Cracker les mots de passe

Publié le 24 septembre 2013 par Zythom

Quand j’étais jeune responsable informatique, dans les années 1990, il existait une “tradition” chez les administrateurs réseaux de l’époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l’on gérait.

C’est ainsi que j’ai découvert le logiciel “crack“, librement distribué et partagé sur internet par les administrateurs réseaux.

C’est aussi à cette époque que j’ai compris l’intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer.

Voici donc un billet sur les outils que j’utilise aujourd’hui dans les analyses que j’ai à mener, soit dans le cadre judiciaire, soit dans le cadre professionnel (quel admin n’a pas déjà eu à contourner un mot de passe root, ou un mot de passe BIOS). J’espère qu’il pourra être utile aux experts judiciaires débutants en la matière, ou à tout ceux qui veulent tester leur réseau informatique personnel ou professionnel.

Dernier point: il n’est pas inutile de rappeler que toute utilisation illégale de
ce type d’outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l’approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s’en servir à leur insu est réprimandée par la loi.

Bref, ce qui est mal est mal, ce qui est illégal est illégal…

S’il n’était mort il serait encore en vie.

Note à mes lecteurs issus ou nageant déjà dans l’univers de la sécurité informatique, ne vous attendez pas à des découvertes techniques incroyables dans ce qui va suivre, considérez ce billet comme une initiation au B.A.BA pour mes lecteurs “mékeskidis” (© Maître Eolas) ou les simples curieux.

—————————————

0) L’outil magique, celui qui impressionne les amis : Ophcrack

Rendez-vous sur le site de téléchargement d’Ophcrack, récupérez le liveCD qui va bien (Vista/7 par exemple), gravez le et bootez votre machine Windows 7. Regardez et admirez, c’est plug and play.

Ophcrack fonctionne très bien également sur des machines virtuelles, par exemples des images disques créées par la commande “dd” et transformées en VM par liveView.

Pour les plus motivés d’entre vous, il existe des “tables arc en ciel” en téléchargement plus ou moins libre sur internet, permettant d’améliorer les performances de récupération des mots de passe. Attention, ces tables peuvent faire plusieurs gigaoctets. Vous pouvez également les faire vous même (par exemple avec RainbowCrack): prévoir un ordinateur TRES puissant et plusieurs mois de calculs…

Ophcrack est un outil précieux lors des perquisitions, où l’on rencontre souvent du matériel sous Windows XP ou Windows 7.

Conseil aux administrateurs réseaux débutants: bloquez très vite le mode “boot sur CD” de tous les postes que vous administrez…

—————————————

1) L’ancêtre, celui qui fera de vous un barbu : crack

Crack est un logiciel de recherche de mot de passe par création de combinaisons de mots courants stockés dans des fichiers. Je dois à ce logiciel ma plus belle collection de “dictionnaires”, le mot étant à prendre ici au sens de “liste de mots” (sans définition). J’ai des dictionnaires de mots dans un grand nombre de langues, des dictionnaires de mots écrits en phonétique, des règles de codage/décodage en langage SMS (t1t1 pour tintin), etc. J’ai également récupéré, quand ils ont été disponibles sur internet, tous les fichiers de mots de passe (parfois plusieurs millions) d’utilisateurs…

Comme indiqué en préambule, c’est le premier programme que j’ai
utilisé dans le contexte d’analyse de la sécurité de mon réseau, pour
tester la validité des mots de passe choisis par les étudiants. Je
précise que je suis barbu avec modération. 20% des mots de passe
utilisés par les étudiants ont été trouvés en moins de 5 mn, 80% en
moins d’une heure. J’ai affiché dans le couloir du laboratoire
informatique la liste des mots de passe par ordre de découverte (sans le
nom du compte associé), avec obligation pour chaque étudiant de changer
leur mot de passe… Toute une époque 😉

Crack est un programme conçu pour UNIX et fonctionnant sous UNIX. La rubrique “Troll” de la FAQ est instructive à ce sujet. Ceux qui ont un peu plus de temps, liront avec délice les emails les plus curieux envoyés au développeur de crack.

C’est un programme pédagogique, qui peut encore être utile, même si je dois avouer ne pas m’en être servi depuis longtemps.

—————————————

2) La référence : John l’éventreur

John The Ripper, ou JTR, est l’une des références dans l’univers des briseurs de mots de passe. Bien qu’un peu ancien maintenant, ce logiciel a su évoluer pour utiliser différentes méthodes d’approche.

Il a surtout l’avantage de fonctionner dans beaucoup d’environnements: Windows, Linux, Mac OS, etc. C’est encore un logiciel basé sur des dictionnaires.

Je raconte dans ce billet, une petite anecdote liée à la présence de ce logiciel sur le poste de travail d’un salarié avec le mot de passe du patron dans un fichier texte…

—————————————

3) L’attaque à distance multi-protocoles : Hydra

Si vous devez auditer un ensemble de postes, de serveurs, de protocoles, de services, de trucs à distance, ou tout simplement un ordinateur allumé ciblé, le tout sans bouger de votre poste d’analyse, voici le produit qu’il vous faut: THC-Hydra.

Je reporte ici la description du produit extraite de ce manuel en français: THC Hydra est un crackeur de mot de passe réseau supportant les protocoles suivants: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET, HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA, REXEC, SOCKS5, VNC, POP3, VMware-Auth, NCP, Firebird.

Le logiciel possède deux modes de fonctionnement: l’attaque par dictionnaires ou par force brute. A ce propos, ne pas oublier les fonctionnalités moins connues du couteau suisse des réseaux: nmap et ses possibilités d’attaque par force brute.

—————————————

4) Le mot de passe BIOS oublié : PC CMOS Cleaner

Toute la description est dans le titre. La encore, un liveCD à télécharger pour booter ensuite dessus. Rapide, efficace, mais modifie le scellé ce qui est interdit.

Sinon, la vieille méthode dite de “la pile BIOS à enlever” marche toujours, mais il faut savoir la trouver, surtout sur les ordinateurs portables. Encore une fois, interdit dans le cas d’un scellé.

—————————————

5) Efficace mais long : les emails

La meilleure de toutes les solutions est un constat simple que je fais souvent: la grande majorité des gens n’utilisent qu’un ou deux mots de passe, pour tous les systèmes d’authentification qu’ils rencontrent.

Il est donc très probable que l’utilisateur de l’ordinateur analysé ait choisi son mot de passe “habituel” pour s’enregistrer sur un site quelconque de téléchargement de démos, d’achats en ligne ou de webmail. Parmi tous les sites en question, il n’est pas rare que le mot de passe utilisé lors de la procédure d’inscription soit envoyé EN CLAIR dans l’email de confirmation de création du compte.

Il suffit donc d’analyser les correspondances emails (Outlook, Thunderbird, traces logs des différents navigateurs, etc) pour retrouver un ensemble d’emails du type “votre mot de passe est bien ZorroDu69, merci de conserver cet email” (oui, merci). Quand vous listez ensuite tous les mots de passe ainsi trouvés, le nombre dépasse rarement 3 ou 4. Il ne reste plus qu’à les tester sur le compte ciblé pour trouver le bon.

C’est l’application d’une des bases de l’ingénierie sociale…

—————————————

Conclusion

L’amoureux de la vie privée que je suis commencera par un conseil sur les mots de passe: choisissez les de manière à ce qu’ils ne puissent pas apparaître dans une liste de mots de passe, et suffisamment longs pour qu’ils résistent à une attaque par force brute. Je donne souvent l’exemple des premières lettres des mots d’une chanson ou d’un poème, en mélangeant majuscules et minuscules, ex: LsLdvdLBmCdULm, auxquelles vous ajoutez quelques chiffres (en majuscule, non, je plaisante), ex: LsLdvdL1844BmCdULm1896. C’est beau, c’est long, ~~c’est bon~~, c’est difficile à deviner quand on vous regarde taper sur le clavier (sauf si vous chantonnez).

Mais attention, ce n’est pas inviolable (cf point n°0 sur Ophcrack et le boot sur cédérom).

Ensuite, un conseil encore plus pénible: choisissez un mot de passe très différent pour chaque compte informatique. Dix comptes, dix mots de passe. 50 comptes, 50 mots de passe. Un mot de passe pour Twitter, un autre pour Facebook, un autre pour Gmail, etc. Évidemment, la nature humaine est ainsi faite que la mémorisation parfaite de tous ces mots de passe devient un tantinet compliquée. Je vous recommande donc le logiciel KeePass pour stocker de façon sécurisé tous vos mots de passe. Ce logiciel est même certifié par l’ANSSI, c’est dire. Il peut également générer des mots de passe très long aléatoirement, avec la possibilité de faire des copier/coller, ce qui revient à ne même pas connaître le mot de passe que vous utilisez.

Du coup, vous n’avez à retenir vraiment qu’un seul mot de passe, jamais mis par écrit: celui de l’accès à KeePass. De plus, ce logiciel est à double authentification (présence d’un fichier à choisir + mot de passe). Vous pouvez même placer KeePass sur le Cloud pour pouvoir y accéder de partout !

Cracker des mots de passe est une activité assez amusante, un petit défi technique accessible à tous. Il est par contre plus difficile pour certains étudiants de garder à l’esprit que tout ce savoir technique doit servir du bon côté de la Force. Quoi qu’il en soit: sit vis vobiscum !

Les experts peuvent se tromper…

Publié le 13 août 2013 par Zythom

Dans le cadre des rediffusions estivales, le billet du jour, publié en septembre 2009, rappelle que la justice est humaine, et la science aussi.

Bonne (re)lecture.

————————————–

J’ai lu attentivement l’article de Jean-Marc Manach dans InternetActu qui s’intitule “Quand les experts se trompent“, article repris par ailleurs dans Le Monde.fr.

Je dois dire que j’ai déjà écrit quelques mots timides sur le sujet dans ma rubrique “erreurs judiciaires“,
souvent sur des points de détails ou sur des affaires lointaines, afin
d’éviter de trop attirer les foudres de mes confrères experts
judiciaires, tout au moins ceux qui voient ce blog d’un mauvais œil.

Mais depuis “l’affaire Zythom“,
je dois dire également que je me sens plus libre d’exprimer ce que je
pense, dès lors que je n’enfreins aucune loi de la République. Enfin, du
fait que je n’appartiens activement à aucun réseau d’experts
judiciaires, je dois rappeler que mes écrits ne reflètent que ma seule
opinion, et non celle de l’ensemble des experts judiciaires.

Je peux donc dire que l’article est excellent et qu’il me sert d’excuse pour un petit rappel sur le sujet.

Les experts peuvent se tromper pour de multiples raisons.

Dans mon billet sur la femme sans visage, je relate une enquête policière détruite par des relevés ADN souillés dès l’usine de fabrication. Les affaires Fourré, Dupas, Martin, Bernard, Castro, Goujon sont là pour nous rappeler que les experts judiciaires n’ont pas toujours brillé par leur infaillibilité.

Même les meilleurs d’entre nous doivent se rappeler que la science évolue au cours du temps. L’expert judiciaire Tardieu ne s’était jamais trompé. Il a seulement subi les ignorances de la science.

En matière informatique, avec les formidables avancées techniques où
tout semble possible, les erreurs potentielles sont nombreuses. Il
suffit pour s’en convaincre de lire par exemple les débats sur la loi
Hadopi (j~~e n~~‘en parle ~~pas~~ ici).

Moi-même, je suis passé pas loin d’une erreur judiciaire…

Les experts se trompent parfois, mais il y a plusieurs parades à cela.
Contre expertise, collège d’experts et bien entendu les
experts-conseils.

Je parle assez peu (pour l’instant) de mon activité d’expert-conseil sur
ce blog et pour cause, je consacre actuellement toutes mes forces à
l’expertise judiciaire classique. Mais il m’arrive d’être contacté par
un avocat qui souhaite être conseillé sur un dossier par un expert
technique. On parle alors d’expertise privée.

Je l’aide alors à analyser un pré-rapport d’expertise “du point de vue
technique”, à rédiger des dires techniques en pointant ce qui m’apparaît
comme des imprécisions techniques (ou des erreurs). Ou alors je
l’assiste comme “expert privé” lors d’une procédure d’expertise menée
par un expert judiciaire.

Et pour éviter toute suspicion d’entente avec un confrère, je n’accepte que des dossiers situés hors de ma Cour d’Appel.

Mais tout cela coûte de l’argent (malgré mes honoraires très bas – pub)
et est difficilement supportable par le citoyen lambda. Encore moins par
le budget de la justice. Même dans mon cas où je travaille uniquement à
distance par échanges GPG pour éviter les frais et honoraires de
déplacements.

Enfin, je voudrais rappeler que dans toute affaire terminée par une
condamnation erronée, l’un des acteurs, à un moment quelconque, a
enfreint une règle essentielle de sa délicate mission. Et directement ou
non, l’erreur est née de cette faute. Par penchant, plus souvent par
imprudence, langueur d’esprit, désir d’arriver à un résultat ou crainte
de laisser un crime impuni, quelqu’un a pris parti contre le prévenu.
Dès lors, il l’a tenu coupable. Il n’a pas conçu la possibilité de son
innocence, et, pour découvrir la vérité, il a cru qu’il suffisait de
chercher des preuves de culpabilité. Les meilleurs s’y laissent aller.
Ils croient bien faire, et préparent “des condamnations plus crimineuses
que le crime” [Montaigne, Essais, livre III, chap.XII].

C’est terrible à dire, mais la justice est humaine, et la science aussi.

Modification de l’article 282 du Code de Procédure Civile

Publié le 17 juin 2013 par Zythom

J’ai déjà parlé du décret du 24 décembre 2012 dans ce billet de janvier.

Je voudrais faire un focus sur le paragraphe qu’il a ajouté à l’article 282 du Code de Procédure Civile:

“Le dépôt par l’expert de son rapport est accompagné de sa demande de rémunération, dont il adresse un exemplaire aux parties par tout moyen permettant d’en établir la réception. S’il y a lieu, celles-ci adressent à l’expert et à la juridiction ou, le cas échéant, au juge chargé de contrôler les mesures d’instruction, leurs observations écrites sur cette demande dans un délai de quinze jours à compter de sa réception.”

Cela signifie simplement que le principe du contradictoire est étendu à la taxation.

J’invite donc les confrères qui me lisent, ou les personnes désignées hors liste qui me lisent, à veiller à adresser en recommandé avec avis de réception leur demande de taxation à toutes les parties, et d’adresser au juge taxateur les avis de réception dans les plus brefs délais. A défaut, je juge taxateur ne pourra pas vérifier le respect du contradictoire jusqu’à la taxation, et ne pourra donc pas procéder à la rédaction de l’ordonnance de taxe.

Je profite de ce court billet pour inciter les experts judiciaires non inscrits auprès d’une compagnie pluridisciplinaire d’experts de justice (ce n’est pas obligatoire) à s’en rapprocher. Il s’agit d’association loi 1901 et il en existe normalement une par Cour d’Appel et, outre un bon repas à chaque AG, elles assurent la bonne circulation de ce type d’information, ainsi que de nombreuses formations de qualité.

Elles proposent également en général une très bonne assurance en responsabilité civile. N’oubliez pas que vous êtes responsable de toute erreur faite pendant vos missions d’expertises judiciaires, pouvant parfois entraîner un très fort préjudice financier (exemple: panne d’un disque dur).

Dans mon cas, ma compagnie pluridisciplinaire d’experts de justice a même autorisé l’existence de ce blog lorsqu’il a été attaqué en justice…

Mon principal regret concernant les compagnies est qu’elles n’aient pas encouragé leurs membres à la tenue de blogs sur l’expertise judiciaire. Le monde de l’expertise judiciaire gagnerait à s’ouvrir au monde, pour le bien des experts en période probatoire comme pour le bien du grand public. Cela n’interdit nullement l’entre-nous ou le respect de la confidentialité. Les avocats ont pourtant montré l’exemple, et depuis de très nombreuses années.

Je rappelle que vous êtes ici sur un blog personnel, sur lequel j’exerce cette fantastique liberté d’expression dont nous disposons en France, et que ma parole n’engage que moi: je ne suis le représentant de personne d’autre.

Bons RAR.

—————————————–

Source dessin: l’excellent G. Mathieu qui a bercé ma jeunesse étudiante.

Stockage

Publié le 5 mai 2013 par Zythom

La semaine dernière, j’ai reçu un ordinateur sous scellé à fin d’analyse. Pour une fois, il ne s’agit pas de recherche d’images pédopornographiques, mais de retrouver des conversations électroniques.

J’ouvre le scellé, et en extrait le disque dur pour analyse. Le disque dur fait 3To…

Bon, c’est normal, les capacités des disques durs vont en augmentant, mais après vérification, je ne dispose pas de disques durs suffisamment grands, et mon NAS personnel est presque plein. Comment faire une copie pour analyse, sachant qu’il me faut facilement le double de la taille du disque d’origine: pour l’image bit à bit, pour le fonctionnement en VM et pour toutes les données extraites ?

Sachant que le budget de la Justice, déjà exsangue, n’est pas prévu pour m’offrir un joli NAS, et que tout le monde compte sur mon travail d’analyse, rapide, fiable et PAS CHER… il me faut trouver une solution.

Twitter étant mon ami, je lance un tweet SOS à ceux qui me suivent sur le compte @Zythom. Et me voilà en train de tester plusieurs outils gratuits dont je vais un peu vous parler aujourd’hui.

Tout d’abord, il se trouve que je dispose d’un nombre invraisemblable de carcasses d’ordinateurs qui remplissent mon bureau, entre vieilles cartes mères et webcams-qui-ne-marchent-que-sous-XP. J’ai donc cherché dans le lot un vieux PC avec une carte mère acceptant les disques durs SATA. Me voici avec un NEC “Pentium 4” datant du temps où l’on nommait les PC du même nom que leur processeur.

Une fois la poussière priée d’aller sur les objets alentours, je pars en chasse d’un clavier et d’une souris PS2, d’un écran fonctionnel, d’un cordon d’alimentation et d’un câble réseau catégorie 5e au moins.

En regardant bien la carte mère de cette vieille machine, je compte 4 ports SATA et deux ports IDE. Je fouille alors dans mon stock de disques durs dédiés aux expertises, et j’en extrais un vieux disque dur IDE de 40 Go, deux disques SATA de 3To et un disque tout neuf de 4To.

Me voici prêt à tenter de construire un NAS avec ça.

Les followers qui ne dormaient pas au moment où j’ai posé ma question m’ont proposé les produits suivants:

– Nexenta Community Edition

– XPEnology

– OpenMediaVault

– OpenFiler

– FreeNAS et

– NAS4Free

J’ai testé ces produits avec la machine que j’avais assemblée de bric et de broc. Voici mes constatations, et je demande aussitôt aux passionnés de ces produits de me pardonner mon test simpliste (je ne suis pas un labo de tests non plus!):

– Nexenta CE n’a pas reconnu mes disques durs;

– XPEnology n’a pas fonctionné de manière stable malgré tous mes efforts (je dispose déjà de deux NAS Synology, un vieux DS209j et un DS713+ flambant neuf, donc j’étais motivé);

– OpenMediaVault n’a pas réussi à faire booter ma machine;

– OpenFiler n’a pas reconnu mon disque dur de 4To lors de la configuration SoftRAID;

Le développement de FreeNAS ayant été repris par une société commerciale, j’ai directement testé NAS4Free qui est la suite du développement du code originel de FreeNAS. NAS4Free a reconnu l’ensemble de ma configuration, aucun message d’erreur n’est apparu lors de la constitution du RAID0 qui a aggloméré tous mes disques durs (sauf celui de 40Go qui sert uniquement pour le système au démarrage).

Mon choix s’est donc arrêté sur NAS4Free.

J’ai donc maintenant un NAS de capacité ~~10 To~~ 9 To qui me permet de mener à bien la mission d’expertise qui m’a été confiée. L’accès aux disques est rapide, l’incorporation dans mon réseau privé très simple, le partage des données entre machines Linux ou Windows est simple à paramétrer. Bref, une solution que je recommande à tout ceux qui ont un besoin rapide de stockage pour pas trop cher.

Seuls inconvénients: la consommation et le bruit, légèrement supérieurs à ceux de mon NAS perso Synology DS713+ sur lequel s’appuie toute la famille.

Mais si le dernier reste allumé en permanence toute l’année, le NAS4Free ne reste allumé que le temps d’une expertise, c’est-à-dire… quelques nuits 😉

Ma prochaine étape sera de faire l’achat que quelques cartes PCI multiports SATA pour augmenter la capacité de mon NAS improvisé. Je dois pouvoir atteindre les 16 disques durs de 4To, soit 64To!

Ensuite, pour passer à 180To, je testerai le pod de stockage Backblaze que Korben m’a fait découvrir.

De quoi voir venir 😉

————————————————————————–

Source image: inpic.ru

L’art de la copie d’écran

Publié le 24 avril 2013 par Zythom

Il m’est arrivé, au début de mon activité d’expert judiciaire en informatique, d’assister des huissiers de justice lors de la constitution de preuves, en matière de publication sur internet.

En clair, aider un huissier à faire une copie d’écran.

Puis, avec le temps, les compétences informatiques des huissiers ont fortement augmenté, et il devient rare que l’on me demande de l’aide pour faire une copie d’écran.

Pourtant…

Comme vient de le montrer une affaire récente, une copie d’écran peut être refusée par un tribunal, si elle ne présente pas un caractère probant suffisant.

Extrait du jugement :

“Attendu que si la preuve d’un fait juridique n’est, en principe, et
ainsi qu’en dispose l’article 1348 du code civil, soumise à aucune
condition de forme, il demeure néanmoins que lorsqu’il s’agit d’établir
la réalité d’une publication sur le réseau internet, la production d’une
simple impression sur papier est insuffisante pour établir la réalité
de la publication, tant dans son contenu, que dans sa date et dans son
caractère public, dès lors que ces faits font l’objet d’une
contestation ; qu’en effet, et comme le souligne le défendeur
l’impression peut avoir été modifiée ou être issue de la mémoire cache
de l’ordinateur utilisé dont il n’est pas justifié que cette mémoire ait
été, en l’occurrence, préalablement vidée ;”

A l’intention de mes lecteurs, surtout s’ils sont huissiers, je propose une méthode de copie d’écran d’une page web qui me semble respecter les règles de l’art:

Étape 1: Choisir un ordinateur “sur” pour établir le constat.

Idéalement, il faut prendre un ordinateur réinstallé “from scratch”, à partir d’un template de machine virtuelle par exemple, ou un ordinateur réinitialisé à partir de ses DVD de restauration.

Pour gagner du temps, il est souvent préféré l’utilisation d’une machine ayant déjà servi (le PC du directeur, de l’huissier, du secrétaire…).

[EDIT] Il est possible de booter une machine à partir d’un liveCD pour plus de sécurité (commentaire de KaitoKito).

Étape 2: Vider le cache local.

Sur l’ordinateur choisi pour effectuer le constat, lancer le navigateur et vider le cache. Cette opération peut être complétée par l’utilisation d’un utilitaire de nettoyage (tel que CCleaner par exemple, qui existe en version portable sur une LiberKey par exemple).

Étape 3: Vérifier les DNS.

Vous allez surfer sur internet, en entrant l’adresse d’un site web. Il faut donc vérifier que sa traduction en adresse IP se fait correctement. Au besoin, il est possible de faire plusieurs essais avec des serveurs DNS différents.

Étape 4: Afficher la page incriminée.

Saisir l’adresse complète du site web dans le champ approprié du navigateur (et non pas dans un moteur de recherche).

Étape 5: Imprimer la page.

Une fois la page affichée, en faire l’impression sur une imprimante de confiance. Si l’imprimante n’est pas sure, faire une comparaison intégrale de l’impression papier. Vérifier que l’adresse complète de la page apparaît sur l’impression: en effet, en cas d’adresse longue, celle-ci est souvent tronquée. Il faut agir sur les paramètres de mise en page d’impression (variables en fonction des imprimantes). La date doit apparaître clairement et il faut vérifier qu’elle est correcte (et mentionner la vérification sur le procès verbal!).

Notez que cette étape peut être dématérialisée par la création d’un fichier PDF (à l’aide d’une imprimante pdf) ou la sauvegarde de la page complète dans un format approprié.

Je conseille également d’imprimer le code source de la page, contenant beaucoup plus d’informations pouvant être utiles à la manifestation de la vérité.

Étape 6: Recommencer avec un autre navigateur.

Une clef USB contenant par exemple les logiciels du kit Liberkey, peut accueillir différents navigateurs sans qu’il soit besoin de les installer: Chromium, Firefox, Chrome, Opera, QtWeb…

L’utilisation d’un autre navigateur permet de vérifier les différents comportements qu’une page web peut avoir (code source, plugings…).

Étape 7: Recommencer avec un autre ordinateur et un autre réseau.

Le plus simple est d’utiliser un smartphone fonctionnant en 3G, et de vérifier que les informations affichées par la page web incriminée sont les mêmes que précédemment.

Voilà. La procédure est complète. Vous avez votre copie d’écran et le PV mentionnant scrupuleusement toutes les opérations effectuées.

——————————————————————————-

Cela suffit-il à constituer une preuve irréfutable ?

La réponse est non.

Si la partie adverse souhaite réellement contester cette procédure, rien de plus simple: il suffit de me contacter pour une contre expertise.

Exemples:

Étape 1: Choisir un ordinateur “sur” pour établir le constat.

Il est extrêmement rare que l’ordinateur utilisé pour faire le constat soit “sur”. Le seul moyen d’en être certain est un ordinateur tout neuf sorti de son emballage (et encore ;-). L’hypothèse d’une contamination par un malware ou un virus n’est pas à exclure. D’où la nécessité de faire les constatations avec au moins un autre ordinateur (un smartphone par exemple), ce qui est rarement fait.

Étape 2: Vider le cache local.

Il n’est pas rare que l’entreprise dispose d’un serveur proxy pouvant faire office de cache. Ce cache a-t-il été neutralisé?

Étape X: Quelles vérifications ont été faites sur le serveur hébergeant la page web incriminée? Qui a vérifié s’il n’y a pas eu falsification des codes sources à un moment ou à un autre? Qui peut assurer que la personne ayant créé les codes sources incriminés est la seule à pouvoir y accéder?

Je suis sur que parmi mes lecteurs férus de sécurité informatique, nombreux seront ceux qui trouveront des failles à la procédure que j’ai présentée.

Donc, de nombreuses contestations sont possibles. Elles dépendent des moyens financiers que vous mettrez en œuvre pour vous défendre, de la compétence de votre avocat, et bien sur, de celle de votre expert judiciaire 😉

La copie d’écran est un art complexe.

———————————-

Source image Dessins de communication

Prise d’image rapide d’un disque dur

Publié le 29 janvier 2013 par Zythom

Je voudrais vous faire part d’un retour d’expérience sur le sujet de la prise d’image de disque dur. J’en ai déjà parlé un peu sur ce blog, ici et là.

Lorsque l’on me confie un scellé à analyser, la première étape technique consiste à faire une image du disque dur à analyser. Il faut bien sur que l’image soit parfaitement fidèle, car c’est elle (et elle seule) qui sera étudiée ensuite. La prise d’image doit garantir l’accès en lecture seule du disque dur, afin de ne rien écrire sur celui-ci pour ne pas compromettre la preuve.

A ce stade du récit, je me permets de rappeler que cette précaution ne vaut pas pour certains cas, comme par exemple avec les disques durs SSD. En effet, ceux-ci disposent d’un algorithme d’égalisation de l’usure qui peut entraîner le déplacement de données dès la mise sous tension (donc techniquement, les données du disque dur sont modifiées avant même qu’on cherche à y accéder). Mais comme à l’impossible nul n’est tenu…

En pratique, il suffit d’extraire le disque dur du scellé et de le placer dans un duplicateur de disque dur. Sauf, que ces appareils coûtent plusieurs milliers d’euros et qu’aucun tribunal n’a encore accepté de m’équiper… Il me faut donc fabriquer moi-même mon duplicateur, ce que j’ai détaillé dans ce billet intitulé “La nuit, à travers le réseau“.

Mais cette technique me posait plusieurs problèmes: ma station de prise d’image est relativement volumineuse et les temps de copie sont très longs. Ces problèmes ne sont pas gênants lorsque je travaille chez moi, mais deviennent rédhibitoires lors d’une intervention en extérieur où la mobilité et le temps sont des facteurs clefs. De plus, la technique demande de démonter le disque dur à copier, ce qui n’est pas toujours facile à faire, surtout dans le cas d’ordinateurs portables.

Voici donc la méthode que j’utilise, et qui pourrait intéresser des confrères, ou des lecteurs souhaitant faire une copie rapide d’un disque dur complet (sauvegarde, récupération de données…). Elle a été testée sur des ordinateurs de type PC, sous Linux ou Windows.

Je dispose d’un ordinateur portable muni d’un port USB3. Ce type de port USB est 10 fois plus rapide que les ports USB2 encore très fréquents sur les ordinateurs. Mais à l’époque d’écriture du présent billet, de plus en plus de portables disposent de ce type de port, à des prix abordables. Il faut également s’assurer de la présence d’une carte réseau gigabit.

Il faut faire l’acquisition d’un disque dur externe USB3 de grosse capacité pour pouvoir stocker l’image obtenue lors de la copie. J’ai choisi un disque de 3To premier prix (en fait, j’en ai plusieurs en stock car parfois je suis amené à les mettre eux-mêmes sous scellés, mais c’est une autre histoire).

Je me suis acheté un petit switch gigabit et deux câbles réseaux gigabits. Là aussi, un premier prix suffira. 5 ports, c’est très bien.

Il faut disposer d’un lecteur de cédérom USB, très pratique maintenant que beaucoup de portables sont livrés sans lecteur. J’ai opté pour un graveur de DVD premier prix, ce qui me permettra de réaliser des gravures de CD ou de DVD pour réaliser des scellés facilement lorsque le volume de données est relativement faible.

Enfin, il faut télécharger et graver le liveCD DEFT que se doit de disposer tout expert informatique.

Procédure :

1) Vous allumez votre ordinateur portable et branchez votre disque dur externe USB3 (sur le bon port USB, celui qui est bleu à l’intérieur).

2) Vous configurez une adresse IP fixe sur la carte réseau giga (par exemple 192.168.63.1) que vous branchez sur le switch giga.

3) Vous désactivez votre firewall

4) Vous créez un répertoire “partage” sur votre disque dur externe, que vous configurez en partage pour tous #PartagePourTous.

5) Vous branchez votre lecteur de cédérom sur l’ordinateur à copier, que vous branchez lui sur le switch giga.

6) Vous bootez l’ordinateur à copier sur le LiveCD DEFT (en général, le choix du boot se fait par l’appui répété de la touche “Echap”)

7) Sur l’ordinateur à copier, vous tapez:

% ifconfig eth0 192.168.63.100

% ifconfig eth0 up

% mkdir /root/toto

% mount -t cifs //192.168.63.1/partage -o username=zythom /root/toto

% dd_rescue /dev/sda /root/toto/hd.dd

Avec un peu de chance, si la carte réseau du pc à copier supporte le gigabit/s (ce qui est le cas de beaucoup de cartes aujourd’hui), et si la distribution DEFT reconnaît les différents composants du pc à copier, alors vous aurez réalisé en un temps record, une copie du disque dur de la machine visée. Par exemple, un disque dur d’1 To en moins de 3h. La dernière commande de l’étape 7 crée un fichier nommé “hd.dd” dans le répertoire “partage” situé sur votre disque dur externe USB3. Ce fichier contient une image fidèle (aux erreurs de segments près) du disque dur du pc que vous deviez copier.

Bien sûr, plusieurs étapes ont des chausses trappes:

– à l’étape 6, le démarrage sur le LiveCD peut nécessiter le choix de paramètres de boot particuliers (noapic, nolapic, nodmraid, vga=xxx…)

– la configuration du réseau à l’étape 7 peut être plus complexe et demande une bonne maîtrise des paramétrages, surtout en cas de carte réseau particulière.

– la commande “mount” indiquée à l’étape 7 suppose que votre ordinateur portable est une machine Windows avec un compte protégé par mot de passe (demandé lors de l’exécution de mount). Il faut adapter la commande si vous êtes sous Linux ou Mac OS.

Cette procédure ne fonctionnera pas à tous les coups, mais permettra dans un grand nombre de cas, d’avoir une copie rapide de disque dur, à un coût raisonnable.

N’hésitez pas à me faire part de vos améliorations en commentaires.

———————————————-

Source image Megaportail

Règles de déontologie

Publié le 22 janvier 2013 par Zythom

La déontologie est l’ensemble des règles et des devoirs qui régissent une profession ou une activité, la conduite de ceux qui l’exercent, les rapports entre ceux-ci et leurs clients ou le public.

Le Conseil National des Compagnies d’Experts de Justice (CNCEJ) a mis à jour les règles de déontologie de l’expert de justice. Le document est téléchargeable sur leur site.

Comme je pense que ce document doit avoir la diffusion la plus large possible et contribue à éclairer le travail d’un expert judiciaire, je vous le livre in extenso ci-après. Le respect de ce code de déontologie est la meilleure protection pour un expert judiciaire.

Je vous en souhaite bonne lecture, en particulier aux experts judiciaires qui débutent dans cette noble activité, en cette période de prestations de serment.

———————————————————–

Les règles de
déontologie de l’expert de justice

(mises à jour le 9
mai 2012)

INTRODUCTION AUX
RÈGLES DE DÉONTOLOGIE

La première édition
des règles de déontologie de l’expert a été publiée à
l’initiative des Présidents THOUVENOT et SAGE en juillet 1978.
C’était la première fois que l’attention des experts était
attirée dans un texte sur la nécessité d’adopter une déontologie
rigoureuse. La préface de cette première édition est jointe en
annexe dans sa rédaction d’origine. Elle garde toute son
actualité.

L’orientation
était à juste titre essentiellement donnée à l’expert de
respecter l’application des textes qui régissaient l’expertise.

D’autres éditions
ont suivi sans apporter de corrections fondamentales au texte
initial.

L’évolution des
mentalités, les modifications apportées aux textes et une
jurisprudence de plus en plus rigoureuse des cours de justice
européennes notamment de la Cour Européenne des Droits de l’Homme
sur l’indépendance des intervenants à l’acte de justice, ont
rendu nécessaires plusieurs actualisations successives.

La rédaction
actuelle des règles de déontologie est plus orientée sur
l’adoption de principes de base que sur le rappel des textes dont
la teneur figure dans plusieurs publications du Conseil national.

Il s’agit non d’un
code de déontologie des experts ou de l’expertise édicté ou
avalisé par les autorités de justice mais d’un ensemble de règles
librement adoptées par les experts eux-mêmes.

S’il faut rappeler
que « le technicien commis doit accomplir sa mission avec
conscience, objectivité et impartialité » (art 237 du CPC), il
convient néanmoins de préciser que le fondement d’une déontologie
réside dans le respect d’une éthique rigoureuse plus que dans
l’application des textes.

A ce titre et en
toute circonstance, il ne doit jamais se départir des valeurs
d’intégrité, de probité et de loyauté.

L’adhésion à une
Compagnie membre du Conseil national implique impérativement pour
l’adhérent l’engagement de respecter les règles de déontologie.

Le technicien est
choisi par un magistrat pour lui apporter son seul concours
technique. L’expert désigné doit donc rester dans le cadre strict
de la mission qui lui est confiée et ne pas empiéter, même
indirectement, sur les prérogatives du juge. Il doit faire en sorte
que l’avis technique indiscutable soit exprimé sous sa seule
responsabilité, en son honneur et sa conscience.

L’expert est face
à lui-même et doit se garder de favoriser l’argumentation de
l’une ou l’autre partie au procès, directement ou indirectement.

S’il ne doit rien
faire qui s’oppose au rapprochement entre les parties, il n’a pas
à proposer de solution de compromis pour mettre fin au litige.

L’une des
difficultés de présentation des règles de déontologie dans leur
nouvelle version a été de clarifier les relations de l’expert
désigné judiciairement avec des organismes véritables donneurs
d’ordre, particulièrement en ce qui concerne les missions confiées
aux experts par des compagnies d’assurances ou des groupes
d’influence. La rédaction actuelle du titre V peut donner autant
d’insatisfaction aux tenants d’une rigueur absolue qu’à ceux
d’une certaine souplesse. Les circonstances locales ou
professionnelles font que des techniciens inscrits sur les listes de
cours d’appel sont également appelés de façon plus ou moins
fréquente par de tels organismes sans pour autant qu’un lien de
dépendance puisse être invoqué.

La base fondamentale
de la règle est que l’expert ne doit jamais se trouver en lien de
subordination, d’influence ou d’intérêt qui lui ôterait
inévitablement toute impartialité.

De la même manière,
l’expert inscrit sur une liste de cour d’appel appelé à
assister une partie avant tout procès, ou même en cours de
procédure, ne peut s’affranchir de la déontologie qu’il
s’engage à respecter en qualité d’expert de justice.

S’il importe que
l’expert désigné soit dans une situation d’indépendance
réelle, il est également indispensable qu’il en donne
objectivement l’apparence, le moindre doute à ce sujet ayant pour
effet de le fragiliser, de le rendre vulnérable et de porter
atteinte à l’impartialité et à l’image de la justice qui l’a
choisi, inscrit et commis.

On se reportera
utilement pour les interventions de l’expert aux côtés d’une
partie aux débats et conclusions du congrès de Marseille (2004)
publiés par le Conseil national.

Le respect d’une
déontologie ne pourra que contribuer à renforcer le modèle
français de l’expertise de justice. Elle s’appliquer à toutes
les interventions d’un expert dans la résolution des litiges.

La rédaction
actuelle des règles de déontologie ne résout pas toutes les
questions, et de nouvelles adaptations seront nécessaires en
fonction de l’évolution de l’expertise dans le cadre européen.

LES RÈGLES DE
DÉONTOLOGIE

L’adhésion à une
compagnie membre du Conseil National des Compagnies d’Experts de
Justice implique l’engagement de respecter ses règles de
déontologie.

Les compagnies
membres du Conseil national peuvent, en fonction des disciplines
exercées, si elles l’estiment nécessaire, adopter des
dispositions plus strictes que celles énoncées ci-après.

I – DEVOIRS DE
L’EXPERT ENVERS LUI-MEME

I -1) L’expert
adhérent d’une Compagnie membre du Conseil national est une
personne expérimentée dans un art, une science, une technique ou un
métier, inscrite sur une des listes ou tableaux prévus par la loi
ou les textes réglementaires, à qui le juge confie la mission de
lui apporter renseignements et avis techniques nécessaires à la
solution d’un litige.

L’expert inscrit
sur une liste officielle ou l’expert honoraire participe, pendant
l’exécution des missions qui lui sont confiées, au service public
de la justice. Il a alors la qualité d’expert de justice.

L’expert participe
à l’œuvre de justice et doit se présenter devant les
justiciables, les avocats, les juges avec une tenue et un
comportement qui répondent aux exigences de dignité aussi bien sur
le lieu de l’expertise que lors des manifestations qui se tiennent
dans une enceinte de justice.

I – 2) L’expert
inscrit sur une liste officielle n’exerce pas en cette qualité une
profession mais, dans les limites de sa compétence définie, une
activité répondant à la mission qu’il a reçue.

L’expert commis et
ayant accepté sa mission s’engage à respecter les textes en
vigueur, notamment ceux qui régissent l’activité expertale.

I – 3) L’expert
commis ne doit en aucun cas concevoir aux lieu et place des parties
des travaux ou traitements, les diriger ou en surveiller l’exécution
; dans les limites de sa mission, il donne seulement son avis sur les
propositions faites par les parties en vue de remédier aux causes du
litige.

L’expert peut, en
cas d’urgence ou de péril constaté par lui, proposer au juge que
la partie concernée soit autorisée à faire exécuter, tous droits
et moyens des parties réservés, sous la direction de tout
technicien qualifié au choix de la partie concernée, les travaux ou
traitements que celui-ci estimera utiles.

Lorsque l’expert
constate un danger ou un risque, il doit en avertir la ou les
partie(s) concernée(s) dans le respect du principe de la
contradiction et sous réserve, le cas échéant, du secret
professionnel. Si nécessaire, il en rend compte au magistrat.

I – 4) L’expert
qui a accepté une mission est tenu de la remplir jusqu’à complète
exécution.

Lorsqu’il est
empêché pour un motif légitime de poursuivre la mission, l’expert
doit, dans les meilleurs délais, en informer le juge en précisant
le motif de son empêchement.

I – 5) L’expert
est tenu d’entretenir les connaissances techniques et procédurales
nécessaires au bon exercice de son activité expertale.

I – 6) L’expert
doit remplir sa mission avec impartialité. Il doit procéder avec
dignité et correction en faisant abstraction de toute opinion ou
appréciation subjective.

I – 7) L’expert
doit conserver une indépendance absolue, ne cédant à aucune
pression ou influence, de quelque nature qu’elle soit.

Il doit s’interdire
d’accepter toute mission privée de conseil ou d’arbitre, à la
demande d’une ou de toutes les parties, qui fasse directement ou
indirectement suite à la mission judiciaire qui lui a été confiée.

S’il ne doit rien
faire qui s’oppose au rapprochement entre les parties, il n’entre
pas dans sa mission de proposer de solution de compromis pour mettre
fin au litige.

I – 8) A l’égard
des sapiteurs, collaborateurs ou tous autres assistants, l’expert
respecte et fait respecter l’ensemble des principes déontologiques
de dignité, respect, confraternité, qui sont les règles de base de
son comportement personnel et professionnel.

I – 9) L’expert
respecte et fait respecter en toute circonstance la règle de
discrétion. Il doit agir avec tact et réserve dans le respect de la
dignité humaine. A ce titre, il s’interdira de faire état de
toute information de nature à porter atteinte à la réputation ou à
la vie privée des personnes.

I -10) Dans les
limites de la mission et sauf obligation plus stricte découlant de
la déontologie propre à sa profession, l’expert n’est lié à
l’égard du juge qui l’a commis par aucun secret professionnel.

Le secret expertal
doit être respecté par les collaborateurs de l’expert, les
assistants fussent-ils occasionnels et toute personne qu’il est
amené à consulter, à charge pour lui de les en informer
préalablement.

I – 11) L’expert
s’interdit toute publicité en relation avec sa qualité d’expert
de justice. Il peut porter sur son papier à lettre et ses cartes de
visite la mention de son inscription sur une liste ou un tableau dans
les termes prévus par les textes en vigueur.

S’il appartient à
une compagnie membre du Conseil national, il peut le mentionner.

II – DEVOIRS DE
L’EXPERT ENVERS LES MAGISTRATS ET LES AUXILIAIRES DE JUSTICE

II – 1) L’expert
observe une attitude déférente envers les magistrats et courtoise à
l’égard des auxiliaires de justice.

II – 2) Il conserve
toujours son entière indépendance et donne son opinion en toute
conscience, sans se préoccuper des appréciations qui pourraient
s’ensuivre.

II -3) L’avis
technique formulé par l’expert ne liant pas le juge, le rapport
peut être librement discuté et critiqué. Si l’expert est
sollicité par le juge pour exposer son point de vue, il le fait en
toute indépendance.

II – 4) Sa
nomination appartenant souverainement au juge, l’expert doit
s’abstenir de toute démarche ou proposition en vue d’obtenir des
missions.

III – DEVOIRS DE
L’EXPERT ENVERS LES PARTIES

III – 1) L’expert
adopte une attitude correcte et courtoise à l’égard des parties.
Dans le cadre du respect du principe de la contradiction, il prête à
chacune d’elles l’attention et l’écoute indispensables à
l’exposé de ses prétentions.

III – 2) L’expert
doit se déporter s’il est nommé dans une affaire où l’une des
parties l’a déjà consulté, et dans tous les cas où il estime ne
pas être totalement indépendant ou ne pas satisfaire à l’apparence
d’indépendance.

En cas de doute,
l’expert informe les parties de l’éventuelle difficulté et se
déporte si l’une au moins d’entre elles estime que la difficulté
est réelle.

III – 3) Lorsqu’une
partie demande au juge, en lui fournissant toutes justifications
probantes, la récusation de l’expert, il s’en remet au juge, en
lui faisant éventuellement part de ses observations.

III – 4) L’expert
commis ne peut recevoir aucune somme ni avantage, sous quelque forme
que ce soit, qui ne soient précisés dans une décision
préalablement rendue ou prévue dans les textes.

IV – DEVOIRS DE
L’EXPERT ENVERS SES CONFRERES

IV – 1) Dans le cas
où un différend surviendrait entre deux ou plusieurs experts
membres d’une même Compagnie affiliée au Conseil national,
ceux-ci doivent le soumettre au président de la compagnie concernée
qui s’efforcera de les concilier et dont ils suivront les conseils
et avis.

Si le conflit
survient entre membres de compagnies différentes affiliées au
Conseil national, il sera soumis aux Présidents des compagnies
concernées qui en référeront en tant que de besoin au Président
du Conseil national.

IV – 2) L’expert
adhérant à une compagnie membre du Conseil national s’engage à
apporter, à la demande du président de la compagnie dont il dépend
et dans les conditions définies par celui-ci, toute assistance à
l’un de ses confrères momentanément empêché, ou aux ayants
droits de celui-ci sans chercher à en tirer un profit personnel,
étant rappelé qu’il ne pourrait se substituer au confrère
défaillant que sur décision du juge commettant.

V – CONSULTATIONS
PRIVEES D’EXPERTS INSCRITS SUR LES LISTES

Préambule

Selon l’article 6-1
de la Convention Européenne de Sauvegarde des Droits de l’Homme et
des Libertés Fondamentales, tout citoyen a droit à un procès
équitable.

Il peut donc lui
être utile d’être assisté par un technicien compétent
techniquement et procéduralement.

Dans ce contexte, il
convient de préciser les conditions selon lesquelles les experts
inscrits peuvent assister techniquement des parties.

V- 1) L’expert
inscrit, intervenant comme consultant privé, doit faire en sorte
qu’aucune ambiguïté n’existe sur le point que son avis ne
constitue pas une expertise de justice.

Il doit, de façon
générale, avoir la même relation avec la vérité que s’il était
nommé par une juridiction. Il ne peut mentir, fût-ce par omission.
Il ne peut « faire le tri » entre les pièces dont il a eu
connaissance et dont il doit établir et communiquer un bordereau
complet.

Il est recommandé,
avant d’accepter une mission d’expertise de partie, de faire
signer une lettre de mission rappelant les principes qui précèdent
en faisant explicitement référence aux présentes règles de
déontologie.

V – 2) L’expert
consulté sera tenu de donner son avis en toute liberté d’esprit
et sans manquer à la probité ou à l’honneur.

Il rappellera
explicitement les conditions de son intervention dans son avis.

V -3) L’expert
adhérent d’une Compagnie membre du Conseil national s’interdit
d’accepter, des missions de conseil dont le caractère récurrent
pourrait être de nature à porter atteinte à son indépendance ou à
en faire douter.

En outre il s’engage
à respecter des dispositions plus strictes de la compagnie dont il
est membre ou des juridictions dont il dépend.

V – 4) Les experts
inscrits peuvent être appelés en consultation à titre privé dans
les circonstances suivantes :

avant le début
d’un procès,
après le début
d’un procès et avant la désignation d’un technicien par un
magistrat,
pendant
l’expertise de justice,
après le dépôt
du rapport de l’expert commis.

L’expert consulté
se fera préciser par écrit l’état procédural de l’affaire au
moment de la consultation.

V – 5) Si aucun
procès n’a été engagé ou avant toute désignation d’expert,
il est recommandé à l’expert consulté de bien préciser que son
avis se rapporte à l’état des choses qu’il a été amené à
connaître à la date où il le donne. Cet avis doit être donné en
toute objectivité et liberté d’esprit.

En aucun cas,
l’expert consulté à titre privé ne peut ensuite accepter une
mission d’expertise de caractère juridictionnel concernant la même
affaire.

V – 6) S’il s’agit
d’assister une partie alors qu’un expert a déjà été chargé
d’une mission par un juge et n’a pas encore terminé de la
remplir, la consultation sera diligentée avec la volonté de
répondre objectivement et dans un esprit de loyauté et de
confraternité à l’égard de l’expert commis, qu’il informera
préalablement à son intervention.

Il ne peut, en
l’absence de la partie et de son avocat qui l’ont consulté,
assister aux opérations de l’expert régulièrement désigné que
s’il a justifié au préalable du mandat qu’il détient.

Il devra rappeler
par écrit à la partie consultante que ses observations écrites ne
pourront être produites que dans leur intégralité.

V – 7) Si l’expert
commis a déjà déposé son rapport, le consultant privé qui remet
à la partie qui l’a consulté une note ou des observations écrites
sur les travaux de son confrère, doit le faire dans une forme
courtoise, à l’exclusion de toute critique blessante et inutile.
Son avis ne peut comporter que des appréciations techniques et
scientifiques.

Il se fait confirmer
par écrit par celui qui le consulte, que les documents dont il
dispose ont été au préalable produits à l’expertise de justice
; si cependant il doit utiliser des documents nouveaux, le consultant
privé devra en faire état.

Il est impératif
que les consultations privées ne soient ni recherchées, ni
sollicitées.

V – 8) L’expert
consulté à titre privé se limitera à l’établissement d’un
avis destiné à la partie qui l’a consulté.

Il devra, en cas de
découverte de documents ou d’informations , dont l’expert commis
n’a pas eu connaissance, préciser leur incidence sur la solution
du litige.

En cas d’erreurs
matérielles relevées dans le rapport de l’expert de justice, ou
de divergence d’appréciation, il se limitera à les exposer et à
expliciter les conséquences en résultant.

VI – SANCTIONS

VI – 1) Tout
manquement aux règles de déontologie sera sanctionné par les
compagnies membres du Conseil national suivant leurs dispositions
statutaires.

ANNEXE

Préface de la 1ère
édition des règles de déontologie

(Juillet 1978)

Par Stéphane
THOUVENOT

Président d’Honneur
de la Fédération †

Vous êtes membre
d’une Compagnie adhérant à la Fédération Nationale.

Vous avez donc dû
justifier que vous aviez droit à l’un des titres protégés par la
loi du 29 juin 1971 ou que vous étiez inscrit, quand il en existe,
sur une liste établie par un Tribunal Administratif.

Il en résulte que
vous pouvez être chargé de temps à autre de missions ordonnées
par des magistrats relevant de juridictions qui peuvent être de
l’ordre judiciaire ou administratif.

Il importe que vous
connaissiez quelles sont alors vos obligations et quels sont vos
devoirs.

C’est pour vous
éclairer sur ce que vous avez à faire que le présent recueil est
publié.

…

Vous devez avoir
constamment à l’esprit les principes essentiels suivants :

au cours de
l’exécution d’une mission qui vous a été confiée, vous êtes
au service de la Justice et vous avez à ne pas dévier du rôle qui
est le vôtre. Vous avez à remplir votre mission, toute cette
mission et rien que cette mission, et vous avez à le faire en
coopération étroite avec le juge qui vous en a chargé,
s’il advenait
que la mission ordonnée vous conduise à jouer un rôle qui excède
celui que prévoient les textes énumérés ci -dessus, par exemple
en intervenant directement dans l’exécution de travaux qui sont à
faire par l’une ou l’autre des parties en cause, il serait de
votre intérêt avant d’accepter définitivement cette mission, de
mesurer les responsabilités exceptionnelles qui en résulteraient
pour vous et d’alerter le juge qui a fait appel à votre concours,
en toute
circonstance, vous devez faire prévaloir les obligations contenues
dans les lois ou règlements en vigueur auxquels vous avez à vous
conformer.

Les règles de
déontologie de la Fédération doivent être comprises dans le
respect de cette prééminence.

Il ne peut y avoir
de doute à cet égard.

C’est ainsi que si
vous avez accepté la mission qui vous a été confiée, vous ne
pouvez vous soustraire à l’obligation qui en résulte pour vous de
l’exécuter. Dès lors, si comme vous le recommande l’article 22
des règles de déontologie, vous vous assurez en commençant vos
travaux que la partie qui a reçu ordre de consigner a ou non exécuté
cette formalité, c’est seulement pour vous permettre d’éclairer
le juge sur ce point et de permettre la mise en application de l’a
rticle 271 du nouveau Code de Procédure Civile.

De même enfin, si
vous avez été nommé en matière civile pour une mission qui n’a
pas le caractère d’une mission d’instruction (par exemple à
l’occasion d’un procès entre partenaires sociaux) et si vous
avez décidé d’accepter cette mission, vous avez à vous conformer
aux termes dans lesquels elle a été énoncée, mais si la mesure a
le caractère habituel d’une mesure d’instruction, il n’est
jamais en votre pouvoir de concilier les parties et l’article 56 ne
peut en rien avoir pour effet de déroger à cette interdiction.

Devenir expert judiciaire…

Publié le 5 novembre 2012 par Zythom

Je remets ici à jour ce billet de janvier 2012 toujours d’actualité.

Tout d’abord, il est important de comprendre qu’Expert Judiciaire n’est pas une profession à proprement parler, mais une activité parallèle à une profession (sauf peut-être pour les experts traducteurs-interprètes, domaine que je ne connais pas beaucoup, mais vous pouvez relire ce billet pour plus d’informations).

Un expert judiciaire, c’est quelqu’un qui est inscrit sur une liste tenue par une Cour d’Appel. Le simple fait d’être inscrit sur cette liste donne le droit d’utiliser le titre “d’expert judiciaire près la Cour d’Appel de X”. Cette liste permet aux magistrats ayant besoin d’un avis technique de désigner quelqu’un pouvant les éclairer dans une affaire sur laquelle ils travaillent.

Pour être inscrit sur cette liste, vous devez avoir un “vrai” métier (celui qui vous fait vivre). Les magistrats qui gèrent cette liste considèrent que l’activité d’expert judiciaire doit être une activité annexe, ce qui me semble tout à fait raisonnable, tant il serait dangereux de vivre uniquement aux crochets des régies judiciaires, qui payent souvent avec beaucoup de retards (lire ce billet par exemple).

Cependant, le statut précis de l’expert judiciaire n’est pas parfaitement clair pour toutes les administrations, en particulier pour le régime de l’assurance maladie, y compris pour la justice elle-même, ce qui ne lasse pas de me surprendre. J’en ferai peut-être un billet, le jour où j’aurai compris réellement comment cela se passe (je ne suis inscrit sur la liste de ma Cour d’Appel que depuis 1999 ;-).

Le titre d’expert judiciaire est un titre prestigieux… Ou du moins qui jouit d’un certain prestige. Beaucoup de personnes aimeraient bien l’ajouter sur leur CV ou sur leur carte de visite. Certains considèrent même qu’il s’agit de la consécration ultime d’une carrière professionnelle, une forme de reconnaissance auprès de leurs pairs. Et malheureusement, certains, alors que la pratique de leur domaine technique est, hum, un peu ancienne, arriveront effectivement à être inscrit sur la liste des experts judiciaires de leur Cour d’Appel. C’est en tout cas vrai dans mon domaine, c’est-à-dire en informatique. J’ai rencontré un expert judiciaire fraîchement inscrit, et directeur informatique d’une société française prestigieuse, qui m’a avoué au détour d’une conversation, que la manipulation d’un disque dur lui était complètement étrangère… Je ne sais pas ce qu’il est devenu, mais j’espère qu’il n’a pas été désigné dans des dossiers avec disques durs. Ou du moins qu’il a refusé les missions de ce type.

N’oubliez pas que l’activité d’expert judiciaire ne se limite pas à l’analyse du contenu d’un disque dur, mais peut vous amener à étudier l’informatisation d’une entreprise par son prestataire de service, ainsi que les contrats qui les relient… Les jeunes loups qui me lisent, vous faites moins les malins, là 😉

Quelque soit votre âge, enfin si vous avez moins de 70 ans, vous devez remplir les conditions indiquées dans le billet de janvier 2012 (qu’il faut lire maintenant, je ne peux pas toujours tout résumer) et déposer un dossier de demande d’inscription.

Le billet se terminait comme suit:

Si votre demande est acceptée, vous serez convoqué pour prêter serment.
C’est aussi le bon moment pour contacter une compagnie d’experts pour
parler formations, procédures, assurance, et pour comprendre également dans quel guêpier vous êtes tombé avant de contacter les impôts, l’URSAFF et autres joyeusetés à qui vous allez expliquer votre activité (et comment ils doivent la gérer). Mais tout cela est une autre histoire, et concernant la bouteille, n’attendez pas la clôture de votre premier dossier.

Une déception d’un certain nombre de nouveaux experts judiciaires est de constater que l’institution judiciaire ne les accueille pas “comme il faut”, c’est-à-dire avec le tapis rouge qui est dû à leurs nouvelles fonctions.

Je pense que c’est un point que la France devrait revoir, en particulier pour les personnes recevant la nationalité française. Nous, Français, ne savons pas organiser une réception digne de ce nom pour les personnes toutes fières de s’intégrer à notre beau pays. Alors qu’il suffirait de prendre exemple sur les canadiens.

Ma prestation de serment fut assez terne. Nous étions tous réunis dans une salle d’audience, debout et un peu raides. Personne ne connaissait personne. Beaucoup d’entre nous mettaient les pieds pour la première fois dans un tribunal et étaient un peu désorientés. Le serment ayant été lu par le magistrat, une fois et pour tout le monde, et à l’énoncé de son nom, il fallait lever la main et dire “je le jure”.

L’institution judiciaire ne m’accueillait pas parce qu’elle avait besoin de moi, elle acceptait que je l’aide, parce que j’avais demandé à pouvoir la servir… C’est très différent.

Ensuite, une fois de retour chez moi, j’ai attendu plus d’un an avant de recevoir ma première désignation. Entre temps, personne n’était venu m’aider ou m’expliquer les démarches qu’il fallait faire auprès des différentes administrations pour démarrer cette “activité” d’expert judiciaire. Je n’avais jamais fait de facture d’honoraires, ni rempli une demande de remboursement de frais et débours.

Les choses sont un peu différentes maintenant qu’il faut passer par une phase probatoire de deux années, avec formation obligatoire (à vos frais). Mais l’idée est la même, et je comprends que l’activité d’expert judiciaire ressemble un peu à celle d’un club un peu fermé.

N’oubliez jamais aussi que vous travaillerez pro bono publico. N’attendez donc jamais un remerciement, un encouragement ou des félicitations de quiconque. Remplissez votre mission avec diligence et précision, mais assumez pleinement le risque de vous faire poursuivre en justice par une partie mécontente de votre travail.

Finalement, être expert judiciaire, c’est un peu comme tenir un blog, être conseiller municipal ou travailler dans un service informatique : beaucoup de critiques, peu d’encouragements, des risques d’agressions et toujours pro bono.

Mais il y en a qui aiment cela. C’est le moment de préparer votre dossier, car le 1er mars est vite arrivé.

A bientôt cher futur confrère !

——————————————

Source photo Megaportail

Contre expertise

Publié le 11 octobre 2012 par Zythom

Depuis deux ans, j’accepte les expertises privées commandées par des avocats. Il s’agit essentiellement de contre expertises. Les dossiers que je découvre alors sont analysés en profondeur, tant du point de vue procédure, que du point de vue technique. Et parfois, j’ai des surprises…

Léo Tyrell est informaticien, et comme souvent, la récupération de données est une demande récurrente de son entourage. A force de pratiquer, les différents outils disponibles sur internet n’ont plus aucun secret pour lui. Il est passé Maître dans l’utilisation de PhotoRec, Recuva, PC Inspector File Recovery et autres Glary Utilities.

Plus il dépanne son entourage, et plus Léo se dit qu’il existe là certainement un marché intéressant. Il décide de créer un site internet présentant ses compétences et ses tarifs. Il s’intéresse également de près à des logiciels beaucoup plus sophistiqués, utilisés par les services d’enquêtes en tout genre: EnCase Forensic, AccessData Forensic Toolkit, X-Way Forensics…

Un jour, pour une raison qui m’échappe, M. Tyrell est contacté par un juge d’instruction qui souhaite lui confier une mission. Comment le magistrat a-t-il pris connaissance de l’existence de Léo Tyrell, nul ne le sait. Par Internet probablement, ou qui sait, par le bouche à oreille.

C’est pour lui une consécration, une reconnaissance de ses compétences. Il va pouvoir mettre son savoir faire au service de la justice.

Le magistrat lui explique au téléphone qu’il travaille sur une affaire de diffamations et injures publiques sur des forums de discussions, que des ordinateurs ont été saisis, et qu’il aimerait que ceux-ci soient analysés pour retrouver le ou les auteurs des messages inappropriés. M. Tyrell, trop heureux de la reconnaissance implicite de son savoir faire, accepte avec enthousiasme.

Il reçoit quelques jours plus tard un courrier officiel du juge d’instruction avec pour mission de:

– Bien vouloir analyser les scellés UN et DEUX du PV n° 1234/5647 du SDPJ de Villevieille afin d’en extraire éventuellement des éléments constitutifs de la présente plainte;

– Faire toutes observations utiles à la manifestation de la vérité.

Comme indiqué dans le courrier du magistrat, Léo retourne le récépissé d’acceptation de mission et attend avec impatience de pouvoir récupérer les ordinateurs.

Quelques semaines plus tard, il est contacté par un Officier de Police Judiciaire pour prendre rendez-vous et venir chercher les deux scellés.

Une fois en possession des ordinateurs, il brise les scellés et démonte les disques durs à fin d’analyse. Il y trouve des emails de correspondance entre le suspect et le plaignant. Il découvre également des logiciels d’anonymisation et de VPN, utilisés probablement lors des accès aux forums de discussion.

Après quelques semaines de travail, il rend au magistrat un rapport qu’il pense brillant.

A ce stade du récit, je voudrais faire quelques remarques:

– M. Tyrell n’est pas expert judiciaire, car il n’est pas inscrit sur la liste des experts près la Cour d’Appel de sa région. Cela ne pose pas de problème particulier, car un magistrat n’est pas obligé de choisir un expert inscrit sur cette liste (à condition toutefois de motiver ce choix).

– La désignation d’un expert hors liste impose des précautions particulières: il est nécessaire qu’il ait conscience qu’il devra respecter une « déontologie » et les règles de procédure civile visées sous les articles 233 à 248, 273 à 281 et 282 à 284-1 du NCPC.

– Il devra également pouvoir justifier d’une garantie d’assurance suffisante couvrant une éventuelle mise en cause de sa responsabilité civile résultant de la mission.

– Le Code de Procédure Pénale impose la prestation de serment aux personnes non inscrites sur les listes d’experts judiciaire, à défaut par écrit (article 160). Dans le cas présent, la prestation de serment a eu lieu après l’ouverture des scellés, ce qui me semble curieux.

– L’expert nommé hors liste sera pour le reste soumis aux obligations communes à tous les experts et en particulier à la pratique de la déclaration d’indépendance. (ref Cour de Cassation).

– Enfin, l’intitulé de la mission couvre ici un champ particulièrement vaste. Sachant que l’expert désigné ne dispose que de quelques éléments du dossier qui lui sont transmis, il importe de contacter le magistrat pour se faire préciser la mission, voire se faire communiquer des pièces essentielles du dossier, comme ici par exemple, la plainte.

Afin d’analyser le travail effectué par M. Tyrell, l’une des parties me contacte et me transmet le rapport pour une contre expertise privée, entièrement à ses frais et sans garantie de pouvoir être exploitée en justice.

Mon travail commence. Il s’agit d’analyser le rapport d’expertise, d’en expliquer le contenu de manière pédagogique, et d’en effectuer la critique objective.

Dans cette affaire (romancée je le rappelle), beaucoup d’approximations ont été faites:

Sur les scellés:

– l’ouverture des scellés a été faite sans aucune précaution (pas de photographie, pas de description des contenus, pas de vérification des numéros de série, pas d’inventaire exhaustifs…).

– une liste de logiciels ayant servis à l’analyse des disques durs est bien fournie dans le rapport, mais aucune information n’est donnée sur le mode opératoire de l’utilisation de chaque logiciel.

– à aucun endroit n’est fait mention de bloqueur d’écriture, ni des précautions prises pour éviter de modifier les disques durs des scellés. Aucune somme de contrôle (hash code) n’a été calculée pour prouver la non altération des preuves.

Sur les dates d’accès internet:

– toutes les dates fournies dans le rapport font référence à la date du système d’exploitation. Mais celle-ci est-elle exacte? L’horloge du BIOS indique-t-elle une heure exacte? Le système heure d’hiver/heure d’été est-il actif? Y a-t-il eu altération de la chronologie des fichiers (par manipulation manuelle de l’horloge du système, ce qui n’est pas interdit)?

– les dates des fichiers n’ont pas été corrélés avec les dates indiquées dans les entêtes des messages emails. Aucune étude n’a été faite pour vérifier auprès des FAI que les accès constatés sur les forums correspondent aux dates fournies.

Sur les moyens techniques:

– le rapport confond compte informatique utilisé sur le PC et personne susceptible d’utiliser le compte (un membre de la famille, un ami…).

– l’un des ordinateurs est de marque Apple. Aucune mention spécifique n’est faite dans le rapport: pas d’indication sur le nom du système d’exploitation installé et sa version, pas d’état d’utilisation d’outils d’investigation spécifique à l’environnement Apple.

– le rapport cite trois logiciels commerciaux d’analyse inforensique fort onéreux. Est-il possible d’en connaître les numéros d’enregistrement de licences? (c’est un coup bas, mais il permet d’éliminer les guignols utilisant des logiciels crackés pour faire leurs investigations).

Sur le fond du dossier:

Les qualifications d’injure et de diffamation sont des notions juridiques précises que tout le monde ne maîtrise pas nécessairement. A Paris, la 17e chambre du tribunal correctionnel, dite chambre de la presse, est spécialisée dans ce domaine. C’est aussi le prétexte de billets savoureux…

Faute d’avoir demandé des précisions sur sa mission, l’expert part au
petit bonheur la chance dans l’exploration des données du disque dur,
avec des requêtes basées sur des expressions régulières de mots clefs
choisis selon l’état d’esprit de l’expert et non pas guidés par une
méthode rigoureuse. Les recherches semblent avoir été faites avec comme objectif de trouver des preuves accablant le suspect.

Le plaignant et le suspect étant manifestement en contact, tous les liens prouvant ce contact sont présentés comme étant des preuves de ce contact. La démonstration ressemble fort à une tautologie (100% des gagnants ont tenté leur chance!).

Aucune exploration n’est faite “in vivo”, sur une copie du disque dur par exemple, ou dans une machine virtuelle. Ne sont pas cités les logiciels installés, en lien avec le dossier, et utilisés pour accéder aux forums de discussion.

L’utilisation d’un logiciel VPN, et d’une messagerie anonymisée n’implique pas l’intention de mal agir. Chaque internaute à le droit de chercher à protéger sa vie privée.

Conclusions:

Les “experts” voulant jouer aux experts judiciaires risquent eux-aussi la mise en cause de leur compétence devant la justice. A leurs risques et périls. Dans le cas présent, le rapport d’expertise a été écarté.

Enfin, chaque citoyen peut se voir accusé injustement d’un fait dont il est innocent. Beaucoup croient que la découverte de la vérité s’effectue “automatiquement” et “gratuitement” à travers des enquêtes sérieuses menées avec tous les moyens (humains et financiers) d’une justice moderne.

Ils se trompent lourdement.

—————————————————

Source photo megaportail

Piratage standard

Publié le 30 juillet 2012 par Zythom

Dans le cadre des rediffusions estivales, voici une anecdote publiée initialement le 10 juin 2008 sur le blog de Sid.

Elle illustre bien le fait que je ne suis pas un spécialiste de la sécurité informatique, et encore moins du paramétrage d’un autocommutateur téléphonique privé (plus communément appelé “standard téléphonique” ou PABX). Et qu’un expert peut s’en sortir avec un peu d’imagination (et de chance). Et qu’il faut toujours lire les manuels. Et qu’il faut être prudent avec les outils de communication que l’on utilise…

—————————————————

Lorsque Sid m’a contacté pour de demander d’accepter de rédiger une
anecdote sur la sécurité informatique, j’ai aussitôt accepté tant
j’étais flatté. Puis je me suis demandé ce qu’un expert judiciaire comme
moi pouvait bien avoir à raconter sur un blog de ce niveau, avec des
lecteurs aussi pointus sur ce domaine. Un peu comme un médecin
généraliste invité à s’exprimer lors d’un séminaire de cardiologues.
Alors, soyez indulgents.

J’ai été approché, il y a quelques années de cela, par le directeur
général d’une entreprise qui souhaitait me confier une expertise privée
dans un contexte délicat: son serveur téléphonique avait été piraté.
Malgré mes explications sur mon manque de compétence en PABX, il voulait
absolument que j’intervienne sur cette affaire. Il avait eu de bonnes
informations sur moi, et, je l’appris plus tard, j’avais le meilleur
rapport qualité/prix…

Me voici donc, sur la base d’un forfait d’une journée d’audit, au sein
de l’entreprise, un samedi pour plus de discrétion. Étaient présents sur
les lieux: le DG, le DT, le RH, le RSI et moi (l’EJ:). Nous avions
convenu le DG et moi que je jouerais le candide éclairé.

Nous voici donc à étudier le problème: le PABX de l’entreprise avait été
piraté. La preuve était que des fuites avaient eu lieu car des
conversations téléphoniques confidentielles avaient été écoutées. Les
preuves étaient minces, mais le DG était convaincu de la réalité de ces
fuites et de leur cause.

Le PABX était géré par deux services: le service technique (car c’est un
système de gestion des téléphones) et le service informatique (car
c’est “programmable” avec logiciel et base de données)… Les deux
responsables de service avaient mené leur petite enquête et rejetaient
implicitement la faute sur l’autre, n’ayant rien trouvé d’anormal dans
leur partie.

Avant de les laisser me noyer dans des détails techniques prouvant leurs
compétences et leur bonne foi, j’ai voulu en savoir plus sur le
principe de fonctionnement de la téléphonie de l’entreprise: chaque
salarié dispose-t-il d’un combiné identique, y a-t-il un mode d’emploi,
etc.

Et me voici plongé dans le mode d’emploi (relativement simple) du modèle
standard de téléphone de cette entreprise. Attention, je vous parle
d’une époque pré-ToIP, mais avec des bons “vieux” téléphones numériques
quand même. Tout en feuilletant la documentation, je me faisais quelques
réflexions générales sur la sécurité : est-il facile d’accéder au PABX
de l’entreprise, comment faire pour pénétrer le système, etc.

En fait, je me suis dit qu’il était somme toute beaucoup plus facile
d’écouter une conversation en se mettant dans le bureau d’à côté. Et là,
le hasard m’a bien aidé: au moment où je me faisais cette réflexion, je
suis tombé sur le passage du manuel utilisateur consacré aux
conférences téléphoniques. Il était possible de rejoindre une
communication téléphonique déjà établie pour pouvoir discuter à
plusieurs.

Le Directeur Général me confirme alors qu’une présentation de cette
fonctionnalité avait été faite quelques mois auparavant aux salariés. Je
demande une démonstration: le directeur technique et le responsable des
systèmes d’information retournent dans leurs bureaux et conviennent de
s’appeler. Une fois en conversation, je prends le téléphone présent dans
la salle de réunion et compose le numéro d’une des deux personnes. Bien
entendu, j’obtiens une tonalité occupée. Suivant le mode d’emploi,
j’appuie sur la touche ad-hoc du combiné afin de m’inviter dans la
conférence téléphonique.

Et me voici en train d’écouter les deux hommes, en prenant bien garde de
ne prononcer aucune parole. Au bout de quelques minutes, les deux
hommes décident de raccrocher, pensant que je n’avais pas réussi à
rejoindre leur conférence téléphonique…

C’est ainsi, que devant le Directeur Général abasourdi, j’ai pu
“pirater” une conversation téléphonique en appelant simplement un poste
occupé et en appuyant sur un bouton…

Le PABX avait mal été configuré. Tout le monde pouvait écouter tout le
monde. Quelqu’un s’en était rendu compte et en avait profité…

J’ai été payé par le patron reconnaissant une journée de travail pour deux heures de réunion 🙂

Mais je ne regarde plus mon téléphone de la même façon maintenant.

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Expert debutant

Cracker les mots de passe

Les experts peuvent se tromper…

Modification de l’article 282 du Code de Procédure Civile

Stockage

L’art de la copie d’écran

Prise d’image rapide d’un disque dur

Règles de déontologie

Devenir expert judiciaire…

Contre expertise

Piratage standard