Savoir s’arrêter : la réponse

Pour faire suite au billet de janvier 2020 “Savoir s’arrêter : le courrier‘, voici le courrier de la Cour d’Appel de mon ressort judiciaire que j’ai reçu fin novembre 2020 :

Monsieur,

J’ai l’honneur de vous notifier, en application des dispositions de la loi du 29 juin 1971 modifiée par la loi du 11 février 2004 et du décret du 23 décembre 2004 modifié relatifs aux experts judiciaires que l’assemblée générale de la cour d’appel de [Tandaloor] réunie le 13 novembre 2020, a constaté votre souhait de ne pas renouveler votre inscription et procédé à la suppression de celle-ci sur la liste des experts judiciaires établie pour l’année 2021.

Les décisions prises pour l’établissement des listes d’experts ne peuvent donner lieu qu’à un recours devant la Cour de cassation en application de l’article 20 du décret n°2004-1463 modifié.

Ce recours doit être formé dans un délai d’un mois, à compter de la présente notification par déclaration au greffe de la cour de cassation ou par lettre recommandée avec demande d’avis de réception adressée au greffe de la cour de cassation.

Je vous prie d’agréer, Monsieur, l’expression de mes salutations distinguées.

P/Le procureur général
Mme [Gowachin]
Substitut Général

Comme mon courrier de décembre 2019 n’a pu être pris en compte qu’en novembre 2020, à partir de ce soir, officiellement, je ne suis donc plus expert judiciaire. Je suis fier d’avoir apporté mon concours à la Justice, accompli mes missions, fait mes rapports,
et donné mon avis en mon honneur et en ma conscience. Je l’ai fait en toute indépendance, de mon mieux et en gardant ma liberté de parole et d’esprit.

Je laisse la place à plus jeunes et plus compétents que moi.

Mais je continuerai à m’exprimer ici, sur tous les sujets, y compris sur ceux de l’expertise judiciaire, n’en déplaise aux vieux cons.

Je profite de ce billet du 31 décembre pour vous souhaiter à tous de bonnes fêtes et, avec quelques heures d’avance, une bonne année 2021.

Malgré tout.

Awk awk awk

Pour retirer les lignes en doublon dans un fichier texte contenant beaucoup de lignes (voir le billet “Dictionnaire français pour hashcat“), j’ai utilisé la commande suivante :

cat toto.txt | sort | uniq > pas-de-doublons.txt

où toto.txt est un fichier texte d’environ 20 Go et où le fichier pas-de-doublons.txt résultant ne fait plus que 311 Mo. La commande met 1h30 à s’exécuter sur mon ordinateur.

Un internaute m’a fait remarquer en commentaire sur mon GitHub que cette commande pouvait être avantageusement remplacée par la commande suivante :

cat toto.txt | awk '!x[$0]++' > pas-de-doublons.txt

Mais avant d’essayer la commande awk sur mon ordinateur, je voulais la comprendre. Et à ma grande surprise, je n’ai pas réussi à trouver d’explications sur cet usage particulièrement concis sur internet (spoiler : j’ai mal cherché). J’ai donc demandé de l’aide sur Twitter où @CyrilBrulebois m’a fourni une explication en quelques secondes : https://unix.stackexchange.com/questions/159695/how-does-awk-a0-work

Je vais détailler ici l’explication, pour pouvoir m’y référer plus tard, quand ma mémoire me fera défaut.

awk est une commande très puissante, c’est un langage de programmation a elle tout seule qui permet une recherche de chaînes et l’exécution d’actions sur les lignes sélectionnées. Elle est utile pour récupérer de l’information, générer des rapports, transformer des données entre autres (source funix.org).

!x[$0]++ est à interpréter de la manière suivante :

$0 contient une ligne complète du fichier toto.txt

x[] est un tableau associatif. Pour en savoir plus, lire cet article sur les tableaux en bash. Il reçoit en argument autre chose que des entiers de 0 à N comme un tableau habituel. Il peut recevoir une chaîne de caractère.

x[$0] regarde si la valeur de la clé $0 est déjà présente dans le tableau associatif x[]. Si elle ne s’y trouve pas, une chaîne de caractère vide est placée dans x[$0]. Dans tous les cas, x[$0] retourne son contenu.

Lequel des deux opérateurs “!” ou “++” est-il prioritaire sur l’autre ? Il s’agit de vérifier la précédence de ces deux opérateurs. Le tableau que l’on trouve par exemple dans ce document, nous indique que ++ est prioritaire sur “!”. Mais comme il est situé à droite de x[$0] (post-incrément), il faut d’abord évaluer le contenu de x[$0], considéré comme un entier (1ère action de “++”), passer cette évaluation à l’opérateur “!”, puis l’incrémenter de 1 (2e action de “++”).

Donc si la ligne contenue dans $0 vient d’apparaître pour la première fois, x[$0] contient une chaîne de caractère vide considérée comme équivalente à 0, et x[$0] retourne 0 (= faux), puis passe à 1. Sinon x[$0] retourne N (= non nul = vrai), puis passe à N+1.

Comme !x[$0]++ est la négation de x[$0]++, il suffit d’inverser le résultat du paragraphe précédent : si la ligne contenue dans $0 vient d’apparaître pour la première fois, !x[$0] retourne 1 (= non nul = vrai), puis x[$0] passe à 1. Sinon !x[$0] retourne 0 (= faux), puis x[$0] passe à N+1.

Dit autrement, !x[$0]++ retourne :
– vrai si $0 contient une ligne non déjà vue, puis incrémente x[$0]
– faux si $0 contient une ligne déjà vue, puis incrémente x[$0]

Enfin, le comportement par défaut de awk est d’imprimer $0 en cas d’évaluation à vrai, et de ne rien faire dans le cas contraire. Toutes les lignes déjà vues disparaissent. Le fichier résultant ne possède pas de lignes en doublon.

La commande recommandée fait donc bien ce qu’elle est sensée faire, et elle le fait plus vite : 15mn sur mon ordinateur au lieu d’1h30 avec la commande “sort | uniq”…

Par contre, elle fonctionne bien parce que mon fichier texte initial contient beaucoup de doublons (le fichier final fait 311 Mo) et ne sature pas la mémoire de mon ordinateur. J’ai eu moins de chance avec un fichier texte de 15 Go recommandé par @CyrilleFranchet, et qui contient peu de doublons… Ça a fait exploser en vol ma machine. Comme quoi, la lisibilité a ses avantages ^^. Cette commande awk est donc à utiliser avec un œil sur l’évolution de l’occupation de la mémoire vive.

Pour aller plus loin : grep – sed – awk, exemples avancés

Dictionnaire français pour hashcat

Dans la droite ligne du billet précédent, et toujours à la demande d’un collègue ayant perdu le mot de passe d’un fichier pro Excel, j’avais besoin d’un fichier de mots français susceptibles d’être utilisés comme mot de passe.

Il y a toute une littérature sur “comment choisir un bon mot de passe”, et une partie non négligeable de mon travail actuel consiste à expliquer aux gens les consignes de base de la sécurité informatique. Je dois reconnaître que c’est passionnant, mais que la base de la base de la base n’est pas toujours comprise malgré des trésors de pédagogie.

Si les politiques de choix d’un mot de passe se sont durcies au fil du temps, et qu’il est difficile aujourd’hui de créer un compte informatique sans devoir prendre un mot de passe d’au moins 12 signes dont des minuscules, des majuscules, des chiffres et/ou des caractères spéciaux, que se passe-t-il quand l’utilisateur PEUT choisir le mot de passe qu’il veut, par exemple pour limiter l’accès à un fichier Excel ? La réponse est simple : mon expérience de la casse de mot de passe pour les besoins de la justice m’a montré que la plupart des personnes choisissent un mot courant, éventuellement suivi par un nombre, parfois complété par un point d’exclamation.

Quand aucune politique de sécurité n’est imposée, le choix préféré des français est donc : mot courant [ + année] [ + ! ]

Avant de procéder à une attaque par force brute, ie en essayant toutes les combinaisons possibles, et après avoir testé les mots de passe “évidents” (date de naissance, nom de l’utilisateur, prénom de son partenaire et de ses enfants, date de mariage, etc.), une bonne méthode est donc l’attaque par dictionnaire, ou plutôt en bon français, “l’attaque par liste de mots”.

Il existe sur internet une grande quantité de listes de mots, toutes aussi intéressantes les unes que les autres, mais je n’ai pas trouvé une liste de mots courants français, incluant les noms des régions, départements, villes, villages, hameaux et lieux dits, incluant aussi les mots d’argots, le vieux français, les différents patois, le langage “jeune”, les prénoms français, les petits noms donnés aux animaux, etc. Le tout intégrant les magnifiques caractères spécifiques du clavier français (le plus courant) é è ç à ù €, mais aussi tous les autres â ê ŷ û î ô ä ë ÿ ü ï ö Ä Ë Ÿ Ü Ï Ö etc.

Je me suis alors souvenu qu’il était possible de récupérer tout le contenu de Wikipédia pour pouvoir en disposer hors ligne. J’ai donc récupéré TOUT le Wikipédia francophone sur mon ordinateur, et je l’ai trié pour ne garder qu’un mot par ligne, puis j’ai éliminé les doublons. En comptant les essais/erreurs et les différents tâtonnements, il m’a fallu une journée pour disposer d’une magnifique liste de mots courant utilisés par les Français…

Puis j’ai utilisé la commande hashcat suivante :

hashcat -m 9500 -a 0 -w 3 --username --status --session=toto hashExcel.txt wikipedia.fr.txt

Environ 20mn plus tard, l’ordinateur me fournissait le mot de passe utilisé : un village des Alpes dont le nom fait 10 caractères.

Si vous aussi vous voulez briller auprès de vos collègues, vous pouvez utiliser cette méthode, à condition d’en donner le crédit “au blogueur dont le nom est presque celui d’une bière de l’Égypte antique” en vous rendant sur mon Github : https://github.com/Zythom/french-wikipedia-word-list. Cette saine lecture vous fera réviser vos codes ASCII et la base octale ^^.

Si par contre vous voulez compliquer la tâche des casseurs de mot de passe, ajoutez un “µ” ou un “>” dans votre mot de passe, ou mieux : générez le aléatoirement avec votre KeePass et installez l’extension “Kee Password Manager” dans votre navigateur.

Mais chacun fait ce qu’il veut.

Cracker un mot de passe

Dans le cadre de mon travail, j’ai parfois besoin de cracker un mot de passe, soit parce que la personne qui a protégé le fichier est partie et n’a pas laissé le mot de passe à ses collègues, soit parce que le propriétaire du scellé judiciaire n’est pas très coopératif…

Il y a une grande quantité d’articles sur internet pour guider un RSSI débutant ou un expert judiciaire qui serait dans le besoin. J’ai déjà d’ailleurs écrit en 2013 un billet (qui reste valable) sur quelques uns des outils que j’ai utilisés.

Vous le savez, j’ai une passion pour les réseaux de neurones et je continue, malgré le peu de temps et de forces qu’il me reste, à étudier les algorithmes de ce que l’on appelle aujourd’hui le deep learning.

Je suis des cours en ligne, j’achète des livres, je teste sur du matériel que je bricole, mais j’exploite aussi les ressources auxquelles je peux accéder dans le cloud.

C’est un petit retour d’expérience que je vais faire ici, destiné à des informaticiens auxquels leur entreprise ne fournit pas les moyens adéquats (je pense à la justice par exemple), ou à des étudiants.

Attention : il n’est pas inutile de rappeler que toute utilisation illégale de ce type d’outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l’approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s’en servir à leur insu est réprimandée par la loi.

Enfin, les ressources mises à disposition gratuitement sur le cloud dont je vais parler sont destinées avant tout à un usage de recherche et d’apprentissage. Elles sont donc à utiliser avec modération, car mutualisées.

Il vous faut un compte Google, s’y connecter et aller sur https://colab.research.google.com/

Créez un nouveau notebook en donnant un nom quelconque, puis allez dans le menu “Exécution / Modifier le type d’exécution” et choisir “GPU”.

Vous allez pouvoir saisir des commandes GNU/Linux Ubuntu, en les faisant précéder du caractère “!”, comme par exemple : !pwd

Pour exécuter une commande (une fois celle-ci saisie), il suffit de cliquer sur “play”.

Pour installer hashcat :

!git clone https://github.com/hashcat/hashcat.git && cd hashcat && make && make install

Pour uploader un fichier de hash :

from google.colab import files
uploaded = files.upload()

Pour installer un dictionnaire français (très basique) :

!apt install wfrench

Pour installer un gros dictionnaire :

!wget https://www.outpost9.com/files/wordlists/dic-0294.zip
!unzip dic-0294.zip

Exemple de commande hashcat (attaque par dictionnaire) :

!hashcat -m 9500 -a 0 --username --status hash.txt /usr/share/dict/french -r/usr/local/share/doc/hashcat/rules/best64.rule

Exemple de commande hashcat (attaque par brute force avec tous les mots de passe de moins de 8 caractères en minuscule) :

!hashcat -m 9500 -a 3 --username --status -i --increment-min 1 --increment-max 8 -1 ?l hash.txt ?1?1?1?1?1?1?1?1

A utiliser avec modération. Au bout de 12h de calculs, la commande est arrêtée, et Sundar Pichai vous appelle personnellement.

Pour plus d’informations :
https://hashcat.net/wiki/
https://www.kali-linux.fr/forum/index.php?topic=2476.0
https://www.outpost9.com/files/WordLists.html

Mettre une GTX1060 dans un PC de 2005, une gageure…

Le réseau sans filtre

Cette histoire est fictive, inventée, les personnages sont imaginaires, le billet est écrit suite à un commentaire du billet précédent. Ça m’a donné cette idée d’une histoire qui pourrait être vraie. Ou pas.

Je m’appelle Brendan Barnes, je suis informaticien dans une PME, et il m’est arrivé un truc pas possible, que j’en ai pas dormi de la nuit suivante… J’étais au fond de mon lit quand on a sonné à la porte. Un peu vaseux, je me demande ce qu’il se passe, et d’abord, quelle heure est-il ? 6h05 du matin ! Mais qu’est-ce qu’il se passe me dit ma femme ? Je vais voir, lui répondis-je. J’ouvre la fenêtre de la chambre et je passe la tête pour regarder en bas dans la rue qui sonne à la porte. Je vois un groupe de personne, dont deux policiers. Ils me demandent de descendre leur ouvrir la porte…

J’enfile vite fait un peignoir, préviens ma femme de se lever rapidement car la police est en bas, et je descend les escaliers, en essayant de ne pas réveiller les enfants.

“Bonjour Monsieur Barnes, Maître Malicorne, Huissier de justice, je viens procéder à une perquisition. Je suis accompagné d’un expert judiciaire informatique, d’un serrurier et de la force publique autorisée par le juge d’instruction, comme écrit sur ce document. Je vous remercie de nous laisser entrer sans opposition comme la loi vous y oblige.”

Et me voilà avec cinq personnes entassées dans mon hall d’entrée, et qui attendent le visage sombre que l’huissier finisse de me lire des papiers auxquels je n’entends rien. Mes pensées virevoltent et mon cerveau est bloqué en mode “MAIS QU’EST-CE QUE C’EST QUE CE CAUCHEMAR”.

Heureusement, H., ma femme, vient me sortir de ma paralysie en criant fort à propos : “MAIS QUI ÊTES-VOUS QU’EST-CE QUE VOUS FAITES LA FAITES MOINS DE BRUIT VOUS ALLEZ RÉVEILLER LES ENFANTS !”

Les enfants sont effectivement bien réveillés, debout dans les escaliers, et pleurent à chaudes larmes : le cauchemar est devenu bien réel.

Une fois les enfants et ma femme calmés, tous les adultes se sont retrouvés entassés dans mon bureau-bazar et l’expert judiciaire a commencé à regarder le contenu des différents supports : les disques durs des ordinateurs de la maison, y compris ceux des consoles de jeux, de la box, puis il a exploré le réseau informatique. Il a repéré les Raspberry Pi et NAS sur lesquels j’héberge tous les services de la maison. Il semblait aussi très intéressé par le parefeu que j’ai mis en place sur mon ordinateur. Puis il a lancé la copie des différents disques durs où je stocke les données de la maison…

Je me suis senti dépossédé de toute ma vie privée.

Les copies numériques vers les disques durs de l’expert ont pris des heures. Pendant tout ce temps là, j’ai pu prendre conscience des raisons pour lesquelles j’en étais là. Les policiers étaient partis, le serrurier aussi. Les enfants étaient à l’école et j’avais convaincu mon épouse d’aller à son travail. Je restais seul avec l’huissier et l’expert judiciaire.

L’expert judiciaire avait l’air d’un brave bougre. Il m’a donné quelques unes des clés de ma situation.

Depuis des années, je télécharge des trucs sur internet : des films, des programmes, des jeux… Je connais tous les trucs pour échapper aux radars des autorités. Au fur et à mesure que les “ayant trop de droits” ont obtenu du législateur des lois allant toujours plus dans le sens de leurs intérêts, j’ai du m’adapter pour éviter les pièges. Après avoir abandonné eDonkey pour télécharger les trucs que la communauté se partage sur cet espace de liberté qu’est internet, je me suis rabattu sur des outils plus sûrs pour récupérer les derniers films du box office et les cracks des logiciels que j’installe sur les ordinateurs des enfants : j’ai investi dans un VPN qui me permet de contourner les décisions débiles des multinationales du cinéma qui se sont découpées le monde en zone de marché où elles imposent les prix qu’elles veulent. Souvenez vous des DVD qu’on achetait lors d’un voyage et dont on découvrait un peu stupéfait qu’on ne pouvait pas les lire sur notre lecteur DVD de salon, sans le “dézoner” !

Alors, j’ai continué à récupérer des jeux crackés, des films rippés, des clés d’activation et des patchs de contournement des DRM, via Tor, via I2P, via FreeNet et consorts.

Plus le monde impitoyable des copyrights et des brevets logiciels cherchait à imposer ses lois (et réussissait auprès des législateurs du monde entier), plus je jubilais derrière mon écran. HADOPI, mon Amour.

Et là, un expert judiciaire qui s’ennuie dans mon bureau pendant la copie de toutes mes données, m’explique que j’ai un gros trou dans la raquette, que depuis le remplacement de ma box par la nouvelle version plus performante, je ne peux plus désactiver l’option IPv6, que tous mes équipements disposent maintenant d’une adresse IPv6 locale et globale qui leur permet d’accéder directement à internet, que le parefeu intégré à ma box est très permissif concernant IPv6 “pour que ça marche”, que le parefeu de mon PC est parfaitement étanche pour une configuration IPv4 mais pas pour une configuration IPv6, que j’ai bien déactivé la configuration IPv6 de ma carte réseau, mais pas celle de mes équipements, que mon VPN utilise les DNS de ma box…

Bref, il m’explique ce que je sais déjà : à 40 ans, je n’ai jamais appris pendant mes études les détails, la gestion et les subtilités d’une configuration IPv6. Mes profs continuent d’ailleurs pour la plupart à enseigner les classes C des réseaux IP. Donc, je sais qu’IPv6, c’est l’avenir, que les adresses sont des trucs qui ressemblent à 2001:db8:0:85a3::ac1f:8001, et qu’au boulot personne ne veut en entendre parler, parce que c’est déjà difficile de maîtriser nos équipements IPv4 avec le spanning tree, les broadcasts, les VLAN, DNS et DHCP, pour ne pas en plus doubler la gestion avec IPv6.

Et là, maintenant, je paye le prix fort pour mon serveur Xpenology qui discute en IPv6 avec Synology Corp concernant ses statistiques de fonctionnement, pour mon serveur qui discute en IPv6 avec HP Corp de son iLO dont la clé a été récupérée via Google Corp, pour ma console Xbox qui discute en IPv6 avec Microsoft Corp du catalogue de jeux piratés que j’utilise.

Et je vais aussi payer au prix fort pour les centaines de DVD rippés stockés en clair sur mon serveur multimédia familial que ce salaud d’expert judiciaire est en train de copier.

Parefeu non homologué AFNOR non validé DGA

Savoir s’arrêter : le courrier

Pour faire suite au billet “Expert judiciaire : savoir s’arrêter‘, voici le courrier que j’ai envoyé en décembre 2019 :

Je dois reconnaître que cela m’a fait quelque chose de poster ce courrier…

PS1 : Le titre “Mme LE conseiller” n’est pas de moi, mais correspond au souhait du conseiller concerné.

PS2: Le tableau ne reprend pas le nombre d’expertises privées, car celles-ci sont missionnées par les avocats et non par les magistrats (la courbe est sensiblement inversée).

PS3: Je modifie le sous titre de ce blog, en remplaçant “blog d’un informaticien expert judiciaire” par “blog d’un informaticien ancien expert judiciaire”. Une page se tourne, ce qui ne m’empèchera pas de continuer à parler d’expertise judiciaire.

Contrôle parental

Un expert judiciaire doit procéder régulièrement à la destruction des documents qu’il a pu conserver, et en particulier des anciens rapports d’expertise et de leurs annexes. C’est ainsi qu’en rangeant d’anciennes archives de mon coffre fort numérique, je suis retombé sur l’histoire d’un petit garçon, que j’appellerai Erwan.

Erwan avait neuf ans. Il aimait jouer sur l’ordinateur familial qui trônait dans le salon. Il passait des heures sur le jeu que lui avait installé son père.

A neuf ans, Erwan est un petit garçon curieux de tout : il aime taper sur le clavier – mais pas trop fort – et cliquer sur les personnages de son jeu. Il a vite compris comment allumer l’ordinateur et l’éteindre correctement – comme lui a dit son papa.

Son père lui a également fait plusieurs recommandations : ne pas parler aux inconnus, ne pas sortir de l’école seul, ne pas abîmer les objets qui coûtent chers, ne pas dire de gros mots. Erwan est fier de savoir allumer l’ordinateur et l’utiliser comme un grand.

Enfin, presque comme un grand. Parce que son père a installé un logiciel de contrôle parental pour bloquer tout usage non autorisé d’internet. Du coup Erwan ne peut qu’utiliser le site de son jeu et quelques autres sites placés en liste blanche. Erwan se sent un peu à l’étroit dans cette petite bulle. Surtout que ces copains lui racontent monts et merveilles sur internet et ses vidéos rigolotes.

Alors Erwan, neuf ans, utilise le navigateur internet autrement. Il navigue, non pas sur internet, mais sur l’ordinateur familial en ouvrant les images qui sont stockées localement dans des dossiers bien rangés par son père.

En tout cas, c’est ce que l’historique du navigateur montrera lors de l’enquête dans laquelle je suis intervenue en recherche d’images et de films pédopornographiques. Les jours et heures de navigation “locale” correspondent à la présence d’Erwan à la maison, seul, sur l’ordinateur familial. Ordinateur familial partagé et utilisé par son père pour télécharger des images et des films pédopornographiques et pornographiques. Beaucoup. Et bien rangés, à l’abri – croyait-il – de son fils, grâce au logiciel de contrôle parental.

Un père assouvissant ses penchants en toute discrétion, protégeant son fils des prédateurs sexuels avec un logiciel dont il pensait – à tort – qu’il empêchait son fils d’accéder aux images qu’il amenait lui-même sur l’ordinateur familial.

J’ai détaillé dans le rapport tout l’historique du navigateur, et extrais des entrailles de l’ordinateur toutes les images et tous les films qui hantent encore mes nuits.

Je pense à Erwan et à l’effroi qui devait le saisir quand il se promenait du haut de ses neuf années, “comme un grand” seul sur l’ordinateur familial.

Je pense à son père criminel et pourtant protecteur.

Je pense à tous ceux qui croient qu’il suffit d’un logiciel “magique” pour protéger leur enfants, alors que la meilleure solution est la présence et l’accompagnement parental qu’on appelle l’éducation.

Je pense à tous ces politiques qui utilisent l’excuse de la protection des enfants pour imposer plus de “contrôles”.

Et je suis là encore aujourd’hui, à feuilleter ce rapport que je m’apprête à détruire, et qui me brûle l’écran.

Expert judiciaire : savoir s’arrêter

J’ai prêté le serment des experts judiciaires en janvier 1999. J’avais 35 ans. J’étais le plus jeune expert judiciaire de France dans la catégorie informatique. Ingénieur de l’école Centrale de Nantes, Docteur de l’Université de Paris 6 sur l’apprentissage des réseaux de neurones bouclés, j’étais “professeur – chef de projets” dans une école d’ingénieurs en pleine création (lire la série de billet “25 ans dans une startup”). Le Droit m’intéressait de très près puisque j’étais marié à une jeune avocate. Elle m’avait expliqué que la Justice avait besoin des connaissances de personnes extérieures à l’administration judiciaire, qu’il y avait de plus en plus de dossiers où l’informatique jouait un rôle important. J’ai postulé, une première fois, puis une deuxième, j’ai été sélectionné, inscrit sur la liste des experts judiciaires de ma Cour d’Appel, et j’ai prêté serment.

Pendant 20 ans, j’ai été fidèle à ce serment et j’ai apporté mon concours à la Justice, accompli ma mission, fait mon rapport, et donné mon avis en mon honneur et en ma conscience.

Et en cette fin d’année 2019, j’ai décidé d’arrêter.

C’est une décision qui me fend le cœur car j’étais très fier de pouvoir dire “je suis expert judiciaire” lorsque je me présentais. J’en appréciais l’impact sur les personnes, et le prestige que ce titre apporte. Alors pourquoi vouloir arrêter ?

Je pourrais partir en m’emportant contre tous les défauts de l’institution, sa légendaire complexité et ses paiements modestes et très différés. Je pourrais écrire un billet enflammé contre les compagnies nationales d’experts hors sol et renfermées sur elles-mêmes. Je pourrais dénoncer les experts vieillissants incompétents et malhonnêtes. Non, parce que ce serait faux.

J’aurais pu écrire que j’arrêtais parce que j’ai été laminé par toutes les expertises en recherche d’images et films pédopornographiques qui m’ont plongé dans des horreurs difficilement supportables, et qui m’ont conduit à ouvrir ce blog.

En fait, et tout simplement, j’arrête parce que je ne suis plus au niveau attendu par la Justice pour l’aider et l’éclairer dans ses dossiers.

Je m’explique : quand j’ai commencé (en 1999), j’avais des connaissances techniques dont disposaient peu des acteurs habituels de la justice. Les gendarmes travaillaient sur quelques ordinateurs qu’ils achetaient avec leurs deniers personnels. Les policiers ne disposaient d’aucun ordinateurs dignes de ce nom et surtout n’avaient pas la formation qui allait avec en matière d’analyse forensic. Personne ou presque n’avait accès à internet. Il y avait quelques personnes que l’on appelait les NTEC, mais ils étaient débordés par les demandes que les enquêteurs leurs soumettaient. J’étais donc très souvent désignés pour travailler sur des scellés judiciaires, et j’en ai souvent parlé sur mon blog v1.

Le temps a passé. Des progrès ont été faits et aujourd’hui les enquêteurs disposent de laboratoires très performants. Mais je n’ai pas accès à ces laboratoires, ni à leurs outils. J’ai servi de variable d’ajustement, pendant une dizaine d’années, et aujourd’hui je reste un ingénieur informaticien avec les outils d’un simple particulier. Et cela n’intéresse plus la justice.

La principale raison pour laquelle j’arrête mon activité d’expert judiciaire, est que je ne suis plus désigné par des magistrats depuis plus de deux ans.

Mais le prestige du titre d’expert judiciaire est tel, que depuis dix ans j’exerce aussi comme expert privé, c’est-à-dire que j’accepte d’être missionné directement par des avocats pour les aider sur leur dossier. C’est beaucoup plus lucratif puisque mes tarifs horaires sont triplés. Et progressivement j’ai fait de plus en plus d’expertises privées et de moins en moins d’expertises judiciaires. J’ai même proposé en 2016 de faire gratuitement mes expertises judiciaires. Sans succès, à part déclencher l’ire de mes confrères experts.

En mars 2019, j’écrivais dans l’épilogue de la série “25 ans dans une startup” :
à propos des expertises judiciaires, du fait des difficultés que je rencontrais dans la startup, j’ai énormément diminué mon activité expertale, en renvoyant toutes les demandes vers des experts compétents et disponibles. Je vais attendre de voir un peu comment se passe cette année 2019, mais sans doute m’achemine-je doucement vers une fin d’activité et un non-renouvellement de mon inscription sur la liste des experts judiciaires. Quand j’ai commencé en 1999, j’avais 35 ans et je ne comprenais pas comment le suivant en âge de la liste pouvait avoir 20 ans de plus que moi dans un domaine aussi technique et changeant que celui de l’informatique. J’ai aujourd’hui cet âge-là et, même si je me sens encore dynamique, je pense qu’il faut savoir laisser la place et ne pas finir par porter ce titre d’expert judiciaire uniquement pour la carte de visite. On verra bien. Je me donne un an pour prendre une décision.“.

Nous voici en fin d’année 2019, et je ne souhaite pas faire partie de ces experts “carte de visite”. Je vais donc écrire au Procureur de la République une lettre de demande de non-réinscription, avec un pincement au cœur, en lui expliquant que faute d’avoir été désigné depuis deux ans, je ne vois pas l’intérêt de continuer à bénéficier de ce titre prestigieux. J’arrête dans la foulée toutes mes prestations privées car elles sont trop liées à cette carte de visite. Je tire un trait sur mon cabinet d’expertise informatique.

Je pars la tête haute, avec la fierté d’avoir aidé la justice pendant toutes ces années. J’ai découvert des gens formidables et dévoués dans cet univers impitoyable. Je sais aussi que ma lettre sera classée en quelques secondes dans un placard par un greffier débordé.

Les cimetières sont remplis de gens qui se croyaient indispensables.
Le monde est rempli de gens qui mettent avec fierté un titre sur leur carte de visite.
J’ai un nouveau métier à apprendre, et si peu de temps.

PS: le blog continue, seul changera son sous-titre. Je continuerai à y parler de ce qui me plaît, y compris de mes anecdotes sur le monde des experts judiciaires.

Les magistrats, les enquêteurs et moi (allégorie)

Comment survivre à ses utilisateurs ?

Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans “service informatique”, il y a le mot “service”. Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.

L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.

Et au sommet se trouve l’utilisateur.
Et parfois il fait n’importe quoi…

Plutôt que “Comment survivre à une cyberattaque ?”, les articles de presse devraient s’intituler : “Comment survivre à ses utilisateurs ?”. C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique “Sécurité informatique, ne pas en avoir peur“. Petit tour d’horizon :

Les liens piégés :
L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur “ne cliquez pas sur les liens bizarres”, alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas “l’utilisateur a cliqué sur un lien piégé”. Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. “ALORS ? Mmmmm… tout ça pour ça ?”. Le Conseil d’Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI… Dans une politique de sécurité du système d’information, on appelle cela la chaine de responsabilité. En cas d’attaque réussie (entreprise arrêtée, données dans la nature…) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (“je ne peux pas être considéré comme responsable, je dormais à ce moment-là“).
Pourtant tout le monde connaît la loi de Murphy : “Tout ce qui est susceptible d’aller mal, ira mal”. Une attaque informatique réussie arrivera. Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI. C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai dans un billet dédié (teasing :).

Le lien de confiance :
Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa “valeur ajoutée” prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que “Skype souhaite se mettre à jour”, “la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE”. Alors, il a parfois envie de hurler “MAIS POURQUOI CA CHANGE TOUT LE TEMPS ?”. Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.

Les mots de passe :
Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : “Ah, vous allez me demander de changer mon mot de passe ?”. 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : “nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau”. Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.

Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.