qu’il n’intervienne, je dis de ma voix la plus douce possible « mais avez-vous imaginé que la personne au téléphone puisse ne pas appartenir au support Microsoft ? ». Et là, j’ai vu le visage du comptable se décomposer : « vous voulez dire que c’est moi qui ait donné accès à un pirate à mon ordinateur ? »

Trust – Antisocial – blague de vieux geek

Dans ce dossier, un pirate s’est fait passer pour le service support de Microsoft auprès d’un employé et a pu installer un logiciel de prise de contrôle à distance, sans éveiller de soupçons ni d’alerte, parce que la politique de sécurité informatique de l’entreprise n’interdisait pas l’utilisation de ce type de logiciel et par manque de sensibilisation du personnel (et des chefs) à la sécurité informatique. Le pirate a eu tout loisir d’accéder à l’ordinateur, d’analyser les échanges, les procédures et les habitudes. Quand j’ai regardé les entêtes des emails, j’ai remarqué le changement de domaine au moment où le pirate a expliqué le changement de banque et a adressé une facture parfaitement conforme à celle de l’année précédente (mais avec une nouvelle banque). Les outils de messagerie n’affichant pas l’adresse réelle de l’expéditeur, et de toutes façons celle utilisée par le pirate étant très proche de l’adresse de l’utilisateur légitime, le comptable ne s’est pas méfié (pas plus que les différentes personnes en copie des échanges). La procédure de double vérification consistait en des échanges emails « OK » complètement inefficients. Le terrain était prêt pour la catastrophe. Nous avons vérifié, la dernière utilisation du logiciel de contrôle à distance (toujours installé) remontait à la date de paiement de la facture.

J’ai passé plus de temps à expliquer au chef d’entreprise que le comptable était une victime (qu’il fallait défendre) qu’à lui présenter la méthode utilisée par le pirate.

J’ai eu la satisfaction d’apprendre par la suite que tout le monde s’était fait remonter les bretelles, mais que le comptable était toujours en poste. Sans doute le patron a-t-il eu la lucidité de comprendre qu’il n’avait pas tant de sachants que cela dans l’entreprise.

Quelques conseils aux futurs nouveaux experts judiciaires

Je suis souvent contacté par des nouveaux experts judiciaires (sans doute grâce au référencement de ce blog) qui veulent avoir quelques conseils sur « comment ça se passe ensuite ».

Conseil n°1 : Inscrivez-vous à la compagnie pluridisciplinaire de votre cour d’appel.
Il y a de forte chance que vous rencontriez le président de cette compagnie, ou un représentant (quel joli mot), lors de votre prestation de serment. Inscrivez-vous pour au moins la raison suivante : votre adhésion inclut une assurance en responsabilité civile INDISPENSABLE à la réalisation de vos missions d’expertise (et vous ne trouverez pas moins cher tout seul de votre côté). Attention : certaines de vos missions peuvent avoir des enjeux financiers très importants, et au moindre faux pas de votre part, sans assurance… BOOM !

Conseil n°2 : Vous n’aurez aucun ami dans la tempête.
Vous allez vous trouver au milieu d’une guerre procédurale, souvent avec de forts enjeux. Lors des réunions contradictoires, les parties vont s’écharper, et vous feront les yeux doux si elles sentent que votre avis leur sera favorable, mais montreront les dents dans le cas contraire. Or, cela ne doit pas influencer votre avis, sans pour autant vous obliger à un avis tiède qui tente de ménager tout le monde. Mais l’expert n’est pas tout puissant : vous devrez expliquer votre avis, et répondre aux dires d’avocats. Si la situation s’envenime, ne comptez sur personne pour vous défendre : vous serez seul dans cette tempête. Ni le magistrat qui vous a missionné, ni le greffe du tribunal, ni votre compagnie pluridisciplinaire, ni vos confrères experts ne vous aideront (peut-être parfois une parole d’encouragement, ou un regard de compassion). Relisez ce billet si vous n’êtes pas convaincu.

Conseil n°3 : Évitez les comportements à risque.
Madame Marie-Claude MARTIN, quand elle était vice-présidente du TGI de Paris, écrivait sur les experts judiciaires :

[…] plusieurs comportements sont susceptibles d’être observés :
– L’expert sans problème : Je lis la mission, elle rentre parfaitement dans mes attributions, je l’accepte.
– L’expert aventureux, ou téméraire, ou intéressé : La mission ne paraît pas relever de ma compétence, mais elle m’intéresse ; je prendrai un sapiteur ultérieurement […]
– L’expert optimiste qui dit toujours oui : Je suis surchargé, je prends quand même cette mission, je me ferai aider au besoin par l’équipe qui m’entoure […].
– L’expert stressé qui ne sait pas dire non : Je suis surchargé, mais si je dis non, je ne serai plus désigné et je vais rapidement me trouver sans mission.

Soyez l’expert sans problème…

Conseil n°4 : Travaillez le Droit ou mariez vous avec un(e) avocat(e).
Ne croyez pas qu’une formation de quelques semaines va faire de vous un spécialiste du Droit. De la même manière qu’il vous a fallu des années de formation puis de pratique pour établir votre propre compétence, connaître par cœur les articles 263 à 284-1 du code de procédure civile, et les articles 156 à 169-1 du code de procédure pénale, ne fera pas de vous un professionnel de ces questions. Essayer de maîtriser tous les aspects des procédures expertales, c’est bien, mais ne vous faites pas embarquer par plus fort que vous sur les questions de droit. Ce n’est pas ce qui vous est demandé, mais c’est le piège dans lequel rêvent de vous faire tomber tous les avocats quand vous allez les chercher sur leur terrain.

Conseil n°5 : Ne prenez pas les avocats pour des ignorants techniques de votre domaine.
Pour faire court, j’ai croisé des avocats qui en savent plus que moi sur l’informatique en général ou sur la sécurité informatique en particulier. Je peux en citer quelques uns : Maître Alexandre Archambault, Maître Eolas, Maître Alain Bensoussan, Maître Olivier Itéanu, et bien d’autres. L’attitude minimale à prendre avec eux est celle de l’écoute active et d’une certaine modestie, tout en prenant ses propres responsabilités !

Conseil n°6 : Ne faites pas de phobie administrative ou mariez vous avec un(e) comptable.
Il va falloir apprendre à tenir une comptabilité, à faire des factures, à choisir une structure juridique pour permettre tout cela (autoentrepreneur par exemple), comprendre les procédures administratives associées, les déclarations d’impôts, et surtout, surtout, SURTOUT s’armer de patience, de courage et d’opiniâtreté pour comprendre Chorus Pro… Ce système va vous demander des numéros impossibles à obtenir, des informations sibyllines que seuls les grands prêtres connaissent et rejeter impitoyablement toutes vos tentatives farfelues d’obtenir la juste contrepartie de vos diligences. Je vous offre 10 mn de mode d’emploi vidéo.

Conseil n°7 : Demandez des précisions techniques avant d’accepter une mission.
« Examiner l’ordinateur scellé n°12 » est une mission un peu vague. Est-ce un ordinateur Windows, un Mac, un AS/400, un Tera-1000-2 ? Les moyens que VOUS mettrez en œuvre A VOS FRAIS ne sont pas les mêmes. Idem pour les téléphones, tout le monde n’a pas une mallette spécialisée d’analyse. Et je ne connais aucun expert ayant réussi à faire passer le coût d’achat de ses équipements d’analyse sur Chorus Pro.

Conseil n°8 : Sécurisez votre environnement informatique d’expertise ou mariez vous avec un(e) RSSI.
Là aussi , pour faire court, imaginez que la police débarque chez vous parce que votre enfant a insulté un ministre sur Twitter, et qu’elle découvre les 150000 images et films pédopornographiques stockés sur votre disque dur dans le dossier TEMP au lieu d’être chiffrés dans le dossier EXPERTISES_PENALES. La nuit va être difficile.

La justice (allégorie)

Voilà, j’espère que ces quelques conseils vont sauver votre future activité d’expert judiciaire. Si quelqu’un avait pu me les donner avant de démarrer mes expertises, jamais je n’aurais commencé ^^.

Le jugement qui fait plaisir

Une fois que l’expert judiciaire a déposé son rapport au greffe du tribunal, sa mission est achevée et il est dessaisi du dossier. Les avocats peuvent s’écharper sur le rapport, minimiser son impact, ou essayer de décrédibiliser son auteur, l’expert n’en saura en général rien. Ses oreilles siffleront sans doute, surtout si l’expertise a été houleuse, avec une partie agressive ou un conflit loin d’être apaisé (ce n’est pas le rôle de l’expert de trouver une médiation, sauf si c’est explicitement écrit dans les missions confiées par le magistrat qui le désigne).

Continuer la lecture