Stats 2013

Publié le 2 janvier 2014 par Zythom

Parmi les vices du blogueur, il y a la consultation des stats… Je n’y échappe pas et, régulièrement, je regarde, avec une certaine fascination je vous l’accorde, les informations que me retourne mon compte Google Analytics.

Même si je sais que plusieurs d’entre vous surfent derrière des proxies, ou utilisent le réseau Tor et ses routeurs en couche, ou encore différents VPN avec plusieurs adresses IP, globalement Google Analytics me donne une idée approximative du nombre de personnes qui viennent sur ce blog.

Pour l’année 2013, le blog a reçu 149 485 visites, contre 188 572 en 2012 et 135 351 en 2011. Le nombre de billets variant d’une année sur l’autre, le nombre de visites divisée par le nombre de billets me semble être l’indicateur le plus pertinent:

2013: 149 485 visites pour 58 billets, soit 2 577 visites par billet

2012: 188 572 visites pour 79 billets, soit 2 387 visites par billet

2011: 135 351 visites pour 50 billets, soit 2 707 visites par billet

2010: 126 040 visites pour 65 billets, soit 1 939 visites par billet

2009: 103 767 visites pour 113 billets, soit 918 visites par billet.

Début 2012, dans le billet « Stats 2011« , j’avais choisi le nombre de visiteurs uniques divisé par le nombre de billets, ce qui m’apparaît maintenant moins pertinent.

En 2013, vos adresses IP indiquent une provenance de 140 pays, ce qui ne lasse pas de m’étonner et me permet de voyager virtuellement dans le monde entier ou presque.

Vous avez été 46% à me lire sous Firefox, 28% sous Chrome, 9% sous Safari et 8% sous IE… A noter que 2 visites ont été faites avec un navigateur tagué « Nintendo 3DS browser » 🙂

Côté systèmes d’exploitation, vous êtes 63% sous Windows, 14% sous GNU/Linux, 10% sous Mac, 7% sous iOS et 6% sous Android. Là aussi, dans les curiosités, je note le passage d’une visite taguée sous BeOS et d’une autre sous Xbox…

Pour les définitions d’écran, c’est le grand bazar avec 401 définitions différentes, merci les mobiles. 4 635 visiteurs utilisent un écran 768 x 1024 et 4 291 un écran 320 x 480. Les opticiens ont un bel avenir devant eux. Je note 89 visites avec l’inénarrable 0 x 0 et une visite avec un 40 823 x 1024… Toutes les stats ne sont pas bonnes à prendre.

Les webmasters le savent, on peut souvent connaître la source du clic qui vous amène ici, c’est-à-dire la page qui précède celle où vous lisez ce billet. En 2013:

– 55 015 sont venus directement (via un favori ou une saisie directe de l’URL)

– 33 392 via une recherche Google (le plus souvent en tapant « zythom »)

– 17 844 via Twitter

– 2 959 via Netvibes

– 2 802 via Feedly

– 854 via Facebook

Le réseau social de la blogosphère fonctionne toujours, avec

– 10 768 visites via maitre-eolas.fr

– 2 395 via boulesdefourrure.fr

– 2 348 via sebsauvage.net

– 848 via Ma petite parcelle d’Internet (Sid, si tu me lis…)

– 801 via Korben.info

– 599 via La plume d’Aliocha

– 264 via maitremo.fr

Que mille pétales de roses parfument leurs claviers…

Grâce aux moteurs de recherche, je sais que vous écrivez mon pseudo majoritairement « zythom », mais aussi zithom, zethom, zython, zyhtom ou zhytom 🙂

Vous êtes 47 inscrits à la liste de diffusion par email des billets du blog, la plupart s’étant inscrit en 2013.

En 2013, le pic de visite a eu lieu le mercredi 3 juillet avec 2 606 visites, suivi du jeudi 12 septembre avec 2 594 visites. A chaque fois il s’agit d’un tweet de Maître Eolas ! Que mille serveuses irlandaises nues lui apportent une pinte de Guinness (vidéo)…

Les billets les plus lus sur l’année 2013 ont été Cracker les mots de passe (8418 visites), Je suis trop faible (5955) et In memoriam (5835). Le billet le plus lu du blog, depuis sa création en 2006 est Le plein de pr0n du 18 avril 2012 avec 16 404 visites à ce jour, suivi de GPS avec 13 752…

Quelles sont les leçons que je tire de ces statistiques: aucune. Je continue à écrire pour moi, parce ce que cela me fait du bien, surtout quand j’ai besoin de m’exprimer et que je ne veux pas faire souffrir mon entourage.

Je terminerai ce billet avec la même citation qu’en 2012:

« Les statistiques, c’est comme le bikini. Ce qu’elles révèlent est suggestif. Ce qu’elles dissimulent est essentiel. » (Aaron Levenstein)

Allons toujours à l’essentiel !

Réponse de la cour d’appel

Publié le 30 décembre 2013 par Zythom

C’est la période où les cours d’appel envoient aux candidats à l’inscription sur les listes d’experts judiciaires la réponse tant attendue. Je le sais, car je reçois beaucoup de courriers de lecteurs se posant beaucoup de questions sur leur avenir judiciaire…

Alors , résumons un peu la situation: vous avez constitué un dossier de candidature que vous avez déposé avant le 1er mars. Vous avez peut-être été reçu en entretien par un magistrat qui vous a questionné sur vos capacités. Un policier ou un gendarme a mené une enquête de bonne moralité en questionnant vos voisins (ou votre conjoint). Les magistrats de la cour d’appel se sont réunis pour décider s’ils pouvaient vous inscrire sur la liste des experts judiciaires. Un greffier a rédigé leur réponse que vous tenez dans vos mains tremblantes.

Cas n°1: Vous n’avez pas été accepté à l’inscription sur la liste des experts judiciaires. Votre déception est à la hauteur du temps d’attente qu’aurait mis les tribunaux à vous rembourser vos frais d’expertises. Le choc est aussi sec que le ton du courrier que vous relisez incrédule…

Extrait du courrier que j’ai reçu le 11 décembre 1997:

Monsieur,

J’ai l’honneur de vous notifier, conformément aux dispositions de l’article 18 du décret n°74-1184 du 31 décembre 1974, relatif aux experts judiciaires, que votre candidature n’a pas été retenue pour l’année 1998 par le cour d’appel de [Tandaloor], réunie en assemblée générale le 24 octobre 1997.

Je puis vous indiquer que les décisions prises pour l’établissement des listes d’experts, ne peuvent donner lieu qu’à un recours devant la cour de cassation.

Je vous prie d’agréer, Monsieur, l’expression de ma considération distinguée.

Remarquez au passage qu’il a fallu un mois et demi pour rédiger ce courrier, ce qui donne une idée ~~du temps judiciaire~~ des sous-effectifs déjà à cette époque, courrier que je me permets de mettre en regard du courrier ~~type~~ que je reçois quand je un de mes étudiants postule à une offre d’emploi:

Monsieur,

Après analyse de votre candidature, et malgré la qualité de celle-ci, nous sommes au regret de vous informer que nous ne pouvons pas retenir votre dossier pour le poste de DSI du projet Mars 2014 (H/F) (Référence DTC2014) au sein de la société VoyageSansRetour. En effet, d’autres candidats ont un profil plus proche de celui recherché pour ce poste.

Nous vous remercions de la confiance que vous avez témoignée à VoyageSansRetour et nous vous prions d’agréer, Monsieur, nos sincères salutations.

Une fois passé l’amère déception (sisi, je vous assure, ça va passer), vous vous demandez ce qui a pu aveugler l’assemblée générale des magistrats de la cour d’appel et l’empêcher d’accepter de vous inscrire sur leur prestigieuse liste des experts judiciaires. Je vous donne quelques pistes:

– Vous vous êtes trompé de cour d’appel pour le dépôt de votre dossier de candidature. Vérifiez sur Google (ou mieux sur Duckduckgo), surtout si vous êtes en région parisienne. Etre inscrit sur la liste, ça se mérite…

– Votre candidature est excellente, mais les magistrats disposent d’assez d’experts excellents sur leur liste.

– C’est votre première candidature et les magistrats testent votre motivation (légende urbaine ?).

– Vous n’avez pas assez d’expérience car vous êtes encore étudiant et les magistrats pensent qu’il vous faut vous aguerrir un peu dans cette jungle impitoyable où s’affrontent les 16-70 ans et qu’on appelle le monde du travail. Et je ne parle même pas des stagiaires de troisième…

– Vous avez trop d’expérience ou celle-ci est trop ancienne à 69 ans en tant que retraité de l’aviation de chasse.

– Vous n’avez pas été nommé comme expert judiciaire dans des affaires d’envergure nationale ou internationale où vous auriez pu briller par votre excellence (je prends le cas où vous postuliez pour une inscription sur la liste des experts près la cour de cassation).

– Vous n’êtes pas assez qualifié (bruit du ciel qui vous tombe sur la tête).

Je n’ai qu’un seul conseil à vous donner: retentez l’année prochaine (avant le 1er mars), sauf si vous êtes étudiant auquel cas il faudra passer vos examens et attendre ~~dix ans~~ un peu pour acquérir de l’expérience. Si vous n’êtes pas pris la deuxième fois, laissez passer quelques années et retentez.

Cas n°2: Vous êtes accepté !!!!! / / / / /

Votre cœur bat à 200 pulsations par minute, et malgré les recommandations répétées de votre cardiologue, vous sautez de joie sur les différents murs de votre habitation, vous embrassez votre belle-mère, vous installez Gentoo Linux sur la tablette que vous avez reçue à Noël…

Mais passées ces dix secondes de joie incommensurable, un poids terrible s’abat sur vos épaules: serez-vous à la hauteur ? Vous errez dans votre quartier portant une lanterne et cherchant l’humanité, vous maigrissez et vos amis ne vous reconnaissent plus, vous doutez de tout, même de Gentoo…

Vous relisez encore une fois le courrier reçu pour essayer d’en déchiffrer le contenu caché au delà du premier paragraphe.

Voici celui que j’ai reçu le 17 décembre 1998:

Monsieur,

J’ai l’honneur de vous aviser de votre inscription sur la liste d’experts judiciaires de la cour d’appel de [Tandaloor] pour l’année 1999, sous la rubrique:

informatique

Vous trouverez en annexe, pour faciliter l’exécution des missions qui vous seront confiées, une notice résumant les principales obligations de l’expert judiciaire.

Je vous serais obligé de bien vouloir vous présenter le lundi 11 janvier 1999 au siège de la cour d’appel de [Tandaloor], dans la grande salle d’audience (porte 101) afin de rencontrer les chefs de cour préalablement à votre prestation de serment qui aura lieu à 14h dans cette même salle.

Je vous prie d’agréer, Monsieur, l’expression de ma considération distinguée.

Ressaisissez vous !

Voici quelques conseils (et réponses aux questions que l’on me pose le plus souvent):

– N’achetez aucun matériel, ni bloqueur, ni PC surpuissant, ni microscope électronique, ni salle blanche, ni matériel Apple. Investissez dans une tenue sobre mais solennelle, pour votre prestation de serment, et répétez cent fois devant un miroir et la main sur le cœur: « je le jure« .

– Recherchez les coordonnées de la compagnie pluridisciplinaire de votre cour d’appel. Contactez les, prenez rendez-vous avec son président, préparez toutes les questions que vous vous posez et votre carnet de chèques: inscription à la compagnie, à la revue Experts, à l’assurance indispensable en responsabilité civile (prix défiant toute concurrence en tant que membre de la compagnie). Inutile de contacter à ce stade une compagnie spécialisée, qui de toute façon n’accepte en son sein et en général que des experts inscrits obligatoirement dans une compagnie pluridisciplinaire.

– Parmi les questions, revient souvent les aspects administratifs et comptables… Ma réponse: ça dépend de votre emploi principal. Pour ma part, je suis salarié. J’ai choisi le statut d’autoentrepreneur (qui n’existait pas en 1999, je vous passe les détails historiques sordides). Pour la comptabilité, adressez vous ~~à votre femme~~ à votre compagnie. Surtout ne demandez rien à l’administration ! Personne ne comprend le statut des experts judiciaires, j’ai toujours eu des discussions où je me rendais compte que j’en savais plus sur le sujet que mon interlocuteur. Les seuls interlocuteurs valables sont vos futurs confrères de votre compagnie pluridisciplinaire et/ou les cahiers de la revue Experts. Même les textes de loi sont parfois obscurs ou sans décret d’application.

– La formation obligatoire. En tant que nouvel inscrit, vous êtes en période probatoire (inscription sur la liste pour une période de deux ans seulement, au lieu de cinq pour les experts aguerris). Vous devez suivre une formation (en général de cinq jours). Renseignez-vous auprès de votre compagnie pluridisciplinaire. Cela n’existait pas en 1999 et je me suis formé directement auprès de mon épouse avocate qui a réussi à me faire entrer dans le crâne la différence entre civil et pénal, le sens profond des mots « warrant », « verus dominus », « usucapion », « Urssaf », « quérable », « léonin », « forclusion », « exécution provisoire », « contradictoire », « incompétence du juge » ainsi que le sens des différentes abréviations « OPJ », « JI », « Urssaf », « T.com. », « TGI », « SAS », « COJ », « Bull. », « Cass.civ.II », etc. Cette formation vous permettra normalement de pouvoir reconnaître les différentes personnes auxquelles vous allez avoir à faire, pour éviter de dire « bonjour Maître » à l’avocat général… Une (re)lecture de l’intégrale du blog de Maître Eolas est nécessaire, et au moins de ce billet.

– Achetez quelques ouvrages dans votre librairie préférée. Les parisiens ou les provinciaux en visite à Paris peuvent s’approvisionner chez Gibert Jeune « Droit, Économie, Gestion », 6 place Saint Michel. Sinon une recherche « expert judiciaire » sur Amazon.fr donne de très bons résultats 😉

– Soyez patient. Il est possible que vous ne soyez pas désigné du tout pendant les deux années de probation… C’est dommage, mais c’est comme ça. J’ai eu des années avec 10 affaires et des années avec… zéro.

– Prévenez votre employeur de votre bonne fortune et assurez vous que vous pourrez vous absenter de temps en temps (en général une journée) en posant des jours de congés.

– L’inscription sur une liste d’entraide entre experts judiciaires me semble être une bonne idée. Je vous recommande chaudement celle mise en place par le LERTI pour les experts en informatique, et qui regroupe des personnes de qualité qui n’hésitent pas à donner un bon conseil ou le bon tuyau quand on est dans la peine (par exemple: quel est le fax du service juridique de tel FAI…)

– Enfin, l’abonnement à ce flux RSS me semble indispensable 😉

Bienvenue dans cette confrérie que forment les experts judiciaires. N’écoutez pas les vieux cons (dont je suis) et soyez indépendants mais avec politesse. Cela s’appelle la confraternité.

Et surtout, n’oubliez pas que vous n’êtes pas juge, que vous donnez un avis technique basé sur une méthode scientifique et que la science est le domaine du doute et de la remise en cause.

Ne dites pas « M. Truc a ouvert ce fichier à 14h », mais « le compte informatique de M. Truc a servi pour l’ouverture de ce fichier à 14h, heure relevée dans les métadonnées de l’ordinateur, dont le BIOS indique (au moment de l’expertise) qu’il existe un décalage de X minutes et dont le système d’exploitation indique (au moment de l’expertise) qu’il ne suit pas l’heure d’été ».

Écrivez vos rapports d’expertise d’une main tremblante en pensant à l’éternel voyage de la science et au professeur Tardieu. Pensez également aux personnes qui se sont faites une spécialité des ~~torpillages~~ critiques des rapports d’expertises. La qualité de votre travail est à ce prix.

« Voilà ce qui me paraît être la vérité », dit le savant.

« Voilà la certitude », traduit la foule ignorante, oublieuse de « l’éternel voyage » de la science.

Bon voyage, et si vous avez des enfants, pensez à fermer la porte de votre bureau pendant certaines expertises…

Coup de coeur

Publié le 28 décembre 2013 par Zythom

Un petit billet en passant, comme ça, sur un coup de cœur.

J’ai découvert le blog d’un confrère qui écrit des billets avec talent : Nuits de Chine, nuits câlines.

La rubrique Histoires d’expertises est particulièrement intéressante.

Je vous recommande particulièrement trois histoires :

– A l’heure du laitier

– On fait quoi maintenant ?

– Là, ça va pas être possible

Comment ai-je pu passer à côté de ce blog si longtemps, je ne sais, mais ça fait un lien de plus dans ma blogroll et dans mon agrégateur de flux RSS 😉

Bonne lecture.

Journées réseaux 2013

Publié le 17 décembre 2013 par Zythom

Quelques jours après mon retour des « journées réseaux » (JRES) 2013 qui se sont tenues à Montpellier, voici le temps de faire un petit bilan de cette expérience.

Cela fait plusieurs années que je souhaite participer à cette manifestation qui regroupe une grande partie de la communauté des informaticiens travaillant dans les établissements d’enseignement supérieur et/ou dans la recherche, c’est-à-dire ma communauté professionnelle.

Et le hasard a fait que cette année, les organisateurs m’ont contacté via ce blog pour m’inviter à faire une présentation en séance plénière sur le thème de l’expertise judiciaire. Autant dire que je ne pouvais pas dire non…

Les premiers contacts ont été pris il y a longtemps (janvier 2013), et l’idée de parler devant mes pairs sous le pseudonyme Zythom était attrayante. Mais plus les mois passaient et plus la pression montait: ma présentation de généraliste de l’informatique allait-elle intéresser l’assemblée de spécialistes présente dans la salle ? Comment serait perçu mon souhait de participer à cette conférence sous pseudonyme ? Quel regard mes pairs allaient-ils porter sur moi ? Comment les quelques lecteurs du blog présents dans l’assistance allaient-ils réagir ?

Bref, plus le temps passait et plus je pétochais…

L’organisation des JRES 2013 s’est avérée impeccable du point de vue de l’invité que j’étais: une personne s’est attachée à s’assurer que je franchissais correctement les jalons, et me relançait avec patience quand je tardais sur la remise d’un livrable, notice de présentation, visuels de la présentation, détails pratiques sur le transport, l’hébergement, etc.

Et le premier jour de la conférence est arrivé: je me suis retrouvé assis dans la grande salle de l’opéra de Montpellier, avec 1500 personnes ! C’est vraiment à ce moment là que j’ai senti la peur me nouer les tripes: j’allais devoir parler deux jours plus tard dans cette même salle, devant ce public de spécialistes des réseaux…

Il faut dire que la salle est très impressionnante.

Quelques internautes ont pris des photos qu’ils m’autorisent à reproduire ici (et je les en remercie):

Photo @tkoscielniak depuis les loges (cliquez pour agrandir)

Photo @abidaud (cliquez pour agrandir)

Et voici la photo prise depuis la scène avec mon smartphone, quelques minutes avant ma présentation:

Photo Zythom (cliquez pour agrandir)

Autant vous dire que j’étais dans mes petits souliers…

La veille, j’ai séché l’après-midi de présentations pour travailler et répéter ma présentation une dizaine de fois. J’ai quitté le « social event » du mercredi soir car j’étais encore trop stressé, ce qui fait que je n’ai pas pu profiter de la fête organisée pour les 10 ans des JRES.

Le mercredi matin, j’ai présenté à la salle de preview (la salle réservée aux orateurs pour permettre de soumettre une nouvelle version de leur présentation), la énième version encore modifiée de mes visuels. Puis je me suis réfugié dans un coin du palais des congrès pour écouter un peu de musique pour me détendre contre cette angoisse grandissante difficile à contrôler, et c’est là que j’ai eu l’idée de relire la « Litanie contre la peur » des sœurs du Bene Gesserit de l’univers de Dune. Cela ne marche pas du tout sur moi, mais je me suis dit que cela ferait une bonne introduction à mon intervention… Pour ceux qui n’ont pas lu l’ouvrage de Frank Herbert, voici le mantra:

Je ne connaîtrai pas la peur car la peur tue l’esprit.

La peur est la
petite mort qui conduit à l’oblitération totale.

J’affronterai ma peur.

Je lui permettrai de passer sur moi, au travers de moi.

Et lorsqu’elle
sera passée, je tournerai mon œil intérieur sur son chemin.

Et là où
elle sera passée, il n’y aura plus rien.

Rien que moi.

Si vous voulez voir un Zythom très tendu et stressé, voici l’intégralité de ma présentation (avec en bonus track à 43′ la prière des RSSI 😉 :

Vidéo JRES 2013 (meilleures définitions disponibles ici)

Ce que je garderai comme souvenir de ces journées réseaux, c’est une super organisation, un grand stress de mon côté, des présentations de qualité où j’ai appris beaucoup de choses, et des rencontres très agréables avec @bortzmeyer, @follc, @Jehane_fr, @BoeufNoix et plein d’autres lecteurs du blog. C’est très intimidant de discuter en présentiel avec chacune de ces personnes !

J’espère pouvoir aller dans deux ans aux JRES 2015, mais cette fois comme simple participant…

Partage sécurisé de fichiers

Publié le 25 novembre 2013 par Zythom

Lorsque l’on souhaite partager des fichiers avec des clients, se pose très vite la question des échanges sécurisés. Il y a plein de méthodes pour permettre cela, il existe même des sites qui proposent ce type de service, ou des Réseaux Privés Virtuels spécialisés (RPVA pour les avocats, OPALEXE pour les expertises judiciaires). Je trouve ces systèmes un peu lourds et chers pour l’usage que je souhaite en faire.

Je suis donc parti en quête d’une solution peu onéreuse, facile à mettre en place (pour moi) et à utiliser (pour mes clients), basée sur des technologies simples et efficaces. J’ai mis en place, pour l’instant, la solution que je vais vous présenter, et qui peut peut-être intéresser quelques uns d’entre vous, freelance ou pas.

Tout d’abord, je voudrais rappeler que je ne suis pas un spécialiste de la sécurité informatique, quoiqu’en pensent certains de mes lecteurs. Je suis un simple informaticien, qui se considère comme « généraliste » car curieux de tous les domaines et spécialisations informatiques. Merci donc aux spécialistes de la sécurité informatique d’être tolérants à mon égard.

Objectif: permettre à un client de mon entreprise de m’adresser un ou plusieurs documents de manière simple et suffisamment sécurisée. L’échange doit pouvoir avoir lieu dans les deux sens.

Contrainte: mes clients ne connaissent pas a priori l’informatique, même si certains peuvent être très à l’aise avec cet outil. Je dois donc m’adresser au moins technophile de mes clients: cela doit être facile à utiliser par Maître Michu et son assistant(e)…

Ma solution:

La contrainte posée écarte de fait l’échange d’emails chiffrés, que je trouve trop contraignant, trop complexe avec ses clefs privées/publiques.

Les différents outils proposés sur internet, du moins ceux que j’ai étudiés, m’ont paru compliqués à imposer: DropBox, SkyDrive, GoogleDrive ne s’installent pas sur tous les systèmes, demandent des droits administrateurs, etc.

L’interface qui me semble la plus universelle aujourd’hui est celle d’un navigateur internet. La solution doit reposer sur cette interface, avec aussi peu d’installation de plugins que possible.

Il existe plusieurs plates-formes web proposant le partage de documents. Mais toutes m’ont paru peu sures ou trop chères pour demander aux avocats avec lesquels je travaille d’y stocker des documents de travail confidentiels. La solution OPALEXE est sur-dimensionnée pour l’usage que je compte en faire (et pour mon chiffre d’affaires).

Plus je réfléchissais, et plus je comprenais qu’il fallait que les données restent chez moi, et que j’en maîtrise le plus possible la chaîne de responsabilité.

J’ai donc choisi de proposer un accès sécurisé à un serveur de stockage hébergé dans mon bureau et accessible à mes clients avocats via une interface web.

Je me suis tourné tout naturellement vers le système de stockage que je possède actuellement: un NAS Synology DS713+, mais je pense que ce qui va suivre doit pouvoir s’adapter facilement à un autre système de stockage, comme par exemple un NAS4Free. En tout cas, j’ai vérifié au boulot avec un NAS QNAP TS-559 Pro II, la procédure est très semblable.

Mise en place:

Etape 0: Choisir le bon protocole sur le système de stockage

L’HyperText Transfer Protocol Secure, plus connu sous l’abréviation HTTPS, est généralement utilisé pour sécuriser les transactions financières. C’est le petit cadenas rassurant que l’on trouve sur le navigateur lorsqu’on saisit dans un formulaire des informations qu’on ne voudrait pas voir diffusées à tous les vents.

Sur un NAS Synology, pour activer HTTPS, c’est assez simple, il suffit d’aller dans le panneau de configuration, Paramètres de DSM, onglet « Service HTTP » et de cocher « Activer la connexion HTTPS ». J’en profite pour cocher également « Rediriger automatiquement les connexions HTTP vers le HTTPS ». J’ai laissé les ports par défaut (http sur 5000 et https sur 5001).

Etape 1: Rendre son système de stockage accessible depuis internet.

J’ai la chance, comme beaucoup maintenant, de disposer d’une adresse IP fixe proposée par mon fournisseur d’accès internet. Sinon, je pense que j’aurais du utiliser les services du type noip.

Il me suffit donc d’aller dans l’interface d’administration de ma box pour créer une redirection de port du type {IP FIXE BOX}:443 vers {IP LAN du NAS}:5001.

Je teste avec mon téléphone portable et vérifie que l’URL https://IpFixe fonctionne bien et affiche le portail d’accès aux fichiers de mon NAS. A ce stade, j’ai un message d’avertissement de mon navigateur qui m’indique que ce site n’est pas sur. Sous Firefox, c’est assez flippant: « Cette connexion n’est pas certifiée » avec un bouton « Sortir d’ici ! ».

De quoi faire fuir tout(e) secrétaire d’un cabinet d’avocat. Voyons comment éviter cela.

Etape 2: Remplacer l’adresse IP par un nom de domaine.

Je gère tous mes noms de domaine chez Gandi depuis de nombreuses années. J’aime bien leur état d’esprit et leurs prix sont tout à fait corrects.

Je me rends donc dans l’interface d’administration Gandi du nom de domaine que j’ai choisi pour mon activité d’expertise privée. J’ajoute dans les informations DNS un champ « A » avec l’adresse IP FIXE BOX fournie par mon FAI et le petit nom que je souhaite lui donner. Dans mon cas, j’ai choisi « cabinet.shrdlu.fr ».

Je vérifie que le serveur est accessible cette fois avec l’URL https://cabinet.shrdlu.fr

Ça marche, mais la connexion n’est toujours pas certifiée…

Etape 3: Certifier la connexion internet.

C’est la partie la plus technique. Mais elle s’avère simple grâce à tous les HOWTO disponibles sur internet. J’ai choisi de suivre celui-là (en anglais).

Je résume les commandes ici:

Sur le NAS Synology:

cd /usr/syno

mkdir ssl

cd ssl

wget https://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf

cd

openssl genrsa -des3 -out cabinet.key 2048

openssl rsa -in cabinet.key -out cabinet.nopass.key

openssl req -nodes -new -key cabinet.key -out cabinet.csr

Sur l’interface Gandi de création d’un certificat (gratuit quand on dispose d’un nom de domaine chez eux):

– copier/coller le contenu du fichier cabinet.csr

– demander la génération du certificat

– récupérer le certificat et le coller dans un fichier cabinet.certif

– récupérer le certificat intermédiaire et le coller dans un fichier cabinet.interm

Sur le NAS Synology:

Dans « Panneau de configuration/Paramètres de DSM/Certificat », cliquer sur « importer le certificat », et fournir les fichiers suivants:

– clé privée: cabinet.nopass.key

– certificat: cabinet.certif

– certificat intermédiaire: cabinet.interm

Rebootez votre NAS et, là, miracle, l’URL:

https://cabinet.shrdlu.fr

est accessible par tous les navigateurs sans avertissement de sécurité.

Etape 4: Créer un compte client.

Les échanges avec Maître Michu se passent toujours par email. Cela commence par une prise de contact avec explications du contexte du dossier. Je demande ensuite, pour établir mon devis, un exemplaire du (pré)rapport d’expertise que j’ai à analyser. Je propose alors que ce document soit déposé électroniquement de manière sécurisée sur le serveur de stockage mis en place.

Je crée donc un compte sur mon NAS Synology, avec mot de passe adhoc, et j’adresse les informations de connexion par téléphone. J’en profite pour assister le secrétariat lors de la première connexion et lui faire faire quelques pas avec l’interface particulière du système d’accès aux fichiers Synology.

Les lecteurs intéressés par une démo proche du résultat que j’obtiens peuvent aller sur cette page. Attention, il faut penser à désactiver provisoirement AdBlock pour faire fonctionner l’accès à « File Station ».

L’échange de fichiers entre le NAS distant et le poste de travail est très simple puisque l’application « File Station » interfère via Java avec le système d’exploitation.

Le client peut me transférer toutes les pièces du dossier qu’il souhaite me soumettre. Je peux également lui déposer des documents qu’il récupérera par le même moyen.

Inconvénients:

– Je suis conscient que la procédure n’est pas si « simple » que cela pour le client. C’est un point à améliorer. Cela devrait être aussi simple que d’envoyer un email.

– La bonne intégration avec le système d’exploitation du client nécessite la présence de Java (et la réponse à des messages d’alerte potentiellement anxiogènes). Les tests effectués auprès de plusieurs cabinets d’avocat ont montré qu’au moins une fois Java n’était pas installé. C’est un problème.

Mais dans l’ensemble, pour l’instant, le système fonctionne bien avec les cabinets qui l’ont testé.

Bien entendu, je suis preneur de toutes suggestions de simplification, ou pour un retour d’expérience sur une solution différente. Les commentaires sont là pour cela 😉

Ma petite entreprise

Publié le 19 novembre 2013 par Zythom

J’ai décidé de créer ma propre entreprise.

Ouaip, rien que ça.

J’ai un métier qui me fait vivre, qui me passionne et qui me demande chaque jour d’être au top. Mais l’activité d’expert judiciaire en informatique, que je mène en parallèle, m’a fait découvrir un univers qui m’intéresse beaucoup, et pas uniquement parce que mon épouse est avocate. Seulement voilà, les expertises judiciaires, c’est bien, mais vu comment évolue le budget de la justice, les magistrats ordonnent de moins en moins d’expertises, et les Officiers de Police Judiciaire sont de plus en plus compétents pour mener les investigations techniques dans leurs affaires.

Pour autant, avec la complexité croissante de l’informatique, et la
tendance à la judiciarisation de la société, le nombre de litiges techniques va
augmenter. Le budget de la justice étant de plus en plus contraint,
l’expertise judiciaire sera de plus en plus cruciale, et décisive, d’autant plus
qu’elle sera rarement suivie d’une contre-expertise. Il est donc
important que chaque partie soit accompagnée tout au long de
l’expertise, mais également après, par un expert privé.

En 2010, j’ai décidé de tester un peu l’activité d’expert freelance. Il se trouve que depuis cette période, mon chiffre d’affaire concernant cette activité n’a fait qu’augmenter, au point de dépasser cette année celui de mes activités d’expert judiciaire. Je donne un exemple d’expertise freelance dans ce billet intitulé « Contre expertise« .

Il est temps maintenant de structurer cette activité, et en particulier de déterminer précisément les services que je peux proposer et les faire connaître au public approprié. Ce blog perso sera l’un de mes outils de communication. Je compte sur vous pour en parler autour de vous 😉

Les services que je propose:

1) Assistance technique pendant les réunions d’expertise judiciaire.

En complément de l’avocat qui est l’expert en droit qui s’assurera que vos intérêts sont bien défendus d’un point de vue juridique, et qui établira la stratégie juridique, il est souvent intéressant de s’adjoindre les conseils d’un expert technique qui connaît et comprend parfaitement les problèmes informatiques mis en jeu, mais aussi les procédures d’expertises judiciaires et leurs pièges. L’expert judiciaire en charge des réunions d’expertise est souvent très content d’avoir à faire à des personnes qui parlent le même langage que lui et en comprennent toutes les subtilités. Je jouerai le rôle de facilitateur entre mon client et l’expert judiciaire, au mieux des intérêts de mon client.

2) Assistance dans la rédaction des dires.

Il existe de plus en plus d’avocats parfaitement compétents en matière informatique, mais ils sont encore trop peu nombreux. L’art de l’avocat est d’assurer la bonne défense juridique de son client, et pour compléter cela, certains n’hésitent pas à faire appel à un expert technique pour étudier tous les éléments techniques laissés éventuellement en suspend par l’expert judiciaire. L’expert judiciaire est seul devant toutes les parties, et il doit être soutenu dans sa recherche de la vérité par un débat contradictoire qui a lieu avant le dépôt de son rapport, et en particulier par l’analyse de son pré-rapport. Il faut éviter les zones d’ombre et souvent plusieurs experts valent mieux qu’un pour éclairer un dossier dans toutes ses dimensions. Il ne s’agit pas d’attaquer l’expert judiciaire pour le faire trébucher, mais de lui permettre d’être exhaustif dans l’accomplissement de ses missions, avant la remise de son rapport définitif.

3) Analyse critique d’un rapport d’expertise judiciaire.

Les différentes réunions d’expertise ont eu lieu, le pré-rapport a été discuté avec des dires et leurs réponses, et le rapport définitif a été remis au magistrat. Et ce rapport vous est très défavorable, d’une manière qui vous semble excessive. Votre avocat sait que l’affaire est mal engagée et souhaite mettre toutes les chances de votre côté. Il n’est plus alors question de peser le pour ou le contre sur la question de savoir s’il faut engager des frais pour se faire assister par un expert technique pendant les phases précédentes. La défense est aux abois, il faut faire analyser le rapport d’expertise judiciaire, non plus sous l’angle du droit, mais sous l’angle purement technique. C’est le type de service qui m’est le plus demandé, et en général en urgence.

Si l’expert judiciaire est compétent, ce qui est le plus souvent le cas, je ne peux que faire l’éloge de son travail et vous aider à faire le deuil de vos prétentions.

Mais parfois, comme le rappelle Madame Marie-Claude MARTIN, vice-présidente du TGI de Paris, qui a publié dans la revue « Experts » (numéro 73 de décembre 2006), un excellent article intitulé « la personnalité de l’expert »:

« […] plusieurs comportements sont susceptibles d’être observés:

– « L’expert sans problème« : Je lis la mission, elle rentre parfaitement dans mes attributions, je l’accepte.

– « L’expert aventureux, ou téméraire, ou intéressé« : La mission ne paraît pas relever de ma compétence, mais elle m’intéresse ; je prendrai un sapiteur ultérieurement […]

– « L’expert optimiste qui dit toujours oui« : Je suis surchargé, je prends quand même cette mission, je me ferai aider au besoin par l’équipe qui m’entoure […].

– « L’expert stressé qui ne sait pas dire non« : Je suis surchargé, mais si je dis non, je ne serai plus désigné et je vais rapidement me trouver sans mission.

Il y a donc des cas où le travail d’expertise peut ne pas avoir été parfait. Dans ces cas, je crois sincèrement que les avocats devraient s’adjoindre les services d’un expert privé.

Le public ciblé:

Les avocats constituent le public privilégié des services de que je propose. Je n’accepte une mission que si elle est validée/proposée par un avocat. Le travail en direct avec une partie, sans la caution juridique d’un avocat ne m’intéresse pas: chacun son métier, je ne peux pas vous guider dans les arcanes des procédures juridiques, ni même vous conseiller dans ce domaine. Mon domaine à moi, c’est l’informatique.

Travailler avec un avocat, c’est pour moi la garantie de pouvoir me concentrer sur la partie purement technique. Dans la plupart des dossiers que j’ai déjà eu à traiter, l’avocat m’a surpris par la finesse de la compréhension qu’il avait des problèmes techniques soulevés. Mais tout les avocats ne sont pas aussi compétents en informatique que Maître Eolas, ou Maître Iteanu, ou Maître Bensoussan. Il est souvent profitable pour le client de former un binôme avocat-expert performant. C’est ce que je vous propose.

Procédure de travail

Je travaille depuis plusieurs années avec des avocats aux six coins de la France.

J’aime les choses
simples et efficaces: si vous n’êtes pas
avocat, contactez d’abord votre avocat et discutez de votre affaire avec
lui. Proposez lui mes services et s’il estime en avoir besoin, dites
lui de me contacter. Si vous êtes avocat, contactez moi par le biais de ce formulaire.
Si vous savez utiliser une clef publique OpenGPG, la mienne se trouve sous le formulaire. Décrivez moi le contexte de l’affaire. Je garantis
une prise de contact rapide pour discuter des détails à suivre, des
délais et du coût estimatif.

Le coût:

Je parlais des coûts des expertises privées quand je lançais timidement cette activité en 2010, dans ce billet. Je dois reconnaître que les tarifs ont évolué. Il faut maintenant me contacter pour les connaître.

En janvier 2013, j’ai publié un billet intitulé « Pourquoi les experts judiciaires sont-ils si chers« . Je vais reprendre ici la blague que j’avais alors citée pour illustrer la réponse à cette question:

C’est l’histoire d’un ingénieur qui a un don exceptionnel pour réparer tout ce qui est mécanique. Après toute une carrière de bons et loyaux services, il part à la retraite, heureux.

Un jour, son ancienne entreprise le recontacte pour un problème apparemment insoluble sur l’une de leur machines à plusieurs millions d’euros. Ils ont tout essayé pour la refaire fonctionner et malgré tous leurs efforts, rien n’a marché. En désespoir de cause, ils l’appellent, lui qui tant de fois par le passé a réussi à résoudre ce genre de problème.

A contre cœur, l’ingénieur à la retraite accepte de se pencher sur le problème. Il passe une journée entière à étudier et analyser l’énorme machine. A la fin de la journée, avec une craie, il marque d’une petite croix un petit composant de la machine et dit « Votre problème est là… »

L’entreprise remplace alors le composant en question, et la machine se remet à marcher à merveille.

Quelques jours plus tard, l’entreprise reçoit une facture de 10 000 euros de l’ingénieur. La jugeant un peu élevée, elle demande une facture détaillée, et l’ingénieur répond alors brièvement :

– Une croix à la craie : 1 €

– Pour savoir où la mettre : 9 999 €.

La société paya la facture et l’ingénieur repartit dans sa retraite heureuse.

Je ne suis pas encore à la retraite, mais je SUIS cet expert qui sait où tracer la croix à la craie dans votre (pré)rapport d’expertise défavorable.

Et si le rapport d’expertise est parfait ET défavorable, je ne peux plus rien pour vous. Je vous le dirai en première lecture et il ne vous en coûtera rien.

Mais réagissez bien, réagissez vite !

Contactez moi avant qu’il ne soit trop tard 😉

GERME

Publié le 15 novembre 2013 par Zythom

Depuis trois ans, je suis une formation au management. Comme beaucoup d’ingénieurs, j’ai toujours privilégié la connaissance et la compétence technique au détriment des autres qualités que doit avoir un bon « chef d’équipe ». Le travail en équipe et l’animation d’équipe ne m’ont pas été enseignés lors de ma formation initiale maintenant lointaine. Et après 30 ans d’immersion dans la technique, il était temps de retourner à l’école, pour corriger ce que j’avais pu apprendre « sur le tas ». Le management en fait partie.

Je suis allé voir la personne en charge des ressources humaines dans mon entreprise et elle m’a conseillé de prendre contact avec une animatrice de ce formidable organisme qui s’appelle GERME.

Késako ?

GERME est une association loi 1901 qui est née d’une initiative de membres et d’animateurs de l’Association Progrès du Management (APM) en 1992 qui ont souhaité une approche de perfectionnement au management des entreprises pour leurs cadres de direction. L’association GERME a finalement été créée fin 1997 et constitue le réseau de référence pour les managers qui veulent développer et mettre en œuvre de nouvelles compétences en management. l’acronyme GERME signifie d’ailleurs Groupes d’Entraînement et de Réflexion au Management des Entreprises.

Les managers adhérents à GERME progressent et se développent par la formation, les mises en situation et le partage d’expériences au sein de groupes présents sur tout le territoire français, les Antilles et la Belgique. Chaque groupe compte de 15 à 20 cadres de direction qui se réunissent 8 fois par an pour suivre un cycle de formation, pilotés par des animateurs formés à la pédagogie GERME.

C’est pour moi l’occasion de prendre un peu de recul par rapport à la pression du travail, à l’urgence des problèmes que je rencontre au quotidien dans mon entreprise. C’est surtout pour moi un lieu d’échanges en confiance. En effet, quoi de mieux que de rencontrer des personnes d’autres entreprises, ayant des responsabilités similaires, mais dans des métiers très différents, et de pouvoir se confier à eux, de pouvoir parler de ses propres faiblesses, erreurs et défauts en étant écouté sans se sentir jugé.

Une fois par mois, sur 8 mois sélectionnés judicieusement pour que tout le monde puisse participer, je rencontre des personnes qui sont devenues pour moi des camarades de galère, que je connais maintenant mieux que leurs collègues de boulot, et nous suivons une journée de formation animée par un conférencier sélectionné par le réseau GERME, sur un thème que nous avons collectivement choisi. Les thèmes se regroupent dans 4 axes pédagogiques: le manager et le monde, le manager et son entreprise, le manager et son équipe, et enfin le manager lui-même…

Pour vous donner une idée, voici quelques unes des formations que j’ai suivies depuis 2011:

– Comment gérer les personnalités difficiles ?

– Comment motiver son équipe ?

– Comprendre et manager la génération Y

– Anticiper et accompagner le changement

– L’attitude intérieure positive

– Prendre la parole en public et rester zen

– L’intelligence émotionnelle

– Comment mieux gérer son stress ?

– Humour et management

– Conduire le changement

– Décrypter la gestuelle pour rendre plus efficace sa communication

– La communication de crise, quelles relations avec la presse ?

– L’art de la répartie : comment réagir en toute situation ?

– Équilibre vie professionnelle vie privée

A chaque fois, le conférencier anime la journée en alternant présentation, mise en situation, exercices pratiques, échanges entre apprenants, etc.

Cela permet de recevoir des connaissances en provenance d’un professionnel expérimenté, de pouvoir les discuter et se les approprier, et surtout de confronter « entre nous » les expériences – bonnes ou mauvaises – des uns et des autres. Qui n’a pas eu à gérer une réunion houleuse, une personne qui réagit de manière désagréable, des problèmes d’ego ou un conflit au sein de son équipe de travail ?

J’apprends beaucoup sur moi-même au cours de ces formations. Elles ont contribué – j’espère – à améliorer mon contact avec les autres, que ce soit dans mon univers professionnel où l’on est parfois prompt à critiquer l’interface chaise-clavier, dans ma gestion des réunions d’expertise où l’écoute est importante ainsi que la bonne gestion de crise, ou dans ma tache de conseiller municipal, je pense en particulier à l’animation des réunions publiques.

Les valeurs GERME, sur lesquelles travaillent tous les adhérents, sont les suivantes: Progrès, Respect, Ouverture, Confiance, Humilité et Ensemble (PROCHE). Elles illustrent bien le mode de fonctionnement du groupe GERME auquel j’appartiens. Elles permettent de développer et mettre en œuvre de nouvelles compétences en management. Elles permettent d’apprendre à se connaître pour accepter ses limites et renforcer ses points forts.

En septembre 2013, il y avait 87 groupes GERME réunissant 1310 adhérents. Les groupes accueillent des cadres de direction associés à la réflexion et aux décisions stratégiques: cadres en responsabilité d’équipes, cadres en responsabilité transversales et parfois des dirigeants de TPE. Les adhérents sont accueillis dans un groupe en veillant à la diversité des fonctions et à la non-concurrence des entreprises représentées. Vous trouverez plus d’informations sur le site de l’association. N’hésitez pas à entrer en contact avec un animateur proche de vous ou directement avec l’équipe d’accueil de l’association. Les formations sont prises en charge par votre entreprise.

J’avais beaucoup d’idées reçues sur le management, principalement par méconnaissance. J’imaginais que certaines personnes avaient une sorte de qualité naturelle innée de « leader » charismatique, ou d’autres l’insupportable comportement de « petits chefs ». Je pensais que les cours de management consistaient en un ensemble de « trucs » pour manipuler les gens et en augmenter la productivité. J’avoue être allé un peu à reculons aux premières formations, moi le scientifique pur cru.

Au final, j’apprends à être plus ouvert, responsable, engagé, en constant perfectionnement, capable de comprendre mon environnement avec du recul, acteur et diffuseur de progrès au sein de mon entreprise, et acteur du changement.

Mes collègues ont constaté le changement. J’ai pu apprécier mon évolution dans la conduite des réunions d’expertise judiciaire. Même les étudiants sentent que j’ai changé en mieux. Même mes enfants…

Il me reste à mettre tout cela en pratique avec les élections municipales qui s’annoncent…

J’en parlerai sûrement ici.

Le tri

Publié le 13 novembre 2013 par Zythom

Me voilà encore une fois devant un ordinateur que je dois analyser. Les informations transmises par l’Officier de Police Judiciaire me disent qu’une lointaine autorité a signalé à Interpol que l’ordinateur aurait servi à télécharger des images pédopornographiques.

Moi, je ne suis qu’un tout petit maillon de la chaîne: je n’ai pas saisi l’ordinateur, je ne connais pas son contexte de connexion à internet, j’ai simplement une unité centrale saisie pas loin de chez moi et posée sur mon bureau, avec pour mission de dire si elle contient des images pédopornographiques et si possible comment elles sont arrivées là…

Bien, bien, bien.

Je prends des photos du scellé, comme j’ai vu faire dans les séries américaines. J’ouvre le scellé, je dépose l’unité centrale sur mon bureau. Elle sent la cigarette. Je prends des photos, puis j’ouvre l’unité centrale avec un tournevis, proprement pour ne pas laisser de marques. Je prends des photos de l’intérieur, puis j’enlève le disque dur. Enfin, je prends en photo le disque dur, je note ses caractéristiques, son modèle, son numéro de série. J’en fais une copie numérique bit à bit en priant pour qu’il ne rende pas l’âme à ce moment là… Je dormirai mal cette nuit-là.

Le lendemain, je m’assure que la copie s’est bien passée, je remonte le disque dur dans l’unité centrale, je prends des photos, je range le scellé. Le vrai travail d’investigation peut commencer.

Les données du disque dur se présentent de plusieurs façons:

– bien rangées dans des ensembles qu’on appelle « des fichiers »

– en vrac partout ailleurs sur le disque dur.

Les fichiers non effacés sont accessibles via les tables d’allocation des fichiers.

Les fichiers effacés sont, pour certains, encore accessibles via ces mêmes tables (qui se comportent comme des index de livres). La majorité de ces fichiers proviennent des mécanismes de mise en cache des navigateurs. Quelques uns viennent de la suppression de fichiers choisis par l’utilisateur.

Puis il y a les « paquets de données » éparpillés sur le disque dur, référencés nulle part (la référence a été définitivement effacée). Ces paquets contiennent des traces de fichiers ayant un jour été « cohérents ». On trouve de tout dans ces paquets, des bouts d’images, des bouts de téléchargements, des bouts de conversations, des bouts de fichiers systèmes, etc.

Une fois récupéré l’ensemble de toutes ces données (effacées, pas effacées, en fichiers ou en bout de fichiers), je me retrouve face à un Everest de données qu’il me faut trier. Je vous parle ici d’un tas de cinq cents mille fichiers.

Cinq cents mille.

Première étape: éliminer les fichiers « communs », ceux qui appartiennent de façon certaine au système d’exploitation ou aux applications connues. Pour cela, je vous recommande la « National Software Reference Library » qui contient plusieurs bases de données intéressantes.

Mais ensuite, il faut tout regarder.

Je commence par les plus gros fichiers: je tombe alors sur des films qu’il faut que je visionne. Je me tape en accéléré et par morceaux tous les grands blockbusters des cinq dernières années…

Je regarde toutes les bases de données présentent sur le disque dur,
et en particulier la base de registres, les fichiers logs du système et
les bases de données des différentes applications. La plupart de ces bases sont codées en binaire de manière propriétaire par les éditeurs concernés. J’analyse chaque base: applications de messagerie, logiciel d’échange de données, chat, etc. J’obtiens la liste des connexions effectuées, les fichiers téléchargés, les données échangées…

Je continue mon tri.

Viennent ensuite les archives ZIP, 7Z et autres dont j’extrais les fichiers. 15 archives résistent et me demandent un mot de passe… que je cracke pour tomber sur du porno banal. Internet, c’est pour le porno.

Je continue mon tri.

Je regroupe toutes les images dans un ensemble de répertoires (Windows n’aime pas les répertoires contenant trop de fichiers). Je passe des soirées entières, pendant plusieurs semaines, à les regarder: mariages, soirées, vacances d’un côté, et tout le contenu porno des caches des navigateurs utilisés…

Je continue mon tri.

Il me reste quelques fichiers qui résistent à mon classement. Chacun représente un défi qu’il me faut relever. Surtout que pour l’instant, je n’ai rien trouvé de pédopornographique. J’ouvre les fichiers avec un éditeur hexadécimal. Je regarde leurs empreintes numériques, leur contenu. Je pense aux différents défis lancés par les conférences sur la sécurité informatique. Je me sens nul. Ici les fichiers illisibles sont simplement des images ou des fichiers word avec des entêtes corrompus.

Tout cela pour rien. Enfin, pas vraiment. Cela prouve l’innocence de l’utilisateur du PC, ce qui n’est pas rien. Pour moi, cet ordinateur est clean du point de vue de mes missions. Sur mon rapport j’indique que je n’ai trouvé aucune donnée pédopornographique. Je n’écris pas qu’il n’y en a pas. J’écris que je n’en ai pas trouvées. Ni trace d’un téléchargement qui pourrait laisser supposer la présence de telles données.

Et encore une fois, la fin de ce long tri ennuyeux me rend heureux: ma mission est terminée, et elle se termine bien. Il ne reste plus qu’à expliquer ma note de frais et honoraires, maintenant. Mais ça, c’est une autre histoire…

Conversation entre un libriste et un expert judiciaire

Publié le 5 novembre 2013 par Zythom

Il m’arrive d’être contacté par email par un internaute qui m’interpelle sur un point et, parfois, une conversation épistolaire s’amorce, donnant lieu à des échanges intéressants. Ce fut le cas avec Hoper, et cela donne ce billet à quatre mains, publié simultanément sur nos blogs respectifs.

——————————————————–

Hoper:

Bonjour Zythom,

Je vais commencer par me présenter à minima. Informaticien, un peu blogueur,
et un peu « énervé » quand il s’agit de défendre nos libertés, j’ai
découvert votre blog en 2011. Je vous lis encore à l’occasion, et
j’aurai quelques questions sur votre activité.

Par exemple la personne qui avait « défacé » votre blog vous reprochait de
ne pas être suffisamment du coté de la « justice ». Vous êtes vous déjà
demandé si, au contraire, vous ne le seriez pas déjà un peu trop ? Je
m’explique.

Nous vivons une époque merveilleuse ou tous les citoyens sont
surveillés en permanence (prism, affaires des journalistes sur écoute,
etc.) et ou les lanceurs d’alertes concernant la surveillance excessive (et illégale)
mise en place par nos gouvernements « démocratiques » sont traqués comme
des terroristes.

Pendant ce temps Vous fouillez dans la vie privée des gens. A la requête
d’un juge certes, mais tout de même. Tout le monde est manipulable… Ça ne vous met pas mal à l’aise ?

Zythom:

Bonjour Hoper,

Je vais me présenter rapidement pour les lecteurs de votre blog: je suis ingénieur en informatique, je travaille comme directeur informatique et technique dans une grande école d’ingénieurs où je sévissais auparavant comme enseignant-chercheur, et j’exerce en parallèle l’activité d’expert judiciaire en informatique. Je raconte ma vie sur mon blog perso: « Zythom – blog d’un informaticien expert judiciaire. Je vais essayer de répondre correctement à vos questions…

Lorsqu’un crime est commis, et qu’un ordinateur est trouvé sur place, il me semble normal de saisir l’ordinateur et de l’examiner. Pour l’expert judiciaire qui sera affecté à cette tache, « examiner » signifie répondre à un ensemble de questions posées par un magistrat instructeur. Souvent, surtout quand il s’agit de chercher des preuves photographiques, cela nécessite de plonger dans la vie privée des utilisateurs de cet ordinateur.

En modifiant les éléments d’identification des affaires dans lesquelles j’interviens, en « romançant » pour reprendre le mot du procureur dans l’Affaire Zythom, je parle souvent sur mon blog de mes interventions dans la vie privée des gens. Par exemple, dans les billets « Une vie privée« , « Je cherche la vérité« , « Emilie 4 ans » ou « Ad nauseam« . Je concluais d’ailleurs ce dernier billet ainsi:

Quand j’ai un doute, ou que je me sens mal à l’aise, je ne dois pas me
contenter de dire: je mets en annexe, les autres feront le tri. Il faut
décider ce qui relève de la mission. Il faut décider ce qui relève de la
dénonciation de crime.

Le reste, c’est la vie privée.

Et parfois, c’est dur de faire les choix, quand on sait qu’on peut briser une vie.

Mais briser la vie de qui? Celle de l’utilisateur du disque dur? Celle de sa prochaine victime s’il y en a une? La mienne?

Ce qui montre que j’ai parfaitement conscience des risques que j’affronte.

Mais j’assume pleinement cette responsabilité. J’ai choisi de prêter le serment suivant: « Je jure d’apporter mon concours à la Justice, d’accomplir ma mission, de faire mon rapport, et de donner mon avis en mon honneur et en ma conscience. » et j’entends bien y rester fidèle.

Puis-je être l’objet d’une tentative de manipulation ?

Ma réponse est simple: oui, tout le temps.

Je vais développer un peu.

Nous vivons dans une société où chacun est libre de déposer une plainte et de demander l’action de la justice. Certains abusent de cette possibilité pour, par exemple, déstabiliser un concurrent, chercher à obtenir des informations commerciales confidentielles, etc. L’expert judiciaire peut se retrouver au milieu de conflits violents, par exemple entre deux entreprises qui veulent se détruire mutuellement. Chaque partie cherche à obtenir de l’expert un rapport favorable à sa cause.

L’expert judiciaire doit résister à des tentatives d’intimidation, voire même à des attaques physiques. Je décris dans ce billet une agression dans un dossier qui a entraîné la ruine de l’expert judiciaire !

Vous le voyez, l’expert judiciaire n’a pas tous les pouvoirs. Son action est encadrée par la loi, et son rôle consiste à donner un avis sous la forme d’un rapport. Et le magistrat n’est pas tenu de suivre cet avis. Les avocats peuvent également « attaquer » le rapport de l’expert, avant son dépôt (par la rédaction de dires), ou après son dépôt en demandant une contre-expertise. Je pratique d’ailleurs beaucoup ce genre d’activité en lien avec des avocats, ou des associations, pour les aider à rédiger des dires. J’en parle dans ce billet intitulé « Contre expertise« . Je vous invite à le (re)lire et j’en reporte ici la conclusion:

Enfin, chaque citoyen peut se voir accusé injustement d’un fait dont il
est innocent. Beaucoup croient que la découverte de la vérité s’effectue
« automatiquement » et « gratuitement » à travers des enquêtes sérieuses
menées avec tous les moyens (humains et financiers) d’une justice
moderne.

Ils se trompent lourdement.

Sur le chiffrage des données, j’ai toujours encouragé mon prochain à l’utiliser pour protéger sa vie privée, soit avec des VPN (« Vie privée, vie publique« , « Fournisseurs de VPN« , ou « SSTIC OpenVPN Synology Freebox et iPhone« ), soit avec des containers TrueCrypt.

Hoper:

« Lorsqu’un crime est commis, et qu’un ordinateur est trouvé sur place, il me semble normal de saisir l’ordinateur et de l’examiner.«

Pour moi les choses sont loin d’être aussi simples.

Je m’interroge justement sur ce sujet. Pardonnez je vous prie ma totale méconnaissance du droit (je serai bien en peine d’expliquer la différence entre un crime et un délit par exemple, tout en sachant qu’elle est fondamentale légalement parlant).

Je m’interroge donc, sur ce qui peut autoriser un juge à demander l’analyse d’un équipement informatique. Quels sont les actes suffisamment graves pour justifier une telle intrusion dans la vie privée ? Sachant que, sauf erreur de ma part, Lopsi 2 autorise une intrusion à distance dans des cas aussi bénins que l’assistance aux sans papier, je me dis que, quelle que soit la faute commise, un juge pourrait décider de saisir mon matériel informatique.

Est-ce le cas ?

Zythom:

Je ne suis pas juriste, je ne peux pas prétendre connaître la bonne réponse à cette question, mais l’action des magistrats est encadrée par la loi. Ils ne peuvent pas faire ce qu’ils veulent et, de plus, les décisions qu’ils prennent peuvent être contestées, avec l’aide d’un avocat qui vous assistera dans la défendre de vos intérêts.

Pour une réponse plus pertinente, il faudrait poser la question à un magistrat, ou au moins à un juriste.

Hoper:

Autre question, même si cela tourne un peu autour du même sujet.

Êtes vous d’accord avec toutes les lois françaises ?

Si vos conclusions d’expert conduisaient un jour à inculper une personne

pour quelque chose que vous ne condamneriez pas vous personnellement…

(ou alors une beaucoup plus lourdement que vous ne l’auriez fait)

Cela ne vous poserai pas un problème ?

En résumé, je trouve qu’humainement et moralement parlant, vous prenez beaucoup de risques pour une justice qui semble (vue de loin hein) de moins en moins « juste ». Vous ne le faite pas pour l’argent. Pas non plus pour vos pairs qui vous attaquent en justice, tentant de limiter de façon totalement inadmissible votre liberté d’expression.

Alors… pourquoi ?

Zythom:

Il m’arrive d’avoir dans un dossier une faiblesse humaine: ma sensibilité, mon « opinion », mes préjugés s’imposent à moi et brouillent mon avis (je rappelle que je ne « juge » pas une personne, je donne un avis technique en réponse à des questions qui me sont posées).

Heureusement, la méthode scientifique est là pour m’aider à garder la tête froide et à me défaire de ce type de réflexes primaires.

Un expert judiciaire est là pour donner un avis scientifique sur un point technique. Son opinion politique, ses préjugés sur le comportement de telle ou telle partie à la cause n’importent pas. Il en va de même pour les magistrats.

Et de même que la science peut se tromper, l’expert judiciaire peut également se tromper. J’ai alors à faire face à ma conscience. D’où la référence à ce concept dans le serment de l’expert judiciaire: « donner mon avis en mon honneur et en ma conscience. »

Je ne suis pas d’accord avec toutes les lois françaises. J’ai en détestation le concept même de copyright et j’ai un avis très critique sur la HADOPI (soit ironique comme dans ces deux billets ici et là, soit plus technique comme dans ce billet).

Alors pourquoi est-ce que je souhaite mettre mes compétences techniques à la disposition de la justice ?

Je pense qu’il faut d’abord préciser un point: il y a d’un côté les lois, votées par les hommes et femmes politiques que les citoyens ont élus, et d’un autre les magistrats qui constituent l’un des éléments clefs de l’institution judiciaire. Je me méfie comme de la peste du mot « justice » qui a plusieurs sens, et je vous invite à lire sur ce point l’excellent article de Wikipédia, dont voici un extrait:

« La justice est un idéal souvent jugé fondamental pour la vie sociale et la civilisation.
En tant qu’institution, sans lien nécessaire avec la notion, elle est
jugée fondamentale pour faire respecter les lois de l’autorité en place,
légitime ou pas. La justice est censée punir quiconque ne respectant
pas une loi au sein de sa société avec une sanction ayant pour but de
lui apprendre la loi et parfois de contribuer à la réparation des torts
faits à autrui, au patrimoine privé ou commun ou à l’environnement. »

Si une mission me pose un problème de conscience, j’ai la possibilité de la refuser. Pour l’instant, ce n’est jamais arrivé.

Je ne travaille effectivement pas pour la justice (en tant
qu’institution) pour l’argent, ni pour mes pairs. Je travaille pour
l’institution judiciaire parce que cela me rapproche de l’univers de ma femme qui est
avocate.

Et cela me paraît une excellente raison 😉

Hoper:

Dans plusieurs billets, vous semblez avoir des doutes sur vos activités. Je ne parle pas seulement de la gêne que vous décrivez lors des perquisitions, mais de l’activité en général.

Je cite :

« Après tant de coups, après tant de désillusions, je me suis rendu compte que les seuls dossiers qui pouvaient avoir mérité d’avoir eu envie de devenir expert judiciaire étaient les énigmes posées par les scellés que l’on me confie dans les instructions. Et comme la plupart du temps, il s’agissait de recherche d’images ou de films pédopornographiques, je me dis que je suis un con. »

C’est tout de même assez fort comme paragraphe…

Pouvez vous développer ? Car ici, en substance, on comprend « Tout ce que j’ai fait n’a pas servi à grand chose d’autre que de me fournir des défis techniques à relever.

Avouez qu’il y a alors de quoi se poser des questions.

Zythom:

C’est un peu la raison d’être de mon blog: l’écriture me permet de travailler sur mes frustrations, sur mes angoisses et sur mes faiblesses. Et parfois, cela donne une phrase un peu désabusée.

Travailler pour l’institution judiciaire, c’est mettre ses compétences au service de la justice. Mais c’est aussi découvrir un univers très contraint, très attaqué et très peu soutenu, avec des moyens financiers d’un autre âge. C’est dur de voir que l’idéal que l’on peut avoir sur la Justice n’est pas soutenu par les élus, ni par le justiciable.

Enfin, il m’a fallu aussi un certain temps pour digérer le fait que, non, l’expert judiciaire n’est pas accueilli à bras ouvert par une institution reconnaissante de son implication citoyenne, non, tous les experts judiciaires ne sont pas compétents, non, l’amour de la technique n’est pas suffisant pour être un bon expert judiciaire, etc.

Quand j’ai commencé l’activité d’expert judiciaire, je voulais aider la justice à découvrir la vérité. Maintenant, je suis plus intéressé par les défis techniques, tout en sachant que cela aide à découvrir la vérité. C’est gagnant/gagnant. Mais parfois, quand le dossier est difficile à digérer, en particulier en matière pédopornographique, j’ai plus de mal.

L’écriture sur le blog m’aide beaucoup, et bien entendu le soutien de mes proches.

Hoper:

Vous indiquez que vous avez la possibilité de refuser une mission qui vous semblerait vraiment contraire à vos principes.

C’est une très bonne chose en théorie. Mais avez-vous réellement tous
les éléments pour faire un choix éclairé dans la pratique ?

D’après les exemples que vous donnez, on à plutôt l’impression que vous
n’avez qu’une connaissance très limité du contexte de la mission
proposée, peu ou pas d’éléments techniques, et que l’on vous demande
généralement de donner une réponse « la toute de suite maintenant ».

Ne pensez vous pas, dans ces conditions, qu’il serait possible de
regretter un jour d’avoir accepté une mission ? Pas parce qu’elle vous
prendrait plus de temps que prévu, ni parce qu’elle nécessiterai des
compétences spécifiques, mais bien parce qu’elle vous poserai un
problème éthique ?

Zythom:

Vous avez la possibilité de refuser une mission dès votre désignation par un magistrat. Personne ne peut vous obliger à accepter une mission, sauf cas exceptionnel que je n’ai jamais connu.

Une fois votre mission accepté, si des événements qui vous étaient inconnus posent un problème éthique, il est toujours possible de se déporter, en expliquant les raisons aux parties et au magistrat. Le plus tôt est le mieux, surtout si des frais importants doivent être engagés. Le cas s’est présenté plusieurs fois pour moi quand je me suis rendu compte que j’avais été en relation client/fournisseur avec un participant à la première réunion d’expertise, et que ce fait pouvait mettre en cause mon impartialité.

Hoper:

Concernant le chiffrement, vous encouragez donc son utilisation afin que chacun puisse protéger sa vie privée. Vous le faite en sachant qu’un chiffrement correctement implémenté vous empêcherai de remplir une mission qui vous aurait été confiée.

N’y aurait-il pas, dans cette attitude, une sorte de contradiction ?

Zythom:

Il n’y a pas de contradiction à être pour la défense de la vie privée, et être amené à devoir entrer dans la vie privée des gens.

Imaginez un policier qui encourage à s’équiper de portes blindées pour empêcher les cambriolages, alors qu’il doit lui-même forcer des portes dans le cadre d’enquêtes criminelles (par exemple).

Hoper:

Quand je m’interroge sur le respect de la vie privée, vous me répondez :

L’expert doit se limiter à la mission qui lui a été confié. Tout ce qui
n’entre pas dans le cadre de cette mission doit être écarté.

C’est très bien mais que faire si, a contrario, la mission donnée est trop limitée ?

Exemple : « Trouver toutes les images pédopornographiques présentes sur
cette machine »… En oubliant de vous demander d’en chercher la
provenance ! (téléchargement effectué par l’utilisateur ou « piratage »
etc.)

Si les questions qui vont ont étés posées ne sont pas assez nombreuses, il y a le risque d’aboutir à un mauvais jugement non ?

Zythom:

Oui. C’est pour cela qu’il arrive souvent que le magistrat, ou l’enquêteur, me contacte pour discuter avec moi des missions, avant leur rédaction définitive.

Si ce n’est pas le cas, et si les missions sont imprécises, il est toujours possible de contacter le magistrat après coup pour se faire préciser un point obscur. Il est malheureusement difficile d’arriver à joindre un magistrat, et quand on y arrive, il vaut mieux aussi que ce soit pour une bonne raison (il n’est pas là pour vous expliquer un point de procédure).

Mais si l’affaire n’est pas claire, que les parties sont de mauvaises fois, que l’expert n’est pas très bon, que les missions sont imprécises et que le magistrat s’appuie un peu trop sur son rapport pour prendre sa décision, alors oui, cela peut aboutir à de mauvais jugements. C’est je crois, l’origine du proverbe: « Un mauvais arrangement vaut mieux qu’un bon procès« .

Heureusement, c’est rare, car les experts sont de mieux en mieux formés aux procédures juridiques, et les avocats, enquêteurs et magistrats de plus en plus compétents en matière informatique.

Hoper:

Concernant les erreurs, manipulations etc, vous me rappelez très justement que l’on peut demander (qui paye !?) une contre expertise. Bien. Mais ce nouvel expert devra t-il répondre exactement aux même questions, ou sa mission peut elle être élargie (cf exemple ci dessus) ?

Zythom:

Quand vous n’êtes pas content d’une expertise, il vous est possible d’en demander une autre au magistrat. C’est la contre-expertise. Si la demande n’est pas solidement argumentée, le magistrat va la refuser pour éviter les dépenses inutiles, car en général toutes ces expertises sont payées par l’une des parties qui fait l’avance (elle sera remboursée si elle « gagne » le procès, par la partie perdante, je simplifie). Si la demande est acceptée, la mission peut être élargie, si le magistrat le décide ainsi.

Sinon, vous pouvez toujours demander une expertise privée, à vos frais, pour venir critiquer scientifiquement le rapport de l’expert judiciaire. Je me suis d’ailleurs fait une spécialité en la matière, puisque je traite aujourd’hui plus d’expertises de ce type que d’expertise judiciaire. Mais tout cela à un coût, que l’État ne prend pas en charge.

Hoper:

A propos des experts maintenant. Vous expliquez vous même ne pas réellement savoir comment ils sont choisis, comment leur compétences sont validées etc. Soyons optimistes, et partons du principe qu’une très grande majorité d’expert sont effectivement très compétents dans leur domaine d’expertise. Il reste forcément des cas isolés, des personnes qui n’auraient pas eu être inscrite sur les listes.

J’imagine qu’après plusieurs échecs (conclusions remises en cause par des contre expertises justement), la question de leur « suppression » doit se poser ? Ca arrive souvent ? Sait on pourquoi une personne n’est plus sur la liste ?

Zythom:

Auparavant, le seul moyen de faire sortir un mauvais expert des listes était une procédure de radiation, procédure plutôt infamante.

Aujourd’hui, puisqu’il faut demander tous les cinq ans sa réinscription sur la liste, beaucoup d’experts disparaissent des listes, soit parce qu’ils ne redemandent pas leur inscription, soit parce que leur demande de réinscription est refusée. C’est plus discret et moins infamant. Mais la procédure de radiation existe toujours.

Hoper:

Que se passe il si un expert judiciaire tombe sur une difficulté technique qu’il n’arrive pas à résoudre seul. A t-il le droit de « faire appel à un ami » ? Je suppose que le secret de
l’instruction l’en empêche ? Même si il s’agit de demander l’aide d’un
autre expert judiciaire ?

Zythom:

L’expert termine toujours son rapport par une phrase affirmant qu’il a rempli seul et en personne sa mission. Donc il n’a pas le droit de faire intervenir de son proche chef une autre personne dans la procédure.

Mais il lui est possible de se documenter auprès de tierces personnes, sans livrer le détail du dossier. Il n’est pas interdit de poser une question purement technique sur une liste de diffusion, ou sur Twitter. Cela m’arrive souvent. On ne peut pas tout savoir, mais on doit savoir qu’on ne sait pas tout 😉

Si par contre, je dois faire intervenir une société dans l’analyse d’un disque dur parce que celui-ci ne fonctionne plus, je dois demander auparavant l’autorisation du magistrat qui m’a désigné. Le rôle de l’expert judiciaire est bien encadré.

Hoper:

Le fonctionnement de la justice en France est quelque chose de très mal
connu par l’écrasante majorité de la population (moi le premier).
Inconnue et répressive, il est logique que l’administration judiciaire
fasse « peur ». D’où l’importance des blogs (le votre, celui de Maitre
Eolas et de beaucoup d’autres). Merci beaucoup pour le temps passé à
nous éclairer sur ces sujets.

Zythom:

Merci Hoper pour cet échange qui aborde des questions intéressantes qui me sont souvent posées lors des différentes rencontres que j’ai pu avoir IRL avec des internautes, mais que je n’avais jamais abordées ici. Et merci aussi pour le temps passé.

Cracker les mots de passe

Publié le 24 septembre 2013 par Zythom

Quand j’étais jeune responsable informatique, dans les années 1990, il existait une « tradition » chez les administrateurs réseaux de l’époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l’on gérait.

C’est ainsi que j’ai découvert le logiciel « crack« , librement distribué et partagé sur internet par les administrateurs réseaux.

C’est aussi à cette époque que j’ai compris l’intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer.

Voici donc un billet sur les outils que j’utilise aujourd’hui dans les analyses que j’ai à mener, soit dans le cadre judiciaire, soit dans le cadre professionnel (quel admin n’a pas déjà eu à contourner un mot de passe root, ou un mot de passe BIOS). J’espère qu’il pourra être utile aux experts judiciaires débutants en la matière, ou à tout ceux qui veulent tester leur réseau informatique personnel ou professionnel.

Dernier point: il n’est pas inutile de rappeler que toute utilisation illégale de
ce type d’outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l’approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s’en servir à leur insu est réprimandée par la loi.

Bref, ce qui est mal est mal, ce qui est illégal est illégal…

S’il n’était mort il serait encore en vie.

Note à mes lecteurs issus ou nageant déjà dans l’univers de la sécurité informatique, ne vous attendez pas à des découvertes techniques incroyables dans ce qui va suivre, considérez ce billet comme une initiation au B.A.BA pour mes lecteurs « mékeskidis » (© Maître Eolas) ou les simples curieux.

—————————————

0) L’outil magique, celui qui impressionne les amis : Ophcrack

Rendez-vous sur le site de téléchargement d’Ophcrack, récupérez le liveCD qui va bien (Vista/7 par exemple), gravez le et bootez votre machine Windows 7. Regardez et admirez, c’est plug and play.

Ophcrack fonctionne très bien également sur des machines virtuelles, par exemples des images disques créées par la commande « dd » et transformées en VM par liveView.

Pour les plus motivés d’entre vous, il existe des « tables arc en ciel » en téléchargement plus ou moins libre sur internet, permettant d’améliorer les performances de récupération des mots de passe. Attention, ces tables peuvent faire plusieurs gigaoctets. Vous pouvez également les faire vous même (par exemple avec RainbowCrack): prévoir un ordinateur TRES puissant et plusieurs mois de calculs…

Ophcrack est un outil précieux lors des perquisitions, où l’on rencontre souvent du matériel sous Windows XP ou Windows 7.

Conseil aux administrateurs réseaux débutants: bloquez très vite le mode « boot sur CD » de tous les postes que vous administrez…

—————————————

1) L’ancêtre, celui qui fera de vous un barbu : crack

Crack est un logiciel de recherche de mot de passe par création de combinaisons de mots courants stockés dans des fichiers. Je dois à ce logiciel ma plus belle collection de « dictionnaires », le mot étant à prendre ici au sens de « liste de mots » (sans définition). J’ai des dictionnaires de mots dans un grand nombre de langues, des dictionnaires de mots écrits en phonétique, des règles de codage/décodage en langage SMS (t1t1 pour tintin), etc. J’ai également récupéré, quand ils ont été disponibles sur internet, tous les fichiers de mots de passe (parfois plusieurs millions) d’utilisateurs…

Comme indiqué en préambule, c’est le premier programme que j’ai
utilisé dans le contexte d’analyse de la sécurité de mon réseau, pour
tester la validité des mots de passe choisis par les étudiants. Je
précise que je suis barbu avec modération. 20% des mots de passe
utilisés par les étudiants ont été trouvés en moins de 5 mn, 80% en
moins d’une heure. J’ai affiché dans le couloir du laboratoire
informatique la liste des mots de passe par ordre de découverte (sans le
nom du compte associé), avec obligation pour chaque étudiant de changer
leur mot de passe… Toute une époque 😉

Crack est un programme conçu pour UNIX et fonctionnant sous UNIX. La rubrique « Troll » de la FAQ est instructive à ce sujet. Ceux qui ont un peu plus de temps, liront avec délice les emails les plus curieux envoyés au développeur de crack.

C’est un programme pédagogique, qui peut encore être utile, même si je dois avouer ne pas m’en être servi depuis longtemps.

—————————————

2) La référence : John l’éventreur

John The Ripper, ou JTR, est l’une des références dans l’univers des briseurs de mots de passe. Bien qu’un peu ancien maintenant, ce logiciel a su évoluer pour utiliser différentes méthodes d’approche.

Il a surtout l’avantage de fonctionner dans beaucoup d’environnements: Windows, Linux, Mac OS, etc. C’est encore un logiciel basé sur des dictionnaires.

Je raconte dans ce billet, une petite anecdote liée à la présence de ce logiciel sur le poste de travail d’un salarié avec le mot de passe du patron dans un fichier texte…

—————————————

3) L’attaque à distance multi-protocoles : Hydra

Si vous devez auditer un ensemble de postes, de serveurs, de protocoles, de services, de trucs à distance, ou tout simplement un ordinateur allumé ciblé, le tout sans bouger de votre poste d’analyse, voici le produit qu’il vous faut: THC-Hydra.

Je reporte ici la description du produit extraite de ce manuel en français: THC Hydra est un crackeur de mot de passe réseau supportant les protocoles suivants: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET, HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA, REXEC, SOCKS5, VNC, POP3, VMware-Auth, NCP, Firebird.

Le logiciel possède deux modes de fonctionnement: l’attaque par dictionnaires ou par force brute. A ce propos, ne pas oublier les fonctionnalités moins connues du couteau suisse des réseaux: nmap et ses possibilités d’attaque par force brute.

—————————————

4) Le mot de passe BIOS oublié : PC CMOS Cleaner

Toute la description est dans le titre. La encore, un liveCD à télécharger pour booter ensuite dessus. Rapide, efficace, mais modifie le scellé ce qui est interdit.

Sinon, la vieille méthode dite de « la pile BIOS à enlever » marche toujours, mais il faut savoir la trouver, surtout sur les ordinateurs portables. Encore une fois, interdit dans le cas d’un scellé.

—————————————

5) Efficace mais long : les emails

La meilleure de toutes les solutions est un constat simple que je fais souvent: la grande majorité des gens n’utilisent qu’un ou deux mots de passe, pour tous les systèmes d’authentification qu’ils rencontrent.

Il est donc très probable que l’utilisateur de l’ordinateur analysé ait choisi son mot de passe « habituel » pour s’enregistrer sur un site quelconque de téléchargement de démos, d’achats en ligne ou de webmail. Parmi tous les sites en question, il n’est pas rare que le mot de passe utilisé lors de la procédure d’inscription soit envoyé EN CLAIR dans l’email de confirmation de création du compte.

Il suffit donc d’analyser les correspondances emails (Outlook, Thunderbird, traces logs des différents navigateurs, etc) pour retrouver un ensemble d’emails du type « votre mot de passe est bien ZorroDu69, merci de conserver cet email » (oui, merci). Quand vous listez ensuite tous les mots de passe ainsi trouvés, le nombre dépasse rarement 3 ou 4. Il ne reste plus qu’à les tester sur le compte ciblé pour trouver le bon.

C’est l’application d’une des bases de l’ingénierie sociale…

—————————————

Conclusion

L’amoureux de la vie privée que je suis commencera par un conseil sur les mots de passe: choisissez les de manière à ce qu’ils ne puissent pas apparaître dans une liste de mots de passe, et suffisamment longs pour qu’ils résistent à une attaque par force brute. Je donne souvent l’exemple des premières lettres des mots d’une chanson ou d’un poème, en mélangeant majuscules et minuscules, ex: LsLdvdLBmCdULm, auxquelles vous ajoutez quelques chiffres (en majuscule, non, je plaisante), ex: LsLdvdL1844BmCdULm1896. C’est beau, c’est long, ~~c’est bon~~, c’est difficile à deviner quand on vous regarde taper sur le clavier (sauf si vous chantonnez).

Mais attention, ce n’est pas inviolable (cf point n°0 sur Ophcrack et le boot sur cédérom).

Ensuite, un conseil encore plus pénible: choisissez un mot de passe très différent pour chaque compte informatique. Dix comptes, dix mots de passe. 50 comptes, 50 mots de passe. Un mot de passe pour Twitter, un autre pour Facebook, un autre pour Gmail, etc. Évidemment, la nature humaine est ainsi faite que la mémorisation parfaite de tous ces mots de passe devient un tantinet compliquée. Je vous recommande donc le logiciel KeePass pour stocker de façon sécurisé tous vos mots de passe. Ce logiciel est même certifié par l’ANSSI, c’est dire. Il peut également générer des mots de passe très long aléatoirement, avec la possibilité de faire des copier/coller, ce qui revient à ne même pas connaître le mot de passe que vous utilisez.

Du coup, vous n’avez à retenir vraiment qu’un seul mot de passe, jamais mis par écrit: celui de l’accès à KeePass. De plus, ce logiciel est à double authentification (présence d’un fichier à choisir + mot de passe). Vous pouvez même placer KeePass sur le Cloud pour pouvoir y accéder de partout !

Cracker des mots de passe est une activité assez amusante, un petit défi technique accessible à tous. Il est par contre plus difficile pour certains étudiants de garder à l’esprit que tout ce savoir technique doit servir du bon côté de la Force. Quoi qu’il en soit: sit vis vobiscum !

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Expert

Stats 2013

Réponse de la cour d’appel

Coup de coeur

Journées réseaux 2013

Partage sécurisé de fichiers

Ma petite entreprise

GERME

Le tri

Conversation entre un libriste et un expert judiciaire

Cracker les mots de passe