Mon SSTIC 2012

Publié le 16 juin 2012 par Zythom

J’ai enfin pu assister au Symposium sur la Sécurité des Technologies de l’Information et de la Communication (SSTIC) qui se déroule chaque année à Rennes.

Si parmi mes lecteurs, il y a des personnes intéressées par des comptes rendus sur les conférences, elles peuvent aller directement sur les blogs suivants :

– n0secure

– Ma petite parcelle d’Internet

– Mon premier blog

– Le blog perso d’Ozwald

Vous trouverez également de très belles photos ici. Pour m’y reconnaître, c’est très simple: j’ai un badge autour du cou 😉

J’ai découvert le SSTIC il y a quelques années seulement, grâce à la lecture du blog de Sid. Chaque billet sur le sujet me donnait envie d’y aller pour découvrir l’univers de la sécurité informatique (un rêve d’enfant). Depuis deux ans, j’essaye d’avoir une place pour y assister, mais j’arrive toujours quelques heures après l’ouverture de la vente, et comme beaucoup de monde s’arrache les places, l’affaire est pliée.

C’est pourquoi, quand j’ai reçu un email de Benjamin Morin, membre du comité d’organisation du SSTIC 2012, me demandant si j’acceptais de venir faire une conférence invitée sur le thème de l’expertise judiciaire, après quelques hésitations liées à mon pseudonymat et au fait que je prenais fatalement la place d’un conférencier plus spécialisé sécurité, mon envie d’y assister l’a emporté, et j’ai accepté.

J’arrive donc le mardi soir dans un hôtel du centre ville et le symposium commence pour moi par un repas au restaurant « Léon Le Cochon » avec tous les conférenciers et le comité d’organisation. J’y arrive relativement intimidé, mais mes voisins de table de table me mettent à l’aise et les discussions vont bon train autour de l’univers de la sécurité. Mon apprentissage peut commencer.

Le soir, je me couche sagement à une heure raisonnable, mais je comprends alors pourquoi l’hôtel fournit des boules quies avec les savons et autres lustrants chaussures : ma chambre se trouve côté rue à 50m de la rue de la soif…

Jour 1.

Je suis à l’heure à la première conférence relatant les 20 ans de PaX. Je suis l’un des seuls de l’amphithéâtre de 500 places à ne pas connaître ce produit. La conférence est très technique, en anglais et l’orateur est en costard avec une cravate. Je commence à flipper pour ma conférence du lendemain… Je lis en direct les commentaires sur Twitter et n0secure me sauve avec son résumé de la conférence en live.

Je reste concentré toute la matinée sur les concepts présentés par les différents conférenciers SSL/TLS, Netzob, RDP : je me sens clairement comme à l’école, en train d’apprendre, et j’aime ça.

Je prends seul mon premier repas car personne ne me connait et je suis trop réservé pour m’imposer avec mon plateau auprès des visages que je reconnais. Le SSTIC est un lieu où beaucoup de personnes prennent plaisir à se rencontrer, à se remémorer des souvenirs et des anecdotes, et le temps est court entre les présentations. Les discussions sont donc joyeusement animées.

Le campus de Rennes-Beaulieu est assez terne avec son béton défraichi, mais il est magnifiquement arboré. Je m’y promène sous une petite pluie que j’aime et qui ajoute à ma mélancolie.

L’après-midi s’écoule comme la matinée, studieuse : WinRT, « l’information, capital immatériel de l’entreprise » et « audit des permissions en environnement Active Directory », Windows 8…

La journée s’achève par une conférence effectuée par les créateurs du SSTIC, Nicolas Fischbach, Frédéric Raynal et Philippe Biondi, SSTIC dont nous fêtions les 10 ans cette année. La présentation était truffée d’anecdotes et de clins d’œil, j’ai adoré. Au passage, c’est très intéressant de découvrir l’histoire du SSTIC et comment les pouvoirs publics ont pu s’intéresser de près à cette conférence. A lire ici.

De mon côté, je souhaite faire une répétition de mon intervention du lendemain, donc je rentre tôt, je mange un sandwich dans ma chambre et je bosse mes enchainements.

Jour 2.

Je passe une matinée mémorable, que je détaille dans ce billet, mais qui m’empêche d’assister aux conférences, et en particulier aux résultats du challenge du SSTIC. Ce sera mon plus grand regret de cette édition du SSTIC.

A 14h45, je suis cramponné à mon micro et je reçois un accueil chaleureux des participants. Ce sera mon meilleur souvenir du SSTIC 2012 !

A 16h45 démarre quelque chose à laquelle il faut avoir assisté une fois dans sa vie : la « Rump session ». Il s’agit, pour qui le souhaite (et ils étaient 20), de faire une présentation en 3 mn maximum ! La salle écoute silencieusement pendant qu’un chronomètre affiche le temps à la vue de tous. Si le conférencier tient le public en haleine, la consigne est de ne pas applaudir à la fin des 3 mn, ce qui laisse encore 30s au conférencier pour terminer. Si le conférencier ne passionne pas la foule, il est interrompu sans pitié à 3’00 » par un tonnerre d’applaudissements. C’est très cruel, mais très efficace. J’aimerais parfois utiliser ce système pour certaines présentations de nos hommes et femmes politiques…

Certaines présentations étaient vraiment bien, d’autres, disons, un peu commerciale…

19h, Guinness time. Mes jambes retrouvent un peu de leur solidité. Discussions avec Erwan de n0secure et Jean-Philippe Gaulier de l’OSSIR.

A 20h, autre moment fort du SSTIC, le « Social Event ». Un cocktail dinatoire où tout le monde peut discuter avec tout le monde. C’est un moment que j’ai vraiment apprécié, d’autant plus que cette fois tout le monde avait vu ma bobine et pouvait venir discuter avec moi. J’ai aussi enfin pu approcher Sid, Fred Raynal, Nicolas Fischbach et plein d’autres.

1h du matin, me voici rue de la soif, à boire une bière offerte par Sid, puis dans un bar à boire du champagne jusqu’à 3h du matin en refaisant le monde. C’est ce que j’appelle la belle vie. Couché 4h.

Jour 3.

Petite nuit mais je suis à l’heure pour la première conférence. Curieusement, j’ai un peu mal aux cheveux. Je reste concentré jusqu’au repas que je prends entouré de cracks de l’ANSSI. Je me tiens au courant des évolutions de la sécurité au sein des structures de l’Etat. Pas facile, car ces personnes sont entrainées pour résister aux interrogatoires sous la torture 😉

Les conférences de l’après-midi sont intéressantes, mais la petite nuit pèse un peu sur ma concentration.

16h30, fin du SSTIC, je m’éclipse doucement.

Ce que j’ai apprécié :

Une ambiance studieuse mais décontractée, des conférences pointues, une organisation impeccable.

Les regrets :

– Ne pas avoir pu retenir toutes les associations visage/pseudo des personnes que j’ai réussi à rencontrer. C’est très étrange de rencontrer IRL des personnes dont on suit les écrits sur leurs blogs.

– Ne pas avoir su consacrer du temps à toutes les personnes qui souhaitaient me rencontrer. J’ai appris par la suite que certains n’avaient pas osé venir vers moi, soit parce que j’étais déjà en train de discuter, soit parce que j’étais seul aux pauses…

– Ne pas avoir pris le temps de discuter avec Benjamin Morin et ses collègues de l’organisation, mais c’est toujours difficile de monopoliser le temps de ces personnes pendant le symposium.

– Enfin, ne pas avoir eu le temps de conclure mon exposé par la lecture d’un passage que j’avais repéré dans les actes du SSTIC 2012. Cela me semblait une excellente conclusion pour faire un pont entre la
sécurité informatique et l’expertise judiciaire informatique. Je vous la livre maintenant :

Tout le monde a soif de liberté et de Justice. Maintenant, je vais vous lire un passage de la préface des actes du symposium (livre à la main) :

« Mais nous devons surtout lutter contre la grande délinquance, dont la faille DuQu est le meilleur exemple. Nous allons devoir être fort, regarder en face DuQu, retrousser nos manches et bouger DuQu pour que ce fléau ne se reproduise plus jamais. S’il le faut, nous utiliserons l’appareil législatif et nous sortirons les lois DuQu. »

Je vous remercie.

😉

PS : Je vous mets ici en téléchargement les visuels utilisés pour ma conférence, y compris les quatre derniers que je n’ai pas eu le temps de projeter parce que je suis un grand bavard.

Back on line

Publié le 13 juin 2012 par Zythom

Suite à l’avalanche de messages de sympathie et, pour tenir compte des demandes formulées dans le billet précédent, j’ai remis en ligne tous les billets et commentaires du blog avant piratage.

Effectivement, il semble que cela peut intéresser les nouveaux lecteurs d’aller se plonger dans les anciens billets (j’espère autant que les anciens lecteurs dans les nouveaux billets ;-).

J’en ai profité pour donner un coup de balai sur le look du blog, et décidé d’abandonner le fond noir qui faisait si mal aux yeux de beaucoup d’entre vous, mais auquel je tenais tant. Nouvelle époque pour ce blog, nouveau design.

Je relisais le billet que j’avais publié juste avant de venir au SSTIC et je me suis demandé si je n’avais pas un 6e sens…

Il me reste quelques réparations à faire, en particulier le plugin de lecture pour les malvoyants, mais le plus gros du chantier est derrière moi. Je tiens d’ailleurs à remercier encore les équipes de Google pour leur réactivité et leur efficacité. Sans elles, je serai encore en train d’adapter les outils de conversion Json vers Xml à mes besoins propres, faute d’avoir procédé à des tests de restaurations de mes sauvegardes sur un blog de secours… Le B.A.BA. Mais comme je l’indiquais sur Twitter, le dieu des sauvegardes devait veiller sur moi.

Il parait que les chats ont neuf vies. Si ce blog est comme eux, il lui reste huit piratages à subir avant que je n’aille en enfer. Vous n’avez pas fini de rigoler, ni mon égo d’en prendre un coup.

Merci à vous tous.

SSTIC 2012

Publié le 30 mai 2012 par Zythom

Je suis invité à faire une conférence au Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC) qui se déroulera les 6, 7 et 8 juin 2012 à Rennes.

C’est pour moi une nouveauté d’être invité sous mon pseudonyme de blogueur, mais c’est surtout un challenge de venir parler devant une assemblée d’experts spécialistes de la sécurité informatique. Imaginez un peu le stress d’un médecin généraliste venant s’exprimer devant des neurochirurgiens…

Cela faisait plusieurs années que j’avais repéré ces trois journées de symposium, mais je n’ai jamais réussi à avoir une place pour pouvoir y assister, car les places partent en quelques minutes. Je suis donc très honoré (et très stressé!) d’y être invité pour m’exprimer 45mn sur l’activité d’expert judiciaire en informatique.

Une des difficultés que j’appréhende va être d’allumer mon ordinateur (ou mon téléphone) sans que tous mes mots de passe et données privées ne soient capturés par l’assemblée de spécialistes, moi qui me considère vraiment comme un nain juché sur les épaules de ces géants. C’est d’ailleurs un des angles d’attaque de ma présentation (le nain, pas les mots de passe ;-). Je sais qu’il ne faut pas se connecter sur une éventuelle borne « WifiGratuit » ouverte à tous les vents sans protection. Ni tremper les doigts dans les pots de miel qui pourraient trainer…

Je crains un peu également que mon pseudonymat ne soit mis à mal par quelques indélicats, mais j’ai toujours expliqué ici que le choix de bloguer sous pseudonyme était un confort d’écriture et de liberté de parole, plus qu’une protection permettant de tout dire de manière irresponsable. J’assume sans problème chaque texte écrit ici, même de mauvaise qualité, même sur ma vie privée.

Une autre difficulté va être de résister jusqu’à jeudi soir à l’appel de la rue de la soif…

La difficulté principale va quand même être d’intéresser pendant 45mn, juste après le repas, un auditoire de spécialistes.

A la semaine prochaine, sur le campus de Rennes Beaulieu Sud, pour les chanceux qui ont réussi à avoir des places! Si vous me voyez sur l’estrade le 7 juin, soyez indulgent :-S

Watching you

Publié le 12 mai 2012 par Zythom

On me demande souvent ce que je ferais si je devais analyser un disque dur entièrement chiffré, ou un disque effacé en profondeur. Je réponds toujours qu’un expert judiciaire n’est pas un magicien et que « Ad impossibilia nemo tenetur« ^[1].

Il arrive parfois qu’on puisse surmonter l’impossible.

Jaime Lannister est commercial dans l’entreprise CASTRALROC. Enfin, « était », car Jaime s’est fait licencier pour faute grave. Faute qu’il conteste devant le conseil de prud’hommes. Ceux-ci, étant étymologiquement sages et avisés, font appel à un autre homme sage, avisé, d’expérience, reconnu compétent dans un domaine et pouvant être considéré comme un expert à ce titre, c’est-à-dire un expert judiciaire. Me voici dans la place ~~forte~~.

J’ai déjà décrit plusieurs fois sur ce blog le déroulement d’une expertise judiciaire contradictoire. Je suis donc assis à une grande table ~~ronde~~, avec à ma droite les représentants de l’entreprise CASTRALROC et leur avocat, et à ma gauche Jaime et son avocat. Bien qu’ayant lu mon ordonnance de désignation, je demande aux deux parties de me présenter le problème.

CASTRALROC est une entreprise spécialisée dans la fabrication d’armes blanches à double tranchant, connue pour ses modèles Aiguille, Glace, Grande-Griffe et Longclaw. Entreprise de taille modeste, elle n’en dispose pas moins d’un poste de commercial, occupé par Jaime, avec des clauses de confidentialité et de non concurrence.

Il est reproché à Jaime d’avoir contacté à plusieurs reprises, par courrier postal, des entreprises concurrentes et proposé ses services, en mettant en avance son savoir-faire et sa connaissance des techniques utilisées par CASTRALROC. En particulier l’entreprise RINGS fabricant les modèles Andúril, Anglachel, Anguirel, Aranrúth, Dard, Glamdring, Gurthang, Gúthwinë, Hadhafang, Herugrim, Narsil, Orcrist et Ringil.

Jaime nie avoir rédigé de tels courriers, tout en reconnaissance des contacts avec la concurrence, contacts qu’il estime normal dans l’hypothèse d’un changement d’employeur.

Me voici donc, en présence des deux parties, devant l’ordinateur portable utilisé par Jaime dans le cadre de son travail chez CASTRALROC. Ne souhaitant pas prolonger la réunion outre mesure en effectuant devant tout le monde de longues analyses techniques, je propose aux parties de m’autoriser à les effectuer dans mon laboratoire et de revenir présenter les résultats de mes investigations lors d’une deuxième réunion.

De retour chez moi, j’effectue une copie numérique du disque dur et commence son analyse inforensique. Après quelques heures d’investigations, je constate l’absence de courriers coupables. Par contre, je trouve sur le disque dur un logiciel d’effacement de traces: Eraser. Impossible, dans ce cas, de remonter de plus de quelques jours dans la liste des fichiers effacés.

Me voici de nouveau devant les parties, lors de la deuxième réunion d’expertise. Je présente les faits. Jaime explique qu’en raison de la confidentialité des données qu’il manipule, il a pris l’habitude d’effacer efficacement les traces laissées sur son ordinateur. Je prends acte de ses explications, l’utilisation du logiciel Eraser étant parfaitement licite et logique pour qui veut se préserver d’une récupération des fichiers effacés.

Avant de clore la réunion, je demande à visiter le système informatique de l’entreprise. Un classique serveur de fichiers contrôleur de domaine, des postes ~~vassaux~~ clients pour chaque salarié et un photocopieur multifonction dans le couloir. L’entreprise n’a pas de système de sauvegarde centralisé, chacun copiant sur support externe ses propres données. Je ne fais aucune remarque sur la viabilité de la solution.

Dans l’entreprise où je travaille, les photocopieurs multifonctions sont loués à une société qui en assure l’entretien et la maintenance. Il se trouve que, chez nous, la configuration de certains photocopieurs multifonctions doit être faite de manière approfondie, car ils sont utilisés à la fois par le personnel de l’école et par les étudiants. J’ai donc dû me plonger, avec la société de maintenance, dans le paramétrage avancé de plusieurs modèles. C’est très bavard, un photocopieur multifonction. Cela garde trace de beaucoup d’informations: date d’impression, nom du document, nom du compte ayant demandé l’impression, nombre d’exemplaires…

Je demande donc à voir le photocopieur multifonction du couloir. Je parcours quelques menus dans la configuration et découvre le paramétrage suivant: tous les documents imprimés sont disponibles sur le disque dur du photocopieur multifonction. Il est possible de les parcourir et de demander leur réimpression… C’est ainsi que devant les yeux médusés des parties, j’ai pu retrouver tous les documents imprimés par Jaime, et en particulier les courriers adressés à l’entreprise RINGS. Après quelques manipulations, ils étaient de nouveau imprimés. J’ai eu une petite pensée pour mon moi d’il y a quelques années.

Vous qui imprimez les 200 exemplaires du carnet de chant de la chorale de vos enfants, le pdf érotique que vous avez téléchargé chez vous, ou vos cinq exemplaires du rapport d’expertise et ses annexes, sur l’imprimante du boulot, je suis sûr que vous allez y réfléchir à deux fois maintenant.

Jaime s’est alors tourné vers moi, et m’a dit: « valar morghulis », ce qui, dans langue de l’antique Valyria, signifie « Tout homme doit mourir« .

Je lui ai répondu: « Big printer is watching you ».

———————————–

[1] A l’impossible nul n’est tenu

Tome 2

Publié le 28 avril 2012 par Zythom

Tenir un blog, pour beaucoup, c’est prendre plaisir à raconter une histoire, une anecdote ou partager un retour d’expérience. C’est utiliser un peu de la liberté d’expression dont nous disposons pour s’exprimer.

Mais c’est aussi s’exposer à la critique, à la haine et au mépris. Je reçois quelques courriers de cet ordre, qui rejoignent vite le trou noir de ma poubelle numérique. Les problèmes que j’ai rencontrés à cause de la tenue de mon blog sont venus d’ailleurs.

Je suis toujours surpris de constater que le fait qu’internet offre à tous les citoyens la possibilité de s’exprimer directement, sans les filtres habituels, dérange et contrarie un certain nombre de personnes. Dans mon cas, des personnes ont été choquées par le fait que je tienne sous pseudonyme un blog sur lequel je présente mon activité d’expert judiciaire, sans passer par les revues (et comités de lecture) ad hoc, ni par le cercle fermé et discret des réunions ou colloques organisés par les compagnies d’experts judiciaires. Le fait de donner sans filtre, directement auprès du public, une opinion, une vision, une mémoire…

Tenir un blog, confortablement installé dans le fauteuil de mon bureau, peut amener la tempête et l’opprobre des institutions avec lesquelles je travaille, l’invitation à un interrogatoire suspicieux ou la condamnation de mes pairs. C’est ainsi que l’on prend conscience de l’importance de la vie en société, de l’assaut des idées des autres et de leurs jugements.

C’est de tout cela, et d’autres choses, dont il va être question dans les pages du tome 2 du livre « Dans la peau d’un informaticien expert judiciaire », dans les anecdotes « romancées » qui sont toujours en ligne sur le blog à la date de rédaction de cet ouvrage.

Le premier billet du livre commence avec la réception d’une convocation de la Cour d’Appel auprès de laquelle je suis inscrit comme expert judiciaire. Tous les autres billets sont écrits pendant que ce que j’ai appelé l’« affaire Zythom » se déroule, mais sans que je souhaite en parler sur mon blog, même si parfois mon humeur transparaît dans certains billets comme « Sombre ». Ce n’est qu’une fois l’affaire terminée que je me suis permis de la raconter sur le blog, dans les billets qui constituent la fin du livre. Ce tome 2 couvre donc complètement cette période qui fut difficile pour mes proches et moi.

Tenir ce blog me permet de suivre une certaine thérapie par l’écriture. En paraphrasant le magistrat Philippe Bilger, je peux dire : « On est écartelé entre ce qu’on a envie d’écrire et ce qu’on a le droit de dire. Entre [l’expert] et le justicier. Le professionnel et le citoyen. La vie et l’Etat. L’élan et le recul. La réserve et l’audace. Entre soi et soi. »

« Dans la peau d’un informaticien expert judiciaire – Tome 2 – L’affaire Zythom » est disponible au format papier ici en vente chez mon éditeur.

D’autre part, vous le savez sans doute, j’aime assez l’idée de partage et de libre diffusion sans DRM. Ce livre est donc également disponible gratuitement pour tous:

au format PDF (2374 Ko),

au format EPUB (572 Ko),

au format FB2 (759 Ko),

au format LIT (554 Ko),

au format LRF (697 Ko) et

au format MOBI (744 Ko).

Vous pouvez le copier et le diffuser librement auprès de vos amis et de vos ennemis.

Vous y trouverez, comme dans le tome 1,
une sélection de billets laissés dans l’ordre chronologique de leur
publication, et qui peuvent être classés cette fois dans quatre
rubriques :

– mes activités d’expert judiciaire en informatique ;

– mon travail comme responsable informatique et technique ;

– ma découverte du monde politique comme conseiller municipal ;

– et des anecdotes pour mes amis et ma famille.

Avertissements :

Les habitués du blog le savent, mais cela va mieux en l’écrivant: la publication des billets de mon blog, sous la forme de livres, est surtout destinée à ma famille et à mes proches. C’est la raison pour laquelle j’ai choisi la démarche d’une autopublication. J’ai endossé tous les métiers amenant à la publication d’un livre, et croyez moi, ces personnes méritent amplement leurs salaires! Mise en page, corrections, choix des titres, choix des couvertures, choix du format, choix des polices de caractère, marketing, numérisation, etc., sont un aperçu des activités qui amènent à la réalisation d’un livre. Je ne suis pas un professionnel de ces questions, je vous prie donc de m’excuser si le résultat n’est pas à la hauteur de la qualité que vous pouviez attendre. Le fait d’avoir travaillé seul (avec ma maman pour la relecture, merci à elle), explique aussi le faible prix de la version papier pour un livre de 260 pages.

Je me dois également, par honnêteté envers les acheteurs du livre, de dire que les billets en question sont encore en ligne et le resteront. Les billets sont identiques, à part les adaptations indiquées ci-après.

Le passage d’un billet de blog à une version papier nécessite la suppression des liens. J’ai donc inséré beaucoup de « notes de bas de page » pour expliquer ou remplacer les liens d’origine. Dans la version électronique, j’ai laissé les liens ET les notes de bas de page. Je vous incite à lire les notes de bas de page le plus souvent possible car j’y ai glissé quelques explications qui éclaireront j’espère les allusions obscures.

J’ai également glissé, dans ce tome 2, le nom de l’avocat qui m’a assisté tout au long de l’ « affaire Zythom ». C’est un avocat redoutablement efficace, en plus d’être un homme charmant. Je lui dois d’être encore expert judiciaire et de continuer à tenir ce blog. Ce sera le teasing pour vous inciter à la lecture 😉

J’espère que ce tome 2 vous plaira. En tout cas, je vous en souhaite une bonne lecture.

Le plein de pr0n

Publié le 18 avril 2012 par Zythom

Le PC de Jean-Pierre est rempli de fichiers images et films pornographiques. Le problème est que cet ordinateur appartient à l’entreprise REKALL pour laquelle Jean-Pierre travaille. Enfin, « était installé » car le PC est maintenant sous scellé dans mon bureau et Jean-Pierre est en procédure aux Prud’hommes contre REKALL pour licenciement abusif.

Mais revenons un peu en arrière dans le temps.

Jean-Pierre travaille tous les jours sur son ordinateur fixe professionnel, comme beaucoup d’employés de la société REKALL. Il se plaint de temps en temps de la lenteur de son PC, mais comme un peu tout le monde. C’est que son ordinateur n’est pas de toute dernière jeunesse, et les investissements de renouvellement peinent à arriver jusqu’à lui. Mais aujourd’hui, son ordinateur semble avoir rendu l’âme: il n’arrive plus à le faire fonctionner, ni à le redémarrer. Il appelle donc le service informatique de REKALL.

Le service informatique envoie un technicien qui constate la réalité du problème. Après quelques procédures magiques, le technicien constate que le disque dur est plein, entrainant le dysfonctionnement du système d’exploitation. Quelques instants plus tard, le technicien constate la présence d’un répertoire rempli de fichiers pornographiques. C’est le début des ennuis de Jean-Pierre avec la société REKALL: convocation à un entretien préalable, mise à pied puis licenciement.

Tout au long de la procédure, Jean-Pierre nie avoir téléchargé ou introduit les fichiers pornographiques. La société REKALL n’en croit pas un mot et tout le monde se retrouve devant les prud’hommes.

Un expert judiciaire est désigné, avec mission d’analyser le disque dur, d’y trouver trace des éventuels fichiers pornographiques et d’en déterminer la provenance. Me voici avec l’ordinateur affecté à Jean-Pierre par REKALL posé sur mon bureau bien enveloppé dans son scellé. Le week-end s’annonce bien…

Je brise le scellé, déballe l’ordinateur et commence mes investigations.

Ma méthode est toujours la même: je note sur un cahier toutes les opérations que j’effectue, je vérifie la présence physique de tous les supports de mémoire possibles (cédéroms dans les lecteurs, clefs USB, disques SSD, disques durs, etc.), prends des photos avant démontage, note la présence de poussières, la position éventuelle des cavaliers, des nappes de câbles… Dans le cas présent, le dossier technique semble simple: un seul disque dur est branché sur la carte mère. Je procède à son extraction, avec précaution. Je démarre l’ordinateur et inspecte les paramètres du Bios pour relever le décalage horaire avec l’heure exacte de l’horloge parlante. Le bios d’un ordinateur peut révéler parfois des informations très intéressantes. Ici, rien de particulier.

Je branche le disque dur sur mon PC de prise d’image, derrière un bloqueur d’écriture. Puis, je procède à la prise d’image proprement dite, comme décrit ici. Mon NAS personnel se remplit toute la nuit d’une image bit à bit d’environ 500 Go, fidèle copie numérique du disque dur d’origine. Je replace le lendemain le disque dur d’origine dans son PC, non sans l’avoir pris en photo et noté toutes ses caractéristiques (numéro de série, marque, modèle, etc.) sur mon petit cahier papier.Promis, dans quelques années, j’achète un encrier, une plume sergent major et le porte-plume de mon enfance 😉

J’analyse le contenu du disque dur, et sans surprise, je trouve un répertoire intitulé « nvrzkflg » contenant plusieurs centaines de gigaoctets d’images et de films pornographiques. Me voici, porte du bureau fermée, en train de plonger dans ce qui ne constitue effectivement pas des études concernant la prostitution. Je fais le plein de pr0n…

Les fichiers semblent classés par thème, du plus classique au plus exotique, mais certains détails techniques attirent mon attention. L’organisation générale du stockage des fichiers est plutôt curieuse, avec des noms de répertoire d’un seul caractère, et les vidéos sont dans toutes les langues, avec parfois des sous-titres, eux-aussi dans toutes les langues. Je le note en remarque sur mon cahier d’écolier.

Après quelques heures passées à faire le tri, je m’attaque à la question de la provenance de ces fichiers. Jean-Pierre a-t-il abusé de son accès internet, sachant que de toute manière, internet, c’est pour le porno. J’analyse alors les traces de navigation laissées dans les différents caches présents sur le disque dur: rien d’inapproprié. Jean-Pierre a bien effectué quelques courses personnelles sur des sites de VPC, mais rien en rapport avec mes missions. Je recherche des traces d’extractions de fichiers archives compressées (zip, etc.), typique de la manipulation en masse de fichiers, mais là aussi rien de probant: que des documents de la société REKALL.

Je démarre l’image du disque dur dans une machine virtuelle et procède à son analyse avec l’aide de plusieurs antivirus à jour. Bingo! La machine est infectée… Une recherche sur Google m’indique que l’infection en question est un bot d’un cloud de stockage. Autrement dit, le disque dur du pc infecté est relié à un ensemble d’autres ordinateurs (des serveurs de contrôle et d’autres pc infectés) formant une grande zone de stockage à la disposition d’une ou plusieurs personnes. Dans le cas présent, la zone de stockage semble être destinée à de la pornographie.

Pour vérifier mon hypothèse, je relie à internet mon bac à sable où je faisais fonctionner la machine virtuelle, non sans avoir lancé un bon analyseur de trafic réseau.

Je dois dire que j’ai été assez fasciné de voir ma petite machine virtuelle être contactée depuis un ordinateur que j’ai tracé jusqu’à Taïwan (certainement une machine elle-même infectée) et recevoir des commandes à exécuter pour se mettre à jour et faire le plein de pr0n.

Mon rapport a été clair (comme toujours) sur la question: Jean-Pierre pouvait être mis hors de cause. Qui était responsable de sa désagréable situation, l’antivirus inefficace?, non mis à jour?, le service informatique?, heureusement la question ne m’a pas été posée. En tout cas, depuis, je surveille un peu plus les mises à jour des antivirus de mon entreprise, et les comportements suspects de notre parc informatique. Dans une école d’ingénieurs, ce n’est pas toujours facile.

Mais surtout, je n’accuse jamais un utilisateur pour ce que je peux trouver sur son poste de travail.

Demande d’informations

Publié le 10 avril 2012 par Zythom

Je suis contacté de manière plus ou moins aléatoire par des étudiants ou des lycéens qui doivent mener à bien un projet plus ou moins en rapport avec l’activité d’expert judiciaire.

Je réponds toujours et de temps en temps, j’en fais un billet pour permettre aux étudiants éventuellement intéressés de profiter aussi des réponses. Cela faisait longtemps que je n’avais pas pratiqué l’exercice, et désolé pour les lecteurs habituels du blog.

1. En quoi consiste exactement votre activité?

La profession que j’exerce, celle qui me nourrit, est responsable informatique et technique dans une école d’ingénieurs. Comme tout professionnel, mes connaissances et savoirs-faire intéressent l’institution judiciaire, qui peut en avoir besoin dans le cadre des affaires qu’elle a à traiter. Pour rendre plus simple le choix d’un professionnel par un magistrat, des listes sont établies auprès des cours d’appel et de la cour de cassation. Être inscrit sur l’une de ces listes fait de vous un « expert judiciaire ».
En pratique, mon activité est de répondre aux questions qu’un magistrat va me poser (que l’on appelle les missions de l’expert judiciaire) par écrit dans un document que l’on appelle un rapport d’expertise.

Dans mon cas, voici quelques exemples de questions:

– L’ordinateur X contient-il des images pédopornographiques?

– A quelle date l’ordinateur a-t-il été utilisé pour envoyer tel email?

– L’entreprise Y a-t-elle fait correctement l’informatisation de sa cliente Z?

2. Quel est votre revenu moyen?

Mon revenu moyen dépend du nombre d’expertises judiciaires que l’on va me confier. Certaines années, j’ai eu zéro dossier, et donc zéro entrée d’argent. Et pourtant, ces années là, j’ai du payer des charges sociales (forfaitaires), des abonnements logiciels spécifiques, des journées de formation, une assurance en responsabilité… Sinon, une expertise moyenne me prend environ 100 heures de travail, facturée 20 heures à 90 TTC euros de l’heure, soit 1800 euros.

3. Êtes-vous souvent demandé pour exercer votre activité?

Sur les dix dernières années, j’ai été missionné une cinquantaine de fois.

4. Pour chaque métier il y a des avantages et des inconvénients. Pouvez-vous en citer quelques-uns?

L’activité d’expert judiciaire n’est pas un métier. Vous devez avoir un vrai métier pour intéresser la justice, et être missionné de manière ponctuelle. Un expert judiciaire est un « collaborateur occasionnel du juge ». Néanmoins, je peux donner de manière très subjective quelques avantages et inconvénients, vus de ma fenêtre personnelle:

Avantages:

– prestige

– fierté de concourir à l’œuvre de justice

– pouvoir travailler dans le domaine de mon épouse avocate

– travailler aux côtés de personnes de grandes valeurs (magistrats, avocats, OPJ…)

Inconvénients:

– risques et responsabilités importants

– faible rémunération

– paiement des frais engagés parfois avec deux années de retard

– charge de travail qui s’ajoute à celle du métier normal

– complexité administrative (impôts, sécurité sociale…)

– pénibilité de certains dossiers (pédopornographie, crimes contre l’humanité, suicides, etc.)

5. Quelles sont les qualités nécessaires?

C’est une question difficile. A mon avis, il faut aimer son travail, vouloir progresser sans compter ses heures, et avoir le sens du service public.

6. Qu’avez-vous fait comme études?

Ingénieur en informatique industriel et docteur en intelligence artificielle.

7. Depuis combien de temps êtes-vous expert judiciaire?

Depuis 13 ans.

8. Qu’est ce qui vous a amené à devenir un expert judiciaire?

J’aidais mon épouse à comprendre un rapport d’expertise judiciaire informatique dans un de ses dossiers. Le rapport était clair et simple pour moi, mais compliqué et obscur pour les juristes. Cela m’a donné envie de mettre mes compétences d’enseignant-chercheur au service de la justice.

Voilà, j’espère avoir répondu à votre attente et vous souhaite toute la réussite pour votre projet.

———————

L’image provient d’une campagne de publicité pour un site d’emploi. Le slogan est « la vie est trop courte pour occuper le mauvais emploi ». Cliquez sur l’image pour l’agrandir.

Lettre ouverte aux candidats des présidentielles 2012

Publié le 19 mars 2012 par Zythom

La Fédération Nationale des Unions de Jeunes Avocats (FNUJA) et l’Union des Jeunes Avocats de Paris (UJA) ont créé en partenariat avec l’Union Syndicale de la Magistrature (USM), l’Association des Jeunes Magistrats (AJM) et le Conseil National des Barreaux (CNB) le site justice2012.org afin qu’il devienne une caisse de résonance des préoccupations des professionnels de la justice.

Je leur ai adressé ma contribution qu’ils ont acceptée de publier sur leur site et je les en remercie. Je vous invite à aller la lire, ainsi que les autres contributions.

Je reproduis mon texte ici pour archivage.

Notez qu’il s’agit d’une opinion personnelle qui n’engage que moi, et non l’ensemble des experts judiciaires de France.

—————————

Madame, Monsieur le candidat à la magistrature suprême,

L’expert judiciaire est un citoyen amené à collaborer de manière occasionnelle avec la justice. Il peut donc porter un regard extérieur au fonctionnement de cette institution.

La notion de justice est fortement polysémique et il est intéressant de constater qu’en période électorale, les différents sens du mot justice sont souvent utilisés de manière interchangeable, entretenant ainsi auprès des électeurs une certaine confusion.

Le citoyen que je suis est tout d’abord attaché à l’idée de justice pour tous, et le mot fait alors référence au principe moral qui exige le respect du Droit et de l’équité. Les français sont très sensibles au 2e mot de la devise de notre république et beaucoup s’étonnent du coût qu’ils doivent supporter pour accéder au service public de la justice, aggravé depuis la mise en place d’un droit de timbre. Que dire des parties qui font face à l’avance du coût d’une expertise judiciaire?

Cela amène à réfléchir au périmètre de la Justice, le mot étant cette fois pris au sens de l’institution responsable de son application. La Justice en tant qu’institution regroupe des professionnels du Droit en charge de son interprétation. Elle traite des conflits de plus en plus nombreux qui nécessitent l’intervention extérieure de professionnels chargés de donner des avis sur des questions techniques: les experts judiciaires. La société doit prendre en charge cette soif d’accès du citoyen à la Vérité qui nécessite souvent des moyens scientifiques, des savoir-faire techniques qui ne relèvent pas des personnels de l’institution judiciaire.

Les femmes et hommes politiques doivent prendre conscience du besoin de justice du citoyen et des nécessaires moyens de l’institution judiciaire pour pouvoir y répondre.

Demander justice à la Justice pour que la société nous fasse justice…

Bien évidemment, et tous les indicateurs le montrent, en particulier par comparaison aux autres pays européens, le problème principal de la Justice en France est un problème de moyens: pas assez de magistrats, pas assez de greffiers, pas assez d’officiers de police judiciaire…

Ce manque flagrant de moyens se traduit également par le paiement en retard des fournisseurs de l’institution judiciaire, y compris des fournisseurs de service que sont les experts judiciaires. Mesdames et Messieurs les candidats à la magistrature suprême, savez-vous qu’un professionnel qui est considéré comme « très compétent dans sa matière et chargé par un juge, dans le cadre d’une affaire judiciaire, de donner son avis sur des questions techniques » peut être remboursé des dépenses qu’il a engagées, et payé pour son savoir ou son savoir-faire, plus de deux années après son intervention?

Quel salarié, quel artisan, quelle entreprise accepte d’être payé avec deux ans de retard?

Je comprends qu’il soit possible de considérer que la collaboration occasionnelle avec l’institution judiciaire de citoyens sélectionnés pour leurs connaissances techniques devrait être un acte gratuit et bénévole. L’inscription sur les listes d’experts judiciaires serait alors suffisamment gratifiante en tant que telle pour que cet honneur comble le citoyen méritant. Une sorte de légion d’honneur de l’expertise judiciaire, sans rente annuelle ni maison d’éducation pour la descendance féminine… Je crains néanmoins qu’une certaine frilosité s’empare de ses récipiendaires lorsqu’ils auront à faire face à un investissement particulièrement onéreux (investissement en temps ou en moyens) rendu nécessaire par certaines investigations.

Il est temps que les femmes et hommes politiques mettent l’institution judiciaire au centre de leurs préoccupations et lui donne l’indépendance et les moyens nécessaires à son rôle: rendre la justice.

Et ce sera justice.

Zythom

Blogueur informaticien expert judiciaire

Dans la peau d’un informaticien expert judiciaire T1

Publié le 15 mars 2012 par Zythom

Ce blog approche doucement mais sûrement des 700 billets publiés, et cela malgré le nettoyage régulier que je peux faire en supprimant des vieux billets « petits riens » datant du temps d’avant Twitter. Pour autant, la plupart des billets que je laisse en ligne racontent des petites histoires chères à ma mémoire et auxquelles j’aimerais donner une seconde chance, une autre vie.

En 2007, j’avais publié un livre reprenant 126 billets des débuts du blog. J’avais trouvé un éditeur en ligne qui me permettait de réaliser moi-même mon ouvrage et de le diffuser auprès des personnes intéressées, essentiellement ma famille et mes proches.

J’ai donc repris le livre de 2007 pour en faire une seconde édition^[1] qui sera le premier tome d’une série intitulée « Dans la peau d’un informaticien expert judiciaire ».

Titre du 1er tome: « L’âge d’or est devant nous ».

Si certains lecteurs sont intéressés, cet ouvrage est disponible au format papier en commandant en ligne chez mon éditeur.

D’autre part, vous le savez sans doute, j’aime assez l’idée de partage et de libre diffusion sans DRM. Ce livre est donc également disponible gratuitement pour tous:

au format PDF (1480 Ko),

au format EPUB (282 Ko),

au format FB2 (330 Ko),

au format LIT (232 Ko),

au format LRF (263 Ko) et

au format MOBI (270 Ko).

Vous pouvez le copier et le diffuser librement auprès de vos amis ou de vos ennemis.

Un chantier autrement plus long qu’une réédition commence maintenant avec la publication des prochains tomes. Tri, choix, mise en page, corrections, relectures, vont m’occuper un certain nombre de week-ends. J’en ferai probablement une note de blog, à destination de tous les petits blogueurs comme moi qui souhaiteraient se faire plaisir avec dans leur bibliothèque un livre portant leur pseudo.

Et en diffusant ainsi mes anecdotes, je suis très heureux d’aller jusqu’au bout de la logique conseillée par la commission de disciple de ma compagnie d’experts judiciaires lors du « procès » de ce blog. C’est pourquoi je souhaite à tous bonne lecture de mes romans 🙂

Comme j’ai conscience qu’un nombre important d’internautes atterrissant ici n’iront pas acheter le livre ni télécharger la version électronique, je souhaite quand même publier ci-dessous la page des remerciements.

Remerciements:

Ce livre n’existerait pas sans l’aide des personnes suivantes (par ordre chronologique):

– Mes parents, qui m’ont donné le jour, élevé et éduqué avec affection et amour. La baisse sensible du nombre de fautes dans cette seconde édition doit beaucoup à la relecture de ma mère.

– Ma sœur qui m’a soutenu tout au long de mes études, en particulier dans les moments difficiles. Je lui dois une partie de ce que je suis.

– Mon épouse qui m’a soutenu devant toutes les difficultés rencontrées lors de la tenue du blog.

– Maître Eolas, dont les encouragements et le soutien ont largement contribué au succès du blog.

– Tous les blogueurs qui entretiennent avec moi des liens à travers les internets. J’apprends souvent beaucoup de nos échanges.

– Et, bien entendu, les lecteurs du blog.

En attendant, le blog continue.

———————-

[1] La deuxième édition corrige essentiellement quelques fautes de frappe, place le numéro ISBN au bon endroit pour les diffuseurs tels qu’amazon.fr, ajoute le nom du tome et les remerciements. Inutile donc pour les personnes ayant acheté la première édition (collector!) de commander cette version sensiblement identique. Stay tuned pour les autres tomes 😉