Archives par mot-clé : Expert debutant

Expertise au commerce: organisation de la première réunion

Publié le par

J’ai juré, d’apporter mon concours à la Justice, d’accomplir ma mission, de faire mon rapport, et de donner mon avis en mon honneur et en ma conscience[1]

Cela tombe bien car un bon matin, j’ai reçu une lettre contenant les missions suivantes:

L’ordonnance du Tribunal de Commerce a fixé comme missions à l’expert :

de se rendre au siège social de la société zOrg pour examiner le système informatique fourni et mis en place par la SSII HAL9000 au mois de mai 1968,

de décrire les désordres l’affectant,

d’en déterminer les origines et les causes,

de déterminer le préjudice subi en raison des désordres,

d’une manière générale, de consulter tous documents et entendre tous sachants.

Les choses sérieuses commencent…

Parmi les actions préalables, je commence par vérifier que je n’ai aucun lien particulier avec l’une des personnes des différentes sociétés. C’est parfois délicat dans ces belles petites villes où « tout le monde se connaît ».

Quand c’est le cas, je me déporte en expliquant au magistrat les raisons de mon refus. Si le magistrat insiste (vous êtes le meilleur des experts, le seul expert disponible, celui dont les rapports sont les plus clairs, le moins cher, etc), je persiste dans mon refus: nul n’est irremplaçable. J’ai déjà rapporté ici le peu de soutien qu’un expert judiciaire peut attendre parfois de la justice…

Le bénévolat étant à proscrire devant les risques pris par un expert judiciaire face aux enjeux dans lesquels il va donner un avis, je prends attache avec le greffe du Tribunal de Commerce pour s’assurer au moins que la provision sur honoraire correspond au futur montant de la note de frais, et qu’elle a été versée au Greffe. En effet, il me semble hasardeux de commencer les dépenses sans la certitude qu’elles me seront remboursées un jour (parfois plusieurs mois après la fin de l’expertise). Pour information, dès que les montants des dépenses atteignent une valeur conséquente, il est possible de demander au greffe une avance. Il peut être bon de stopper ses opérations d’expertise, de présenter au magistrat son état d’avancement, de demander une provision complémentaire et d’attendre son feu vert.

Je raccroche mon téléphone et sort mon agenda: quelles sont mes disponibilités pour une première réunion d’expertise? Prévoir plusieurs créneaux sur plusieurs mois.

Je reprends mon téléphone et contacte les avocats des deux sociétés. Etre souple et prévoir plusieurs tours d’appel pour convenir d’un ensemble de dates compatibles avec tous les plannings. Je n’impose jamais de date car je suis là pour donner un avis technique (certes important) à un magistrat dans un litige, pas pour torpiller les activités des uns et des autres. Truc: ne pas oublier de demander aux avocats si une autre partie risque d’être appelée à la cause.

A ce stade, je dispose de quelques dates, parfois distantes de plusieurs mois, compatibles avec mon agenda et celui des avocats des parties.

Je contacte l’entreprise zOrg afin de m’assurer qu’il est possible d’y trouver une salle de réunion pouvant accueillir tous les participants et si l’une des dates envisagées est compatible avec leur activité. Il est toujours malvenu d’imposer une réunion d’expertise en plein inventaire ou pendant la semaine d’hyperactivité. L’accueil me passe le secrétariat de la Direction qui me passe l’assistant du Directeur. Truc: à chaque fois, se présenter comme expert judiciaire mais rester suffisamment discret sur l’affaire afin de ne pas interférer sur la communication interne propre à l’entreprise.

Dès que j’ai accès à l’agenda du Directeur, je peux vérifier sa disponibilité. Truc: en cas de problème (agenda pris sur toutes les dates pressenties, j’insiste sur l’importance de la réunion pour l’entreprise, etc). Si pas possible, retour vers les avocats pour un nouveau tour d’horizon des agendas…

Je fais de même avec la société HAL9000.

Après deux heures de palabres avec tout un panel de secrétariat, je tiens enfin une date possible. Problème: celle-ci est très proche de la date limite de dépôt du rapport ordonnée par le Tribunal. Coup de fil au greffe qui est parti manger (quelle drôle d’idée, il est 13h…). Tant pis, je faxe la convocation à toutes les parties et prépare les envois en recommandé avec avis de réception.

Comme j’ai un emploi principal et une famille mais pas de secrétaire, les envois en recommandé partent quelques jours plus tard…

Je fais un courrier au greffe avec une convocation en pièce jointe pour expliquer la difficulté d’organisation de la première réunion et demande un délai car, après mes discussions avec les avocats sur la nature du litige, j’estime qu’il faudra certainement au moins trois réunions pour faire le tour du dossier: une réunion préliminaire, une réunion d’investigation, une réunion de chiffrage. Suivront un pré-rapport, la réponse aux dires puis le rapport final.

Je pose un jour de congés pour pouvoir assister à la réunion.

J’ouvre un dossier sur cette affaire. J’y place tous les documents en ma possession: ordonnance de mission, copie des convocations, récépissés d’envoi (fax et RAR) et notes prises lors des conversations téléphoniques. Truc: penser à demander aux secrétariats les orthographes exactes des noms et prénoms des futurs participants, les lignes directes et si possible les portables.

Commencer à noter les heures passées sur un carnet ad hoc. Pour ma part, je fais deux colonnes: temps de secrétariat, temps d’expert. A ce stade, je note 3/0…

Truc: pensez à ajouter en fin de convocation « cette réunion, régulièrement convoquée, se tiendra même en l’absence d’une des parties » afin de respecter le principe du contradictoire et d’éviter les manœuvres dilatoires.

Il n’y a plus qu’à attendre le jour de la réunion.

Et espérer qu’elle ne se déroule pas comme celle-ci

——————-

[1] Serment prêté en Cour d’Appel par l’expert judiciaire.

Tempus regit actum

Publié le par

En l’espace d’un mois, trois expertises judiciaires m’ont été demandées sur le thème de la recherche de dates de modifications de fichiers!

C’est un domaine que je n’aime pas pour plusieurs raisons:

– très souvent, ce type de demande est lié à une supposée malversation d’un salarié

– la rédaction du rapport d’expertise est très difficile du fait de la nécessaire explication (si possible claire ET pédagogique ET concise) des différences entre date de création, date de modification, date d’accès, date du Bios, date de l’OS, heure d’été, fuseau horaire, dérive de l’horloge, etc.

– le coût de ce type de mission peut devenir très élevé si l’on procède avec précision à la recherche d’incohérences temporelles sur l’ensemble des fichiers

– il faut prendre en compte la possibilité d’un rootkit, d’un virus, d’un bogue ou de tout ce qui agit à l’insu du plein gré de l’utilisateur.

Tout cela part pourtant d’une très bonne question, simple en apparence:

quand telle personne a-t-elle [créé|effacé|accédé à|modifié] telle ou telle donnée?

Et il faut d’abord expliquer qu’en général, on ne doit pas parler d’une personne, mais d’un compte informatique (l’ordinateur du fiston a très bien pu être utilisé par une autre personne, même avec son compte nominatif).

Ensuite, pour les affaires anciennes, il faut également vérifier que la pile du Bios alimente toujours l’horloge, estimer sa dérive temporelle, supposer celle-ci constante, vérifier les changements d’heure (automatique ou non).

Enfin, certaines données horaires proviennent d’ordinateurs tiers (date d’emails par exemple), eux-même sujet à caution quant à la précision de leur horloge. En même temps, c’est vrai qu’aujourd’hui, pour établir une chronologie précise, il suffit de disposer des données FAI pour les synchroniser avec les traces liées aux connexions internet. A condition que le temps de conservation de ces données ne soit pas écoulé…

Bref, bien que ponctuel de manière presque maladive, j’ai un problème avec les heures…

Après avoir expliqué tout cela par téléphone avec mes différents interlocuteurs (gendarmes, magistrats et avocats), tous m’ont néanmoins confié les dossiers avec consigne de faire pour le mieux.

Cela m’a fait plaisir.

En même temps, une telle confiance m’a fait peur.

Peut-être parce que ce mot intervient dans ces deux concepts: la LCEN et l’informatique de confiance.

Le plus drôle, c’est qu’un avocat m’a également contacté pour « démonter » un dossier exclusivement basé sur des dates informatiques. Miam!

Le temps est un grand maître, dit-on. Le malheur est qu’il tue ses élèves.

Hector Berlioz

Giga euros

Publié le par

Imaginez: Vous êtes au bureau en plein travail quand le téléphone sonne. Non, pas le téléphone professionnel, mais le portable-réservé-aux-expertises. Bien. Vous fermez la porte de votre bureau et décrochez. C’est un magistrat qui vous appelle en personne.

Bonjour Monsieur l’Expert. J’ai une expertise à vous demander. C’est assez urgent. Etes-vous disponible?

Il y a à ce moment là plusieurs cas possible: soit vous êtes submergé de travail (professionnel, expertal, personnel…), soit vous êtes libre comme l’air (chômage, pas d’expertise en cours, nul en bricolage et jardinage, etc.).

Imaginez: vous êtes disponible.

Bonjour Monsieur le juge. Quelle est la nature du dossier?

Bien. Il s’agit d’une grande banque française. Il semblerait qu’un trader ait conduit des opérations ayant entraîné des pertes de plusieurs milliards d’euros. J’ai besoin d’un expert judiciaire qualifié pour assister mon équipe d’enquêteurs. C’est un dossier important nécessitant plusieurs semaines de disponibilité…

Imaginez: vous êtes libre toutes affaires cessantes pour mener à bien cette mission et vous vous sentez qualifié.

Bien. Quelle est ma mission?

Votre mission, si vous l’acceptez, sera de m’accompagner au siège de la banque pour y explorer les traces informatiques laissées par les activités du trader, et éventuellement, les traces de camouflage de ses activités laissées par lui ou par une tierce personne. J’ai besoin d’en savoir plus sur cette affaire où l’on me dit tout et son contraire.

Imaginez: vous voici à une réunion de préparation à une perquisition. Les enquêteurs ont déterminé les lieux géographiques où sont situés les différents systèmes informatiques de la banque. Ils connaissent la nature physique des serveurs et leurs systèmes d’exploitation. Habitué que vous êtes de ces grandes salles informatiques de 1000m2 à l’ancienne où cohabitent des générations de matériels hétéroclites, vous préparez votre mallette d’intervention.

Imaginez: vous arrivez escorté dans ce lieu quasi mythique dont vos professeurs parlaient avec respect et toutes les portes de sécurité s’ouvrent devant vos sésames de papiers… commissions rogatoires. Sur la dernière porte est écrit « salle 101« .

Vous vous asseyez face à l’une des multiples consoles d’administration. Le magistrat se place à vos côtés. Tout le monde retient son souffle.

Votre travail d’investigation commence. Il se terminera dans plusieurs mois.

Et pendant ce temps là, le système informatique de la banque doit continuer à fonctionner, sans fausse note.

Des giga euros coulent sous vos doigts.

Une goutte de sueur coule le long de votre dos.

——————————————

S’il y a des personnes pour qui j’ai le plus grand respect, ce sont bien les experts judiciaires nommés sur ce type de dossier.

Cela ne risque pas de m’arriver: j’habite l’appartement 303

Je suis un nain

Publié le par

J’entends très souvent autour de moi la phrase suivante: « J’aimerai bien apprécier les subtilités de tel ou tel domaine, mais je n’ai pas la connaissance nécessaire pour. »

Moi-même, il m’est arrivé assez souvent d’utiliser cette phrase dans les domaines tels que la musique classique, la peinture, la danse, l’art contemporain…

Je vivais très bien avec cet a priori quand je suis tombé sur ce billet-bd de Sylvie-Anne Ménard.

Je me suis hélas rendu compte que je pouvais tout aussi bien m’identifier au personnage qui dit « la musique classique, hein… Bah, j’écoute pas ça, moi, je suis trop nul! Je veux dire, j’ai pas assez de connaissance pour pouvoir apprécier. »

Puis, en réfléchissant, je me suis dit que les arguments de Sylvie-Anne pouvaient tout aussi bien s’appliquer à moi, sur la musique classique bien entendu, mais aussi sur d’autres domaines.

Est-il nécessaire d’avoir des connaissances pour apprécier le spectacle d’un ciel étoilé? Je conseille évidemment à tous les visiteurs de Paris la visite du planétarium du Palais de la Découverte ou de celui de la Cité des Sciences. Vous y apprendrez le nom des galaxies, des étoiles les plus remarquables. Mais le ciel garde toute sa beauté, même si (comme moi) vous oubliez la plupart des noms dès la sortie de ces planétariums.

Est-il nécessaire de connaître les principes du moteur à explosion pour bien conduire une voiture? Faut-il comprendre le principe du routage pour utiliser Internet? Etc.

Je reçois régulièrement des emails de lecteurs avouant leurs intérêts pour l’expertise judiciaire (informatique). Ils me disent ne pas oser franchir le pas, soit par jeunesse (moins de 40 ans), soit par peur de « ne pas avoir les connaissances nécessaires pour… »

A ces personnes, je réponds par une citation:

« Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu’eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu’ils nous portent en l’air et nous élèvent de toute leur hauteur gigantesque. »

(Bernard de Chartres, XIIe siècle)

Evidemment, les géants représentent nos prédécesseurs, mais aussi le savoir accumulé dans les livres ou sur internet. C’est aussi l’expérience de nos collaborateurs, les conseils de nos aînés, les avis de nos confrères.

Bref, si l’on doit bien sûr assumer ses propres responsabilités, il est bon de rappeler que l’on ne doit pas attendre de tout savoir, de tout maîtriser pour s’essayer à l’aventure, pour apporter sa propre pierre à l’édifice.

Oui, je me sens comme un nain juché sur les épaules d’un géant: parfois je vois loin et mieux que lui, parfois je ne vois rien car j’ai la tête dans les nuages.

Parfois, « j’ai la connaissance pour », parfois non.

On ne peut pas tout savoir, mais on doit savoir que l’on ne sait pas tout.

Etre expert judiciaire en informatique, ce n’est pas tout savoir sur toute l’informatique. Vous croyez vraiment que je ne transpire pas quand je lis un billet de Sid, de Nono, de Bruno Kerouanton ou de Pascal Charest?

Etre expert judiciaire en informatique, c’est être capable de donner un avis qui éclaire un magistrat. Et pour cela, avoir envie de tout mettre en œuvre pour ne pas se tromper.

«Je donne mon avis non comme bon mais comme mien.»

disait Michel de Montaigne.

C’est valable pour ce blog…

Mais pas pour un rapport d’expertise.

Et c’est très bien.

PS: De la genèse d’un titre…

J’ai failli mettre comme titre du billet « Je suis un nain posteur » par clin d’œil au titre de ce billet… Puis je me suis amusé avec « Je suis un nain blogueur », mais cela n’avait de sens que pour moi. Du coup, j’ai fait plus simple. Mais j’ai hésité!

Présomption d’innocence – In dubio pro reo

Publié le par

Quand les juges n’ont point vu le crime, quand l’accusé n’a point été saisi en flagrant délit, qu’il n’y a point de témoins oculaires, que les déposants peuvent être ennemis de l’accusé, il est démontré qu’alors le prévenu ne peut être jugé que sur des probabilités. S’il y a vingt probabilités contre lui, ce qui est excessivement rare, et une seule en sa faveur de même force que chacune des vingt, il y a du moins un contre vingt qu’il n’est pas coupable. Dans ce cas il est évident que des juges ne doivent pas jouer à vingt contre un le sang innocent. Mais si avec une seule probabilité favorable l’accusé nie jusqu’au dernier moment, ces deux probabilités, fortifiées l’une par l’autre, équivalent aux vingt qui le chargent. En ce dernier cas, condamner un homme, ce n’est pas le juger, c’est l’assassiner au hasard.

Voltaire – La méprise d’Arras.

Affaire Fourré (1761)

Publié le par

Le texte qui suit est extrait de l’ouvrage « Les erreurs judiciaires et leurs causes » de Maurice Lailler et Henri Vonoven (1897), sur lequel je fonde cette rubrique consacrée aux erreurs judiciaires du passé. Le texte n’est bien évidemment plus d’actualité et il serait impensable qu’une telle erreur puisse arriver au XXIe siècle en France (et encore moins dans le Pas-de-Calais)…

En 1761, une bande de brigands dont le chef répondait au joli nom de Fleur d’Epine, désolait les environs de Rouen. Vols, incendies, assassinats se multipliaient dans la contrée où régnait une véritable terreur. Le 13 octobre dans la nuit, il senvahissaient la maison d’une vieille femme, la veuve Fourré, qui habitait seule avec sa servante, une fille Vasselin.

Suivant leur coutume, les compagnons de Fleur d’Epine pénétraient masqués chez la veuve Fourré, la ligotaient ainsi que sa domestique, les menaçant l’une et l’autre de mort au moindre appel, au moindre cri. Après avoir fouillé tous les meubles et s’être emparés de tout ce qui pouvait avoir la moindre valeur, ils s’enfuyaient, laissant la vie sauve à leurs victimes.

Le lendemain, la veuve Fourré porta plainte, et, après quelques hésitations, finit par dénoncer quatre de ses parents, un sieur Fourré et ses trois fils avec lesquels elle ne vivait pas en très bonne intelligence. Elle déclarait qu’elle croyait bien que c’étaient eux les auteurs du vol et de l’attentat. La servante, la fille Vasselin, fut plus affirmative que sa maîtresse. Elle n’avait pas que des soupçons, elle avait une certitude. Elle avait parfaitement reconnu les malfaiteurs à leurs voix, à leurs allures; c’étaient bien les Fourré.

Arrêtés, ceux-ci protestèrent contre l’accusation dont ils étaient l’objet; ils affirmèrent que dans la nuit du 13 octobre ils étaient restés chez eux; ils citaient des témoins. Personne ne les avait vus dehors ce soir là. Une perquisition opérée dans leur maison ne fit découvrir rien de suspect.

N’importe! Les témoignages des victimes étaient pour la justice des charges suffisantes, et les affirmations de la fille Vasselin étaient assez formelles pour ne laisser place à aucun doute. Fourré et ses trois fils furent mis en jugement. Malgré les efforts de Maître Hervieu, leur défenseur et de l’abbé Massif qui s’intéressa à leur sort, ils furent tous déclarés coupables.

Le plus jeune des enfants à cause de son âge ne fut frappé que de la peine du fouet. Le père Fourré et son second fils furent condamnés aux galères perpétuelles. Le fils aîné fut soumis à la question, après quoi on décida qu’il serait rompu vif et roué.

Ni le fouet, ni de longs mois d’emprisonnement, ni la torture ne leur arrachèrent d’aveux. Tous, jeunes et vieux, nièrent énergiquement et jusqu’au bout avoir commis le crime.

Le fils aîné fut exécuté; le père et le second fils attendaient en prison le jour du départ pour le bagne, lorsqu’un hasard vint sauver ces malheureux: le père Fourré se lamentait tout haut dans sa cellule, prononçant au milieu de ses sanglots le nom de son fils qui venait de mourir sur la roue, lorsque tout à coup du cachot voisin une voix lui répondit. Cette voix était celle d’un des hommes de la bande de Fleur d’Epine qui venait d’être capturée toute entière. Elle révélait au père désolé les noms des véritables auteurs du crime expié par les Fourré, et le brigand s’effarait à la pensée de l’horrible injustice commise.

Maître Hervieu qui n’avait point abandonné les Fourré après leur condamnation, porta le fait à la connaissance des juges et sut s’associer un magistrat, Monsieur Simon de Montigny, pour obtenir qu’on n’exécutât pas la sentence contre les deux condamnées aux galères. Un sursis fut accordé; on voulut bien ne point leur infliger la marque[1] et ne pas les expédier au bagne; mais bien que leur innocence ne fut plus contesté, il fallut encore quatre ans avant qu’elle fût judiciairement reconnue! En attendant cette reconnaissance, le père Fourré mourut dans son cachot.

Un arrêt en date du 4 novembre 1765 proclama enfin la réhabilitation des Fourré. La fille Vasselin convaincue de faux témoignage fut bannie de la province, condamnée à faire amende honorable et à payer cinquante livres destinées à faire dire des prières pour les âmes des Fourré père et fils.

—————————

[1] Les galériens condamnés à ramer sur la flotte royale de guerre étaient alors marqués au fer rouge avec les lettres G.A.L.

Nausées visuelles

Publié le par

Dans le problème de la recherche d’images pédopornographiques, j’ai déjà abordé le démontage du disque dur et la copie du disque dur (« La vue, c’est la vie« ).

J’ai également abordé les difficultés que je rencontrais avec la reconstitution des scellés. Au passage, je recommande cette méthode (trop forts les ricains) aux experts débutants qui me lisent. Personnellement, je continue à l’ancienne avec mon bâton de cire et mon creuset, sur de vieilles étiquettes récupérées et mes sachets de congélation…

Vous avez lancé vos scripts, vos virtualiseurs et vos différents programmes d’analyses. Vous voici donc à la tête de trois tas d’images:

– les images non effacées encore stockées de façon apparente sur le disque dur;

– les images effacées, récupérables avec leurs caractéristiques liées à l’OS (chemin d’accès vers le répertoire de stockage, dates de manipulation, etc)

– les images effacées, découvertes en zone non allouée, mais sans information OS.

Seulement voilà, l’habileté de vos outils à pister la moindre trace d’images vous place à la tête de 400000 (quatre cent mille) images…

Première étape: éliminer les doublons. Vous pouvez utiliser Picasa ou mieux ftwin.

Deuxième étape: éliminer les icones. Personnellement, je procède par tri sur les tailles de fichiers. Il est rare qu’un fichier de taille inférieure à 2Ko contienne une information intéressante. Ceci étant, je n’efface rien, je mets simplement de côté pour investigations ultérieures si nécessaire.

Cette étape est périlleuse sous Windows XP car dès qu’un répertoire dépasse 3000 ou 4000 fichiers la manipulation de masse est difficile (du moins sur mon poste de travail). Alors 400000…

Troisième étape: repérer les images disposant de métadonnées renseignées de type EXIF ou IPTC. C’est souvent riche d’informations et permet également d’effectuer un classement (par date de prise de cliché, par type d’appareil photo, etc). Lire à ce sujet une anecdote sur l’excellent site de Sid (ou sur le site de l’excellent Sid:).

A ce stade, vous voici face à 100000 (cent mille) images qu’il va vous falloir étudier une à une… Comment procède-je?

Et bien, pour l’instant, je n’ai rien trouvé de mieux que de faire défiler l’ensemble des photos sur l’écran de mon ordinateur. J’utilise pour cela des logiciels très simples, comme IrfanView et Picasa. Les deux disposent d’un mode d’affichage de miniatures permettant d’afficher plusieurs images à la fois. Ils disposent également de fonctionnalités permettant d’imprimer des images sous forme de planches contact (pour le rapport).

A ce stade de l’expertise, il faut prendre la précaution de fermer la porte de son bureau parce que débute parfois une véritable descente aux enfers. Sur certaines expertises, j’ai eu droit à des collections d’images de cadavres mutilés à coups de machette, assortis des films des massacres associés. Dans un autre coin du disque se trouvaient des images d’enfants de cinq ans violés par des pédophiles.

Il faut sélectionner les images et films. Les classer. Les imprimer (pour les films, extraire les images les plus représentatives).

Cette partie de ce type d’expertise est très difficile.

J’en ai les larmes aux yeux rien que de l’évoquer.

C’est pour cela que je tiens ce blog.

Merci de m’avoir lu.

La journée type

Publié le par

06h21, c’est l’heure à laquelle mon réveil est programmé pour sonner tous les jours de l’année. Pourquoi 21? Et bien j’ai horreur de l’idée que seule 12 des soixante minutes utilisables soient réellement exploitées. Alors je règle toujours mon réveil pour sonner sur l’une des 48 minutes sous employées. C’est mon point commun avec les SNCF et ses horaires de train…

En ce moment, c’est 21.
Tous les jours ouvrables de l’année.
Même quand je dois monter à Paris, sauf que c’est 4h21.
A ce moment là, l’alarme explose dans le silence de la nuit profonde.

Sauf en vacances.
Là, c’est moi qui explose le réveil.

Ma journée débute donc à 06h21.
Ensuite, c’est douche, café, préparation du sac, conduite au collège, et enfin arrivée au travail à 07h57.

07h57-12h48 la folie du métier d’un responsable informatique et technique
12h49-13h04 le quart d’heure repas-saladette-bureau-porte-fermée en bloguant (mode lecture)
13h05-18h12 la folie du métier d’un responsable informatique et technique (bis)

18h34-20h47 les enfants grandissent trop vite, il faut en profiter
20h48-22h42 au choix: expertises, bloguitude (mode écriture), lectures, TV (et oui) ou conseil municipal…

Et 22h43, c’est bien sûr l’heure de l’ascenseur

La vue, c’est la vie

Publié le par

J’ai déjà rapidement présenté comment je procède pour prendre une image du disque dur d’un scellé (lire ce billet).

En résumé:

– soit extraction du disque dur de l’unité centrale et mise en place dans un PC muni d’une carte giga et d’un bloqueur d’écriture, soit boot sur liveCD à partir du PC sous scellé après vérification des options du BIOS (débrancher le disque pour faire les essais de boot)

– côté PC de travail (sous Windows XP SP2, exécution sous cygwin, sinon exécution directe sous Linux) de « nc -l -p 2000 > image.dsk »

– côté disque dur scellé, sous HELIX ou sous DEFT, lancement dans un shell de la commande « dd if=/dev/sda | nc IP_PC_de_travail 2000 »

J’obtiens ainsi une image numérique du disque dur à analyser.

La commande « dd » peut être avantageusement remplacée par « dcfldd« , dc3dd ou en cas d’erreurs I/O sur le disque par « ddrescue« [1].

L’adresse IP_PC_de_travail utilisée dans la commande « nc » (netcat) peut aussi avantageusement être remplacée par celle d’un serveur samba, ce qui permet ensuite d’accéder au fichier image.dsk indifféremment depuis une machine Linux ou Windows (dans mon cas un « vieux » PC avec cinq disques SATA de 400 Go:).

Mais maintenant, que faire de ce gros fichier image.dsk?

Personnellement, j’utilise deux outils:

sleut kit et autopsy pour l’analyse inforensique proprement dite.

liveview pour démarrer l’image sous vmware (s’il s’agit d’un scellé sous Windows)

C’est ce dernier logiciel qui gagne l’honneur de fournir le titre du présent billet (avec une traduction très approximative).

Je dois dire que depuis l’utilisation de liveview et vmware, ma vision des scellés a considérablement changée. En effet, je « sens » beaucoup mieux l’organisation du stockage sur un Pc lorsqu’il est possible de naviguer à loisir sur celui-ci: organisation des icones sur le bureau, logiciels spécifiques que l’on peut exécuter, etc. L’image d’origine est protégée en lecture seule, un disque virtuel vient la compléter pour stocker tous les changements effectués (en général, il faut réactiver Windows XP pour pouvoir travailler dans la durée). Il suffit d’ajouter un disque dur partagé pour pouvoir récupérer toutes les données non effacées intéressantes.

L’utilisation des Sleut kit et Autopsy dépasse le cadre technique de ce blog, mais je recommande à tous les curieux de s’y exercer… C’est très instructif!

——————–

[1] Dans le cas de problèmes I/O sur un disque dur, il me semble important d’effectuer la prise d’image rapidement et, pour ma part, de ne pas calculer le hash MD5 qui dans ce cas me semble soumis à des aléas.