Archives par mot-clé : Expert

Live view

Publié le par

Il est parfois étrange de constater comment mon activité professionnelle peut être alimentée par mon activité d’expert judiciaire en informatique, et réciproquement.

J’ai déjà vanté ici les mérites des machines virtuelles pour allumer un PC virtuel copie conforme du PC sous scellé. Les outils ne manquent pas: virtualbox, virtualpc, Oracle VM, QEMU, Xen, etc.

Après avoir testé plusieurs d’entre eux et les avoir mis en place pour la réalisation de séances de travaux pratiques (TP d’études de différents systèmes d’exploitation, analyse réseaux, etc), j’utilise avec succès les produits VMware dans le service informatique: d’abord VMware workstation, puis player, server et maintenant ESXi (gratuite depuis quelques semaines).

J’ai finalement mis en place en salle serveur la solution VMware ESXi, dans sa version gratuite. Et après quelques semaines de tests, elle est entrée en production. Chaque serveur fait tourner entre deux et quatre machines virtuelles, et nous sommes en train de migrer tous nos serveurs vers cette solution.

En quoi cette solution peut-elle être utilisée dans le cadre d’une expertise judiciaire informatique? Tout simplement, comme je l’expliquais dans ce billet, s’il est important de disposer des logiciels permettant de procéder à l’analyse inforensique d’une image de disque dur, il est intéressant et plutôt pratique de pouvoir démarrer une copie de l’ordinateur. Et pour éviter de déployer l’image sur un ordinateur matériel, l’idée d’utiliser des machines virtuelles surgit naturellement.

Comment? Et bien il suffit par exemple de convertir l’image numérique du disque dur en une machine virtuelle VMware à l’aide du logiciel Live View.

Du point de vue ressource, Live View vous permet de travailler en lecture seule sur la copie du disque dur, les modifications inévitablement effectuées par le système d’exploitation étant conservées sur un autre disque dur virtuel (qu’il est facile d’effacer rapidement).

Vous disposez ainsi d’une machine virtuelle redémarrable et réinitilisable à l’infini, sur laquelle il est possible de mener quelques investigations simples qui pourront être vérifiées de façon probante sur la « photographie » du scellé d’origine (l’image du disque dur ou de la clef USB): organisation générale du disque dur, logiciels installés, liens présents sur le bureau, fichiers de la corbeille, fond d’écran, raccourcis vers supports externes, etc.

A noter pour les experts judiciaires fortunés, que Live View semble pouvoir travailler avec des images provenant d’EnCase® Forensic. A 5000 euros la licence, je n’ai pas le volume d’affaires pour m’offrir cet outil performant…

Un dernier truc concernant Live View: je ne l’ai utilisé que pour créer des machines virtuelles Windows. Il semble n’avoir qu’un support limité de Linux. Cela ne me gène pas car pour l’instant, je n’ai jamais eu à analyser de machines Linux de cette façon là. Du coup, pour éviter au maximum les problèmes d’activation de l’OS, il faut « coller » au plus près des caractéristiques physiques de la machine initiale (comme la taille mémoire). Si tout va bien, vous pourrez redémarrer autant de fois que vous le souhaitez, à condition de réinitialiser l’image « from scratch ». Dans le cas d’un Windows XP sans service pack, il faudra passer par la procédure d’activation…

Mais dans tous les cas, comme je j’avais déjà indiqué, avec Live View, la vue, c’est la vie rtualisation:)

Antoine et les autres

Publié le par

antoineLes analyses de disques durs pour rechercher des images pédopornographiques m’amènent souvent à méditer quelques heures sur les visages de ces enfants torturés. C’est d’ailleurs une des raisons primitives de l’ouverture de ce blog.

J’ai déjà indiqué également que j’ai parfois l’espoir de reconnaître le visage d’un enfant disparu, afin de donner un indice aux enquêteurs concernés.

Je sais finalement que l’envie d’aider à la recherche des personnes disparues est partagée par la plupart des personnes que je connais, car il n’est pas nécessaire d’être expert judiciaire, ou parent, pour être sensible à la disparition d’un être humain, et en particulier d’un enfant.

Je sais également que plus un visage est connu, et plus il y a de chance qu’il soit reconnu. C’est pourquoi, je vous invite à étudier attentivement les visages de ces personnes, et en particulier celui-ci:

antoine2
antoine 1

Si un jour vous avez des informations, même partielles, même sordides, elles pourront toujours être utiles. Contactez alors les numéros indiqués.

De Michel Eyquem de Zythom

Publié le par

montaigneN’ayant rien à faire ce dimanche, et constatant que ce blog a maintenant une audience internationale, je me permets de le présenter en langue anglaise et en chinois.

Having nothing to do this Sunday, and noting that this blog has an international audience, let me present it in English and Chinese. Thank you « Google beta translation. »

在没有做到这一点星期日,并指出,此博客具有国际观众,让我目前它的英文和中国。谢谢你“谷歌测试翻译。”

Internet user, loe here a well-meaning Blog. It doth at the first entrance forewarne thee, that in contriving the same I have proposed unto my selfe no other than a familiar and private end: I have no respect or consideration at all, either to thy service, or to my glory: my forces are not capable of any such desseigne. I have vowed the same to the particular commodity of my kinsfolk and friends: to the end, that losing me (which they are likely to do ere long), they may therein find some lineaments of my conditions and humours, and by that meanes reserve more whole, and more lively foster the knowledge and acquaintance they have had of me. Had my intention beene to forestal and purchase the world’s opinion and favour, I would surely have adorned myselfe more quaintly, or kept a more grave and solemne march. I desire thereun to be delineated in mine own genuine, simple and ordinarie fashion, without contention, art or study; for it is myselfe I pourtray. My imperfections shall thus be read to the life, and my naturall forme discerned, so farre-forth as publike reverence hath permitted me. For if my fortune had beene to have lived among those nations which yet are said to live under the sweet liberty of Nature’s first and uncorrupted lawes, I assure thee, I would most willingly have pourtrayed myselfe fully and naked. Thus, gentle Surfer, myselfe am the groundworke of my blog: it is then no reason thou shouldest employ thy time about so frivolous and vaine a subject. Therefore farewell,

From Zythom,
The First of March, 1580.

Original text from Montaigne, translation by John Florio.

以下是博客诚实的球员。你无法进入,我已设定的个人目标和私营答:我不写,使你幸福,我不写我的荣耀,我的部队没有能力这样一个设计。我写信给我的父母和朋友,我将死于一天,他们可以找到所有的特质,我的性格,使他们能够记得我。如果我写信给得到支持的世界,我抹去我的错误和夸大我的素质。我想看看我的简单,自然和普通,学习和没有诡计:因为这是我说,我画画。我国断层热衷于阅读,我的不完善之处,并形成幼稚的我而言,公众尊敬的帮助了我。如果我一直在这些人说,他们仍然生活在甜蜜的自由性质,我向你们保证,我将非常高兴画一个整体,赤身裸体。所以,亲爱的旅客,我本人的主题我的博客:这是不正常的,你失去的时间来阅读。因此,再见。
从Zythom ,在1580年3月1号。

Backstage 0810

Publié le par

mathComme beaucoup de scientifiques, j’aime les chiffres. Et les nombres aussi.
Je sais, ce ne sont pas des choses qui se disent en société.
C’est un peu honteux.

Quand j’étais jeune, lors des réunions de famille, mes parents, très fiers, donnaient mes résultats scolaires en pâture aux oncles et tantes. Et leurs enfants (mes cousins et cousines) me regardaient par en dessous avec l’air de dire « pfff quel polard ». Et pour briller dans les yeux des filles, il me fallait cacher cette passion pour les nombres, pour les maths, pour l’informatique naissante, pour l’électronique, pour la physique, pour l’astrophysique.

Sur le sac US qui me servait de cartable (nous étions des rebelles à l’époque:), là où tous mes copains inscrivaient les noms des groupes de rock en vogue, moi j’avais écrit les sigles suivants: SHRDLU, Lisp, Lovelace et Turing. Et quand on me demandait leur signification, je me taisais et baissais les yeux.

Quand on me demandait ce que je faisais (alors que je me grillais les neurones en math sup), je répondais « Bah, je fais des études en sciences » et renvoyais la question, tant il est vrai que pour intéresser quelqu’un, il faut l’écouter parler de lui (ou d’elle).

Aujourd’hui, je suis loin de toute cette misère personnelle, et je me plonge avec délice dans les ouvrages qu’il me fallait auparavant recouvrir d’une couverture de « Playboy » pour éviter les regards désapprobateurs: « The International Journal of Forensic Computer Science« , « Paradoxes mathématiques » et autres MISC… Et comme je m’amuse à tenir ce blog, j’ai pu me plonger grâce à vous (et avec délice) dans les nombres des statistiques de consultation que me remonte « google analytics ».

BOOM BOOM BOOM BOOM BOOM BOOM (roulements de tambours)

Voici donc, en exclusivité confidentiel défense, quelques nombres (avec des images, c’est encore plus joli) que vous avez générés en venant me rendre visite sur ce blog, entre le 1er septembre 2006 et 2008:

Le tableau de bord des visites mensuelles:

stats081001Je rougis de plaisir de savoir que 4864 personnes se sont égarées ici au mois de septembre 2008! Je sais, c’est à peine une heure de visiteurs du blog de JM Ucciani dessinateur, mais bon, je vous remercie tous, chers lecteurs et lectrices!

Vue d’ensemble des visiteurs:

stats081001b

Profil technique – les navigateurs:

stats081001cFirefox, numéro un haut la main! Cela devrait faire plaisir à Tristant Nitot.

Profil technique – vitesses de connexion:

stats081001dTout cela me permet de voir qu’il existe des visiteurs ayant une liaison internet OC3 à 155 Mb/s (une connexion OC3 est 100 x plus rapide que T1 (1.5 Mb/s) et 3.5 x plus rapide que T3 (45Mb/s)), mais aussi quelques uns en liaison modem 56k (je sais, c’est peut-être une personne qui est venue 1479 fois)…

La synthèse géographique:
69 636 visites, provenant de 119 pays/territoires.

stats081001g
stats081001hPour un blog exclusivement en français, cela fait plaisir de voir qu’il y a encore des français à l’étranger:) [Edit 12/10/2008: un lecteur me fait remarquer qu’il n’y a pas que des français qui parle français hors de France… Je suis honteux, vraiment! Je corrige donc.] Pour un blog exclusivement en langue française, cela fait plaisir de voir qu’il y a autant de francophones dans le monde:)

Les mots clefs utilisés qui amènent ici:

stats081001eQuelques mots clefs sont également intéressants…
image(s) pédophile(s) 284+157+137+73+53+52 = 756 visites qui amènent ici suite à la saisie de ces mots clefs dans les moteurs de recherche.

Mais n’oubliez pas la citation suivante:
« Je me suis jeté dans la boue plus d’un demi-million de fois. Cela permet-il d’en déduire quoi que ce soit sur mon état mental? »
Sepp Maier (gardien de but allemand) via Courtois.

Les sources de trafic:
LE tableau des tableaux, celui que l’on ne montre jamais, celui des sources de trafic (69 636 visites via 383 sources et supports):

stats081001f

Merci donc à google et à vos marques-pages.
Merci à Sid, Bertrand Lemaire, Bruno Kerouanton

Merci surtout à Maître Eolas (attention site addictif) dont le référencement permanent montre ici l’influence (et je ne parle pas des pics de fréquentation lorsqu’il publie un lien dans un billet – heureusement que je ne paye pas la bande passante de l’hébergement…) Qu’il soit ici publiquement écrit que je lui offre une bière dans le premier endroit où je peux entrer avec un sac sur la tête (je porte très mal la serviette).

Un grand merci aussi à Paxatagore qui a été le premier blogueur à me référencer dans sa blogroll! (Paxatagore, revenez!)

Allez, je lève mon verre à la santé de tous ceux qui sont venus ici passer en moyenne 1mn 56s 31415926535. En particulier à tous les lyonnais 🙂

Et si un jour vous croisez quelqu’un en costume noir avec un autocollant ETAOIN sur son attaché case, alors qui sait, c’est peut-être moi?

Suum quique tribuere

Les experts en série

Publié le par

Depuis mon billet sur la récupération de fichiers, où je cite plusieurs métiers de spécialistes en criminalité informatique, j’ai reçu plusieurs emails de personnes intéressées par ces professions.

On me demande également mon avis sur la meilleure formation, ou sur le choix à faire entre police ou gendarmerie, etc.

STOP. Je ne connais pas ces métiers, je ne sais pas quelle filière suivre pour y parvenir et je travaille tout aussi bien avec des professionnels de la police nationale ou de la gendarmerie (nationale également, il n’y a pas de gendarmerie municipale).

Et comme tout le monde, je regarde les séries télévisées avec leurs lots de suspense, de situations rocambolesques et d’enquêtes scientifiques. Je comprends donc l’intérêt que l’on peut porter à ces métiers, vus à travers la petite lucarne. Mais comme toujours, la réalité est plus douloureuse, et moins télégénique.

Pour autant, si l’on est en général loin des salles hypertechnologiques de la série « Les Experts », si les algorithmes de décryptage sont un peu plus long que dans la série « NCIS », la réalité du terrain est aujourd’hui loin de l’image encore présente à l’esprit du plus grand nombre (me semble-t-il). La réalité, c’est ce qui fait mal quand on éteint l’ordinateur (John Warsen).

Les policiers et les gendarmes avec lesquels j’ai pu travailler disposent d’ordinateurs et de matériels dernier cri. Pas tous, pas partout, mais beaucoup. Et pour ce que j’en ai vu, ils savent parfaitement s’en servir!

Et pourtant, il n’y a pas si longtemps, les seuls ordinateurs des brigades de gendarmerie étaient ceux qu’ils avaient bien voulus acheter à titre personnel et qu’ils utilisaient sur leur lieu de travail.

Et les experts dans tout cela?

Le mot « expert » est un mot dont le sens est multiple (dictionnaire Petit Robert 1991): en tant qu’adjectif, il signifie « qui a, par l’expérience, par la pratique, acquis une grande habileté« , et en tant que nom:

1) Personne choisie pour ses connaissances techniques et chargée de faire, en vue de la solution d’un procès, des examens, constatations ou appréciations de fait (droit 1754).

2) Expert-comptable: personne faisant profession d’organiser, vérifier, apprécier ou redresser les comptabilités, en son nom propre et sous sa responsabilité.

3) Personne dont la profession consiste à reconnaître l’authenticité et à apprécier la valeur de certains objets d’art, pièces de collection.

Mon dictionnaire étant ancien, je me suis tourné vers ROME (le Répertoire Opérationnel des Métiers et des Emplois de l’ANPE) qui me fournit une liste de 28 métiers dont le nom contient le mot « expert »! Dont l’expert(e) informaticien(ne) qui négocie puis prescrit des solutions en matière d’informatique dans les domaines administratif, industriel, scientifique, technique

Rome enfin se découvre à ses regards cruels;

Rome, jadis son temple, et l’effroi des mortels;

Rome, dont le destin dans la paix, dans la guerre,

Est d’être en tous les temps maîtresse de la terre.

Il y a donc profusion d’experts, surtout si vous utilisez le mot comme adjectif:

Technicien expert, il est expert dans cet art, dans cette science, il est expert en la matière…

Des experts en série.

Et parmi eux, il y a les experts judiciaires (il parait que l’on doit dire maintenant « experts de justice », mais j’ai beau regarder mes codes, je ne vois mention de cela nulle part…).

Et si, comme Woody Allen, vous me disiez « J’ai des questions à toutes vos réponses« …

Comme par exemple, qu’est-ce qu’un expert judiciaire? Vous trouverez la réponse par exemple ICI, mais pour répondre simplement, un expert judiciaire est une personne qui prête devant la cour d’appel le serment suivant: « Je jure, d’apporter mon concours à la Justice, d’accomplir ma mission, de faire mon rapport, et de donner mon avis en mon honneur et en ma conscience.« 

Et si en plus, à titre personnel, vous avez prêté le serment d’Archimède, vous aurez droit à toute ma considération…

Attention, tous les mots sont importants.

Merci de lire à voix haute.

Les gras sont de moi, vous pouvez parler plus fort.

Serment d’Archimède

Considérant la vie d’Archimède de Syracuse qui illustra dès l’Antiquité le potentiel ambivalent de la technique,

Considérant la responsabilité croissante des ingénieurs et des scientifiques à l’égard des hommes et de la nature,

Considérant l’importance des problèmes éthiques que soulèvent la technique et ses applications,

Aujourd’hui, je prends les engagements suivants et m’efforcerai de tendre vers l’idéal qu’ils représentent :

• Je pratiquerai ma profession pour le bien des personnes, dans le respect des Droits de l’Homme[1] et de l’environnement.

• Je reconnaîtrai, m’étant informé au mieux, la responsabilité de mes actes et ne m’en déchargerai en aucun cas sur autrui.

• Je m’appliquerai à parfaire mes compétences professionnelles.

• Dans le choix et la réalisation de mes projets, je resterai attentif à leur contexte et à leurs conséquences, notamment des points de vue technique, économique, social, écologique… Je porterai une attention particulière aux projets pouvant avoir des fins militaires.

• Je contribuerai, dans la mesure de mes moyens, à promouvoir des rapports équitables entre les hommes et à soutenir le développement des pays économiquement faibles.

• Je transmettrai, avec rigueur et honnêteté, à des interlocuteurs choisis avec discernement, toute information importante, si elle représente un acquis pour la société ou si sa rétention constitue un danger pour autrui. Dans ce dernier cas, je veillerai à ce que l’information débouche sur des dispositions concrètes.

Je ne me laisserai pas dominer par la défense de mes intérêts ou ceux de ma profession.

• Je m’efforcerai, dans la mesure de mes moyens, d’amener mon entreprise à prendre en compte les préoccupations du présent Serment.

• Je pratiquerai ma profession en toute honnêteté intellectuelle, avec conscience et dignité.

Je le promets solennellement, librement et sur mon honneur.

————————-

PS: En relisant le billet, je me rends compte que je suis parti dans tous les sens… Mais c’est mon blog, et je vous dis Merci d’être venu 🙂

To do is to be (Platon)

To be is to do (Marx)

Doo be doo be doo (Frank Sinatra)

————————-

[1] Selon la déclaration universelle de l’ONU (10 décembre 1948)

Autosatisfaction

Publié le par

Il n’est pas si fréquent que je reçoive des emails d’encouragement en provenance des acteurs majeurs du monde judiciaire que sont les enquêteurs. Aussi, ai-je été particulièrement touché lorsque j’ai reçu l’email suivant (publié avec l’aimable autorisation de son auteur):

———————————————-
Cher Monsieur Zythom,

C’est en me « promenant sur le réseau international de communication entre ordinateurs » que je suis tombé (presque par hasard) sur votre blog.

Et d’articles, en articles, en articles… j’ai apprécié, puis aimé, puis respecté son contenu, sa forme, son style…

Et l’idée m’est venue de vous féliciter de vif mail…

Enquêteur Spécialisé en Criminalité Informatique, en fonction à la Police Judiciaire de [bip], j’effectue régulièrement des exploitations de systèmes informatiques lesquelles concernent en grande majorité des affaires de pédophilie, incitations à la haine raciale, escroquerie, abus de confiance,… ainsi que plus rarement, en matière d’homicides…

J’ai trouvé sur votre blog une mine de conseils, j’ai souri en vous lisant, faisant alors le parallèle avec mes affaires, m’étant retrouvé dans des situations similaires…

J’ai appris aussi, car c’est ce qui arrive lorsque l’on a l’habitude de faire comme on fait… et que l’on voit quelqu’un faire autrement, on se dit alors : « et!! mais c’est pas con ça! »

Alors voilà cher Monsieur Zythom, je ne vous connais pas mais à travers votre blog, j’ai pu voir un homme, féru et passionné d’informatique, expert judiciaire, qui aime son travail et qui le fait bien.

Dommage qu’ils ne soient pas tous comme vous…

Bravo !

Au plaisir de vous lire
———————————————-

J’ai longtemps hésité avant de publier cet email, non par modestie (j’ai un égo très développé), mais parce qu’il égratigne un peu sur la fin la communauté des experts judiciaires. Mais il fait gris et il pleut. Et j’ai besoin de montrer qu’on m’apprécie un peu.

C’est aujourd’hui dimanche, tiens ma jolie maman
Voici des roses blanches, toi qui les aime tant…
Berthe Sylva

Récupération d’images et plus encore

Publié le par

Vous êtes un particulier, vous avez perdu dix années de photographies numériques parce que votre petit dernier a malencontreusement effacé deux ou trois répertoires de votre disque dur en faisant le ménage (mais bon, ils étaient gros, et ça fait de la place maintenant…).

Vous êtes un jeune expert et vous hésitez à dépenser 5000 euros dans un logiciel d’analyse inforensique parce que, heu, deux expertises par an, c’est pas beaucoup…

Vous êtes N-TECH (gendarme spécialisé issu du CNFPJ Centre National de Formation de Police Judiciaire de Fontainebleau), et vous avez égaré votre «lot enquêteur».

Vous êtes ESCI (Enquêteur Spécialisé en Criminalité Informatique – Police National), mais vous ne retrouvez plus la clef d’activation de votre logiciel Marina (Moyen Automatique de Recherche d’Images Non Autorisées).

Vous êtes journaliste et vous ne retrouvez pas l’image que vous avez prise et merde-c’est-le-bouclage/j’ai-pas-de-sauvegarde/qui-a-touché-mon-portable

Ou tout simplement curieux de voir toutes les images cachées au fil du temps dans les recoins de votre ordinateur.

Alors, ce billet est pour vous.

Je suppose que nous sommes dans le cas d’une analyse d’une copie du disque dur. Pour réaliser une telle copie, vous pouvez déjà lire ce billet toujours d’actualité.

En tout cas, votre disque dur doit encore fonctionner et ne pas être crypté (avec bitlocker par exemple) car je n’aborde pas ici l’analyse post-mortem, ni l’analyse de la mémoire vive

Enfin, il ne s’agit pas d’effectuer une analyse complète des données du disque dur comme vous pouvez vous entrainer à le faire ICI.

Hypothèse: vous avez une image ISO (ou dd) de votre disque dur et vous aimeriez bien en analyser les images.

Il vous faut cet outil: PhotoRec qui est capable de mener à bien cette analyse avec un nombre incroyable de formats d’images.

Il s’agit d’un billet du vendredi, alors ne comptez pas sur moi pour vous écrire un mode d’emploi, surtout que le site de PhotoRec est très complet.

Et vous savez quoi, ce logiciel permet également de récupérer toutes sortes de fichiers: des fichiers cachés sur cédérom, des fichiers GPG et leur clef effacés, et au total plus d’une centaine de format de fichiers!

Ce logiciel travaille bien sur filesystem FAT, NTFS, ext2/ext3, HSF+.

Il fonctionne avec des disques durs, CD-ROM, CompactFlash, Memory Stick, SecureDigital, SmartMedia, Microdrive, MMC, USB Memory Drives…

Bravo à Christophe GRENIER pour ce travail exemplaire!

D’ailleurs, si vous avez quelques pièces anciennes à lui faire passer

Felix qui potuit rerum cognoscere causas (ou pas)

Nomenclatura

Publié le par

disquedurVous souhaitez devenir expert judiciaire?
Parfait, mais dans quelle matière?
Informatique allez-vous me dire?
Bien, mais ce n’est pas si simple…

En effet, les experts judiciaires sont inscrits dans une branche et/ou rubrique et/ou spécialité dont le détail est fourni par la nomenclature définie par l’arrêté du 10 Juin 2005 dont vous trouverez le détail ICI.

Wikipédia nous enseigne que « nomenclature » signifie « inventaire des termes propres à un domaine défini ». Le mot viendrait du latin « nomenclatura » qu’il ne faut pas confondre avec le terme russe Nomenklatura (номенклату́ра) qui désigne, de façon péjorative, l’élite du parti communiste de l’Union soviétique et les privilèges qui lui sont associés…

Si vous êtes un spécialiste de l’installation et de la réparation des conduits de cheminée, c’est-à-dire un fumiste, alors les choses sont claires: fumisterie est classée dans la branche « C. – Bâtiment. – Travaux publics. – Gestion immobilière », rubrique « C.1. Bâtiment. – Travaux publics. », spécialité « C.1.26. Thermique. » où apparait votre domaine: génie thermique (chauffage, four, fumisterie, ventilation).

Mais que nous dit cette nomenclature concernant l’informatique?
L’informatique apparait principalement dans la branche « E. – Industries » sous la rubrique « E.1. Electronique et informatique », dont les cinq spécialités sont:
E.1.1: Automatismes.
E.1.2: Internet et multimédia.
E.1.3: Logiciels et matériels.
E.1.4: Systèmes d’information (mise en œuvre).
E.1.5: Télécommunications et grands réseaux.

Mais vous trouverez une référence informatique également dans
la branche « G. – Médecine légale, criminalistique et sciences criminelles ».
Rubrique « G.2 Investigations scientifiques et techniques »
Spécialité: « G.2.5 Documents informatiques »

La règle veut que chaque expert choisisse et propose son inscription dans les spécialités de la nomenclature dans lesquelles il se sent spécialiste. La cour d’appel vérifie puis les mentionne en face son nom sur la liste des experts judiciaires.

Les magistrats (et les avocats) peuvent ainsi sélectionner l’expert le plus à même de répondre aux questions qu’ils se posent dans leurs dossiers.

Un conseil: il est préférable de limiter le nombre de spécialités plutôt que de refuser systématiquement toutes les expertises qu’un magistrat vous demandera dans ce domaine. Par exemple, si vous avez demandé votre inscription dans la spécialité « E.1.5 Télécommunications et grands réseaux » parce que vous connaissez bien la problématique des PABX, vous risquez quand même d’avoir beaucoup de demandes d’expertises de téléphones portables. Et si vous n’êtes pas équipés des logiciels et matériels adhoc (parfois forts onéreux) concernant cette problématique, il vaut mieux éviter. C’est tout le problème d’une nomenclature: pas assez détaillée, elle englobe des disciplines très vastes (ex: E.1.3 Logiciels et matériels), et trop détaillée, elle devient inutilisable par le non spécialiste qu’est le magistrat (ex imaginaire: E.0.1.1.2.3.5.8.13.21.34 la sécurité des RPC sous Windows article excellent par ailleurs:).

Vous voyez bien, cher lecteur, toute la difficulté de l’activité d’expert judiciaire en informatique (pardon, en E.1.2, E.1.3 et E.1.4). Il vous faudra être à la fois un généraliste de l’informatique pour couvrir tous les métiers que l’informatique englobe, et un spécialiste capable de répondre aussi bien aux questions suivantes:
– y a-t-il présence d’images de nature pédopornographique sur le disque dur et si oui donner les dates des fichiers et les sources de provenance?
– le logiciel de comptabilité a-t-il été installé dans les règles de l’art?
– l’ordinateur a-t-il été piraté, comme le prétend son propriétaire, pour stocker à son insu des images de nature pédopornographique?
– fournir tout élément susceptible de permettre la manifestation de la vérité…

Et parfois, c’est très difficile.

Et toujours, il faut avoir le courage de le dire au magistrat.

———————-
L’image représente un disque dur de 250 Mo de 1979.
Crédit Dark Roasted Blend.

De droit un peu

Publié le par

Je sais qu’il y a dans mes lecteurs quelques juristes, et je les prie de m’excuser pour ce billet qui ne présente absolument aucun intérêt pour eux.

Etre expert judiciaire demande de connaître quelques rudiments de droit. Si vous êtes un peu hermétique à cette science, alors faites comme moi, épousez une avocate. C’est la seule femme que vous regarderez avec de plus en plus d’intérêt à mesure que passeront les années (où alors suivez les conseils d’Agatha Christie et changez de métier…).

Et en feuilletant ses livres de chevet, vous tomberez sur quelques textes qui peuvent (éventuellement) vous surprendre, vous amuser ou vous faire peur…

Code pénal – Art. 224-8: Le fait par quiconque, en communiquant une fausse information, de compromettre sciemment la sécurité d’un aéronef en vol ou d’un navire est puni de cinq ans d’emprisonnement et de 75000 euros d’amende.

Je vous jure que j’éteins toujours mon téléphone portable, et que je désactive ma carte wifi lorsque je me trouve dans un aéronef en vol!

Code pénal – Section 3 : De la livraison d’informations à une puissance étrangère. – Art. 411-6: Le fait de livrer ou de rendre accessibles à une puissance étrangère, à une entreprise ou organisation étrangère ou sous contrôle étranger ou à leurs agents des renseignements, procédés, objets, documents, données informatisées ou fichiers dont l’exploitation, la divulgation ou la réunion est de nature à porter atteinte aux intérêts fondamentaux de la nation est puni de quinze ans de détention criminelle et de 225000 euros d’amende.

Bon, ça calme tout de suite. J’espère que les personnes habilitées à accéder à E.D.V.I.G.E. ont un bon parefeu, un bon antispyware et un bon antivirus. Et qu’ils n’installent pas de logiciel P2P

Code civil – Art. 559: Si un cours d’eau, domanial ou non, enlève par une force subite une partie considérable et reconnaissable d’un champ riverain, et la porte vers un champ inférieur ou sur la rive opposée, le propriétaire de la partie enlevée peut réclamer sa propriété ; mais il est tenu de former sa demande dans l’année : après ce délai, il n’y sera plus recevable, à moins que le propriétaire du champ auquel la partie enlevée a été unie, n’eût pas encore pris possession de celle-ci.

Ami lecteur, si ta résidence secondaire est située près d’un cours d’eau, veille à y aller au moins une fois par an…

Code civil – Art. 564: Les pigeons, lapins, poissons, qui passent dans un autre colombier, garenne ou plan d’eau visé aux articles L. 431-6 et L. 431-7 du code de l’environnement appartiennent au propriétaire de ces objets, pourvu qu’ils n’y aient point été attirés par fraude et artifice.

Hu hu hu.
Je suis sur que je ne suis pas au bout de mes surprises.
J’aurais du m’inscrire en droit 🙂

Sonnette d’alarme

Publié le par

Cette anecdote est 100% véridique et est publiée avec l’accord du responsable informatique concerné.

PREAMBULE

Je suis parfois appelé dans le cadre d’expertise privée. Je n’aime pas particulièrement cela, dans la mesure où j’ai fait le choix de servir la justice (relire le serment de l’expert judiciaire en tête de ce blog) plutôt que de mettre en place une activité d’indépendant pourtant beaucoup plus lucrative. Etre inscrit sur la liste des experts judiciaires, cela donne beaucoup de responsabilités (et de soucis), des honoraires payés parfois à 400 jours et des soirées à trier de tristes images.

Mais c’est aussi une certaine visibilité pour les personnes souhaitant faire appel aux services d’un informaticien compétant à l’esprit indépendant (au sens « donnant son avis en son honneur et en sa conscience »). C’est pourquoi quelques personnes choisissent de faire appel à mes services parce qu’ils ont vu mon nom sur la liste des experts judiciaires. En général, je refuse poliment, en expliquant que je travaille exclusivement avec les magistrats ou les OPJ.

Dans le cas présent, mon interlocuteur m’a expliqué qu’il était face à un problème incroyable sur lequel tout le monde séchait. C’était donc « mission impossible » et cela m’a intrigué.

FIN DE PREAMBULE

Le système informatique de l’entreprise Diaspar[1] présente un dysfonctionnement dont personne n’a pour l’instant trouvé la cause. La panne appartient à la plus terrible des catégories: panne aléatoire non reproductible.

A mon arrivée sur les lieux, mandé par le Directeur de Diaspar, je rencontre le responsable informatique, Mr Alvin, qui me décrit le tableau suivant:

« Nous avons tout vérifié: le câblage, les actifs, les branchements. Nos différents fournisseurs sont intervenus à tous les niveaux. Le réseau a été audité, ausculté, monitoré. Nous avons dessiné le diagramme d’Ishikawa. Nous avons utilisé les cinq pourquoi. Rien n’y fait, le problème est toujours là. Le système fonctionne normalement et paf, les serveurs sont injoignables. Notre seule solution est de rebooter les hubs… »

A la mention de « hub », je dresse l’oreille. Après vérification, le cœur de réseau de l’entreprise est assez ancien: ethernet 10 Mb/s non commuté. Bienvenu dans le monde réel.

Je passe la matinée à étudier les vérifications effectuées par les différentes personnes intervenues avant moi.

Mr Alvin m’invite à déjeuner (c’est l’avantage des expertises privées[2]). Pendant le déjeuner, je pose quelques questions sur le réseau et son historique. Mr Alvin m’apprend alors quelque chose d’intéressant. Le câblage est utilisé par trois systèmes distincts: informatique, téléphonie et vidéosurveillance. Chaque système est indépendant avec ses propres serveurs: serveur informatique pour l’un, PABX pour l’autre et régie vidéo pour le dernier. Un câble réseau dans l’entreprise est donc affecté (exclusivement) à l’un de ces trois réseaux. Cette affectation est décidée à l’aide d’une « rallonge » dans une armoire de câblage (on parle alors de jarretière de brassage, qui a dit que les techniciens n’étaient pas poètes[3])…).

Je me dis que je tiens quelque chose: n’y aurait-il pas eu confusion dans une armoire de brassage? Une caméra ne serait-elle pas branchée sur le réseau informatique? Hélas, Mr Alvin n’étant pas né de la dernière pluie, il avait déjà pensé à ce cas de figure et fait vérifier l’intégralité des armoires de brassage.

Je m’accroche néanmoins à cette idée et par la force de l’expérience, pose la question suivante: n’y aurait-il pas eu des modifications d’affectation de pièces, un bureau transformé en atelier par exemple?

Mr Alvin réfléchit et m’indique que l’ancien bureau du contremaitre a effectivement été transformé en atelier lors de l’agrandissement de la zone de production. Mais à quoi bon, toutes les prises ont été débrassées, testées et réaffectées, puis vérifiées…

Le subconscient (de Murphy) faisant son travail, je réattaque sur le sujet lors de la visite de l’entreprise, l’après-midi. Face à l’ancien bureau transformé en atelier, je pose quelques questions au contremaitre.

Zythom: « Y a-t-il eu des modifications apportées sur le câblage dans votre bureau? »

Le contremaitre: « Ben, ya bien la sonnette du téléphone. »

Zythom: « La sonnette? »

Le contremaitre: « Oui. Comme j’entendais pas le téléphone sonner quand je travaillais dans l’atelier adjacent, j’ai fait ajouter une sonnette dans l’atelier reliée à mon téléphone. La preuve, regardez, elle est toujours là. Mais elle sert plus parce que j’ai changé de bureau et que j’ai un téléphone portable. »

Sur le mur de l’atelier trônait toujours une grosse sonnette en forme de cloche.

En suivant les fils de la sonnette j’aboutis à l’ancienne prise de téléphone. Et sur cette prise se trouve maintenant branché un ordinateur de contrôle d’une machine outils.

Avec l’accord de Mr Alvin, je démonte la prise et nous découvrons un superbe branchement (avec dominos) de la sonnette sur le réseau informatique…

Dès que les échanges informatiques du réseau atteignaient une valeur critique, la self de la sonnette interagissait avec le système et flanquait la pagaille.

J’ai toujours regretté de ne pas avoir demandé au contremaitre si la sonnette sonnait de temps en temps.

Mais je suppose que non…

—————-

[1] Diaspar est le nom de la Cité éternelle du roman « La Cité et les Astres » de Sir Arthur Charles Clarke. Le héros s’appelle Alvin.

[2] Dans le cadre des expertises judiciaires contradictoires, il est interdit de manger avec l’une des parties. Vous pouvez manger avec toutes les parties, mais en général, elles ne souhaitent pas se trouver autour d’une table de restaurant et partager un moment de convivialité… Avec les avocats, ce serait parfaitement possible, mais en général leurs clients ne comprennent pas qu’ils puissent se parler IRL. Donc, c’est sandwich en solitaire.

[3] Et bien sur, honi soit qui mal y pense.