Archives par mot-clé : Expert

Contrôle parental

Publié le par

Un expert judiciaire doit procéder régulièrement à la destruction des documents qu’il a pu conserver, et en particulier des anciens rapports d’expertise et de leurs annexes. C’est ainsi qu’en rangeant d’anciennes archives de mon coffre fort numérique, je suis retombé sur l’histoire d’un petit garçon, que j’appellerai Erwan.

Erwan avait neuf ans. Il aimait jouer sur l’ordinateur familial qui trônait dans le salon. Il passait des heures sur le jeu que lui avait installé son père.

A neuf ans, Erwan est un petit garçon curieux de tout : il aime taper sur le clavier – mais pas trop fort – et cliquer sur les personnages de son jeu. Il a vite compris comment allumer l’ordinateur et l’éteindre correctement – comme lui a dit son papa.

Son père lui a également fait plusieurs recommandations : ne pas parler aux inconnus, ne pas sortir de l’école seul, ne pas abîmer les objets qui coûtent chers, ne pas dire de gros mots. Erwan est fier de savoir allumer l’ordinateur et l’utiliser comme un grand.

Enfin, presque comme un grand. Parce que son père a installé un logiciel de contrôle parental pour bloquer tout usage non autorisé d’internet. Du coup Erwan ne peut qu’utiliser le site de son jeu et quelques autres sites placés en liste blanche. Erwan se sent un peu à l’étroit dans cette petite bulle. Surtout que ces copains lui racontent monts et merveilles sur internet et ses vidéos rigolotes.

Alors Erwan, neuf ans, utilise le navigateur internet autrement. Il navigue, non pas sur internet, mais sur l’ordinateur familial en ouvrant les images qui sont stockées localement dans des dossiers bien rangés par son père.

En tout cas, c’est ce que l’historique du navigateur montrera lors de l’enquête dans laquelle je suis intervenue en recherche d’images et de films pédopornographiques. Les jours et heures de navigation « locale » correspondent à la présence d’Erwan à la maison, seul, sur l’ordinateur familial. Ordinateur familial partagé et utilisé par son père pour télécharger des images et des films pédopornographiques et pornographiques. Beaucoup. Et bien rangés, à l’abri – croyait-il – de son fils, grâce au logiciel de contrôle parental.

Un père assouvissant ses penchants en toute discrétion, protégeant son fils des prédateurs sexuels avec un logiciel dont il pensait – à tort – qu’il empêchait son fils d’accéder aux images qu’il amenait lui-même sur l’ordinateur familial.

J’ai détaillé dans le rapport tout l’historique du navigateur, et extrais des entrailles de l’ordinateur toutes les images et tous les films qui hantent encore mes nuits.

Je pense à Erwan et à l’effroi qui devait le saisir quand il se promenait du haut de ses neuf années, « comme un grand » seul sur l’ordinateur familial.

Je pense à son père criminel et pourtant protecteur.

Je pense à tous ceux qui croient qu’il suffit d’un logiciel « magique » pour protéger leur enfants, alors que la meilleure solution est la présence et l’accompagnement parental qu’on appelle l’éducation.

Je pense à tous ces politiques qui utilisent l’excuse de la protection des enfants pour imposer plus de « contrôles ».

Et je suis là encore aujourd’hui, à feuilleter ce rapport que je m’apprête à détruire, et qui me brûle l’écran.

Expert judiciaire : savoir s’arrêter

Publié le par

J’ai prêté le serment des experts judiciaires en janvier 1999. J’avais 35 ans. J’étais le plus jeune expert judiciaire de France dans la catégorie informatique. Ingénieur de l’école Centrale de Nantes, Docteur de l’Université de Paris 6 sur l’apprentissage des réseaux de neurones bouclés, j’étais « professeur – chef de projets » dans une école d’ingénieurs en pleine création (lire la série de billet « 25 ans dans une startup »). Le Droit m’intéressait de très près puisque j’étais marié à une jeune avocate. Elle m’avait expliqué que la Justice avait besoin des connaissances de personnes extérieures à l’administration judiciaire, qu’il y avait de plus en plus de dossiers où l’informatique jouait un rôle important. J’ai postulé, une première fois, puis une deuxième, j’ai été sélectionné, inscrit sur la liste des experts judiciaires de ma Cour d’Appel, et j’ai prêté serment.

Pendant 20 ans, j’ai été fidèle à ce serment et j’ai apporté mon concours à la Justice, accompli ma mission, fait mon rapport, et donné mon avis en mon honneur et en ma conscience.

Et en cette fin d’année 2019, j’ai décidé d’arrêter.

C’est une décision qui me fend le cœur car j’étais très fier de pouvoir dire « je suis expert judiciaire » lorsque je me présentais. J’en appréciais l’impact sur les personnes, et le prestige que ce titre apporte. Alors pourquoi vouloir arrêter ?

Je pourrais partir en m’emportant contre tous les défauts de l’institution, sa légendaire complexité et ses paiements modestes et très différés. Je pourrais écrire un billet enflammé contre les compagnies nationales d’experts hors sol et renfermées sur elles-mêmes. Je pourrais dénoncer les experts vieillissants incompétents et malhonnêtes. Non, parce que ce serait faux.

J’aurais pu écrire que j’arrêtais parce que j’ai été laminé par toutes les expertises en recherche d’images et films pédopornographiques qui m’ont plongé dans des horreurs difficilement supportables, et qui m’ont conduit à ouvrir ce blog.

En fait, et tout simplement, j’arrête parce que je ne suis plus au niveau attendu par la Justice pour l’aider et l’éclairer dans ses dossiers.

Je m’explique : quand j’ai commencé (en 1999), j’avais des connaissances techniques dont disposaient peu des acteurs habituels de la justice. Les gendarmes travaillaient sur quelques ordinateurs qu’ils achetaient avec leurs deniers personnels. Les policiers ne disposaient d’aucun ordinateurs dignes de ce nom et surtout n’avaient pas la formation qui allait avec en matière d’analyse forensic. Personne ou presque n’avait accès à internet. Il y avait quelques personnes que l’on appelait les NTEC, mais ils étaient débordés par les demandes que les enquêteurs leurs soumettaient. J’étais donc très souvent désignés pour travailler sur des scellés judiciaires, et j’en ai souvent parlé sur mon blog.

Le temps a passé. Des progrès ont été faits et aujourd’hui les enquêteurs disposent de laboratoires très performants. Mais je n’ai pas accès à ces laboratoires, ni à leurs outils. J’ai servi de variable d’ajustement, pendant une dizaine d’années, et aujourd’hui je reste un ingénieur informaticien avec les outils d’un simple particulier. Et cela n’intéresse plus la justice.

La principale raison pour laquelle j’arrête mon activité d’expert judiciaire, est que je ne suis plus désigné par des magistrats depuis plus de deux ans.

Mais le prestige du titre d’expert judiciaire est tel, que depuis dix ans j’exerce aussi comme expert privé, c’est-à-dire que j’accepte d’être missionné directement par des avocats pour les aider sur leur dossier. C’est beaucoup plus lucratif puisque mes tarifs horaires sont triplés. Et progressivement j’ai fait de plus en plus d’expertises privées et de moins en moins d’expertises judiciaires. J’ai même proposé en 2016 de faire gratuitement mes expertises judiciaires. Sans succès, à part déclencher l’ire de mes confrères experts.

En mars 2019, j’écrivais dans l’épilogue de la série « 25 ans dans une startup » :
« à propos des expertises judiciaires, du fait des difficultés que je rencontrais dans la startup, j’ai énormément diminué mon activité expertale, en renvoyant toutes les demandes vers des experts compétents et disponibles. Je vais attendre de voir un peu comment se passe cette année 2019, mais sans doute m’achemine-je doucement vers une fin d’activité et un non-renouvellement de mon inscription sur la liste des experts judiciaires. Quand j’ai commencé en 1999, j’avais 35 ans et je ne comprenais pas comment le suivant en âge de la liste pouvait avoir 20 ans de plus que moi dans un domaine aussi technique et changeant que celui de l’informatique. J’ai aujourd’hui cet âge-là et, même si je me sens encore dynamique, je pense qu’il faut savoir laisser la place et ne pas finir par porter ce titre d’expert judiciaire uniquement pour la carte de visite. On verra bien. Je me donne un an pour prendre une décision.« .

Nous voici en fin d’année 2019, et je ne souhaite pas faire partie de ces experts « carte de visite ». Je vais donc écrire au Procureur de la République une lettre de demande de non-réinscription, avec un pincement au cœur, en lui expliquant que faute d’avoir été désigné depuis deux ans, je ne vois pas l’intérêt de continuer à bénéficier de ce titre prestigieux. J’arrête dans la foulée toutes mes prestations privées car elles sont trop liées à cette carte de visite. Je tire un trait sur mon cabinet d’expertise informatique.

Je pars la tête haute, avec la fierté d’avoir aidé la justice pendant toutes ces années. J’ai découvert des gens formidables et dévoués dans cet univers impitoyable. Je sais aussi que ma lettre sera classée en quelques secondes dans un placard par un greffier débordé.

Les cimetières sont remplis de gens qui se croyaient indispensables.
Le monde est rempli de gens qui mettent avec fierté un titre sur leur carte de visite.
J’ai un nouveau métier à apprendre, et si peu de temps.

PS: le blog continue, seul changera son sous-titre. Je continuerai à y parler de ce qui me plaît, y compris de mes anecdotes sur le monde des experts judiciaires.

Les magistrats, les enquêteurs et moi (allégorie)

Comment survivre à ses utilisateurs ?

Publié le par

Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans « service informatique », il y a le mot « service ». Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.

L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.

Et au sommet se trouve l’utilisateur.

Et parfois il fait n’importe quoi…

Plutôt que « Comment survivre à une cyberattaque ? », les articles de presse devraient s’intituler : « Comment survivre à ses utilisateurs ? ». C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique « Sécurité informatique, ne pas en avoir peur« . Petit tour d’horizon :

Les liens piégés :

L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur « ne cliquez pas sur les liens bizarres », alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas « l’utilisateur a cliqué sur un lien piégé ». Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :

Le RSSI
est attendu au tournant : à la première attaque réussie, tous les
regards se tournent vers lui. « ALORS ? Mmmmm… tout ça pour ça ? ». Le
Conseil d’Administration met la pression sur le Directeur Général, le DG
se tourne vers son Directeur des données qui appelle son DSI, lequel
convoque le RSSI… Dans une politique de sécurité du système
d’information, on appelle cela la chaine de responsabilité. En cas
d’attaque réussie (entreprise arrêtée, données dans la nature…) la
pression est énorme. Je pense que le succès de la série Chernobyl tient
aussi du fait que beaucoup de personnes se reconnaissent dans
l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à
appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (« je ne peux pas être considéré comme responsable, je dormais à ce moment-là« ).
Pourtant tout le monde connaît la loi de Murphy : « Tout ce qui est
susceptible d’aller mal, ira mal ». Une attaque informatique réussie arrivera.
Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI.
C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai
dans un billet dédié (teasing :).

Le lien de confiance :

Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa « valeur ajoutée » prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que « Skype souhaite se mettre à jour », « la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE ». Alors, il a parfois envie de hurler « MAIS POURQUOI CA CHANGE TOUT LE TEMPS ? ». Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.

Les mots de passe :

Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : « Ah, vous allez me demander de changer mon mot de passe ? ». 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :

Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : « nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau ». Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.

Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.

Comment survivre à ses utilisateurs ?

Publié le par

Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans « service informatique », il y a le mot « service ». Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.

L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.

Et au sommet se trouve l’utilisateur.
Et parfois il fait n’importe quoi…

Plutôt que « Comment survivre à une cyberattaque ? », les articles de presse devraient s’intituler : « Comment survivre à ses utilisateurs ? ». C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique « Sécurité informatique, ne pas en avoir peur« . Petit tour d’horizon :

Les liens piégés :
L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur « ne cliquez pas sur les liens bizarres », alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas « l’utilisateur a cliqué sur un lien piégé ». Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. « ALORS ? Mmmmm… tout ça pour ça ? ». Le Conseil d’Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI… Dans une politique de sécurité du système d’information, on appelle cela la chaine de responsabilité. En cas d’attaque réussie (entreprise arrêtée, données dans la nature…) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (« je ne peux pas être considéré comme responsable, je dormais à ce moment-là« ).
Pourtant tout le monde connaît la loi de Murphy : « Tout ce qui est susceptible d’aller mal, ira mal ». Une attaque informatique réussie arrivera. Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI. C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai dans un billet dédié (teasing :).

Le lien de confiance :
Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa « valeur ajoutée » prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que « Skype souhaite se mettre à jour », « la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE ». Alors, il a parfois envie de hurler « MAIS POURQUOI CA CHANGE TOUT LE TEMPS ? ». Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.

Les mots de passe :
Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : « Ah, vous allez me demander de changer mon mot de passe ? ». 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : « nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau ». Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.

Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.

La plus belle préface du monde

Publié le par

Photo © Mme Zythom

(cliquez sur l’image pour l’agrandir)

Je me tiens au courant de l’actualité à travers de nombreux sites web, sélectionnés en fonction de mes centres d’intérêt, mais aussi en fonction de l’être humain qui rédige les articles que je lis.

Je teste régulièrement les logiciels d’agrégation des flux de syndication RSS/Atom et je suis plutôt satisfait du site Inoreader, même si leur message anti bloqueur de publicité commence à suffisamment m’agacer pour que j’envisage de partir voir ailleurs… Vous aurez néanmoins une idée d’une partie des sites que je suis, en consultant ma liste de liens sur le côté droit du blog (version web).

Parmi les gens que j’apprécie, et dont je ne rate aucun billet, il y a un certain Stéphane Bortzmeyer, que j’ai eu la chance de croiser en chair et en os lors de plusieurs conférences. J’aime la grande expertise qu’il possède et sa capacité à en publier des billets clairs, même si je le reconnais, j’ai parfois du mal à suivre le niveau…

C’est pourquoi j’ai un peu paniqué quand il m’a contacté pour me demander d’écrire la préface de son ouvrage « Cyberstructure« . J’ai cherché sur Internet un tuto pour savoir comment écrire une préface et j’ai découvert à ma grande surprise que c’était maintenant enseigné au collège, et même un exercice assez basique…

J’ai donc beaucoup lu sur le sujet, et essayé de mettre en pratique les conseils des enseignants : donner envie sans dévoiler, mettre en valeur sans se mettre en valeur, etc. Stéphane et son éditeur ont accepté que je puisse reproduire cette préface sur mon blog. La voici.

Déclaration d’éventuels conflits d’intérêts : J’ai écrit la préface sur la base du tapuscrit numérique envoyé par Stéphane Bortzmeyer. Son éditeur m’a ensuite proposé, comme c’est semble-t-il l’usage, de recevoir des exemplaires gratuits de l’ouvrage final. J’ai refusé, et je me suis procuré avec mes propres deniers un exemplaire de cet excellent ouvrage que je recommande d’avoir dans toutes les bonnes bibliothèques : « Cyberstructure – L’Internet, un espace politique« . L’ouvrage est pour tout public, et pas seulement pour les geeks, les nerds, les experts judiciaires ou les avocates. Je ne touche aucun droit sur les ventes, pas même en Ethereum. Je n’ai reçu aucune rémunération, et aucun animal n’a été maltraité durant nos échanges chiffrés.

—————————————————————————— 

Préface

Quand Stéphane
Bortzmeyer m’a demandé d’écrire la préface de cet ouvrage,
j’ai essayé de comprendre pourquoi il contactait un petit
informaticien expert judiciaire de province, inconnu de tous IRL.
En fait, la réponse fait partie de la magie d’internet : cet
assemblage de réseaux informatiques qui relient des ordinateurs,
relie également les gens entre eux et permet des rencontres qui
auraient été improbables dans le monde réel. Car oui, j’ai eu la
chance de rencontrer Stéphane Bortzmeyer, de lui parler et de lui
serrer la main (je n’ai pas fait de selfie avec lui car je trouvais
cela un peu ridicule à l’époque, mais je me soigne depuis).

Comme beaucoup
d’internautes, je lis avec attention les textes que Stéphane
Bortzmeyer publie sur son blog https://www.bortzmeyer.org/
même si souvent leur contenu me semble a priori hors de
portée, moi qui ne suis pas spécialiste des Request For Comments
(RFC), ni du nommage internet sécurisé… L’éclairage qu’il
apporte à ces sujets complexes permet de mieux comprendre comment
fonctionne internet dans ces différents usages.

Aujourd’hui, tout
le monde connaît internet, mais peu cherchent à en comprendre la
dimension politique. Le livre que vous allez découvrir aborde ce
sujet avec une prise de hauteur que peu d’experts techniques
arrivent à avoir, en abordant par exemple la question de la
neutralité de la technique, de la censure du web, de la vie privée,
et bien d’autres encore. Stéphane Bortzmeyer montre ici toute sa
capacité d’explication et partage avec nous sa vision humaniste du
progrès technique.

Vous allez y trouver
des réponses claires sur le fonctionnement d’internet, mais aussi
des réflexions sur des points politiquement sensibles telles que la
manière de prendre en compte les différentes langues humaines, ou
l’influence des choix techniques sur l’exercice des droits
humains.

En tant qu’expert
judiciaire en informatique, j’ai dû me plonger, à la demande de
magistrats, dans l’intimité numérique de nombreux citoyens, pour
y rechercher des preuves éventuelles de leurs activités supposées
criminelles. Cette violation légale du droit à la vie privée m’a
amené à réfléchir sur le pouvoir qui m’était délégué par
des lois votées par des femmes et hommes politiques qui n’ont pas
toujours conscience de leurs impacts potentiels sur chaque citoyen.
Un fait divers sordide entraîne souvent une réaction législative
guidée par l’émotion de la population. Mais sommes-nous conscient
de limiter nos libertés individuelles au nom d’une protection
collective souvent illusoire ? Il faut ouvrir une réflexion.

Ce livre vous
donnera beaucoup de réponses aux questions que vous vous posez sur
le formidable outil qu’est internet. Mais il vous permettra surtout
de redécouvrir une aptitude que nous possédions tous dans notre
enfance : celle de se poser des questions. A vous ensuite
d’essayer de trouver les bonnes réponses auprès de sources
fiables. Ce livre en fait partie.

Je vous souhaite une
lecture instructive.

Zythom, avec ma serviette de bain

2019 sera une bonne année

Publié le par

Je vous souhaite à tous une bonne et heureuse année 2019. J’espère qu’elle vous sera agréable pour vous et vos proches.

De mon côté, je vais tout faire pour remonter la pente et reprendre une vie recentrée sur les choses importantes. Je pose ici une vidéo qui illustre bien cet état d’esprit :

La suite de la série « 25 ans dans une startup » va reprendre après 3 mois d’interruption, mais à un rythme plus lent (un billet par semaine), toujours dans l’esprit de l’exercice d’écriture dont je parlais dans l’introduction. Je vais aussi intercaler d’autres billets sans rapport avec la série, mais plus près de ce que je fais dans le temps présent.

Comme je le disais dans le billet précédent, 2019 est pour moi une année de grands changements. Le blog va également changer
d’orientation. J’en parlerai dans l’épilogue de la série des « 25 ans dans une startup ». Merci pour votre patience.

2019, c’est aussi un nombre qui a la propriété suivante : quand on l’écrit en binaire et qu’on compte de droite à gauche les nombres de bits identiques, le comptage est une suite strictement croissante :

11111100011 -> 2,3,6

La dernière fois, c’était avec 2017 (1,4,6) et la prochaine fois, ce sera avec 2032 (4,7).

De rien (source).

Zythom

Mise en conformité du blog concernant le RGPD

Publié le par

J’ai légèrement modifié les mentions légales du blog et procédé à une analyse des informations que je collecte sur ce blog.

En effet, je suis le responsable du traitement des données personnelles collectées ici, et en tant que tel, je m’engage à respecter le
cadre des dispositions légales en vigueur (et c’est bien normal).

Je suis un simple blogueur, qui tient un journal extime pour son plaisir, éventuellement pour celui de ses lecteurs, et, en particulier, je ne cherche pas à commercialiser vos
données personnelles qui sont uniquement utilisées à des fins
statistiques et d’analyses.

J’utilise Google Analytics pour établir les statistiques de consultation
de ce blog, en plus des outils intégrés à la plateforme Blogger. Les options de monétisation du blog ne sont pas activées,
et je recommande à tous les internautes d’installer un bloqueur de
publicités (par exemple uBlock Origin), même si je crois qu’il n’y en a pas trop qui s’affichent par ici.

Par ailleurs, depuis septembre 2012, j’utilise les services de Feedburner pour proposer aux internautes qui le souhaitent, l’envoi par email des billets de ce blog. Je trouve cela pratique et il y a plus d’une centaine de personnes qui ont fait ce choix.

Mais cela me pose un problème : il s’agit d’une collecte de données personnelles. Or, en tant que délégué à la protection des données de ce blog, je m’engage à prendre toutes les précautions nécessaires afin de préserver
la sécurité des informations et notamment qu’elles ne soient pas
communiquées à des personnes non autorisées.

Malheureusement, je ne souhaite pas endosser cette responsabilité, dans la mesure où je ne vais pas pouvoir surveiller les conditions d’utilisation de vos données personnelles par Feedburner, ni leurs évolutions. J’ai également déjà fait l’objet d’un piratage ciblé de ce blog (lire ce billet) dont j’assume parfaitement les conséquences pour moi-même, mais pas pour les autres.

J’ai donc décidé de supprimer ce widget et de résilier les abonnements aux envois par email des billets du blog pris volontairement par la centaine d’internautes qui avaient souhaité profiter de cette facilité. Une fois que ce billet sera dans leur boite aux lettres, je supprimerai définitivement toutes les données personnelles que j’ai en ma possession (ie leurs emails). Je leur présente mes excuses les plus sincères pour l’arrêt de cette fonctionnalité. Je leur recommande l’utilisation d’un agrégateur de flux RSS et de s’abonner au blog par ce biais.

Il me restera ensuite à franchir le dernier pas, celui de l’auto-hébergement, pour essayer de me sortir de la googlisation de mon environnement de blogueur fainéant. Pour cela, j’attends avec impatience d’être relié à la fibre, ce qui est normalement prévu dans les mois qui viennent. Je mettrai alors en place un serveur web chez moi, avec toute l’administration informatique qui va avec… J’en profiterai aussi pour héberger enfin un nœud Tor un peu plus sérieux que celui que je fais tourner aujourd’hui.

Attendez-vous à quelques changements sur ce blog, qui reste pour moi un lieu d’expression formidable, mais qui est aussi un champ d’expérimentation technique. Je suis en train de tester Cloudflare, WordPress, et d’autres joyeusetés.

Mais si vous connaissez un hébergeur européen qui accepterait de prendre en charge gratuitement mon blog, complètement et sans publicité, je suis preneur !

A bientôt 😉

Si vous n’avez rien à cacher, vous n’avez rien à craindre

Publié le par

Cette expertise s’annonce compliquée car les accusations semblent reposer sur des preuves vagues : un compte informatique a été utilisé tel jour à telle heure pour accéder à des données confidentielles de l’entreprise, alors que la personne associée au compte était en déplacement. Les données ont ensuite fuité, causant un préjudice pour l’entreprise.

Me voilà au milieu du problème, désigné comme expert informatique pour essayer d’éclairer la lanterne du magistrat saisi de ce dossier.

Mon problème est que je ne vois pas trop par quel angle commencer, alors que dans ma tête tourne un nombre incalculable de possibilités : malversation du salarié à distance, partage du compte avec un collègue, compromission du compte par vol de mot de passe, hameçonnage, fuite de données par sauvegarde non protégée, perte d’un disque dur, etc.

Toute l’enquête interne menée par l’entreprise désigne l’utilisation de ce compte informatique comme cause la plus probable de cette fuite de données. En présence de toutes les parties, j’étudie donc tous les éléments techniques soulevés par cette enquête interne.

Mais cette expertise judiciaire est également une enquête à part entière. Je dois mener des investigations, poser les bonnes questions, auditer la sécurité informatique du site, pour enfin pouvoir répondre aux questions posées par le magistrat.

Dans ce court billet, je vais laisser de côté le temps passé en investigations diverses, les différentes réunions, la somme de connaissances réunie autour de la table pour étudier ce problème. Mon objectif est de poser ici cette petite anecdote qui montre que le hasard fait parfois bien les choses, et qu’il faut lui laisser sa chance.

Le réseau de l’entreprise est un réseau Windows à contrôleur de domaine. Je demande à être autorisé à utiliser un compte local avec les droits administrateurs sur une machine du réseau, habilité à lancer quelques outils d’investigation. En attendant d’utiliser les outils plus avancés de ma panoplie, sans trop savoir où aller, je lance l’explorateur de fichiers à la découverte du réseau, en commentant ce que je vois apparaître sur l’écran de l’ordinateur, pour l’éclairage des avocats et différents responsables techniques et juridiques présents autour de moi.

Je vois apparaître différents appareils branchés sur le réseau de l’entreprise : ordinateurs, serveurs, imprimantes, photocopieurs, routeurs… Un nom attire mon attention : une marque de serveur de vidéosurveillance. Je clique sur le lien, pour voir apparaître une page web d’accueil demandant un login/mot de passe.

Je fais un petit tour sur DuckDuckGo pour obtenir les informations de connexion par défaut, et tape admin/admin comme login/mot de passe. Bingo, me voici connecté au serveur gérant les 32 caméras de vidéosurveillance de l’entreprise.

Silence gêné dans la salle.

Comme je travaille dans une école d’ingénieurs, je suis sensibilisé au problème des smartphones qui peuvent filmer les professeurs pendant les cours, en particulier quand ceux-ci tapent leur mot de passe sur le clavier de leur ordinateur. J’explore donc les différentes caméras de surveillance, et tombe sur celles de l’open space de l’entreprise. Un petit coup de zoom et nous voilà en train d’observer la frappe d’une personne sur son clavier (ainsi que son écran).

Les logs de connexion du serveur de vidéosurveillance montrent des connexions suspectes dans les semaines précédant l’incident, à partir d’une adresse MAC non connue de l’entreprise. Toutes les prises RJ45 étant brassées, n’importe qui pouvait brancher un ordinateur pour accéder au réseau de l’entreprise, y compris dans les toilettes (hors champ des caméras).

Je n’ai pas pu trouver la personne à la source de la fuite de données (cela ne faisait pas partie des missions confiées par le magistrat), mais j’ai pu prouver que n’importe qui pouvait intercepter sans difficulté un login/mot de passe. Cela a permis au moins de montrer que le titulaire du compte n’était pas nécessairement en faute (ou au moins de semer le doute). Imaginez ce qu’il se serait passé si la personne n’avait pas été en déplacement…

Même dans votre entreprise, méfiez vous des caméras. Vous pensez qu’elles vous protègent parce que vous pensez qu’elles ne filment que les méchants. Dans la rue, dans l’entreprise, dans votre propre maison, elles peuvent être piratées et détournées de leur usage initial. Pensez-y quand on vous dira que si vous n’avez rien à cacher, vous n’avez rien à craindre.

Vous avez toujours quelque chose à protéger : vos mots de passe, vos écrans, votre vie privée.

Quand vous dites « je ne me soucie pas du droit à la vie privée parce que je n’ai rien à cacher », ce n’est pas très différent que de dire « je me fiche de la liberté d’expression parce que je n’ai rien à dire » ou « de la liberté de la presse parce que je n’ai rien à écrire ».

Edward Snowden

Quand on tire sur un faible

Publié le par

La petite anecdote que je vais vous raconter n’a d’intérêt que parce qu’elle est parfaitement authentique, et illustre bien les frictions du monde ancien avec le nouveau monde du numérique.

J’assistais à une formation réservée aux experts judiciaires et aux avocats, formation organisée par une compagnie d’experts de justice. Organisation impeccable, objet de la formation intéressant, programme alléchant, 4G disponible, lieu agréable. Bref, la journée s’annonçait bien.

Le premier conférencier est un magistrat de haut niveau, intervenant sans note sur un sujet pointu passionnant. Je suis concentré sur les concepts difficiles avec lesquels il jongle et qui échappent pour beaucoup à mon entendement. L’auditoire est captivé. Les avocats approuvent ou désapprouvent certains passages ou certaines subtilités juridiques. La conférence est passionnante.

Je publie discrètement sur Twitter quelques impressions admiratives à mes followers.

Au bout d’un quart d’heure, le conférencier est brutalement interrompu par l’un des organisateurs de la formation. Ce dernier crie littéralement dans la salle : « Quelqu’un dans cette pièce est en train de publier sur des RÉSEAUX SOCIAUX le contenu de cette formation. C’EST UN SCANDALE. La prochaine fois, dans nos programmes sera CLAIREMENT ÉCRIT L’INTERDICTION de dévoiler nos échanges ! »

Stupéfaction dans la salle.

L’organisateur me fixe d’un regard noir.

Mon cœur s’est arrêté.

Je me recroqueville sur mon siège.

Je me fais tout petit.

Quand tout à coup, depuis la scène où se trouvent installés plusieurs des conférenciers qui doivent intervenir à la table ronde à venir, tonne une voix de Stentor : « QUOI, QU’EST-CE QUE C’EST QUE CETTE FAÇON D’APOSTROPHER LES GENS ! OUI, JE TWEETE, OUI JE SUIS OUVERT SUR LE MONDE, SANS POUR AUTANT DÉVOILER OU ÊTRE DÉSOBLIGEANT AVEC LES ORGANISATEURS OU LES INTERVENANTS ! »

L’un des avocats qui devait intervenir pendant la formation, prenait pour lui les remontrances (humiliantes) qui m’étaient destinées… Comme moi, il avait posté quelques tweets à sa communauté (dont je fais parti) pour le plus grand plaisir de celle-ci.

Les organisateurs, plutôt gênés des effets collatéraux non prévus de leur attaque, venaient de découvrir la puissance de feu d’un avocat habitué aux assauts et aux joutes verbales.

J’ai assisté silencieux à leur retraite piteuse en rase campagne, « non, mais ce n’est pas vous, Maître, heu, bon on reprend ».

J’ai respecté poliment leur interdiction de tweeter pendant la formation.

Je trouve dommage que dans le milieux des experts judiciaires en informatique, il y ait encore des gens qui méconnaissent l’intérêt des réseaux sociaux, des gens qui soient encore enfermés dans leur univers clos du millénaire précédent, qui refusent l’ouverture vers le monde, le partage avec des « mékeskidis », la communication non contrôlée.

J’admets et je me soumets aux règles lorsqu’elles sont connues. Comme Lord Walder qui affirmait lors des Noces Rouges : « sous mon toit, ma loi », les organisateurs d’une formation peuvent imposer leurs règles.

Mais j’ai pris un certain plaisir (coupable) à voir une brillante éloquence remettre en place un sot. Étant moi-même un sot qu’on a tant de fois remis en place…

Pour dévoiler le visage et embrasser le genou de Thémis

Publié le par

Je reçois régulièrement, comme beaucoup d’entre vous, des emails d’appel à l’aide, d’une veuve éplorée, cherchant en général à transférer des fonds d’un pays lointain vers la France, et demandant mon aide. Ces emails sont en général dirigés automatiquement vers mon dossier SPAM et je n’y prête pas attention. Il s’agit de fraudes dites « 419« , et Vidocq en parlait déjà au XVIIIe siècle dans son ouvrage « Les Voleurs » sous l’appellation de « Lettres de Jérusalem« .

De temps en temps, mon filtre antispam laisse passer dans ma boite principale ce type de message, que je lis rapidement avec circonspection.

Cette fois le message que j’ai sous le yeux est différent et l’appel à l’aide à l’air sérieux. Il s’agit d’une femme désespérée pour qui je serais le dernier recours dans une affaire judiciaire.

Je suis souvent sollicité par l’intermédiaire de ce blog, mais comme je l’indique sur ma page « Contact« , je n’accepte d’intervenir dans un dossier privé que par l’intermédiaire d’un avocat. Je rédige donc ma réponse type habituelle, ce qui suffit en général à clore le débat.

Quelques jours plus tard, je reçois pourtant un email issu d’un cabinet d’avocat français confirmant les propos de l’appel à l’aide de ma mystérieuse correspondante. Diantre.

Je demande plus d’informations, et que les pièces du dossier me soient envoyées. L’avocat me prévient qu’il s’agit d’un dossier pro bono, c’est-à-dire que la personne n’a pas les moyens financiers de se payer les services d’un avocat, ni d’un expert…

Je réfléchis un peu. Je me revois postuler la première fois pour devenir expert judiciaire, il y a 18 ans. Je pensais que l’activité était bénévole, que les sachants proposaient leur aide gracieusement à la justice, pour le plaisir de la recherche de la vérité, pour le plaisir d’aider à rendre le monde meilleur. Quand j’ai compris le coût d’une expertise, le prix de l’assurance en responsabilité civile, le coût des logiciels, le temps passé en formation sur les procédures… je suis vite rentré dans le rang.

Et puis, j’ai pris la décision de réaliser gratuitement toutes les expertises judiciaires pénales qui me seraient demandées par les magistrats de mon ressort, ce qui m’a valu la réprobation d’un grand nombre de confrères (le gratuit c’est mal, ça dévalorise l’activité, etc.). Pour les rassurer, je dois avouer qu’en un an, à ma grande surprise, aucun magistrat ne m’a contacté…

Parallèlement aux dossiers où je suis désigné par un magistrat, il y a les dossiers privés (c’est-à-dire où je suis sollicité par l’une des parties). J’ai dans ce cas également choisi de travailler gratuitement à hauteur environ d’un dossier
privé sur dix, en ciblant plus particulièrement les clients sans moyen. C’est une question de convictions politiques et philosophiques.

Dans le cas qui se présente, la femme qui m’a contacté est dans une situation particulièrement précaire. J’accepte d’étudier le dossier. Je demande toutes les pièces à l’avocat. Je ne suis pas déçu : le cas est réellement désespéré. Une grande entreprise française a déposé plainte pour fraude informatique contre une de ses salariés. Une enquête a eu lieu, mais biaisée par des incompréhensions techniques, par des a priori malheureux, par un manque de moyens. La machine s’est pourtant mise à écraser des vies.

La Justice se doit d’être rendue objectivement, sans faveur ni parti
pris, indépendamment de la puissance ou de la faiblesse des accusés. La
cécité est alors la meilleure façon de garantir cette impartialité. C’est la raison du bandeau de lin que l’on met sur les yeux des statues représentant Thémis, la déesse de la Justice.

Mais la justice peut se tromper. C’est le sens des recours. Thémis a parfois le genoux dénudé, car les écrits antiques matérialisaient le genou comme l’attribut corporel
de la piété, de la magnanimité et de la clémence du puissant. La Justice se veut réceptive au malheur humain, et cette clémence est alors symbolisée par ce genou dénudé.

C’est la première fois que j’ai dans les mains un dossier où les éléments techniques clament de manière diffuse l’innocence de cette personne injustement condamnée. Comme l’avocat l’a fait avant moi, je me plonge à corps perdu dans le dossier.

Les soirées passent. Les semaines. J’arrête toutes les autres activités, les réseaux sociaux et les billets de blog, tant elles me semblent dérisoires. Je lis les pièces, les notices, les rapports, les conclusions, les réquisitions. Je prend des notes, je mets en évidence les anomalies, les failles, j’essaye de rester factuel. Je me réveille la nuit. Je pense à l’enfer vécu par cette femme accusée à tort. Face à elle, je devrais dire face à nous, la puissance de l’argent, la puissance de l’administration, la puissance du prestige de l’avis des puissants. Mais nous, qu’avons-nous ? Comment prouver l’innocence alors que l’absence de preuve de culpabilité devrait suffire ? Il y a de la passion dans les discussions que j’ai avec son avocat, persuadé comme moi de l’innocence de sa cliente.

Mais la passion se doit d’être absente de la note technique que je rédige. Je rassemble tous les points que j’ai relevés depuis trois mois. Je m’isole dans mon bureau pendant plusieurs jours. Je cherche à retirer temporairement le bandeau
des yeux de la Justice pour que celle-ci regarde pleinement les
personnes auxquelles s’adressent les règles de droit et agisse en
conséquence. Il me faut faire valoir le principe d’équité.

Pour que David puisse vaincre Goliath.

Pour dévoiler le visage et embrasser le genou de Thémis.

L’engagement de l’expert va parfois au delà de sa mission, pourvu qu’il ne s’en brûle pas les ailes.

Alea jacta est.