La détection automatique des anomalies

Lorsque son entreprise utilise Google Workspace ou Microsoft 365, le RSSI peut accéder à des outils de supervision fournis par ces deux grands éditeurs. Ces outils donnent accès à des systèmes d’alerte plus ou moins paramétrables qui permettent d’avoir des informations concernant la sécurité informatique des comptes.

Bon, voilà pour la théorie.

En pratique, quand vous devez superviser 30 000 comptes, si vous ne voulez pas être submergé d’informations, il faut « faire confiance » à des règles pré-paramétrées et à des filtres qui vous alertent quand ils repèrent un problème. Il est de plus très difficile d’être expert de chaque outil de supervision et de chacune des briques de sécurité fournies, car les règles d’alerte et les filtres changent très souvent, et sont adaptés par les équipes Google et Microsoft, sans prévenir les équipes de sécurité de leurs clients.

Si en plus vous êtes comme moi en charge de la coordination de la sécurité informatique d’une grande école de l’enseignement supérieure, alors les mois de juin et de décembre sont un peu particuliers… En effet, beaucoup d’utilisateurs se déplacent d’un coup dans le monde entier, ce qui affole les outils de détection. C’est le charme du travail avec une grande population d’étudiants.

Mais si en plus, l’école accueille un très grand nombre d’étudiants étrangers, en provenance d’un grand nombre de pays, alors là c’est le pompon : les outils détectent des connexions en provenance de PAYS A RISQUE : Syrie, Russie, Iran, Irak, Libye, Chine, Tchétchénie, Yémen…

Alors, comme toute l’année, le RSSI prend son bâton de pèlerin, et vérifie que oui, ce compte est bien attribué à une personne qui vit dans ce pays, et que oui, il est probable qu’à ce moment de l’année, cette personne soit rentrée chez elle, même dans ce pays identifié comme PAYS A RISQUE par les outils de détection américain. C’est un travail long et fastidieux, mais qui a le mérite de me faire voyager par procuration.

Et de temps en temps, je tombe sur un compte réellement compromis, en général par un pirate ayant récupéré les identifiant/mot de passe de l’étudiant quand celui-ci les utilise sur d’autres comptes, ailleurs sur la planète, et que ceux-ci se sont faits piratés…

A ce moment-là démarre une autre traque, plus délicate : la recherche des données ayant été compromises, exfiltrées par le pirate. Il faut ensuite prévenir les personnes concernées, faire les déclarations auprès des organismes appropriés (CNIL, dépôt de plainte…).

Mais ça, c’est une autre histoire. Pour l’instant, je rêve de SOC et d’armés d’experts qui pourraient m’aider dans ces tâches parfois un peu absurdes et rébarbatives : tiens, untel est-il vraiment parti en vacances/travail/famille à tel endroit ?

Analyse inforensique simple avec des outils gratuits

Lors d’une discussion avec un Officier de Police Judiciaire, celui-ci me demandait comment faire une analyse de disque dur sans budget logiciel, tout en garantissant un bon niveau d’investigation.

Après avoir pris les précautions d’usage consistant à dire qu’on ne peut pas mener à bien des investigations techniques sans comprendre ce que l’on fait, je me suis dit que je pouvais faire sur ce blog une proposition (SGDZ), même si celle-ci peut éventuellement faire hurler les techniciens les plus pointus sur ces sujets (je trolle un peu aussi à ma manière).

Mon hypothèse de travail va consister à prendre le cas le plus répandu : un ordinateur sous Windows, non chiffré, avec un usage bureautique basique. L’objectif est de trouver un fichier présent sur le disque, éventuellement effacé.

1) Préserver les éléments de preuve au maximum.

Le disque de stockage de l’ordinateur ne doit pas être modifié. Or, un démarrage du système d’exploitation modifie plusieurs informations du disque, modifie des caches, procède éventuellement à des mises à jour, des connexions internet, etc. Il faut donc travailler sur une copie du disque d’origine.

2) Copier les données.

Parmi toutes les manières de procéder à la copie des données du disque de stockage, je vais présenter celle qui me semble la plus simple, même si elle n’est pas sans risque.

Les données sont aujourd’hui de plus en plus stockées sur un disque SSD, ou sur des mémoires flash plus ou moins propriétaires. Il n’est pas toujours facile de démonter le disque de stockage pour le placer sur une plate-forme adaptée, avec bloqueur d’écriture et connecteurs ad hoc.

Il est possible de démarrer l’ordinateur sur une clef USB appropriée, à condition de connaître parfaitement la procédure de démarrage sur clef USB spécifique de l’ordinateur.

Il faut donc se documenter le plus possible (sur internet) sur le modèle d’ordinateur, et sa procédure d’accès au choix du périphérique de démarrage (touche Echap, ou F1, ou F2, ou F11, ou F256, ou Suppr…).

Ma recommandation est de retirer si possible le disque de l’ordinateur et de faire des essais « à vide » pour être sur de démarrer correctement sur la clef USB.

J’utilise une clef USB de démarrage DEFT qui fonctionne pour tous les ordinateurs que j’ai rencontrés pour l’instant. Cette clef a la particularité de protéger tous les disques contre l’écriture (de manière logicielle), en plus de disposer de nombreux outils d’investigation qu’il serait trop long de présenter ici (mais qui sont très intéressant).

Une fois le démarrage sur clef USB DEFT effectué, il ne reste plus qu’à brancher un disque externe de capacité suffisante sur l’ordinateur et d’utiliser la commande dd, ou dd_rescue, ou ddrescue pour effectuer une image bit à bit du disque de stockage. Attention de bien vérifier les noms logiques des devices : il est préférable de savoir bien différencier le disque cible du disque source, surtout qu’il faudra bien passer le disque destiné à contenir l’image en lecture/écriture. Il faut comprendre ce que l’on fait.

Une fois la copie terminée, éteindre l’ordinateur et souffler un peu car le contenu du scellé est préservé (si l’ordinateur n’est pas tombé en panne JUSTE pendant ce moment là, auquel cas, il faudra faire jouer son assurance en responsabilité civile NECESSAIREMENT prise pour ce type d’activité).

3) Analyse des données de la copie.

Chacun est libre du choix de ses outils préférés (GNU/Linux, Windows, FreeBSD, etc.), mais comme la plupart des enquêteurs sont sous Windows, je recommande l’outil gratuit OSFMount qui permet de monter en lecture seule une image dd sous Windows (qui sera attribuée à un lecteur disponible, G: par exemple).

Cela permet de se promener sur le contenu (de l’image) du disque, sans modifier son contenu. Cela permet d’utiliser tous les outils de récupération de données,  tels que Recuva ou PhotoRec, ainsi que la version Windows de The Sleuth Kit (TSK).

Vous pouvez également utiliser tous les outils de la LiberKey, en particulier SearchMyFiles ou Everything.

Conclusion :

Il est possible d’utiliser des outils gratuits pour faire une analyse des données d’un support de stockage. MAIS cela ne dispense pas de SAVOIR ce que l’on fait et oblige à COMPRENDRE les concepts en jeu.

On ne s’improvise donc pas expert informatique.

Par contre, ces outils étant gratuits, ils sont faciles d’accès et permettent à une personne curieuse de s’entraîner, par exemple sur un vieux disque, et parfois de sauver une situation où la sauvegarde est un peu ancienne…

Les débuts de l’expert judiciaire débutant

Vous avez reçu un courrier à entête du ministère de la justice en provenance de votre cour d’appel vous annonçant d’une manière assez sèche simple que vous êtes accepté à l’inscription sur la liste des experts judiciaires, pour une période probatoire de deux ans.

BRAVO o/

Mais soudain, une inquiétude vous prend : que faut-il faire maintenant ? Voici quelques éléments de réponses.

Tout d’abord, prenez contact avec l’association regroupant les experts judiciaires de votre cour d’appel. Il y en a toujours une, et on appelle ces associations des « compagnies pluridisciplinaires d’experts de justice ». Mieux, adhérez-y immédiatement pour au moins bénéficier d’une assurance en responsabilité civile à bas coût (sinon, il vous en coûtera au moins 1200 euros, lire ce billet). La cotisation à cette association vous couvrira en plus de permettre à ses membres de s’offrir de bons repas une à deux fois par an (cela s’appelle une AG) et vous permettra d’assister à des formations (obligatoires ou en tout cas très fortement recommandées). Par contre, le niveau de conseils dans votre domaine d’activité est très fluctuant selon les compagnies.

Préparez vous ensuite pour votre prestation de serment (en général début janvier). Entraînez vous à dire « je le jure » à l’appel de votre nom, et ressortez le costume réservé aux grandes occasions (essayez le bien avant la prestation de serment, vous pouvez avoir des surprises. On ne se voit pas toujours tel que l’on est, et on oublie assez vite comment on a été).

Il faudra ensuite intégrer des listes de diffusion spécialisées dignes de ce nom. Dans mon domaine, il y a celle du LERTI, gratuite et de très bonne qualité. Vous pourrez y appeler à l’aide lorsqu’un magistrat trouvera très naturel que vous sachiez contacter le service légal d’Orange ou de Free pour leur transmettre une commission rogatoire afin de remplir la mission qui vous est demandée. Si vous êtes coincés par un problème technique compliqué (ou pas), il y aura toujours une bonne volonté pour vous renseigner.

Ensuite, il faudra suivre une formation sur la procédure expertale. Si vous n’avez aucune formation juridique, il me semble de bon conseil de vous dire d’acheter tous les ouvrages consacrés à l’expertise judiciaire que vous pourrez trouver, et à les étudier consciencieusement. Tout le monde n’est pas marié à une avocate…

Pour la veille concernant l’activité expertale, certains magistrats
animent des groupes de discussion (je participe à l’un d’entre eux sur
Google Groups) où toutes les informations publiées sur ce sujet sont
remontées. Discutez-en dans votre compagnie pour savoir si c’est le cas
dans votre cour d’appel.

Il faudra réfléchir à votre prix de marché concernant vos notes de frais et honoraires (lire ce billet par exemple), à votre structure juridique permettant d’établir des factures (j’ai choisi le statut d’auto-entrepreneur) et à votre déclaration fiscale (lire ce billet). Ne me contactez pas sur ces sujets que je ne maîtrise pas du tout : parlez-en avec votre compagn(i)e.

Enfin, il faudra attendre votre première désignation par un magistrat. Certains experts ne sont pas désignés du tout pendant leurs deux années de probation, ce qui ne manque pas de les laisser perplexes. Surtout que le dossier de renouvellement demande le nombre de missions effectuées… Mystère de la procédure.

Quoi qu’il arrive, je vous félicite d’avoir choisi de servir cette admirable administration qu’est la justice, et d’avoir été choisi. Faites honneur à votre serment, et restez indépendant.

Bon courage.

Et si vous avez des anecdotes à raconter, c’est par ici 😉

Boot sur une image disque

Je termine une expertise sur laquelle le démarrage de l’ordinateur m’a fait gagner un temps précieux : j’ai pu remarquer pas mal de choses à partir de l’environnement de travail (image de fond d’écran, écran de veille basé sur un diaporama d’images, disposition des icones sur le bureau, etc.). C’est fou ce qu’on peut apprendre de ce genre de petits détails…

Et rien de plus simple à constater qu’en démarrant l’ordinateur. Oui, mais il n’est pas possible de modifier le contenu du disque dur que je dois analyser (afin de permettre à d’éventuelles autres expertises de pouvoir être pratiquées dans les mêmes conditions). Et tout le monde se doute qu’il se passe plein de choses quand on démarre un ordinateur, et que la majorité de ces choses modifient le contenu du disque dur. C’est pour cela qu’il faut toujours travailler sur une copie fidèle du disque dur. Et démarrer l’ordinateur sous la forme d’une machine virtuelle.

J’ai déjà expliqué sur ce blog comment je pratique pour prendre une image bit à bit d’un disque dur (lire par exemple ce billet).

J’ai également expliqué comment je convertissais cette image en machine virtuelle à l’aide d’un logiciel qui s’appelle Live View (lire ce billet). Mais ce logiciel ne semble plus maintenu et je rencontre de plus en plus de difficultés à l’utiliser. Du coup, j’ai souvent utilisé directement les outils en ligne de commande de VirtualBox: il suffit en effet d’une seule ligne de commande pour convertir une image bit à bit en disque exploitable sous VirtualBox:

VBoxManage  convertfromraw  image.dd  image.vdi  –format VDI –variant Fixed

(la dernière option permettant d’avoir un disque de taille fixe, la valeur par défaut de VBoxManage étant un disque de taille dynamique).

Le problème de cette commande est qu’elle est gourmande en temps et en ressources disques, puisqu’elle crée un double de l’image initiale.

Depuis que j’ai migré mon poste de travail personnel de Windows vers la distribution GNU/Linux Mint, j’explore de manière plus systématique les outils de l’univers GNU/Linux.

J’ai ainsi découvert une « vieille » commande disponible sur presque toutes les plateformes: xmount. Cette commande permet de créer un disque VirtualBox directement à partir de l’image bit à bit, sans la modifier, en créant un cache contenant toutes les modifications qui seront apportées sur le disque.

Ma procédure est maintenant la suivante:

mkdir toto

xmount  –out  vdi  –cache  image.cache  image.dd  ./toto

Je trouve ensuite dans le répertoire « toto » le fichier disque que j’utilise dans la machine virtuelle que je crée ensuite dans VirtualBox.

Si je ne connais pas les mots de passe Windows, je démarre la machine virtuelle avec le live cd ophcrack ou avec offline NT password. Si j’ai un écran bleu de la mort (parce que Windows n’aime pas démarrer sur du matériel différent de celui sur lequel il a été installé), j’utilise OpenGates qui fait office de baguette magique (sous Windows).

Je pose ça ici, si cela peut aider quelqu’un à booter sur une image disque. Il y a beaucoup d’autres méthodes et outils, mais ce sont ceux que j’utilise en ce moment.

PS: Je dois être l’un des derniers à utiliser « toto » dans mes exemples informatiques, mais les étudiants en rigolent encore, alors bon 🙂

L’expert judiciaire et les accords toltèques

Source image Wikipédia

J’ai découvert les accords toltèques lors d’une formation dans mon groupe GERME. J’ai trouvé que cette discipline de vie pouvait remarquablement s’appliquer à l’activité d’expert judiciaire.

Un peu d’histoire :

Miguel Ruiz est un neurochirurgien mexicain qui a failli mourir lors d’un accident de voiture. après ce drame, il change radicalement sa vie : il abandonne la médecine et se consacre aux savoirs anciens de ses ancêtres toltèques. Il a écrit en 1997 un livre qui est devenu rapidement un best-seller mondial : « les quatre accords toltèques ». Il est aujourd’hui conférencier à travers le monde et auteurs de plusieurs livres, dont « Le cinquième accord toltèque » en 2010.

Les accords toltèques sont très simples à énoncer, mais derrière cette simplicité se cache une puissance qui peut servir de philosophie de vie, de principe de management ou encore de base personnelle de progrès.

A titre personnel, je suis plutôt bien en phase avec les accords toltèques, mais j’ai beaucoup de marges de progrès sur plusieurs d’entre eux. Ils m’ont été présentés dans le cadre du management (un management avec des valeurs humanistes), mais ce qui m’intéresse ici, c’est de voir comment ils peuvent s’appliquer à l’activité d’expert judiciaire.

Entrons dans le vif du sujet.

Accord n°1 : Que votre parole soit impeccable.

Parlez avec intégrité. Ne dites que ce que vous pensez vraiment. Évitez d’utiliser la parole pour vous exprimer contre vous-même ou pour médire d’autrui. Utilisez la puissance de la parole dans le sens de la vérité et de l’amour.
(source « Pratique de la voie toltèque » par Don Miguel Ruiz)

Lors d’une réunion d’expertise, les mots ont une importance capitale. L’atmosphère est souvent très électrique, voire explosive. Les parties sont en litige, des courriers recommandés ont été échangés, les avocats sont intervenus et ont mis en lumière des accusations souvent douloureuses, le magistrat sollicite votre avis (technique). Si le mot « amour » n’a pas nécessairement sa place dans ce contexte, le mot « vérité » prend une importance toute particulière. Vous n’êtes pas là pour faire de la diplomatie, ni pour juger les
parties, mais pour remplir une fonction de la manière la plus objective,
la plus scientifique possible, « en votre honneur et en votre
conscience ».

La parole n’est pas seulement un son mais est aussi un symbole écrit. Le rapport remis par l’expert judiciaire doit être « impeccable », mot qui vient du latin pecatus (péché) avec le radical im- (sans). Un rapport sans péché, sans défaut, qui va dans le sens de la vérité. Le mauvais usage de la puissance de la parole crée l’enfer. On l’utilise pour médire, pour critiquer, pour culpabiliser, pour détruire. Ce n’est pas le rôle attendu de l’expert judiciaire.

Depuis quelques années, je pratique des exégèses expertales, c’est-à-dire des contre-expertises privées, où il m’arrive souvent d’avoir à critiquer le travail réalisé par un confrère. C’est pour moi un exercice difficile, parfois, de bien peser les mots que j’utilise, sans pour autant tomber dans la langue de bois. « Que votre parole soit impeccable » semble être une évidence, mais plus j’y réfléchit, et plus je me rends compte que ce point est important et difficile.

Accord n°2 : Quoiqu’il arrive, n’en faites pas une affaire personnelle.

Vous n’êtes pas la cause des actes d’autrui. Ce que les autres disent et font n’est qu’une projection de leur propre réalité, de leur propre rêve. Lorsque vous êtes immunisé contre les opinions et les actes d’autrui, vous n’êtes plus la victime de souffrances inutiles.(source « Pratique de la voie toltèque » par Don Miguel Ruiz)

Dans un débat contradictoire (au sens « en présence de toutes les parties »), chacun défend sa position, son opinion, ses intérêts. Le devoir de l’expert est dans la recherche de la vérité. Lorsqu’il s’en approche, et qu’il le fait nécessairement savoir, il devient la cible des coups d’une des parties. Pour autant, il ne faut pas en faire une question personnelle. Sauf en cas d’agression, bien entendu (relire le billet « les risques du métier » à ce sujet).

Lorsque vous faites
une affaire personnelle de ce qui vous arrive, vous vous sentez
offensé et votre réaction consiste à défendre vos croyances, ce
qui provoque des conflits. Vous faites tout un plat d’un petit rien,
parce que vous avez besoin d’avoir raison et de donner tort à
autrui. Vous vous efforcez aussi de montrer que vous avez raison, en
imposant votre opinion aux autres.

Le magistrat vous demande votre avis. Cela ne veut pas dire que vous devez arriver à modifier les opinions des autres. Surtout les opinions qu’ils ont sur vous, ou du moins susceptibles de vous atteindre personnellement.

C’est un point sur lequel j’ai encore beaucoup de progrès à faire : je suis par exemple très sensible aux attaques personnelles que le philosophe allemand Arthur Schopenhauer appelle « Argumentum ad personam » dans son ouvrage « l’Art d’avoir toujours raison » :

Extrait de Wikipédia

« Si l’on s’aperçoit que l’adversaire est supérieur et que l’on ne va pas gagner, il faut tenir des propos désobligeants, blessants et grossiers. Être désobligeant, cela consiste à quitter l’objet de la querelle (puisqu’on a perdu la partie) pour passer à l’adversaire, et à l’attaquer d’une manière ou d’une autre dans ce qu’il est : on pourrait appeler cela argumentum ad personam pour faire la différence avec l’argumentum ad hominem. Ce dernier s’écarte de l’objet purement objectif pour s’attacher à ce que l’adversaire en a dit ou concédé. Mais quand on passe aux attaques personnelles, on délaisse complètement l’objet et on dirige ses attaques sur la personne de l’adversaire. On devient donc vexant, méchant, blessant, grossier. C’est un appel des facultés de l’esprit à celles du corps ou à l’animalité. Cette règle est très appréciée car chacun est capable de l’appliquer, et elle est donc souvent utilisée. La question se pose maintenant de savoir quelle parade peut être utilisée par l’adversaire. Car s’il procède de la même façon, on débouche sur une bagarre, un duel ou un procès en diffamation. »

Il est évident que l’expert judiciaire ne doit pas se placer sur ce terrain, ni se laisser y emmener. Quoiqu’il arrive, n’en faites pas une affaire personnelle.

Accord n°3 : Ne faites pas de suppositions.

Ayez le courage de poser des questions et d’exprimer ce que vous voulez vraiment. Communiquez le plus clairement possible avec les autres, afin d’éviter les malentendus, la tristesse et les drames. Avec ce seul accord, vous pouvez complètement transformer votre vie.
(source « Pratique de la voie toltèque » par Don Miguel Ruiz)

Nous avons tendance à faire des suppositions à propos de tout. Le problème est que nous croyons ensuite que ses suppositions sont devenue la vérité. Nous serions parfois prêt à jurer qu’elles sont vraies. Il est très intéressant de voir comment l’esprit humain fonctionne. L’Homme a besoin de tout justifier, de tout expliquer, de tout comprendre, afin de se rassurer. Il y a des millions de questions auxquelles nous cherchons les réponses, car il y a tant de choses que notre esprit rationnel ne peut expliquer. C’est pour cela que nous faisons des suppositions. Le problème est de croire que ses suppositions sont la vérité.

Nous supposons que tout le monde voit le monde comme nous le voyons.

Nous supposons que les autres pensent comme nous pensons, qu’ils ressentent les choses comme nous les ressentons, qu’ils jugent comme nous jugeons.

Il s’agit de prendre conscience que nos suppositions sont des créations de notre pensée.

Il y a des méthodes pour éviter les suppositions. Par exemple, quand quelqu’un vous pose une question, il faut éviter de répondre directement. Il faut d’abord reformuler la question pour s’assurer auprès du questionneur qu’on l’a bien comprise. Cela évite souvent les malentendus et les réponses « à côté ».

Pendant longtemps, je coupais souvent la parole, parce que j’avais compris ce que mon interlocuteur voulait me dire et que je voulais réagir, argumenter, expliquer. Il m’a fallu du temps, et du coaching, pour apprendre à écouter. Et de cette écoute, pour apprendre à comprendre ce que voulait vraiment dire mon interlocuteur. Et d’avoir le courage de poser des questions, quitte à passer pour quelqu’un de long à la comprenette. Dans le cadre d’une réunion d’expertise, où plusieurs profils de compétence sont présents – tous experts dans leur domaine – cet accord toltèque n°3 prend tout son sens. Il faut prendre le temps d’éviter les suppositions, les non-dits, les sous-entendus, les contresens culturels.

Il faut exposer ses missions, les expliquer, s’assurer que tout le monde comprend la même chose. Il faut écouter, poser des questions, exposer et expliquer son point de vue. Il faut faciliter la communication entre les personnes, et a minima entre toutes les personnes et soi-même.

J’ai aussi remarqué que ce point permet réellement d’améliorer sa vie, de se rapprocher de ses collègues, de mieux comprendre ses enfants, sa compagne, ses amis… C’est le point que je cherche à travailler le plus : « ne faites pas de suppositions » sans faire de vérifications.

Accord n°4 : Faites toujours de votre mieux.

Votre « mieux » change à chaque instant ; il n’est pas le même selon que vous êtes en bonne santé ou malade. Quelles que soient les circonstances, faites simplement de votre mieux et vous éviterez ainsi de vous juger ultérieurement, de vous maltraiter et d’avoir des regrets.(source « Pratique de la voie toltèque » par Don Miguel Ruiz)

Le pire piège est la course à la perfection. En psychologie positive, les chercheurs étudient la notion de
perfection, comme une notion qui entraîne de nombreuses émotions
négatives. Nous voulons être parfaits, nous voulons que les autres
soient parfaits, etc. Nous construisons des illusions mentales de
perfection. La vie quotidienne et la réalité extérieure nous enseignent
que la perfection est un but idéal et non une réalité concrète.

Comment être satisfaits, heureux et épanouis tout en sachant que
la perfection est par définition, inatteignable car inhumaine ?

Reprendre pieds dans le présent et se donner totalement dans
chaque instant. Donner toute son énergie, ses compétences, ses qualités
et son temps pour la tâche que nous avons décidé d’accomplir. Un fois
accomplie, cette tâche peut nous apporter un sentiment
d’accomplissement, même si tout n’est pas parfait.

J’ai compris très jeune comment faire pour ne pas avoir de regrets : il me suffit de bien réfléchir à toutes les options qui s’offrent à moi, lors d’une décision importante, puis de prendre la meilleure option, compte tenu des cartes que j’ai en main. Bien entendu, j’ai parfois fait de mauvais choix, mais très souvent, je ne pouvais me rendre compte du caractère « mauvais » que plus tard, lorsque de nouvelles cartes apparaissaient dans mon jeu. Et à chaque fois, tout en corrigeant les effets de mon mauvais choix, je n’en voulais pas à mon « moi » antérieur puisqu’il avait fait de son mieux, avec les éléments dont il disposait.

Bien entendu, ce point est difficile en expertise judiciaire, où la perfection est attendue. C’est pourquoi l’activité d’expert judiciaire demande autant de travail et de précautions. Il faut garder en tête les regrets du professeur Tardieu qui, en tant qu’expert, a fait condamner tant d’innocents. Pourtant Tardieu ne s’est jamais trompé. Il a simplement subi les ignorances de la science.

Accord n°5 : Soyez sceptique, mais apprenez à écouter.

Ne vous croyez pas vous-même, ni personne d’autre. Utilisez la force du
doute pour remettre en question tout ce que vous entendez : est-ce vraiment la vérité ? Écoutez l’intention qui sous-tend les mots et vous comprendrez le véritable message.

Être capable d’écouter signifie, comme dans les groupes de paroles,
d’être capable de se taire et de laisser autant de place à la vérité de
l’autre qu’à la sienne. Vaste programme.

Au civil et au commerce, l’expert judiciaire doit rendre un avis, sur des questions posées par le juge, et pour cela, il doit organiser des réunions contradictoires où toutes les parties vont pouvoir d’exprimer devant lui. Tous les arguments vont être fournis. Il faut réellement se présenter à cette réunion avec la plus grande ouverture d’esprit possible, pour favoriser l’écoute, tout en doutant de chaque argument. C’est difficile, souvent fastidieux, mais nécessaire pour pouvoir se forger un avis solide.

Là aussi, les mots utilisés ont leurs importances, avec des sens qui ne sont pas forcément les mêmes pour tout le monde. Il faut découvrir l’intention cachée derrière chaque mot, derrière chaque phrase.

Il faut aussi douter de soi-même, de ces certitudes, et arriver à se laisser convaincre par les bons arguments, pour approcher la vérité.

Et ce n’est pas simple.

Devenir Expert Judiciaire

Vous êtes nombreux à me contacter pour avoir des détails sur la question de savoir comment devenir expert judiciaire. Je vais répondre de manière groupée en rédigeant une mise à jour de mes billets précédemment publiés sur ce sujet.

Expert Judiciaire : définition.

« Les experts judiciaires sont des professionnels spécialement habilités, chargés de donner aux juges un avis technique sur des faits afin d’apporter des éclaircissements sur une affaire. Ce sont des spécialistes de disciplines très variées (médecine, architecture, gemmologie, économie et finance, etc.).

Leurs avis ne s’imposent pas aux juges qui restent libres de leur appréciation. »

Source : Ministère de la Justice

Les experts judiciaires sont des professionnels reconnus pour leur compétence et leur expérience dans leur domaine d’activité qui sont chargés par le juge d’apporter des éclaircissements et de donner un avis technique sur des éléments d’une affaire. Ils prêtent serment et exercent leur mission en toute indépendance sous le contrôle du juge.

Les experts sont inscrits sur une liste établie auprès de chaque cour d’appel. Ils perçoivent des honoraires dont le montant, selon les domaines, est réglementé ou fixé par le juge.

Source : Cour d’Appel d’Angers

Un expert judiciaire, c’est quelqu’un qui est inscrit sur une liste tenue par une Cour d’Appel.
Le simple fait d’être inscrit sur cette liste donne le droit d’utiliser
le titre « d’expert près la Cour d’Appel de X ». Cette liste
permet aux magistrats ayant besoin d’un avis technique de désigner
quelqu’un pouvant les éclairer dans une affaire sur laquelle ils
travaillent.

Pour être inscrit sur cette liste, vous devez avoir un « vrai » métier
(celui qui vous fait vivre). Les magistrats qui gèrent cette liste
considèrent que l’activité d’expert judiciaire doit être une activité
annexe, ce qui me semble tout à fait raisonnable, tant il serait
dangereux de vivre uniquement aux crochets des régies judiciaires, qui
payent souvent avec beaucoup de retards (lire ce billet par exemple).

Le titre d’expert judiciaire est un titre prestigieux… Ou du moins qui
jouit d’un certain prestige. Beaucoup de personnes aimeraient bien
l’ajouter sur leur CV ou sur leur carte de visite. Certains considèrent
même qu’il s’agit de la consécration ultime d’une carrière
professionnelle, une forme de reconnaissance auprès de leurs pairs. Mais ne vous y trompez pas, en demandant à être inscrit sur une liste de Cour d’appel, vous acceptez seulement de consacrer une partie de votre temps au service de la justice et de lui apporter votre concours, vos connaissances techniques, votre expérience professionnelle en exécutant telle mission qui peut vous être confiée par une juridiction.

Devenir expert judiciaire : mode d’emploi.

La procédure pour devenir expert judiciaire est relativement simple: il vous suffit de déposer un dossier avant le 1er mars de chaque année auprès du procureur de la République.
Votre dossier va suivre tout un parcours, et s’il est accepté, vous
verrez votre nom inscrit sur une liste gérée par votre Cour d’Appel.
L’inscription sur cette liste fait de vous un expert judiciaire. Bravo
cher confrère ou chère consœur.

Le dossier de demande d’inscription sur la liste des experts judiciaires
doit comprendre toutes les précisions utiles permettant de juger de la
qualité de votre candidature, notamment les renseignements suivants :

1° Indication de la ou des rubriques ainsi que de la ou des spécialités dans lesquelles l’inscription est demandée. Vous trouverez la nomenclature des branches, rubriques et spécialités sur ce site.

2° Indication des titres ou diplômes du demandeur, de ses travaux
scientifiques, techniques et professionnels, des différentes fonctions
qu’il a remplies et de la nature de toutes les activités
professionnelles qu’il exerce avec, le cas échéant, l’indication du nom
et de l’adresse de ses employeurs.
En terme plus simple, ressortez votre CV et mettez le à jour.

3° Justification de la qualification du demandeur dans sa spécialité.
Vous avez des lettres de recommandation, des courriers de vos pairs qui
admirent vos compétences, c’est le moment de les sortir de leurs cadres
et d’en faire une photocopie.

4° Le cas échéant, indication des moyens et des installations dont le candidat peut disposer.
Vous travaillez dans une université ou dans une grande entreprise dont vous avez le droit d’utiliser les installations pour une prestation extérieure officielle, si possible
gratuitement, alors c’est le moment de le signaler par écrit.
L’institution judiciaire est si mal pourvue en budget par les politiques
en charge des affaires…

Un coup d’œil sur le site web de votre Cour d’Appel est indispensable pour savoir s’il faut des documents complémentaires (photos, etc.) et pour télécharger le document intitulé « dossier de candidature ».

Comment s’effectue le choix parmi les candidatures ?

La décision d’inscription est prise par l’assemblée générale des magistrats du siège après enquête du Parquet. 

C’est en fonction des besoins exprimés par les juridictions du ressort que l’assemblée générale de la cour d’appel apprécie les mérites des candidatures en veillant à ne retenir que celles déposées par d’excellents professionnels présentant, par ailleurs, des garanties de moralité, d’impartialité, d’indépendance et de disponibilité.

Source : dossier de candidature à la Cour d’Appel de Paris

Je n’en sais pas plus. La procédure de sélection est relativement opaque : vous pouvez avoir un dossier fantastique, mais postuler une année où la Cour d’Appel n’a pas de besoin, ou inversement… Vous ne devez pas être déçu de ne pas être inscrit dès la première
demande. Le nombre d’experts retenus tient à des facteurs indépendant
des candidats, comme l’évolution du nombre d’expertises, le nombre
d’experts dans une discipline, les orientations générales de la
Chancellerie ou encore à d’autres facteurs relatifs à l’institution
judiciaire. Seuls les magistrats pourraient indiquer quels sont les
critères qui tiennent aux candidats eux-mêmes. Au vu des pièces
demandées, on peut toutefois estimer que les magistrats examinent la
compétence, l’expérience, la notoriété, la disponibilité, l’indépendance
et les moyens de remplir les missions que présentent les candidats.

Le rejet de la demande d’inscription sur la liste des experts, doit être spécialement motivé : l’assemblée générale des magistrats du siège, doit mettre l’intéressé en mesure de connaître les raisons pour lesquelles sa demande a été rejetée (source Dictionnaire du Droit Privé de Serge Braudo). 

Un
conseil: après un refus, ne pas hésiter à représenter sa candidature
l’année suivante, surtout si l’on peut faire valoir des éléments
nouveaux.

Faut-il suivre une formation particulière pour devenir expert judiciaire ?

A ma connaissance, il n’y a pas de formation obligatoire pour devenir expert judiciaire. Il me semble important néanmoins de vous rapprocher du regroupement d’experts judiciaire de votre Cour d’Appel pour en savoir plus. Ces regroupements sont de statut associatif et s’appellent en général « Compagnie pluridisciplinaire d’experts de justice » et il y en a souvent une par Cour d’Appel. Je ne comprendrais pas un candidat expert judiciaire qui ne se rapprocherait pas de la compagnie pluridisciplinaire de sa Cour d’Appel. Y adhérer, au moins au début, est un conseil que je donne toujours.

Par contre, une fois inscrit sur la liste des experts judiciaires, il y a des sessions de formation obligatoire à suivre, en particulier sur la procédure. Ne les manquez pas !

Conclusion.

Il vous reste jusque fin février pour déposer votre dossier (qui doit être arrivé avant le 1er mars). N’oubliez pas de relire quelques billets de ce blog dans la rubrique Expert, et en particulier celui-ci avant de vous lancer dans l’aventure.

Pour casser un peu le mythe, la lecture de ce billet peut être utile…

Si votre demande est acceptée, vous serez convoqué pour prêter serment.
C’est aussi le bon moment pour contacter une compagnie d’experts pour
parler formations, procédures, assurance, et pour comprendre également dans quel guêpier vous êtes tombé avant de contacter les impôts, l’URSAFF et autres joyeusetés à qui vous allez expliquer votre activité (et comment ils doivent la gérer).

A bientôt, chère consœur et cher confrère 🙂

Tome 6

Oyez, oyez, oyez braves gens, le tome 6 de la série « Dans la peau d’un informaticien expert judiciaire » vient de sortir ! Il s’intitule « Yéléna » en référence à la petite fille qui revient souvent dans certaines de mes expertises.

Vous pouvez le commander au format papier chez mon éditeur, et parce que j’aime l’esprit de partage qui règne sur internet, il est
également disponible gratuitement sans DRM au format PDF (cliquez sur les liens) :

Papier (238 pages chez mon éditeur lulu.com)

Pdf (2967 Ko)

Bien sûr, les tomes précédents sont encore disponibles, en format papier ou électronique sur la page publications.

Avertissements :

Les habitués du blog le savent, mais cela va mieux en l’écrivant: la
publication des billets de mon blog, sous la forme de livres, est
surtout destinée à ma famille et à mes proches. C’est la raison pour
laquelle j’ai choisi la démarche d’une autopublication. J’ai endossé
tous les métiers amenant à la publication d’un livre, et croyez moi, ces
personnes méritent amplement leurs salaires! Mise en page, corrections,
choix des titres, choix des couvertures, choix du format, choix des
polices de caractère, marketing, numérisation, etc., sont un aperçu des
activités qui amènent à la réalisation d’un livre. Je ne suis pas un
professionnel de ces questions, je vous prie donc de m’excuser si le
résultat n’est pas à la hauteur de la qualité que vous pouviez attendre.
Le fait d’avoir travaillé seul (avec Mme Zythom-mère pour la relecture, merci à
elle), explique aussi le faible prix de la version papier pour un livre
de 238 pages.

Je me dois également, par honnêteté envers les acheteurs du livre, de
dire que les billets en question sont encore en ligne et le resteront.
Les billets publiés dans le livre sont identiques, à part l’insertion des liens en clair, la correction des fautes de frappe et la mise en page.

J’espère que ce tome 6 vous plaira. N’hésitez pas à le faire découvrir autour de vous et à le partager.

En tout cas, je vous en souhaite une bonne lecture.

L’apprentissage douloureux du freelance débutant

Je me suis lancé depuis quelques temps dans une activité freelance, dont je parle un peu sur mon blog dans cette rubrique, et aujourd’hui j’ai envie de vous faire partager mes erreurs de débutant…

Je suis avant tout un passionné de la technique. J’aime la bidouille et je suis toujours curieux du fonctionnement d’un ordinateur, d’un système d’exploitation, d’un système de virtualisation, ou d’une paire de lunettes de visualisation 3D.

Je suis depuis 1999, prestataire de service auprès de ma cour d’appel, inscrit à la rubrique qui va bien sur la liste des experts judiciaires. J’attends qu’un magistrat ait besoin de moi et je réponds en mon honneur et conscience aux missions qu’il souhaite me confier.

Quand on se lance dans une activité freelance, il y a une dimension supplémentaire à prendre en compte : le marketing. Je vous laisse lire cette merveilleuse page Wikipédia qui relève pour moi plus du chinois que d’une passion première. J’ai beaucoup simplifié la méthodologie pour l’adapter à mon niveau : j’ai une gamme de services, je dois les faire connaître auprès de mes clients potentiels, puis amorcer le cercle vertueux de la satisfaction client.

La gamme de service est simple, j’en ai déjà parlé dans ce billet (je ne vais pas y revenir, il y a des lecteurs que ça agace ;-). La satisfaction client est simple également : il suffit d’accepter des missions pour lesquelles je suis compétent, puis de bien travailler. C’est la partie identique aux missions judiciaires. Mais entre les deux, il y a une petite difficulté : il faut se faire connaître auprès de ses clients potentiels…

Tout d’abord, il faut définir ses prospects : qui sont mes clients potentiels ? Dans mon cas, j’ai décidé de me limiter aux seuls avocats. Mon marché est donc une niche très petite : les avocats souhaitant se faire assister (eux ou leurs clients) par un expert informatique (cf gamme de service).

Les objectifs de ma campagne de prospection sont donc simples : je dois contacter les 56 000 avocats de France pour leur proposer mes services. Bien. Mais comment ? J’organise une réunion de brain storming avec moi-même et en dix secondes j’ai trouvé la solution parfaite :

« Bah, je vais leur écrire un email. »

C’est ainsi qu’avec la foi du jeune débutant, je me suis lancé dans une magnifique campagne de promotion basée sur l’envoi massif d’emails. Si, si. Même pas peur. Sans penser une seconde aux conséquences. Sans tenir compte d’une longue expérience dans la lutte permanente contre ce fléau de l’email non sollicité. J’ai même écrit sur ce blog deux billets consacrés à ce passionnant sujet (sur une bourde en 2006 et sur postgrey en 2007).

C’est donc avec cette foi inébranlable en ma bonne étoile que j’ai commencé à collecter à la main tous les emails des avocats de France, de Navarre et d’Outre-Mer (on dit maintenant DROM-COM). Pendant six mois, à raison d’une heure par jour tous les soirs après le repas, j’ai écumé A LA MAIN tous les sites des barreaux, j’ai copié A LA MAIN toutes les adresses emails de tous les sites d’avocats que j’ai pu trouver. Bref, je me suis constitué un fichier prospect (déclaré à la CNIL) grâce à ce travail de romain…

Au bout de six mois, j’étais à la tête d’un fichier de 45000 adresses emails !

Et là, j’ai commis ma première grosse erreur technique : fidèle au principe du DIY (Do It Yourself, ou FLVM dans la langue de Jean-Baptiste Poquelin) , muni du logiciel qui va bien (dont je tairai le nom, à cause du réchauffement climatique), j’ai envoyé le plus gros emailing de toute ma vie : 45000 emails personnalisés.

Là, je pense que mes lecteurs vont se séparer en deux groupes : ceux qui vont éclater de rire, et ceux qui vont pleurer toutes les larmes de leur corps (les deux groupes ayant une intersection non vide).

Cher lecteur clairvoyant, pourquoi cette tentative était-elle vouée à l’échec ?

Il y a plusieurs raisons que j’expose ci-après, uniquement dans un esprit de partage destiné aux jeunes freelances « ayant trop la foi », et pas du tout pour (plus) me ridiculiser :

– qui, de nos jours, accepte de lire avec sérieux un email publicitaire, et prend note des coordonnées pour une prise de contact ultérieure ?

– les fins techniciens que vous êtes ont parfaitement perçu qu’au bout de quelques heures, le nom de domaine que j’ai acheté pour réaliser mon emailing était durablement blacklisté par tous les gros opérateurs de messagerie, malgré la déclaration en règle de mon serveur smtp.

Résultats de cet énorme emailing :

– 45000 emails envoyés

– 1500 retours « user unknown » sur des adresses emails pourtant affichées sur les sites des barreaux

– 2000 systèmes antiSPAM me demandant de cliquer pour prouver que je suis un humain et pour que mon email puisse être distribué

– 50 réponses m’informant avoir pris bonne note de mes coordonnées

– 5 engueulades par email

– 1 plainte auprès du président du Conseil National des Compagnies d’Expert de Justice (qui a contacté aussitôt le président de ma compagnie d’expert de justice pour me demander d’arrêter immédiatement, ce qui a entraîné rapidement la décision décrite dans ce billet).

Conclusion à destination des freelances débutants : ne faites pas comme moi, et évitez à tout prix la prise de contact par email. Il faut privilégier une méthode plus douce, plus agréable pour le prospect. Pour ma part, j’ai choisi les réseaux sociaux professionnels. J’utilise donc maintenant LinkedIn et Viadéo pour proposer aux avocats d’être en contact avec moi (avec une forte préférence pour LinkedIn). J’ai un taux d’acceptation assez élevé, preuve que mon profil intéresse quand même les avocats. Ensuite, je les contacte par le biais de la messagerie interne du réseau social pour préciser ma démarche de service.

C’est plus long, mais c’est plus respectueux des usages.

Ne me lancez pas la pierre et souvenez vous de vos premiers pas.

On peut débuter, même après 50 ans.

Soyez indulgents, il y a des erreurs plus graves…

Les choses ne sont pas toujours ce qu’elles paraissent

Cette expertise est délicate : je dois accompagner un huissier de justice pour faire un constat sur un ordinateur d’entreprise.

Encore une fois, je connais peu le contexte technique avant l’intervention. Vais-je trouver un terminal relié à un AS/400, un magnifique Macintosh, un classique ordinateur sous Windows, un surprenant poste sous GNU/Linux ou un client léger très tendance ?

Je me rapproche de l’huissier à qui j’explique mes interrogations et qui me renvoie vers le chef d’entreprise. Je contacte icelui, qui m’informe que le poste du salarié ciblé est un classique poste sous Windows XP (nous sommes dans les années 2000), même pas virtualisé.

Je m’équipe pour l’intervention et nous voilà dans l’entreprise devant le poste de travail. Le constat est rapide, précis. L’huissier est efficace et notre couple fonctionne bien. En fin d’intervention, il m’est demandé de faire une copie du disque dur à fin d’analyse et de remettre le disque dur original à l’huissier qui le met sous scellé.

Me voilà chez moi, sur mon ordinateur personnel, à analyser le contenu du disque dur du salarié à la recherche des éléments constitutifs de la faute lourde. Je lance l’analyse du disque dur et mes scripts d’extraction de données. Je jette un coup d’œil aux résultats avant d’aller me coucher, l’affaire semble entendue…

Le lendemain, je commence la rédaction de mon rapport en annexant tous les documents gênants retrouvés sur l’ordinateur. Je les classe dans les catégories suivantes :

– les fichiers non effacés présents sur le compte informatique du salarié

– les fichiers non effacés présents hors du compte informatique du salarié

– les fichiers effacés toujours présents dans la corbeille du compte informatique

– les fichiers effacés toujours présents sur le disque dur (hors compte).

Les données « intéressantes » sont, dans cette affaire là, dans la dernière catégorie, en particulier dans la zone « non allouée » du disque dur.

Suivant les précautions d’usage, je rédige le rapport en précisant que les données retrouvées ne disposant plus des métadonnées du système d’exploitation, il n’est pas possible de les dater ni d’en connaître l’origine. Concentré sur ma rédaction, j’explique que les bribes de données retrouvées sont regroupées par mon logiciel de récupération dans des fichiers, mais que l’histoire du (nom du) fichier d’origine a disparu.

Ces données sont pourtant bien présentes sur le disque dur de l’ordinateur que l’entreprise a attribué à son salarié mis en cause.

Soudain, un doute m’assaille…

Je contacte le service informatique de l’entreprise, et avec l’autorisation du chef d’entreprise, je leur pose quelques questions concernant la gestion du parc informatique. Je découvre alors que l’entreprise fait tourner son parc, en affectant les ordinateurs puissants et neufs au service R&D, puis les « recycle » un an après aux salariés des bureaux, et enfin dans les ateliers.

Le disque dur que j’analyse a donc eu plusieurs vies, le service informatique procédant à chaque fois à un formatage rapide du disque avant d’installer la nouvelle configuration adaptée au salarié.

Les données traînant dans la zone non allouée du disque dur n’appartiennent à personne et il m’est impossible de retracer leur historique de transfert. Ces données peuvent tout aussi bien avoir été introduites sur le disque dur par le dernier salarié auquel l’entreprise a affecté l’ordinateur, que par le premier.

J’ai travaillé ma rédaction en insistant pédagogiquement sur ces points et j’ai rendu mon rapport.

Quelques mois plus tard, j’apprenais qu’un collègue de ce salarié avait reconnu la faute grave, pris sur le fait en train de manipuler les données confidentielles interdites. J’ai appelé le service informatique de l’entreprise qui m’a confirmé que l’ordinateur avait été affecté un temps à ce salarié, et que mon rapport les avait forcé à tracer l’historique de l’affectation du poste de travail.

Rétrospectivement, j’ai félicité mon moi antérieur pour les précautions qu’il avait prises, évitant ainsi d’incriminer un innocent. Jeunes experts en informatique, pesez avec prudence les affirmations que vous écrivez dans vos rapports. N’oubliez pas que derrière un compte informatique nominatif peut se cacher une autre personne (connaissant le mot de passe du compte qui n’est pas le sien). N’oubliez pas qu’un logiciel malveillant peut simuler une action délictuelle à l’insu de l’utilisateur de l’ordinateur. Et n’oubliez pas qu’une donnée égarée sur un disque dur peut avoir été introduite par un utilisateur antérieur. N’oubliez pas non plus les logiciels de prise de contrôle à distance et autres produits de déploiement applicatifs…

Bref, beaucoup des informations qui peuvent être extraites d’un ordinateur sont à prendre avec des pincettes.

Face à TrueCrypt

Il y a un grand nombre de cas où l’on souhaite protéger efficacement des données : c’est vrai pour un journaliste, pour un avocat, pour un activiste des droits de l’Homme, pour un médecin, pour un homme politique… C’est vrai aussi tout simplement pour toutes les personnes qui souhaitent protéger des regards envahissants certaines de leurs données privées.

Car je pense réellement que la vie privée mérite d’être protégée, et qu’il faut que chacun apprenne à sécuriser les données personnelles qu’il souhaite garder confidentielles. Personne ne souhaite voir l’État placer un micro et une caméra dans sa chambre à coucher. Nous avons tous beaucoup de choses à cacher, à commencer par notre vie intime. Je pense d’ailleurs que les choses seraient plus claires si l’on parlait de « vie intime » plutôt que de « vie privée » (c’est à cela que l’on voit que je ne suis pas juriste).

Sur ce sujet, j’ai écris en 2010 un billet consacré à ceux qui ont peur de se faire voler leur ordinateur, et dans lequel je conseillais l’utilisation du logiciel TrueCrypt. Je continue d’ailleurs à utiliser la version 7.1a de ce logiciel pour mes besoins personnels, avec containers cachés (ou pas ;-), malgré l’arrêt brutal du développement de ce logiciel et la sortie d’une version 7.2 bridée. Ceux qui souhaitent apprendre à utiliser ce logiciel, peuvent suivre cette série de billet de la blogueuse Kozlika après avoir téléchargé la version 7.1a sur ce site.

J’utilise TrueCrypt v7.1a pour protéger des disques complets, mais aussi créer de petits espaces de stockage de quelques gigaoctets sous forme de fichiers.

Je suis régulièrement contacté par des lecteurs qui me demandent si je suis déjà tombé sur des fichiers ou des disques chiffrés par TrueCrypt et si j’ai déjà réussi à ouvrir ces fichiers, sans que le propriétaire n’ait fourni le(s) mot(s) de passe.

Avant de répondre à cette question, je tiens à rappeler que je suis un informaticien tout ce qu’il y a de plus normal : je suis salarié dans une entreprise privée de formation où j’occupe un poste d’ingénieur en informatique.

Je n’ai pas suivi de formation particulière en cryptanalyse.

Je n’ai pas accès à des outils secrets.

Aucun gouvernement ne m’a confié l’accès à d’éventuelles portes dérobées.

Je ne suis pas un spécialiste en sécurité informatique.

Bref, je suis parfois déçu quand je me regarde dans une glace, mais je suis un informaticien normal : j’aime bien bidouiller un ordinateur, peaufiner une configuration, installer un nouveau système d’exploitation. J’aime bien les jeux vidéos, la science fiction, l’espace, la spéléo, l’aviron… J’aime les ordinateurs, Windows 98, j’ai fait des concours de calculatrices, je suis vraiment trop con, j’ai fait le concours du robot, qui balancera des balles en haut… (source).

Je n’ai pas plus de moyens qu’un informaticien lambda.

Que se passe-t-il alors lorsque je tombe sur un scellé qui contient des données chiffrées avec TrueCrypt ?

Réponse : rien. Je ne peux rien faire sans avoir le mot de passe. Et encore, je peux avoir un mot de passe qui ouvre le container TrueCrypt, mais pas le container caché. Je n’ai pas de code secret universel, ni de logiciel spécial me permettant d’accéder aux données. Je ne dis pas qu’ils n’existent pas, je dis que je n’y ai pas accès.

Pour autant, je ne baisse pas les bras immédiatement :

– je peux regarder si des données non chiffrées sont présentes et accessibles sur le disque dur (lire le billet intitulé « disque dur chiffré« ).

– je peux chercher tous les mots de passe de l’utilisateur, mots de passe stockés sur internet ou sur d’autres ordinateurs non chiffrés. Sachant que beaucoup de personnes n’utilisent que quelques mots de passe, la probabilité de trouver des mots de passe ouvrant les containers TrueCrypt est forte. Lire par exemple ce billet intitulé « Perquisition« .

– je peux passer par l’enquêteur pour qu’il demande les différents mots de passe à l’utilisateur.

– je peux suspecter un fichier d’être un container TrueCrypt (avec TCHunt par exemple).

Mais si je découvre un mot de passe ouvrant un container TrueCrypt, je n’aurais pas la certitude qu’il n’existe pas un container caché (ie utilisant un autre mot de passe). J’ai une petite astuce qui me permet de flairer la présence d’un container caché : si les dates des quelques fichiers présents sur le container que j’ai réussi à ouvrir sont toutes anciennes, c’est bizarre…

Vous l’aurez compris, la protection de la vie privée et de la confidentialité assurée par TrueCrypt est exemplaire, sauf révélation surprise de l’audit de sécurité de son code [Edit du 03/04/2015: rapport d’audit (source)]. C’est à double tranchant : cela permet à un innocent de protéger ses données confidentielles, mais cela permet également à un coupable de soustraire des preuves à la justice.

Et comme la protection absolue n’existe pas, le coupable sera toujours démasqué un jour ou l’autre. C’est ce que savent également ceux qui luttent contre des régimes totalitaires et tentent de cacher des documents à des yeux trop curieux… Deux tranchants.

Quelques remarques pour finir :

Est-on obligé de fournir les mots de passe ?

Les députés français ont décidé que oui : article 434-15-2 du Code Pénal

Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le
fait, pour quiconque ayant connaissance de la convention secrète de
déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé
pour préparer, faciliter ou commettre un crime ou un délit, de refuser
de remettre ladite convention aux autorités judiciaires ou de la mettre
en œuvre, sur les réquisitions de ces autorités délivrées en
application des titres II et III du livre Ier du code de procédure
pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime
ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans
d’emprisonnement et à 75 000 euros d’amende.

La jurisprudence de la Cour Européenne des Droit de l’Homme sur la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales rappelle, elle, le droit de ne pas participer à sa propre incrimination, et en particulier le droit de garder le silence et de ne pas communiquer des documents s’incriminant.

L’article 132-79 du Code Pénal français, augmente les peines encourues (texte en gras modifié par mes soins pour plus de clarté) :

Lorsqu’un moyen de cryptologie au sens de l’article 29
de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie
numérique a été utilisé pour préparer ou commettre un crime ou un
délit, ou pour en faciliter la préparation ou la commission, le maximum
de la peine privative de liberté encourue est relevé ainsi qu’il suit :

1° trente ans de réclusion criminelle perpétuité ;

2° vingt ans trente ans ;

3° quinze ans → vingt ans ;

4° dix ans → quinze ans ;

5° sept ans → dix ans ;

6° cinq ans → sept ans ;

7° Il est porté au double lorsque l’infraction est punie de trois ans d’emprisonnement au plus.

Les dispositions du présent article ne sont toutefois pas
applicables à l’auteur ou au complice de l’infraction qui, à la demande
des autorités judiciaires ou administratives, leur a remis la version en
clair des messages chiffrés ainsi que les conventions secrètes
nécessaires au déchiffrement.

Enfin, l’article 230-1 du Code Pénal français précise dans son dernier alinéa :

Si la peine encourue est égale ou supérieure à deux ans d’emprisonnement
et que les nécessités de l’enquête ou de l’instruction l’exigent, le
procureur de la République, la juridiction d’instruction, l’officier de
police judiciaire, sur autorisation du procureur de la République ou du
juge d’instruction, ou la juridiction de jugement saisie de l’affaire
peut prescrire le recours aux moyens de l’État soumis au secret de la
défense nationale
selon les formes prévues au présent chapitre.

Je précise n’avoir jamais eu accès aux « moyens de l’État soumis au secret de la défense nationale » (en dehors de mon service militaire, mais bon, c’était au millénaire précédent). Je ne vous cache pas que je n’ai aucune idée des moyens en question et que probablement je ne le saurai jamais.

Quand je n’arrive pas à accéder à des données à cause d’un chiffrement trop puissant, je l’indique dans mon rapport.

A l’impossible nul n’est tenu.

Et parfois, ce n’est sans doute pas plus mal, au moins pour moi.