On me demande souvent ce que je ferais si je devais analyser un disque dur entièrement chiffré, ou un disque effacé en profondeur. Je réponds toujours qu’un expert judiciaire n’est pas un magicien et que « Ad impossibilia nemo tenetur« ^[1].

Il arrive parfois qu’on puisse surmonter l’impossible.

Jaime Lannister est commercial dans l’entreprise CASTRALROC. Enfin, « était », car Jaime s’est fait licencier pour faute grave. Faute qu’il conteste devant le conseil de prud’hommes. Ceux-ci, étant étymologiquement sages et avisés, font appel à un autre homme sage, avisé, d’expérience, reconnu compétent dans un domaine et pouvant être considéré comme un expert à ce titre, c’est-à-dire un expert judiciaire. Me voici dans la place forte.

J’ai déjà décrit plusieurs fois sur ce blog le déroulement d’une expertise judiciaire contradictoire. Je suis donc assis à une grande table ronde, avec à ma droite les représentants de l’entreprise CASTRALROC et leur avocat, et à ma gauche Jaime et son avocat. Bien qu’ayant lu mon ordonnance de désignation, je demande aux deux parties de me présenter le problème.

CASTRALROC est une entreprise spécialisée dans la fabrication d’armes blanches à double tranchant, connue pour ses modèles Aiguille, Glace, Grande-Griffe et Longclaw. Entreprise de taille modeste, elle n’en dispose pas moins d’un poste de commercial, occupé par Jaime, avec des clauses de confidentialité et de non concurrence.

Il est reproché à Jaime d’avoir contacté à plusieurs reprises, par courrier postal, des entreprises concurrentes et proposé ses services, en mettant en avance son savoir-faire et sa connaissance des techniques utilisées par CASTRALROC. En particulier l’entreprise RINGS fabricant les modèles Andúril, Anglachel, Anguirel, Aranrúth, Dard, Glamdring, Gurthang, Gúthwinë, Hadhafang, Herugrim, Narsil, Orcrist et Ringil.

Jaime nie avoir rédigé de tels courriers, tout en reconnaissance des contacts avec la concurrence, contacts qu’il estime normal dans l’hypothèse d’un changement d’employeur.

Me voici donc, en présence des deux parties, devant l’ordinateur portable utilisé par Jaime dans le cadre de son travail chez CASTRALROC. Ne souhaitant pas prolonger la réunion outre mesure en effectuant devant tout le monde de longues analyses techniques, je propose aux parties de m’autoriser à les effectuer dans mon laboratoire et de revenir présenter les résultats de mes investigations lors d’une deuxième réunion.

De retour chez moi, j’effectue une copie numérique du disque dur et commence son analyse inforensique. Après quelques heures d’investigations, je constate l’absence de courriers coupables. Par contre, je trouve sur le disque dur un logiciel d’effacement de traces: Eraser. Impossible, dans ce cas, de remonter de plus de quelques jours dans la liste des fichiers effacés.

Me voici de nouveau devant les parties, lors de la deuxième réunion d’expertise. Je présente les faits. Jaime explique qu’en raison de la confidentialité des données qu’il manipule, il a pris l’habitude d’effacer efficacement les traces laissées sur son ordinateur. Je prends acte de ses explications, l’utilisation du logiciel Eraser étant parfaitement licite et logique pour qui veut se préserver d’une récupération des fichiers effacés.

Avant de clore la réunion, je demande à visiter le système informatique de l’entreprise. Un classique serveur de fichiers contrôleur de domaine, des postes vassaux clients pour chaque salarié et un photocopieur multifonction dans le couloir. L’entreprise n’a pas de système de sauvegarde centralisé, chacun copiant sur support externe ses propres données. Je ne fais aucune remarque sur la viabilité de la solution.

Dans l’entreprise où je travaille, les photocopieurs multifonctions sont loués à une société qui en assure l’entretien et la maintenance. Il se trouve que, chez nous, la configuration de certains photocopieurs multifonctions doit être faite de manière approfondie, car ils sont utilisés à la fois par le personnel de l’école et par les étudiants. J’ai donc dû me plonger, avec la société de maintenance, dans le paramétrage avancé de plusieurs modèles. C’est très bavard, un photocopieur multifonction. Cela garde trace de beaucoup d’informations: date d’impression, nom du document, nom du compte ayant demandé l’impression, nombre d’exemplaires…

Je demande donc à voir le photocopieur multifonction du couloir. Je parcours quelques menus dans la configuration et découvre le paramétrage suivant: tous les documents imprimés sont disponibles sur le disque dur du photocopieur multifonction. Il est possible de les parcourir et de demander leur réimpression… C’est ainsi que devant les yeux médusés des parties, j’ai pu retrouver tous les documents imprimés par Jaime, et en particulier les courriers adressés à l’entreprise RINGS. Après quelques manipulations, ils étaient de nouveau imprimés. J’ai eu une petite pensée pour mon moi d’il y a quelques années.

Vous qui imprimez les 200 exemplaires du carnet de chant de la chorale de vos enfants, le pdf érotique que vous avez téléchargé chez vous, ou vos cinq exemplaires du rapport d’expertise et ses annexes, sur l’imprimante du boulot, je suis sûr que vous allez y réfléchir à deux fois maintenant.

Jaime s’est alors tourné vers moi, et m’a dit: « valar morghulis », ce qui, dans langue de l’antique Valyria, signifie « Tout homme doit mourir« .

Je lui ai répondu: « Big printer is watching you ».

———————————–

[1] A l’impossible nul n’est tenu

Le PC de Jean-Pierre est rempli de fichiers images et films pornographiques. Le problème est que cet ordinateur appartient à l’entreprise REKALL pour laquelle Jean-Pierre travaille. Enfin, « était installé » car le PC est maintenant sous scellé dans mon bureau et Jean-Pierre est en procédure aux Prud’hommes contre REKALL pour licenciement abusif.

Mais revenons un peu en arrière dans le temps.

Jean-Pierre travaille tous les jours sur son ordinateur fixe professionnel, comme beaucoup d’employés de la société REKALL. Il se plaint de temps en temps de la lenteur de son PC, mais comme un peu tout le monde. C’est que son ordinateur n’est pas de toute dernière jeunesse, et les investissements de renouvellement peinent à arriver jusqu’à lui. Mais aujourd’hui, son ordinateur semble avoir rendu l’âme: il n’arrive plus à le faire fonctionner, ni à le redémarrer. Il appelle donc le service informatique de REKALL.

Le service informatique envoie un technicien qui constate la réalité du problème. Après quelques procédures magiques, le technicien constate que le disque dur est plein, entrainant le dysfonctionnement du système d’exploitation. Quelques instants plus tard, le technicien constate la présence d’un répertoire rempli de fichiers pornographiques. C’est le début des ennuis de Jean-Pierre avec la société REKALL: convocation à un entretien préalable, mise à pied puis licenciement.

Tout au long de la procédure, Jean-Pierre nie avoir téléchargé ou introduit les fichiers pornographiques. La société REKALL n’en croit pas un mot et tout le monde se retrouve devant les prud’hommes.

Un expert judiciaire est désigné, avec mission d’analyser le disque dur, d’y trouver trace des éventuels fichiers pornographiques et d’en déterminer la provenance. Me voici avec l’ordinateur affecté à Jean-Pierre par REKALL posé sur mon bureau bien enveloppé dans son scellé. Le week-end s’annonce bien…

Je brise le scellé, déballe l’ordinateur et commence mes investigations.

Ma méthode est toujours la même: je note sur un cahier toutes les opérations que j’effectue, je vérifie la présence physique de tous les supports de mémoire possibles (cédéroms dans les lecteurs, clefs USB, disques SSD, disques durs, etc.), prends des photos avant démontage, note la présence de poussières, la position éventuelle des cavaliers, des nappes de câbles… Dans le cas présent, le dossier technique semble simple: un seul disque dur est branché sur la carte mère. Je procède à son extraction, avec précaution. Je démarre l’ordinateur et inspecte les paramètres du Bios pour relever le décalage horaire avec l’heure exacte de l’horloge parlante. Le bios d’un ordinateur peut révéler parfois des informations très intéressantes. Ici, rien de particulier.

Je branche le disque dur sur mon PC de prise d’image, derrière un bloqueur d’écriture. Puis, je procède à la prise d’image proprement dite, comme décrit ici. Mon NAS personnel se remplit toute la nuit d’une image bit à bit d’environ 500 Go, fidèle copie numérique du disque dur d’origine. Je replace le lendemain le disque dur d’origine dans son PC, non sans l’avoir pris en photo et noté toutes ses caractéristiques (numéro de série, marque, modèle, etc.) sur mon petit cahier papier.Promis, dans quelques années, j’achète un encrier, une plume sergent major et le porte-plume de mon enfance 😉

J’analyse le contenu du disque dur, et sans surprise, je trouve un répertoire intitulé « nvrzkflg » contenant plusieurs centaines de gigaoctets d’images et de films pornographiques. Me voici, porte du bureau fermée, en train de plonger dans ce qui ne constitue effectivement pas des études concernant la prostitution. Je fais le plein de pr0n…

Les fichiers semblent classés par thème, du plus classique au plus exotique, mais certains détails techniques attirent mon attention. L’organisation générale du stockage des fichiers est plutôt curieuse, avec des noms de répertoire d’un seul caractère, et les vidéos sont dans toutes les langues, avec parfois des sous-titres, eux-aussi dans toutes les langues. Je le note en remarque sur mon cahier d’écolier.

Après quelques heures passées à faire le tri, je m’attaque à la question de la provenance de ces fichiers. Jean-Pierre a-t-il abusé de son accès internet, sachant que de toute manière, internet, c’est pour le porno. J’analyse alors les traces de navigation laissées dans les différents caches présents sur le disque dur: rien d’inapproprié. Jean-Pierre a bien effectué quelques courses personnelles sur des sites de VPC, mais rien en rapport avec mes missions. Je recherche des traces d’extractions de fichiers archives compressées (zip, etc.), typique de la manipulation en masse de fichiers, mais là aussi rien de probant: que des documents de la société REKALL.

Je démarre l’image du disque dur dans une machine virtuelle et procède à son analyse avec l’aide de plusieurs antivirus à jour. Bingo! La machine est infectée… Une recherche sur Google m’indique que l’infection en question est un bot d’un cloud de stockage. Autrement dit, le disque dur du pc infecté est relié à un ensemble d’autres ordinateurs (des serveurs de contrôle et d’autres pc infectés) formant une grande zone de stockage à la disposition d’une ou plusieurs personnes. Dans le cas présent, la zone de stockage semble être destinée à de la pornographie.

Pour vérifier mon hypothèse, je relie à internet mon bac à sable où je faisais fonctionner la machine virtuelle, non sans avoir lancé un bon analyseur de trafic réseau.

Je dois dire que j’ai été assez fasciné de voir ma petite machine virtuelle être contactée depuis un ordinateur que j’ai tracé jusqu’à Taïwan (certainement une machine elle-même infectée) et recevoir des commandes à exécuter pour se mettre à jour et faire le plein de pr0n.

Mon rapport a été clair (comme toujours) sur la question: Jean-Pierre pouvait être mis hors de cause. Qui était responsable de sa désagréable situation, l’antivirus inefficace?, non mis à jour?, le service informatique?, heureusement la question ne m’a pas été posée. En tout cas, depuis, je surveille un peu plus les mises à jour des antivirus de mon entreprise, et les comportements suspects de notre parc informatique. Dans une école d’ingénieurs, ce n’est pas toujours facile.

Mais surtout, je n’accuse jamais un utilisateur pour ce que je peux trouver sur son poste de travail.

Les bureaux sont déserts. Bien qu’il soit encore tôt le matin, personne ne viendra me déranger car les bureaux resteront vides. L’entreprise est fermée depuis plusieurs mois, mais le mobilier et les équipements sont encore en place. A part cette fine couche de poussière, tout me donne l’impression que dans quelques minutes une vie active va envahir les lieux, remplissant l’atmosphère de bruits et d’agitation.

Ma mission est de récupérer, à la demande du tribunal de commerce, toutes les données concernant les sites internets des anciens clients.

J’ai fait remettre l’électricité en intervenant auprès du liquidateur judiciaire. Je me suis fait ouvrir les portes par le gardien de l’immeuble d’entreprises, et il m’a aidé à réenclencher le disjoncteur avant de me laisser seul dans les lieux. Tout un ensemble de bureaux, des locaux techniques, des salles de réunion, une cuisine, pour moi tout seul.

Je pose mon sac dans l’entrée sur le bureau d’accueil. J’en sors un poste de radio que je branche pour mettre un peu de vie. J’ouvre les volets de plusieurs fenêtres pour faire entrer la lumière. Je fais le tour des pièces pour repérer les lieux. Je prends des notes: salle serveurs, ordinateurs dans tel et tel bureau, je suis le câblage du réseau pour trouver les baies de brassage et les actifs du réseau. En une heure, j’ai redémarré le réseau, les machines de la salle serveurs et quelques ordinateurs de bureau.

Le liquidateur judiciaire m’a laissé les mots de passe de l’administrateur du réseau, mais je récupère quelques mots de passe complémentaires avec mon live CD Ophcrack. Je commence l’inspection des disques durs des serveurs: organisation générale des données, logiciels installés, structure du réseau, etc.

Au bout de quelques heures, je me rends compte que toutes les données concernant les sites internets des clients ont été effacées. Et la présence du programme eraser sur le compte de l’administrateur m’a vite fait comprendre que mes tentatives de récupération de données seront certainement vouées à l’échec. Mais j’essaye quand même et n’abandonne qu’après moultes vérifications. Nada, que tchi, que pouic. L’informaticien aurait aussi bien pu laisser bien en évidence sur une table un post-it avec mention GTFO.

Bon. Les données de la salle serveurs sont FUBAR… Il ne me reste qu’à vérifier si une copie traine quelque part sur un disque dur dans les différents bureaux. Je sens que l’après-midi va être longue, très longue.

Pendant que le poste de radio de l’entrée crie sa joie de vivre, je m’installe dans ce qui semble avoir été le bureau de la secrétaire. Quelques cartes de visite trainant sur la table m’indiquent que je suis assis à la place qu’occupait une certaine Lætitia, qui justement signifie « joie » en latin, secrétaire de direction.

Je profane son ordinateur et explore les catacombes. Son fond d’écran montre une femme d’environ 40 ans avec des enfants. Le calendrier de sa messagerie Outlook m’indique qu’elle a programmé un rendez-vous périodique intitulé « sauvegardes mensuelles ». Tiens tiens.

J’ouvre les tiroirs du bureau et tombe sur deux bandes magnétiques de type DAT.

Je retourne dans la salle serveurs où se trouve un lecteur DAT (mais curieusement plus aucune bande…) et entreprend la lecture des données stockées sur les deux bandes. Bingo. Lætitia était chargée de mettre de côté hors salle serveurs une bande de sauvegarde mensuelle contenant toutes les données des serveurs, y compris et surtout celles concernant les sites internets des clients. Les inscriptions sur les boites m’ont également indiqué que l’informaticien avait prévu le stockage d’une sauvegarde pour les mois pairs et d’une autre pour les mois impairs.

En rangeant mes affaires, je suis resté quelques minutes à regarder Lætitia sur son fond d’écran. Et je l’ai remercié, au nom de ses anciens clients.

Sur le bureau de la salle serveur, j’ai laissé un petit papier où j’ai écrit ROFLMAO. J’espère que l’admin aurait apprécié.