Tiip-tiiptiip-tiiptiip

Aujourd’hui est un grand jour pour moi: c’est un jour anniversaire pour ce blog!!!
Cela fait 711 jours que ce blog a débuté 🙂

Ma fille ainée: « Pfff. »
Ma fille cadette: « Ah bon? »
Mon fils benjamin: « Papa j’ai gagné une moto sur Mario Kart! »
Ma femme: « Qu’est-ce que tu viens faire encore ton intéressant sur internet »

Cela fait 1 an, 11 mois et 11 jours que ce blog existe.
Et il se trouve que cela m’amuse.

Merci à tous les lecteurs.

JFIN 2008

Les 3, 4 et 5 septembre auront lieu les JFIN 2008 (journées francophones de l’investigation numérique), rassemblant des policiers, gendarmes, magistrats, experts… à Vandœuvre-lès-Nancy.

Le programme est ICI et semble fort intéressant.

Je ne connais pas l’AFSIN, mais la qualité des intervenants est de bon augure. Les inscriptions se font ICI.

Dommage que cela soit en pleine semaine de rentrée de mon école d’ingénieurs…

A moi la maison bleue

Ce billet est la suite de ce billet, celui-ci, celui-là, et ce dernier

Ca y est, c’est l’heure du grand départ.
Le grand moment du reset total, avant celui du total recall.

Rien n’est prêt, mais nous partons.

Je risque de laisser ce blog en friche pour trois semaines.

I’ll be back…

Mots clefs: vacances, départ, break, famille, j’en ai bien besoin, stop, oubli des mots de passe, bisous Maman et Papa, salut, bye, Brian is in the kitchen, $$$, douane, randonnée, ampoules, photos, tente, plaisirs, galères, ours, paysages…

Ecrire sous pseudonyme

Parmi les questions que l’on me pose régulièrement, celle de l’utilisation d’un pseudonyme pour tenir ce blog.

J’y ai pourtant déjà répondu en détail dans ce billet.

Je voudrais compléter en citant ici un court extrait d’un billet de Maître Eolas:

[…] Mon anonymat est un anonymat de confort. Malgré mes avertissements, je reçois chaque jour une douzaine de mails me demandant des conseils juridiques, dont une bonne moitié sans bonjour ni merci ni au revoir (quand ils ne sont pas écrits en langage SMS). Vous imaginez si mon numéro était accessible dans les pages jaunes ?

Quand un journaliste cherche à me contacter (et ils ont été nombreux dans cette affaire), je leur réponds, et je leur donne mon identité pour qu’ils s’assurent que je suis bien avocat. Mon identité n’est pas un secret honteux, je n’ai pas de cadavre dans le placard, je suis bien ce que je prétends être, un avocat au barreau de Paris, tout aussi anonyme dans ce barreau pléthorique que ses 18.000 confrères.

Et en fait, cette situation me convient très bien. Je suis ravi d’entrer dans les prétoires sans attirer autre chose qu’un coup d’œil morne, d’être écouté et traité comme n’importe lequel de mes confrères, et d’être jugé, si j’ose dire, à la qualité de mon travail sur le dossier et non par le prisme d’une sympathie provoquée par mon blog.

Mon anonymat n’est pas celui du dénonciateur anonyme. […]

Cette formulation est bien meilleur que toutes celles que j’aurais pu trouver et s’applique parfaitement à mon cas, toute proportion gardée (je n’ai pas le talent de Maître Eolas).

Beaucoup de mes confrères experts judiciaires connaissent mon nom, soit parce qu’ils l’ont deviné, soit parce que la politesse a voulu que je leur en fasse part lors de retour d’expériences par emails dans un échange de correspondances privées.

Plusieurs collègues informaticiens connaissent mon identité et s’amusent de la lecture de certains billets.

Quelques uns de mes étudiants connaissent l’existence de ce blog et savent que c’est leur « prof d’info » qui le tient. Qu’ils reçoivent ici toute ma sympathie et persévèrent dans leurs efforts pour devenir ingénieur (et dans le choix de leurs lectures).

La Cour d’Appel dont je dépens connait mon blog et mon nom réel. Je n’ai pas d’élément me laissant croire que ce blog est approuvé ou désapprouvé par les magistrats.

Mon hébergeur connait mon nom, dans le respect des mentions légales.

L’activité d’expert judiciaire n’est pas une profession. Un expert judiciaire doit exercer une « vraie » profession pour rester dans le coup d’un point de vue « compétences ». Le nombre d’expertises réalisées en une année est faible et ne doit pas être considéré comme un revenu financier (c’est mon point de vue). Par conséquent, la recherche de clients n’est pas mon objectif. Ce blog n’est pas une vitrine de mon savoir faire (ou de ma maladresse) ni un moyen de me faire « mousser » auprès de mes confrères (que je salue au passage), des magistrats (que je salue respectueusement au passage) ou des avocats (que je salue très respectueusement au passage).

Ecrire sous pseudonyme est un confort pour moi et je suis ravi de travailler avec les OPJ et les magistrats sans attirer autre chose qu’un intérêt professionnel, d’être écouté et traité comme n’importe lequel de mes confrères, et d’être jugé, si j’ose dire, à la qualité de mon travail sur le dossier et non par le prisme d’une sympathie provoquée par mon blog.

Mon anonymat n’est pas celui du dénonciateur anonyme. Je n’ai pas honte de ce blog et toutes les idées exprimées dans les billets sont pleinement assumées.

C’est ici un blog de bonne foi, lecteur. Il t’avertit dés l’entrée, que je ne m’y suis proposé nulle fin que domestique et privée: je n’y ai eu nulle considération de ton service, ni de ma gloire: mes forces ne sont pas capables d’un tel dessein…

Je reste un nain posté sur les épaules de mes prédécesseurs.

Le rapport d’expertise

Avant de développer ce billet, je souhaite faire quelques remarques liminaires:
– je suis expert judiciaire en informatique, je ne peux prétendre couvrir dans ce billet d’autres types d’expertises judiciaires;
– je donne ici un avis (le mien), et je n’ai pas la vanité de croire que cet avis est partagé par l’ensemble des experts judiciaires, ni même par la majorité;
– je n’ai pas l’expérience d’un expert honoraire qui aurait des milliers d’expertises à son actif.

Cher(s) Maître(s), vous qui êtes experts en droit, explorons ensemble l’exploitation du rapport d’un expert judiciaire en informatique.

En tant qu’avocat, vous connaissez parfaitement le rôle et les limites de l’expert judiciaire lors de ses missions. L’expert judiciaire prête le serment suivant: « Je jure, d’apporter mon concours à la Justice, d’accomplir ma mission, de faire mon rapport, et de donner mon avis en mon honneur et en ma conscience. »

Sur le sujet de la désignation de l’expert, j’ai déjà cité Madame Marie-Claude MARTIN, vice-présidente du TGI de Paris, qui a publié dans la revue « Experts » (numéro 73 de décembre 2006), un excellent article intitulé « la personnalité de l’expert ». Dans le paragraphe consacré à la désignation de l’expert, elle écrit:

« […] plusieurs comportements sont susceptibles d’être observés:
– « L’expert sans problème »: Je lis la mission, elle rentre parfaitement dans mes attributions, je l’accepte.
– « L’expert aventureux, ou téméraire, ou intéressé »: La mission ne paraît pas relever de ma compétence, mais elle m’intéresse ; je prendrai un sapiteur ultérieurement […]
– « L’expert optimiste qui dit toujours oui »: Je suis surchargé, je prends quand même cette mission, je me ferai aider au besoin par l’équipe qui m’entoure […].
– « L’expert stressé qui ne sait pas dire non »: Je suis surchargé, mais si je dis non, je ne serai plus désigné et je vais rapidement me trouver sans mission.

Je ne développerai pas ici le déroulement des missions, l’abordant abondamment dans cette série de billets.

Le sujet qui m’intéresse ici concerne le rapport en lui-même.

De mon point de vue, le rapport doit comporter plusieurs parties:
1) La partie procédurale.
Vous trouverez dans cette partie tous les éléments concernant la nomination de l’expert (date, n° de PV, etc), les différentes références du dossier (références du tribunal, de la maréchaussée, de l’expert, voire des parties), les missions de l’expert telles que précisées par le magistrat, les dates et lieux de réunions, les noms et coordonnées des participants à l’affaire… Bref, tout ce qui relève de la procédure. C’est pratique d’avoir cela en un seul endroit et cela permet à un œil exercé d’avoir une vision globale de cet aspect du dossier.

2) La partie technique.
Cette partie doit être rédigée (à mon avis) pour être lue par un autre expert. Elle doit contenir les détails des investigations: les noms des logiciels utilisés, les procédures utilisées, la méthodologie d’investigation jusque dans ces détails les plus précis. Pour ma part, je la conçois comme le cahier que tiennent les expérimentateurs dans les laboratoires de recherche. Toute personne connaissant bien le domaine doit pouvoir lire cette partie et reproduire les mêmes investigations (d’où l’intérêt des analyses non modificatrices, par exemple avec bloqueur d’écriture).

3) Les réponses aux questions posées par le magistrat.
C’est le cœur du rapport. C’est la transcription en langage clair et intelligible pour le profane de la partie technique du rapport. C’est un exercice difficile car il demande une bonne pédagogie et une bonne connaissance du niveau technique du lecteur auquel le rapport est destiné (magistrat, enquêteur, avocat…). De nombreux magistrats sont maintenant parfaitement au fait des nouvelles technologies et de leurs limites ou possibilités. L’utilisation de notes de bas de page permettent de rappeler la définition d’un concept potentiellement abscons. Il ne s’agit pas pour autant d’écrire un cours.

4) Les réponses aux questions posées par les parties.
En matière civile et commerciale, la procédure est contradictoire. Les parties peuvent poser des questions à l’expert (par écrit: cela s’appelle des dires), et celui-ci est tenu d’y répondre dans son rapport. Lorsque les avocats ont la gentillesse de me faire parvenir leur dire sous forme électronique, c’est le règne du copier/coller dans le rapport, avec insertion de ma réponse entre chaque question. Si les dires sont transmis sous forme papier uniquement, c’est le règne du copier/coller, mais cette fois avec ciseaux et colle à papier – un régal d’archaïsme (mais bon, c’est plus rapide que l’OCR…).

5) Les annexes.
Il est indispensable de placer en annexe toutes les pièces utiles à la lecture du rapport. Ceci même si le nombre d’annexes est important. Il peut être judicieux de placer en annexe un cédérom contenant une version numérisée des documents. Cela allège le rapport final, à condition de citer les passages importants des annexes dans le corps du rapport pour en faciliter la lecture (et non pas un renvoi vers une annexe dématérialisée). La numérotation des annexes est un vrai casse tête. En effet, chaque partie a déjà son propre référencement, et l’expert ne fait qu’ajouter un nouveau classement. C’est souvent un peu pénible en réunion: « Etudions la pièce référencée B-52 par Me Bas , qui est la pièce n°13 de Me Clefsouslaporte, et que je vais référencer R2D2… »

Analyse du rapport:
Il m’arrive parfois d’être missionné par l’avocat d’une partie se plaignant d’un rapport d’expertise informatique défavorable.
J’ai alors la charge d’analyser en profondeur le travail d’un confrère. Je n’ai alors aucun scrupule à le faire, dès lors que je respecte les règles de déontologie des experts judiciaires (adhérents à une compagnie):
V-39) […] le consultant privé qui remet à la partie qui l’a consulté une note ou des observations écrites sur les travaux de son confrère, doit le faire dans une forme courtoise, à l’exclusion de toute critique blessante et inutile. […]

Cela ne m’empêche pas de critiquer (courtoisement) un rapport mal fichu, ou de contredire des conclusions (sans critique inutile) erronées. Je porte une attention particulière à la partie technique, qui est la valeur ajoutée de ma prestation (les parties juridiques du rapport ont été analysées à la loupe par les avocats): les outils et méthodes d’investigation sont-ils mentionnés? Si oui sont-ils cohérents avec ce que je connais de l’état de l’art? Si non, voilà une bonne question à poser dans les dires… Si le rapport final n’a pas déjà été déposé. En effet, dans ce dernier cas, l’expert est dessaisi de l’affaire dès le dépôt de son dossier et ne répondra plus aux questions des parties.

L’analyse critique d’un rapport d’expertise judiciaire est une chose délicate, et je crois sincèrement que les avocats devraient s’adjoindre plus souvent les services d’un expert judiciaire.

Trois heures pour installer Linux (suite)…

Suite de ce billet.

D’une source proche du dossier, les 3h passées par l’expert pour installer GNU/Linux sont dues pour 2h20 à l’installation d’un matériel wifi non supporté nativement. L’installation du reste du système n’a pris que 40 minutes, soit la durée normale pour ce type d’installation.

Un commentateur fournit également le lien du jugement que vous trouverez sur le site de l’AFUL.

Ce jugement est très intéressant en ce qu’il oblige(rait) les circuits de vente informatique à afficher explicitement les prix des logiciels pré-installés (y compris le système d’exploitation). Cela permettra au consommateur de connaître précisément les coûts du matériel et ceux des logiciels.

A quoi bon puisqu’il lui faudra de toute façon acheter le paquet complet?
Et bien c’est tout l’enjeu de la réunion du 3 juillet prochain avec la DGCCRF.

Exemple d’avancée proposée par UFC-Que choisir ou l’APRIL:
« permettre aux consommateurs de faire le choix des logiciels qu’ils souhaitent installer en les achetant séparément ou en activant ou non les logiciels pré installés via la remise ou non par le vendeur de leur clé d’activation. »

La clef d’activation éventuelle serait vendue dans une enveloppe à part, avec un prix clairement mentionné, et bien entendu son achat serait facultatif.

Enfin!

A suivre…

Trois heures pour installer Linux…

Je suis tombé sur pcimpact sur une information concernant la vente liée que j’avais un peu ratée (je ne suis pas à jour de la lecture de mes flux rss et atom…).

L’information est en soi intéressante (vente liée: non, obligation d’affichage des prix des différents constituants du lot, donc du système d’exploitation préinstallé: oui).

Mais ce qui a attiré mon attention (enfin, on l’a fait pour moi, merci BL), c’est l’intervention dans le dossier de deux experts judiciaires près la Cour d’Appel de Versailles: l’article indique que « Selon ces experts […], la désinstallation de logiciels peut compromettre la stabilité de l’ordinateur et l’installation de Linux, effectuée par ces experts donc, leur aura pris trois heures. »

Dans un autre article, sur zdnet, il est précisé: « Darty a présenté une étude d’experts en informatique (auprès de la cour d’appel de Versailles) qui conclut que « l’installation de Linux sur un micro-ordinateur répondant aux attentes actuelles des consommateurs est hors de portée de ces derniers ». Il ressort notamment que l’installation de l’OS libre prend trois heures et non 40 minutes comme l’indiquait l’UFC. »

Je ne possède pas le rapport d’expertise de mes deux confrères, et il serait malvenu d’en faire la critique a priori. Ces deux experts intervenaient, me semble-t-il, comme experts privés d’une des parties.

Je voudrais rappeler à tous ceux qui sont prompts à lancer des accusations que les experts judiciaires sont invités à suivre des règles de déontologie. Extrait:
« Selon l’article 6-1 de la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales, tout citoyen a droit à un procès équitable.
Il peut donc lui être utile d’être conseillé par un expert inscrit sur une liste de juridiction, compétent techniquement et procéduralement.
Dans ce contexte, il convient de préciser les conditions selon lesquelles les experts inscrits peuvent assister techniquement des parties.
V-34) L’expert consulté sera tenu de donner son avis en toute liberté d’esprit et sans manquer à la probité ou à l’honneur.
Il évitera tout lien de dépendance économique, tout risque d’apparence de dépendance et rappellera explicitement les conditions de son intervention dans son avis.
 »

Il va donc sans dire (mais c’est plus clair en l’écrivant) que ces deux confrères ont rendu un rapport objectif, en toute liberté d’esprit. Le fait que ce rapport soit financé par une partie n’entre pas en ligne de compte: la réputation d’un expert judiciaire se construit sur sa probité et son honneur (merci de relire le serment prêté par l’expert judiciaire en sous-titre de ce blog).

Pourquoi alors ai-je été surpris, voire blessé, par le temps fort long indiqué: 3h pour installer Linux sur un ordinateur vendu en grande surface?

Et bien, simplement parce que j’aimerais pouvoir acheter un ordinateur sans le système d’exploitation Windows. Il m’arrive en effet fréquemment d’installer Linux sur un ordinateur, avec l’obligation de supprimer un OS pré-existant que j’ai donc payé pour rien.

C’est pourquoi la mention du temps de trois heures m’a surpris. 3h pour installer Linux, c’est extrêmement long. Mais je ne connais pas exactement la question posée à mes confrères. Et le diable se cache souvent dans les détails. En effet, de quelle installation parle-t-on?

Installer Linux (on doit dire en fait GNU/Linux) sur un ordinateur est une opération extrêmement simple aujourd’hui. Une distribution Ubuntu, Débian, Fedora, Mandriva ou Suse s’installe en moins d’une heure, c’est-à-dire que vous pouvez ouvrir une session en tant qu’utilisateur.

Mais ensuite, il vous faudra mettre à jour la distribution, et pour cela configurer votre accès internet. Si vous utilisez des logiciels non libres, vous devrez également les installer. Et tout cela prend du temps… et demande des compétences. Je suis sur que mes deux confrères ont raison.

C’est pour cela qu’aujourd’hui encore les juges considèrent que la pré-installation d’un OS commercial tel que MS-Windows sur un ordinateur n’est pas de la vente forcée, mais de la vente par lot.

Et pourtant, j’aimerais réellement avoir le choix…

A suivre certainement.

PS: Si quelqu’un dispose du jugement du tribunal de grande instance de Paris du 24 juin 2008 sur le sujet, merci de me le faire parvenir (je n’ai pas la compétence de Maître Eolas dans ce type de recherche)

Piratage téléphonique

[mode squat sécurisé ON]

https://sid.rstack.org/blog/index.php/276-piratage-telephonique

[mode squat sécurisé OFF]

Merci à Sid de m’avoir proposé la tribune de son blog…

Edit du 20/03/2012: Je place ci-dessous l’anecdote pour archivage.

Lorsque Sid m’a contacté pour de demander d’accepter de rédiger une anecdote sur la sécurité informatique, j’ai aussitôt accepté tant j’étais flatté. Puis je me suis demandé ce qu’un expert judiciaire comme moi pouvait bien avoir à raconter sur un blog de ce niveau, avec des lecteurs aussi pointus sur ce domaine. Un peu comme un médecin généraliste invité à s’exprimer lors d’un séminaire de cardiologues. Alors, soyez indulgents.

J’ai été approché, il y a quelques années de cela, par le directeur général d’une entreprise qui souhaitait me confier une expertise privée dans un contexte délicat: son serveur téléphonique avait été piraté. Malgré mes explications sur mon manque de compétence en PABX, il voulait absolument que j’intervienne sur cette affaire. Il avait eu de bonnes informations sur moi, et, je l’appris plus tard, j’avais le meilleur rapport qualité/prix…

Me voici donc, sur la base d’un forfait d’une journée d’audit, au sein de l’entreprise, un samedi pour plus de discrétion. Etaient présents sur les lieux: le DG, le DT, le RH, le RSI et moi (l’EJ:). Nous avions convenu le DG et moi que je jouerais le candide éclairé.

Nous voici donc à étudier le problème: le PABX de l’entreprise avait été piraté. La preuve était que des fuites avaient eu lieu car des conversations téléphoniques confidentielles avaient été écoutées. Les preuves étaient minces, mais le DG était convaincu de la réalité de ces fuites et de leur cause.

Le PABX était géré par deux services: le service technique (car c’est un système de gestion des téléphones) et le service informatique (car c’est « programmable » avec logiciel et base de données)… Les deux responsables de service avaient mené leur petite enquête et rejetaient implicitement la faute sur l’autre, n’ayant rien trouvé d’anormal dans leur partie.

Avant de les laisser me noyer dans des détails techniques prouvant leurs compétences et leur bonne foi, j’ai voulu en savoir plus sur le principe de fonctionnement de la téléphonie de l’entreprise: chaque salarié dispose-t-il d’un combiné identique, y a-t-il un mode d’emploi, etc.

Et me voici plongé dans le mode d’emploi (relativement simple) du modèle standard de téléphone de cette entreprise. Attention, je vous parle d’une époque pré-ToIP, mais avec des bons « vieux » téléphones numériques quand même. Tout en feuilletant la documentation, je me faisais quelques réflexions générales sur la sécurité : est-il facile d’accéder au PABX de l’entreprise, comment faire pour pénétrer le système, etc.

En fait, je me suis dit qu’il était somme toute beaucoup plus facile d’écouter une conversation en se mettant dans le bureau d’à côté. Et là, le hasard m’a bien aidé: au moment où je me faisais cette réflexion, je suis tombé sur le passage du manuel utilisateur consacré aux conférences téléphoniques. Il était possible de rejoindre une communication téléphonique déjà établie pour pouvoir discuter à plusieurs.

Le Directeur Général me confirme alors qu’une présentation de cette fonctionnalité avait été faite quelques mois auparavant aux salariés. Je demande une démonstration: le directeur technique et le responsable des systèmes d’information retournent dans leurs bureaux et conviennent de s’appeler. Une fois en conversation, je prend le téléphone présent dans la salle de réunion et compose le numéro d’une des deux personnes. Bien entendu, j’obtiens une tonalité occupée. Suivant le mode d’emploi, j’appuie sur la touche ad-hoc du combiné afin de m’inviter dans la conférence téléphonique.

Et me voici en train d’écouter les deux hommes, en prenant bien garde de ne prononcer aucune parole. Au bout de quelques minutes, les deux hommes décident de raccrocher, pensant que je n’avais pas réussi à rejoindre leur conférence téléphonique…

C’est ainsi, que devant le Directeur Général abasourdi, j’ai pu « pirater » une conversation téléphonique en appelant simplement un poste occupé et en appuyant sur un bouton…

Le PABX avait mal été configuré. Tout le monde pouvait écouter tout le monde. Quelqu’un s’en était rendu compte et en avait profité…

J’ai été payé par le patron reconnaissant une journée de travail pour deux heures de réunion 🙂

Mais je ne regarde plus mon téléphone de la même façon maintenant.

J’en pleure encore

En lisant l’éditorial de GNU/Linux Magazine n°106, je suis tombé sur une nouvelle fantastique: on a retrouvé le code source du premier UNIX datant de 1972… sur une sauvegarde en papier listing.

Amis informaticiens, admirez ce morceaux d’histoire, lisez ces 281 pages de pur bonheur:)

Toi le jeune programmeur (tu permets que je te tutoie, ce n’est pas jour de fête tous les jours), viens regarder la source de la connaissance des anciens. Toi qui ne connais qu’applets cawa ou langage Seed7, ou pour les moins jeunes la programmation par intention, ou encore la programmation orientée prototype…

Ah, sauras-tu trouver dans ce code le dépassement de buffer de la mort ou le débordement de tas qui tue?

Non, vraiment, j’en pleure encore.
Moi qui ne fait plus maintenant que du « meeting management »…