Autosatisfaction

Publié le 5 octobre 2008 par Zythom

Il n’est pas si fréquent que je reçoive des emails d’encouragement en provenance des acteurs majeurs du monde judiciaire que sont les enquêteurs. Aussi, ai-je été particulièrement touché lorsque j’ai reçu l’email suivant (publié avec l’aimable autorisation de son auteur):

———————————————-
Cher Monsieur Zythom,

C’est en me « promenant sur le réseau international de communication entre ordinateurs » que je suis tombé (presque par hasard) sur votre blog.

Et d’articles, en articles, en articles… j’ai apprécié, puis aimé, puis respecté son contenu, sa forme, son style…

Et l’idée m’est venue de vous féliciter de vif mail…

Enquêteur Spécialisé en Criminalité Informatique, en fonction à la Police Judiciaire de [bip], j’effectue régulièrement des exploitations de systèmes informatiques lesquelles concernent en grande majorité des affaires de pédophilie, incitations à la haine raciale, escroquerie, abus de confiance,… ainsi que plus rarement, en matière d’homicides…

J’ai trouvé sur votre blog une mine de conseils, j’ai souri en vous lisant, faisant alors le parallèle avec mes affaires, m’étant retrouvé dans des situations similaires…

J’ai appris aussi, car c’est ce qui arrive lorsque l’on a l’habitude de faire comme on fait… et que l’on voit quelqu’un faire autrement, on se dit alors : « et!! mais c’est pas con ça! »

Alors voilà cher Monsieur Zythom, je ne vous connais pas mais à travers votre blog, j’ai pu voir un homme, féru et passionné d’informatique, expert judiciaire, qui aime son travail et qui le fait bien.

Dommage qu’ils ne soient pas tous comme vous…

Bravo !

Au plaisir de vous lire
———————————————-

J’ai longtemps hésité avant de publier cet email, non par modestie (j’ai un égo très développé), mais parce qu’il égratigne un peu sur la fin la communauté des experts judiciaires. Mais il fait gris et il pleut. Et j’ai besoin de montrer qu’on m’apprécie un peu.

C’est aujourd’hui dimanche, tiens ma jolie maman
Voici des roses blanches, toi qui les aime tant…
Berthe Sylva

——–
Photo crédit Dark Roasted Blend

Récupération d’images et plus encore

Publié le 3 octobre 2008 par Zythom

Vous êtes un particulier, vous avez perdu dix années de photographies numériques parce que votre petit dernier a malencontreusement effacé deux ou trois répertoires de votre disque dur en faisant le ménage (mais bon, ils étaient gros, et ça fait de la place maintenant…).

Vous êtes un jeune expert et vous hésitez à dépenser 5000 euros dans un logiciel d’analyse inforensique parce que, heu, deux expertises par an, c’est pas beaucoup…

Vous êtes N-TECH (gendarme spécialisé issu du CNFPJ Centre National de Formation de Police Judiciaire de Fontainebleau), et vous avez égaré votre «lot enquêteur».

Vous êtes ESCI (Enquêteur Spécialisé en Criminalité Informatique – Police National), mais vous ne retrouvez plus la clef d’activation de votre logiciel Marina (Moyen Automatique de Recherche d’Images Non Autorisées).

Vous êtes journaliste et vous ne retrouvez pas l’image que vous avez prise et merde-c’est-le-bouclage/j’ai-pas-de-sauvegarde/qui-a-touché-mon-portable…

Ou tout simplement curieux de voir toutes les images cachées au fil du temps dans les recoins de votre ordinateur.

Alors, ce billet est pour vous.

Je suppose que nous sommes dans le cas d’une analyse d’une copie du disque dur. Pour réaliser une telle copie, vous pouvez déjà lire ce billet toujours d’actualité.

En tout cas, votre disque dur doit encore fonctionner et ne pas être crypté (avec bitlocker par exemple) car je n’aborde pas ici l’analyse post-mortem, ni l’analyse de la mémoire vive…

Enfin, il ne s’agit pas d’effectuer une analyse complète des données du disque dur comme vous pouvez vous entrainer à le faire ICI.

Hypothèse: vous avez une image ISO (ou dd) de votre disque dur et vous aimeriez bien en analyser les images.

Il vous faut cet outil: PhotoRec qui est capable de mener à bien cette analyse avec un nombre incroyable de formats d’images.

Il s’agit d’un billet du vendredi, alors ne comptez pas sur moi pour vous écrire un mode d’emploi, surtout que le site de PhotoRec est très complet.

Et vous savez quoi, ce logiciel permet également de récupérer toutes sortes de fichiers: des fichiers cachés sur cédérom, des fichiers GPG et leur clef effacés, et au total plus d’une centaine de format de fichiers!

Ce logiciel travaille bien sur filesystem FAT, NTFS, ext2/ext3, HSF+.

Il fonctionne avec des disques durs, CD-ROM, CompactFlash, Memory Stick, SecureDigital, SmartMedia, Microdrive, MMC, USB Memory Drives…

Bravo à Christophe GRENIER pour ce travail exemplaire!

D’ailleurs, si vous avez quelques pièces anciennes à lui faire passer…

Felix qui potuit rerum cognoscere causas (ou pas)

———————-

Image crédit Dark Roasted Blend

Nomenclatura

Publié le 21 septembre 2008 par Zythom

Vous souhaitez devenir expert judiciaire?
Parfait, mais dans quelle matière?
Informatique allez-vous me dire?
Bien, mais ce n’est pas si simple…

En effet, les experts judiciaires sont inscrits dans une branche et/ou rubrique et/ou spécialité dont le détail est fourni par la nomenclature définie par l’arrêté du 10 Juin 2005 dont vous trouverez le détail ICI.

Wikipédia nous enseigne que « nomenclature » signifie « inventaire des termes propres à un domaine défini ». Le mot viendrait du latin « nomenclatura » qu’il ne faut pas confondre avec le terme russe Nomenklatura (номенклату́ра) qui désigne, de façon péjorative, l’élite du parti communiste de l’Union soviétique et les privilèges qui lui sont associés…

Si vous êtes un spécialiste de l’installation et de la réparation des conduits de cheminée, c’est-à-dire un fumiste, alors les choses sont claires: fumisterie est classée dans la branche « C. – Bâtiment. – Travaux publics. – Gestion immobilière », rubrique « C.1. Bâtiment. – Travaux publics. », spécialité « C.1.26. Thermique. » où apparait votre domaine: génie thermique (chauffage, four, fumisterie, ventilation).

Mais que nous dit cette nomenclature concernant l’informatique?
L’informatique apparait principalement dans la branche « E. – Industries » sous la rubrique « E.1. Electronique et informatique », dont les cinq spécialités sont:
E.1.1: Automatismes.
E.1.2: Internet et multimédia.
E.1.3: Logiciels et matériels.
E.1.4: Systèmes d’information (mise en œuvre).
E.1.5: Télécommunications et grands réseaux.

Mais vous trouverez une référence informatique également dans
la branche « G. – Médecine légale, criminalistique et sciences criminelles ».
Rubrique « G.2 Investigations scientifiques et techniques »
Spécialité: « G.2.5 Documents informatiques »

La règle veut que chaque expert choisisse et propose son inscription dans les spécialités de la nomenclature dans lesquelles il se sent spécialiste. La cour d’appel vérifie puis les mentionne en face son nom sur la liste des experts judiciaires.

Les magistrats (et les avocats) peuvent ainsi sélectionner l’expert le plus à même de répondre aux questions qu’ils se posent dans leurs dossiers.

Un conseil: il est préférable de limiter le nombre de spécialités plutôt que de refuser systématiquement toutes les expertises qu’un magistrat vous demandera dans ce domaine. Par exemple, si vous avez demandé votre inscription dans la spécialité « E.1.5 Télécommunications et grands réseaux » parce que vous connaissez bien la problématique des PABX, vous risquez quand même d’avoir beaucoup de demandes d’expertises de téléphones portables. Et si vous n’êtes pas équipés des logiciels et matériels adhoc (parfois forts onéreux) concernant cette problématique, il vaut mieux éviter. C’est tout le problème d’une nomenclature: pas assez détaillée, elle englobe des disciplines très vastes (ex: E.1.3 Logiciels et matériels), et trop détaillée, elle devient inutilisable par le non spécialiste qu’est le magistrat (ex imaginaire: E.0.1.1.2.3.5.8.13.21.34 la sécurité des RPC sous Windows article excellent par ailleurs:).

Vous voyez bien, cher lecteur, toute la difficulté de l’activité d’expert judiciaire en informatique (pardon, en E.1.2, E.1.3 et E.1.4). Il vous faudra être à la fois un généraliste de l’informatique pour couvrir tous les métiers que l’informatique englobe, et un spécialiste capable de répondre aussi bien aux questions suivantes:
– y a-t-il présence d’images de nature pédopornographique sur le disque dur et si oui donner les dates des fichiers et les sources de provenance?
– le logiciel de comptabilité a-t-il été installé dans les règles de l’art?
– l’ordinateur a-t-il été piraté, comme le prétend son propriétaire, pour stocker à son insu des images de nature pédopornographique?
– fournir tout élément susceptible de permettre la manifestation de la vérité…

Et parfois, c’est très difficile.

Et toujours, il faut avoir le courage de le dire au magistrat.

———————-
L’image représente un disque dur de 250 Mo de 1979.
Crédit Dark Roasted Blend.

De droit un peu

Publié le 17 septembre 2008 par Zythom

Je sais qu’il y a dans mes lecteurs quelques juristes, et je les prie de m’excuser pour ce billet qui ne présente absolument aucun intérêt pour eux.

Etre expert judiciaire demande de connaître quelques rudiments de droit. Si vous êtes un peu hermétique à cette science, alors faites comme moi, épousez une avocate. C’est la seule femme que vous regarderez avec de plus en plus d’intérêt à mesure que passeront les années (où alors suivez les conseils d’Agatha Christie et changez de métier…).

Et en feuilletant ses livres de chevet, vous tomberez sur quelques textes qui peuvent (éventuellement) vous surprendre, vous amuser ou vous faire peur…

Code pénal – Art. 224-8: Le fait par quiconque, en communiquant une fausse information, de compromettre sciemment la sécurité d’un aéronef en vol ou d’un navire est puni de cinq ans d’emprisonnement et de 75000 euros d’amende.

Je vous jure que j’éteins toujours mon téléphone portable, et que je désactive ma carte wifi lorsque je me trouve dans un aéronef en vol!

Code pénal – Section 3 : De la livraison d’informations à une puissance étrangère. – Art. 411-6: Le fait de livrer ou de rendre accessibles à une puissance étrangère, à une entreprise ou organisation étrangère ou sous contrôle étranger ou à leurs agents des renseignements, procédés, objets, documents, données informatisées ou fichiers dont l’exploitation, la divulgation ou la réunion est de nature à porter atteinte aux intérêts fondamentaux de la nation est puni de quinze ans de détention criminelle et de 225000 euros d’amende.

Bon, ça calme tout de suite. J’espère que les personnes habilitées à accéder à E.D.V.I.G.E. ont un bon parefeu, un bon antispyware et un bon antivirus. Et qu’ils n’installent pas de logiciel P2P…

Code civil – Art. 559: Si un cours d’eau, domanial ou non, enlève par une force subite une partie considérable et reconnaissable d’un champ riverain, et la porte vers un champ inférieur ou sur la rive opposée, le propriétaire de la partie enlevée peut réclamer sa propriété ; mais il est tenu de former sa demande dans l’année : après ce délai, il n’y sera plus recevable, à moins que le propriétaire du champ auquel la partie enlevée a été unie, n’eût pas encore pris possession de celle-ci.

Ami lecteur, si ta résidence secondaire est située près d’un cours d’eau, veille à y aller au moins une fois par an…

Code civil – Art. 564: Les pigeons, lapins, poissons, qui passent dans un autre colombier, garenne ou plan d’eau visé aux articles L. 431-6 et L. 431-7 du code de l’environnement appartiennent au propriétaire de ces objets, pourvu qu’ils n’y aient point été attirés par fraude et artifice.

Hu hu hu.
Je suis sur que je ne suis pas au bout de mes surprises.
J’aurais du m’inscrire en droit 🙂

——————-
Image provenant du site darkroastedblend.com

Sonnette d’alarme

Publié le 11 septembre 2008 par Zythom

Cette anecdote est 100% véridique et est publiée avec l’accord du responsable informatique concerné.

PREAMBULE

Je suis parfois appelé dans le cadre d’expertise privée. Je n’aime pas particulièrement cela, dans la mesure où j’ai fait le choix de servir la justice (relire le serment de l’expert judiciaire en tête de ce blog) plutôt que de mettre en place une activité d’indépendant pourtant beaucoup plus lucrative. Etre inscrit sur la liste des experts judiciaires, cela donne beaucoup de responsabilités (et de soucis), des honoraires payés parfois à 400 jours et des soirées à trier de tristes images.

Mais c’est aussi une certaine visibilité pour les personnes souhaitant faire appel aux services d’un informaticien compétant à l’esprit indépendant (au sens « donnant son avis en son honneur et en sa conscience »). C’est pourquoi quelques personnes choisissent de faire appel à mes services parce qu’ils ont vu mon nom sur la liste des experts judiciaires. En général, je refuse poliment, en expliquant que je travaille exclusivement avec les magistrats ou les OPJ.

Dans le cas présent, mon interlocuteur m’a expliqué qu’il était face à un problème incroyable sur lequel tout le monde séchait. C’était donc « mission impossible » et cela m’a intrigué.

FIN DE PREAMBULE

Le système informatique de l’entreprise Diaspar^[1] présente un dysfonctionnement dont personne n’a pour l’instant trouvé la cause. La panne appartient à la plus terrible des catégories: panne aléatoire non reproductible.

A mon arrivée sur les lieux, mandé par le Directeur de Diaspar, je rencontre le responsable informatique, Mr Alvin, qui me décrit le tableau suivant:

« Nous avons tout vérifié: le câblage, les actifs, les branchements. Nos différents fournisseurs sont intervenus à tous les niveaux. Le réseau a été audité, ausculté, monitoré. Nous avons dessiné le diagramme d’Ishikawa. Nous avons utilisé les cinq pourquoi. Rien n’y fait, le problème est toujours là. Le système fonctionne normalement et paf, les serveurs sont injoignables. Notre seule solution est de rebooter les hubs… »

A la mention de « hub », je dresse l’oreille. Après vérification, le cœur de réseau de l’entreprise est assez ancien: ethernet 10 Mb/s non commuté. Bienvenu dans le monde réel.

Je passe la matinée à étudier les vérifications effectuées par les différentes personnes intervenues avant moi.

Mr Alvin m’invite à déjeuner (c’est l’avantage des expertises privées^[2]). Pendant le déjeuner, je pose quelques questions sur le réseau et son historique. Mr Alvin m’apprend alors quelque chose d’intéressant. Le câblage est utilisé par trois systèmes distincts: informatique, téléphonie et vidéosurveillance. Chaque système est indépendant avec ses propres serveurs: serveur informatique pour l’un, PABX pour l’autre et régie vidéo pour le dernier. Un câble réseau dans l’entreprise est donc affecté (exclusivement) à l’un de ces trois réseaux. Cette affectation est décidée à l’aide d’une « rallonge » dans une armoire de câblage (on parle alors de jarretière de brassage, qui a dit que les techniciens n’étaient pas poètes^[3])…).

Je me dis que je tiens quelque chose: n’y aurait-il pas eu confusion dans une armoire de brassage? Une caméra ne serait-elle pas branchée sur le réseau informatique? Hélas, Mr Alvin n’étant pas né de la dernière pluie, il avait déjà pensé à ce cas de figure et fait vérifier l’intégralité des armoires de brassage.

Je m’accroche néanmoins à cette idée et par la force de l’expérience, pose la question suivante: n’y aurait-il pas eu des modifications d’affectation de pièces, un bureau transformé en atelier par exemple?

Mr Alvin réfléchit et m’indique que l’ancien bureau du contremaitre a effectivement été transformé en atelier lors de l’agrandissement de la zone de production. Mais à quoi bon, toutes les prises ont été débrassées, testées et réaffectées, puis vérifiées…

Le subconscient (de Murphy) faisant son travail, je réattaque sur le sujet lors de la visite de l’entreprise, l’après-midi. Face à l’ancien bureau transformé en atelier, je pose quelques questions au contremaitre.

Zythom: « Y a-t-il eu des modifications apportées sur le câblage dans votre bureau? »

Le contremaitre: « Ben, ya bien la sonnette du téléphone. »

Zythom: « La sonnette? »

Le contremaitre: « Oui. Comme j’entendais pas le téléphone sonner quand je travaillais dans l’atelier adjacent, j’ai fait ajouter une sonnette dans l’atelier reliée à mon téléphone. La preuve, regardez, elle est toujours là. Mais elle sert plus parce que j’ai changé de bureau et que j’ai un téléphone portable. »

Sur le mur de l’atelier trônait toujours une grosse sonnette en forme de cloche.

En suivant les fils de la sonnette j’aboutis à l’ancienne prise de téléphone. Et sur cette prise se trouve maintenant branché un ordinateur de contrôle d’une machine outils.

Avec l’accord de Mr Alvin, je démonte la prise et nous découvrons un superbe branchement (avec dominos) de la sonnette sur le réseau informatique…

Dès que les échanges informatiques du réseau atteignaient une valeur critique, la self de la sonnette interagissait avec le système et flanquait la pagaille.

J’ai toujours regretté de ne pas avoir demandé au contremaitre si la sonnette sonnait de temps en temps.

Mais je suppose que non…

—————-

[1] Diaspar est le nom de la Cité éternelle du roman « La Cité et les Astres » de Sir Arthur Charles Clarke. Le héros s’appelle Alvin.

[2] Dans le cadre des expertises judiciaires contradictoires, il est interdit de manger avec l’une des parties. Vous pouvez manger avec toutes les parties, mais en général, elles ne souhaitent pas se trouver autour d’une table de restaurant et partager un moment de convivialité… Avec les avocats, ce serait parfaitement possible, mais en général leurs clients ne comprennent pas qu’ils puissent se parler IRL. Donc, c’est sandwich en solitaire.

[3] Et bien sur, honi soit qui mal y pense.

Slap-happy

Publié le 6 septembre 2008 par Zythom

J’exerce le doux métier de responsable informatique et technique dans une école d’ingénieurs. Comme mes homologues, j’ai mis en place une sécurité informatique essentiellement basé sur des mots de passe et sur une séparation des réseaux. Les utilisateurs doivent changer régulièrement leurs mots de passe et les choisir suffisamment compliqués. Mais certains étudiants aiment jouer avec le feu et cherchent à pirater le compte d’un professeur… Voici la dernière anecdote en date.

Un professeur décide de faire un examen en deux parties à un mois d’intervalle. Il constate avec surprise que quelques étudiants ont vu leurs résultats quadrupler en passant de 04/20 à 16/20 d’une épreuve à l’autre.

Il décide d’approfondir le problème et soupçonne rapidement une tricherie: ces étudiants semblent avoir eu accès au sujet de la deuxième épreuve. Après avoir étudié toutes les fuites possibles, il subodore un vol de mot de passe et vient me voir.

La plupart des systèmes informatiques sont journalisés et le mien ne fait pas exception. Me voici donc à explorer les fichiers de LOG où sont stockés les connexions des utilisateurs. J’y découvre que le professeur semble s’être connecté au système le soir dans les salles informatiques en libre service.

Par mon expérience d’expert judiciaire en informatique, je connais bien la différence entre personne physique et compte informatique, et le danger du raccourci de langage qui consiste à dire « Untel s’est connecté » au lieu de dire « le compte d’Untel a été utilisé ».

Une simple vérification auprès du professeur me permet de comprendre que son compte informatique a été utilisé hors sa présence. Son mot de passe avait donc été volé.

Il y a plusieurs façon de voler un mot de passe: enregistreur de frappe (keylogger), attaque par dictionnaire, mot de passe facile à deviner lors de la saisie (prénom, nom commun…). Ayant à cœur de sécuriser mon système informatique du mieux possible, je mène ma petite enquête pour connaître la méthode utilisée.

En analysant les fichiers de LOG des connexions utilisateurs, je me rends vite compte que parmi les étudiants suspectés de tricherie, deux se sont connectés sur des ordinateurs voisins de celui sur lequel le compte du professeur a été abusivement utilisé.

En étudiant les fichiers de LOG des impressions, je me rends compte qu’un autre étudiant a imprimé un fichier portant le même nom que le fichier contenant le corrigé de l’examen et appartenant au professeur.

En interrogeant le professeur, celui-ci jure qu’il ne stocke pas de données aussi confidentielles sur son compte pédagogique (le compte accessible en salle de cours). Nous vérifions ensemble. Effectivement, aucune trace visible du corrigé sur son compte. Néanmoins, notre système informatique permet une récupération personnelle des données effacées: clic droit, menu « recouvrer les fichiers » (OS Novell Netware). Et hop, voici qu’apparait le fameux corrigé! Le professeur m’indique alors avoir fait transité le fichier par son compte réseau, puis sur sa clef USB, avant de l’effacer. Il ne connaissait pas la fonctionnalité de récupération de données (les étudiants oui, et c’est moi qui le leur enseigne…).

Restait à savoir comment les étudiants avaient obtenus le mot de passe.

Je convoque tout mon petit monde dans mon bureau et prend mon air le plus sévère. Après quelques minutes sur la sellette, les étudiants m’ont expliqué leur façon de faire: lors d’un cours en amphithéâtre, l’un d’entre eux avait son ordinateur portable allumé. Au moment où le professeur s’est connecté sur l’ordinateur de l’amphithéâtre pour son cours, l’étudiant a tourné discrètement la webcam de son portable pour filmer le professeur saisissant son mot de passe.

Une fois en salle informatique, l’étudiant s’est connecté sur le compte du professeur, et ne trouvant rien, a eu l’idée de vérifier les fichiers effacés. CQFD.

Les quatre étudiants ont eu zéro et sont passés en conseil de discipline. Ils n’ont pas été exclus.

Je les aime bien mes étudiants. Ils sont juste un peu parfois irresponsables et insouciants.

Je me méfie maintenant des webcams, des appareils photos, des caméras, des stylos, des lunettes, des montres, des nounours, des miroirs, des ordures, des volants…

10 ans

Publié le 5 septembre 2008 par Zythom

Happy birthday…

Grâce au paradoxe des anniversaires (utilisé en cryptographie pour élaborer des attaques sur les fonctions de hachage), je sais maintenant que si je vais à une assemblée de plus de 10111 blogueurs, j’ai une chance sur 10 d’y rencontrer un blogueur ayant commencé son blog le même jour que moi… c’est-à-dire il y a pile 10 ans, le 101 septembre 11111010110.

Et pour fêter cela, une petite note culturelle ~~honteusement pompée sur~~ issue de Wikipedia:
Deux est :
* Le nombre de la deuxième pièce des centimes d’euros où figure une Marianne, pour les pièces françaises.
* Le nombre de la dernière pièce d’euros où figure un chêne, un hexagone et la devise républicaine pour les pièces françaises.
* Le nom de plusieurs personnages fictifs : N° Deux.
* Dans la langue anglo-saxonne, la locution «number two», est un euphémisme pour la défécation.
* Un des préfixes d’appel radio alloués au Royaume-Uni.
* Le numéro de la zone DVD pour l’Europe, l’Afrique du Sud, le Moyen-Orient et le Japon.
* Au rugby, le numéro de la position la plus dangereuse, le talonneur.
* Au baseball, deux représente la position du receveur.
* Le premier chiffre des codes d’appel téléphoniques en premier lieu pour les pays d’Afrique.
* La seconde dans le système scolaire français est la première classe du lycée.
* La deuxième planète du système solaire s’appelle Vénus.
* Le nombre de couleurs dans un jeu de cartes (rouge et noir).
* En France, le nombre d’années de mariage des noces de cuir.
* Dans les pays anglo-saxons et en Allemagne, le nombre d’années de mariage des noces de coton.
* En musique :
o Dans l’échelle diatonique, la seconde — représentée de préférence par le chiffre arabe 2 — désigne un intervalle entre deux degrés conjoints. On pourra distinguer la seconde mineure, qui équivaut au demi-ton, et la seconde majeure, qui équivaut au ton.
o Dans une gamme ou une tonalité, le chiffre romain II désigne, soit le deuxième degré — appelé sus-tonique —, soit la fonction tonale associée, soit l’accord correspondant — lorsqu’il est distingué, II = majeur et ii = mineur.
o Dans la musique modale, le deuxième mode est appelé Dorien.
* Années historiques : -2, 2, 1902 ou 2002.
* Le n° du département français, l’Aisne.
* Le numéro de l’autoroute française A2 qui part de Péronne (de l’A1) pour atteindre la Belgique.
* Le nombre d’atomes d’hydrogène dans une molécule d’eau (H2O)

En anglais, 2 (two) est :
* La dénomination du billet de 2$ où figure le portrait de Thomas Jefferson ; (dernière impression en 1996 ; en 2004, rarement vu en circulation).
* La dénomination de la pièce de 2$ canadiens où figure un ours polaire.
* La dénomination de la pièce de 2$ néo-zélandais, où figure le héron blanc.
* Une abréviation pour le mot «to» — leur prononciation se ressemble mais ce ne sont pas des homophones au sens strict, voir par exemple la phrase «from two to two to two two» («de deux heures moins deux à deux heures deux»); ce mot a plusieurs sens, mais l’abréviation en général utilisée pour l’acception «vers» (direction, but), comme par exemple dans P2P (peer-to-peer) ou en langage SMS «2U» (to you, pour toi).

So, thanks 2U dear reader… Tout particulièrement à ceux qui m’ont incité à continuer quand j’ai eu une baisse de moral.

Hips, à la votre!

Nickel chrome

Publié le 2 septembre 2008 par Zythom

Vous l’avez compris, j’ai testé le nouveau navigateur de Google nommé « Google Chrome » sorti aujourd’hui.
Et bien, je dois dire que c’est pas mal du tout.
Et bien sur, je suis allé fouiner du côté du cache situé dans « C:Documents and SettingsZythomLocal SettingsApplication DataGoogleChromeUser DataDefaultCache ».

Ya plein de travail pour les inforensiticiens…

Mais, l’extension « AdBlock Plus » de Firefox me manque déjà… Je vais donc encore rester fidèle à Firefox qui illumine ma toile en supprimant les réclames.

Les Experts

Publié le 29 août 2008 par Zythom

Pour un billet du vendredi, je ne suis pas allé chercher trop loin: j’ai trouvé un excellent blog, avec un billet consacré aux experts: à savourer ici.

Et en plus, les liens fournis m’ont permis d’envisager d’intégrer le XXIe siècle en matière de scellés. Parce moi, c’est plutôt encore ça…

Allez, pour bien démarrer le week-end, je vous mets une photo qui m’a bien fait rire. Genoux sensibles s’abstenir 🙂

Le silence des hargneux

Publié le 19 août 2008 par Zythom

Cette communication (y compris les pieces jointes) est reservee a l’usage exclusif du destinataire (des destinataires) et peut contenir des informations privilegiees, confidentielles, exemptees de divulgation selon la loi ou protegees par les droits d’auteur. Si vous n’etes pas un destinataire, toute utilisation, divulgation, distribution, reproduction, examen ou copie (totale ou partielle) est non-autorisee et peut etre illegale. Tout message electronique est susceptible d’alteration et son integrite ne peut etre assuree. [Société Y] decline toute responsabilite au titre de ce message s’il a ete modifie ou falsifie. Si vous n’etes pas destinataire de ce message, merci de le detruire immediatement et d’avertir l’expediteur de l’erreur de distribution et de la destruction du message. Merci.

This transmission (including any attachments) is intended solely for the use of the addressee(s) and may contain confidential information including trade secrets which are privileged, confidential, exempt from disclosure under applicable law and/or subject to copyright. If you are not an intended recipient, any use, disclosure, distribution, reproduction, review or copying (either whole or partial) is unauthorized and may be unlawful. E-mails are susceptible to alteration and their integrity cannot be guaranteed. [Société Y] shall not be liable for this e-mail if modified or falsified. If you are not the intended recipient of this e-mail, please delete it immediately from your system and notify the sender of the wrong delivery and the mail deletion. Thank you.

Qui de nos jours prête attention à ce type de phrase ajoutée en fin d’email?

Et pourtant, ce qui est arrivé à ce chef d’entreprise pourrait tout aussi bien vous arriver à vous tous:

Mr Bowman commence tous les matins son travail par la lecture de ses emails. Il reçoit un coup de téléphone d’un de ses salariés, Mr Poole, qui demande un entretien d’urgence avec lui. Lorsque Mr Poole entre dans le bureau de son PDG, il est passablement énervé. Une discussion ombrageuse commence entre les deux hommes où il est question entre autres choses de manques de considération, de duperies, de démission et de prudhommes.

Mr Poole exhibe une feuille de papier sur laquelle est imprimé un email qui lui est adressé et envoyé par Mr Bowman (adresse email, entêtes, signature, etc). Dans cet email, le PDG informe son salarié qu’il est incompétent, que le dossier HAL9000 aurait du être traité d’une façon plus énergique et qu’il envisage de le changer de bureau en direction du sous-sol…

Mr Bowman affirme alors n’avoir jamais envoyé un tel email.

Les deux hommes étudient attentivement le message: il semble authentique. Mr Bowman regarde sur son ordinateur, dans sa liste d’emails envoyés: rien. Mr Bowman comprend aussi qu’il fait face à un problème de sécurité: qui a pu pirater son compte et écrire un tel email en se faisant passer pour lui? Il décide d’appeler une personne étrangère à l’entreprise: un expert judiciaire en informatique.

C’est là que j’entre en scène (tadam).

A peine contacté par téléphone, je me fais expliquer la situation, telle que perçue par les deux hommes. Rendez-vous est pris pour le soir même. Je demande simplement que Mr Bowman, Mr Poole et le responsable informatique de l’entreprise soient présents.

Une fois sur place (après le travail, je suis moi-même un salarié dévoué), je propose à Mr Bowman de changer de mot de passe avec l’aide de son informaticien, et demande à l’informaticien de me présenter le fonctionnement du système d’information de l’entreprise et en particulier la journalisation.

J’ai ensuite étudié avec attention les entêtes contenues dans le message incriminé, pour me rendre compte que l’email avait été écrit en dehors de l’entreprise. Les traces de la livraison de l’email sur le serveur de messagerie de l’entreprise nous ont permis de compléter et recouper l’ensemble des données pour confirmer un envoi effectué à partir d’une adresse internet externe. L’analyse des journaux de la passerelle d’accès à internet (propre à l’entreprise) a permis de montrer que cette adresse externe n’a pas été utilisée depuis un poste de l’entreprise.

Après les investigations vient le temps des explications et de la pédagogie (et de la diplomatie). Il m’a fallu expliquer à Mr Bowman qu’il est extrêmement simple pour un « script kiddie » d’envoyer un email sous une fausse identité, en général pour vendre des pilules bleus, mais parfois pour envoyer un fake.

Tout le monde prend alors conscience en silence des habitudes prises de lire et prendre pour argent comptant les différents emails reçus chaque jour.

En attendant un système plus fiable, universel et authentifié.

Et alors démarrera le vrai temps de Big Brother…

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Expert