Savoir s’arrêter : le courrier

Pour faire suite au billet “Expert judiciaire : savoir s’arrêter‘, voici le courrier que j’ai envoyé en décembre 2019 :

Je dois reconnaître que cela m’a fait quelque chose de poster ce courrier…

PS1 : Le titre “Mme LE conseiller” n’est pas de moi, mais correspond au souhait du conseiller concerné.

PS2: Le tableau ne reprend pas le nombre d’expertises privées, car celles-ci sont missionnées par les avocats et non par les magistrats (la courbe est sensiblement inversée).

PS3: Je modifie le sous titre de ce blog, en remplaçant “blog d’un informaticien expert judiciaire” par “blog d’un informaticien ancien expert judiciaire”. Une page se tourne, ce qui ne m’empèchera pas de continuer à parler d’expertise judiciaire.

Contrôle parental

Un expert judiciaire doit procéder régulièrement à la destruction des documents qu’il a pu conserver, et en particulier des anciens rapports d’expertise et de leurs annexes. C’est ainsi qu’en rangeant d’anciennes archives de mon coffre fort numérique, je suis retombé sur l’histoire d’un petit garçon, que j’appellerai Erwan.

Erwan avait neuf ans. Il aimait jouer sur l’ordinateur familial qui trônait dans le salon. Il passait des heures sur le jeu que lui avait installé son père.

A neuf ans, Erwan est un petit garçon curieux de tout : il aime taper sur le clavier – mais pas trop fort – et cliquer sur les personnages de son jeu. Il a vite compris comment allumer l’ordinateur et l’éteindre correctement – comme lui a dit son papa.

Son père lui a également fait plusieurs recommandations : ne pas parler aux inconnus, ne pas sortir de l’école seul, ne pas abîmer les objets qui coûtent chers, ne pas dire de gros mots. Erwan est fier de savoir allumer l’ordinateur et l’utiliser comme un grand.

Enfin, presque comme un grand. Parce que son père a installé un logiciel de contrôle parental pour bloquer tout usage non autorisé d’internet. Du coup Erwan ne peut qu’utiliser le site de son jeu et quelques autres sites placés en liste blanche. Erwan se sent un peu à l’étroit dans cette petite bulle. Surtout que ces copains lui racontent monts et merveilles sur internet et ses vidéos rigolotes.

Alors Erwan, neuf ans, utilise le navigateur internet autrement. Il navigue, non pas sur internet, mais sur l’ordinateur familial en ouvrant les images qui sont stockées localement dans des dossiers bien rangés par son père.

En tout cas, c’est ce que l’historique du navigateur montrera lors de l’enquête dans laquelle je suis intervenue en recherche d’images et de films pédopornographiques. Les jours et heures de navigation “locale” correspondent à la présence d’Erwan à la maison, seul, sur l’ordinateur familial. Ordinateur familial partagé et utilisé par son père pour télécharger des images et des films pédopornographiques et pornographiques. Beaucoup. Et bien rangés, à l’abri – croyait-il – de son fils, grâce au logiciel de contrôle parental.

Un père assouvissant ses penchants en toute discrétion, protégeant son fils des prédateurs sexuels avec un logiciel dont il pensait – à tort – qu’il empêchait son fils d’accéder aux images qu’il amenait lui-même sur l’ordinateur familial.

J’ai détaillé dans le rapport tout l’historique du navigateur, et extrais des entrailles de l’ordinateur toutes les images et tous les films qui hantent encore mes nuits.

Je pense à Erwan et à l’effroi qui devait le saisir quand il se promenait du haut de ses neuf années, “comme un grand” seul sur l’ordinateur familial.

Je pense à son père criminel et pourtant protecteur.

Je pense à tous ceux qui croient qu’il suffit d’un logiciel “magique” pour protéger leur enfants, alors que la meilleure solution est la présence et l’accompagnement parental qu’on appelle l’éducation.

Je pense à tous ces politiques qui utilisent l’excuse de la protection des enfants pour imposer plus de “contrôles”.

Et je suis là encore aujourd’hui, à feuilleter ce rapport que je m’apprête à détruire, et qui me brûle l’écran.

Expert judiciaire : savoir s’arrêter

J’ai prêté le serment des experts judiciaires en janvier 1999. J’avais 35 ans. J’étais le plus jeune expert judiciaire de France dans la catégorie informatique. Ingénieur de l’école Centrale de Nantes, Docteur de l’Université de Paris 6 sur l’apprentissage des réseaux de neurones bouclés, j’étais “professeur – chef de projets” dans une école d’ingénieurs en pleine création (lire la série de billet “25 ans dans une startup”). Le Droit m’intéressait de très près puisque j’étais marié à une jeune avocate. Elle m’avait expliqué que la Justice avait besoin des connaissances de personnes extérieures à l’administration judiciaire, qu’il y avait de plus en plus de dossiers où l’informatique jouait un rôle important. J’ai postulé, une première fois, puis une deuxième, j’ai été sélectionné, inscrit sur la liste des experts judiciaires de ma Cour d’Appel, et j’ai prêté serment.

Pendant 20 ans, j’ai été fidèle à ce serment et j’ai apporté mon concours à la Justice, accompli ma mission, fait mon rapport, et donné mon avis en mon honneur et en ma conscience.

Et en cette fin d’année 2019, j’ai décidé d’arrêter.

C’est une décision qui me fend le cœur car j’étais très fier de pouvoir dire “je suis expert judiciaire” lorsque je me présentais. J’en appréciais l’impact sur les personnes, et le prestige que ce titre apporte. Alors pourquoi vouloir arrêter ?

Je pourrais partir en m’emportant contre tous les défauts de l’institution, sa légendaire complexité et ses paiements modestes et très différés. Je pourrais écrire un billet enflammé contre les compagnies nationales d’experts hors sol et renfermées sur elles-mêmes. Je pourrais dénoncer les experts vieillissants incompétents et malhonnêtes. Non, parce que ce serait faux.

J’aurais pu écrire que j’arrêtais parce que j’ai été laminé par toutes les expertises en recherche d’images et films pédopornographiques qui m’ont plongé dans des horreurs difficilement supportables, et qui m’ont conduit à ouvrir ce blog.

En fait, et tout simplement, j’arrête parce que je ne suis plus au niveau attendu par la Justice pour l’aider et l’éclairer dans ses dossiers.

Je m’explique : quand j’ai commencé (en 1999), j’avais des connaissances techniques dont disposaient peu des acteurs habituels de la justice. Les gendarmes travaillaient sur quelques ordinateurs qu’ils achetaient avec leurs deniers personnels. Les policiers ne disposaient d’aucun ordinateurs dignes de ce nom et surtout n’avaient pas la formation qui allait avec en matière d’analyse forensic. Personne ou presque n’avait accès à internet. Il y avait quelques personnes que l’on appelait les NTEC, mais ils étaient débordés par les demandes que les enquêteurs leurs soumettaient. J’étais donc très souvent désignés pour travailler sur des scellés judiciaires, et j’en ai souvent parlé sur mon blog v1.

Le temps a passé. Des progrès ont été faits et aujourd’hui les enquêteurs disposent de laboratoires très performants. Mais je n’ai pas accès à ces laboratoires, ni à leurs outils. J’ai servi de variable d’ajustement, pendant une dizaine d’années, et aujourd’hui je reste un ingénieur informaticien avec les outils d’un simple particulier. Et cela n’intéresse plus la justice.

La principale raison pour laquelle j’arrête mon activité d’expert judiciaire, est que je ne suis plus désigné par des magistrats depuis plus de deux ans.

Mais le prestige du titre d’expert judiciaire est tel, que depuis dix ans j’exerce aussi comme expert privé, c’est-à-dire que j’accepte d’être missionné directement par des avocats pour les aider sur leur dossier. C’est beaucoup plus lucratif puisque mes tarifs horaires sont triplés. Et progressivement j’ai fait de plus en plus d’expertises privées et de moins en moins d’expertises judiciaires. J’ai même proposé en 2016 de faire gratuitement mes expertises judiciaires. Sans succès, à part déclencher l’ire de mes confrères experts.

En mars 2019, j’écrivais dans l’épilogue de la série “25 ans dans une startup” :
à propos des expertises judiciaires, du fait des difficultés que je rencontrais dans la startup, j’ai énormément diminué mon activité expertale, en renvoyant toutes les demandes vers des experts compétents et disponibles. Je vais attendre de voir un peu comment se passe cette année 2019, mais sans doute m’achemine-je doucement vers une fin d’activité et un non-renouvellement de mon inscription sur la liste des experts judiciaires. Quand j’ai commencé en 1999, j’avais 35 ans et je ne comprenais pas comment le suivant en âge de la liste pouvait avoir 20 ans de plus que moi dans un domaine aussi technique et changeant que celui de l’informatique. J’ai aujourd’hui cet âge-là et, même si je me sens encore dynamique, je pense qu’il faut savoir laisser la place et ne pas finir par porter ce titre d’expert judiciaire uniquement pour la carte de visite. On verra bien. Je me donne un an pour prendre une décision.“.

Nous voici en fin d’année 2019, et je ne souhaite pas faire partie de ces experts “carte de visite”. Je vais donc écrire au Procureur de la République une lettre de demande de non-réinscription, avec un pincement au cœur, en lui expliquant que faute d’avoir été désigné depuis deux ans, je ne vois pas l’intérêt de continuer à bénéficier de ce titre prestigieux. J’arrête dans la foulée toutes mes prestations privées car elles sont trop liées à cette carte de visite. Je tire un trait sur mon cabinet d’expertise informatique.

Je pars la tête haute, avec la fierté d’avoir aidé la justice pendant toutes ces années. J’ai découvert des gens formidables et dévoués dans cet univers impitoyable. Je sais aussi que ma lettre sera classée en quelques secondes dans un placard par un greffier débordé.

Les cimetières sont remplis de gens qui se croyaient indispensables.
Le monde est rempli de gens qui mettent avec fierté un titre sur leur carte de visite.
J’ai un nouveau métier à apprendre, et si peu de temps.

PS: le blog continue, seul changera son sous-titre. Je continuerai à y parler de ce qui me plaît, y compris de mes anecdotes sur le monde des experts judiciaires.

Les magistrats, les enquêteurs et moi (allégorie)

Comment survivre à ses utilisateurs ?

Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans “service informatique”, il y a le mot “service”. Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.

L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.

Et au sommet se trouve l’utilisateur.
Et parfois il fait n’importe quoi…

Plutôt que “Comment survivre à une cyberattaque ?”, les articles de presse devraient s’intituler : “Comment survivre à ses utilisateurs ?”. C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique “Sécurité informatique, ne pas en avoir peur“. Petit tour d’horizon :

Les liens piégés :
L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur “ne cliquez pas sur les liens bizarres”, alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas “l’utilisateur a cliqué sur un lien piégé”. Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. “ALORS ? Mmmmm… tout ça pour ça ?”. Le Conseil d’Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI… Dans une politique de sécurité du système d’information, on appelle cela la chaine de responsabilité. En cas d’attaque réussie (entreprise arrêtée, données dans la nature…) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (“je ne peux pas être considéré comme responsable, je dormais à ce moment-là“).
Pourtant tout le monde connaît la loi de Murphy : “Tout ce qui est susceptible d’aller mal, ira mal”. Une attaque informatique réussie arrivera. Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI. C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai dans un billet dédié (teasing :).

Le lien de confiance :
Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa “valeur ajoutée” prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que “Skype souhaite se mettre à jour”, “la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE”. Alors, il a parfois envie de hurler “MAIS POURQUOI CA CHANGE TOUT LE TEMPS ?”. Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.

Les mots de passe :
Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : “Ah, vous allez me demander de changer mon mot de passe ?”. 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : “nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau”. Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.

Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.