Archives par mot-clé : Expert

Affaire Fourré (1761)

Publié le par

Le texte qui suit est extrait de l’ouvrage « Les erreurs judiciaires et leurs causes » de Maurice Lailler et Henri Vonoven (1897), sur lequel je fonde cette rubrique consacrée aux erreurs judiciaires du passé. Le texte n’est bien évidemment plus d’actualité et il serait impensable qu’une telle erreur puisse arriver au XXIe siècle en France (et encore moins dans le Pas-de-Calais)…

En 1761, une bande de brigands dont le chef répondait au joli nom de Fleur d’Epine, désolait les environs de Rouen. Vols, incendies, assassinats se multipliaient dans la contrée où régnait une véritable terreur. Le 13 octobre dans la nuit, il senvahissaient la maison d’une vieille femme, la veuve Fourré, qui habitait seule avec sa servante, une fille Vasselin.

Suivant leur coutume, les compagnons de Fleur d’Epine pénétraient masqués chez la veuve Fourré, la ligotaient ainsi que sa domestique, les menaçant l’une et l’autre de mort au moindre appel, au moindre cri. Après avoir fouillé tous les meubles et s’être emparés de tout ce qui pouvait avoir la moindre valeur, ils s’enfuyaient, laissant la vie sauve à leurs victimes.

Le lendemain, la veuve Fourré porta plainte, et, après quelques hésitations, finit par dénoncer quatre de ses parents, un sieur Fourré et ses trois fils avec lesquels elle ne vivait pas en très bonne intelligence. Elle déclarait qu’elle croyait bien que c’étaient eux les auteurs du vol et de l’attentat. La servante, la fille Vasselin, fut plus affirmative que sa maîtresse. Elle n’avait pas que des soupçons, elle avait une certitude. Elle avait parfaitement reconnu les malfaiteurs à leurs voix, à leurs allures; c’étaient bien les Fourré.

Arrêtés, ceux-ci protestèrent contre l’accusation dont ils étaient l’objet; ils affirmèrent que dans la nuit du 13 octobre ils étaient restés chez eux; ils citaient des témoins. Personne ne les avait vus dehors ce soir là. Une perquisition opérée dans leur maison ne fit découvrir rien de suspect.

N’importe! Les témoignages des victimes étaient pour la justice des charges suffisantes, et les affirmations de la fille Vasselin étaient assez formelles pour ne laisser place à aucun doute. Fourré et ses trois fils furent mis en jugement. Malgré les efforts de Maître Hervieu, leur défenseur et de l’abbé Massif qui s’intéressa à leur sort, ils furent tous déclarés coupables.

Le plus jeune des enfants à cause de son âge ne fut frappé que de la peine du fouet. Le père Fourré et son second fils furent condamnés aux galères perpétuelles. Le fils aîné fut soumis à la question, après quoi on décida qu’il serait rompu vif et roué.

Ni le fouet, ni de longs mois d’emprisonnement, ni la torture ne leur arrachèrent d’aveux. Tous, jeunes et vieux, nièrent énergiquement et jusqu’au bout avoir commis le crime.

Le fils aîné fut exécuté; le père et le second fils attendaient en prison le jour du départ pour le bagne, lorsqu’un hasard vint sauver ces malheureux: le père Fourré se lamentait tout haut dans sa cellule, prononçant au milieu de ses sanglots le nom de son fils qui venait de mourir sur la roue, lorsque tout à coup du cachot voisin une voix lui répondit. Cette voix était celle d’un des hommes de la bande de Fleur d’Epine qui venait d’être capturée toute entière. Elle révélait au père désolé les noms des véritables auteurs du crime expié par les Fourré, et le brigand s’effarait à la pensée de l’horrible injustice commise.

Maître Hervieu qui n’avait point abandonné les Fourré après leur condamnation, porta le fait à la connaissance des juges et sut s’associer un magistrat, Monsieur Simon de Montigny, pour obtenir qu’on n’exécutât pas la sentence contre les deux condamnées aux galères. Un sursis fut accordé; on voulut bien ne point leur infliger la marque[1] et ne pas les expédier au bagne; mais bien que leur innocence ne fut plus contesté, il fallut encore quatre ans avant qu’elle fût judiciairement reconnue! En attendant cette reconnaissance, le père Fourré mourut dans son cachot.

Un arrêt en date du 4 novembre 1765 proclama enfin la réhabilitation des Fourré. La fille Vasselin convaincue de faux témoignage fut bannie de la province, condamnée à faire amende honorable et à payer cinquante livres destinées à faire dire des prières pour les âmes des Fourré père et fils.

—————————

[1] Les galériens condamnés à ramer sur la flotte royale de guerre étaient alors marqués au fer rouge avec les lettres G.A.L.

Je suis une femme

Publié le par

Je suis une femme car je conduis prudemment sans dépasser les limitations de vitesse. Si un panneau demande de ne pas dépasser les 30 km/h, je roule à moins de 30 km/h, même si cela surprend les autres automobilistes (j’attends le jour où l’un d’entre eux descendra de son véhicule pensant s’être arrêté…).

Je suis une femme car je n’ai pas l’habitude de montrer mon plus grand doigt à l’automobiliste qui m’a déçu dans sa façon d’appréhender une règle de conduite particulière à mon égard.

Je suis une femme car j’ai un odorat délicat capable de détecter une odeur de cigarette à plus de 50m et de cigare à plus de 300m.

Je suis une femme car je jongle avec plusieurs professions tous les jours.

Je suis une femme car avant de saluer un avocat et son assistante, je vérifie qu’il ne s’agit pas d’une avocate et de son assistant.

Je suis une femme car je n’arrive pas à m’habituer à l’analyse des photos pédophiles.

Je suis une femme car je facture mes expertises 37% moins chères que mes confrères.

Je suis une femme car lorsque j’ai vu qu’ils s’étaient trompés de 8 ans sur mon âge dans les prospectus électoraux, j’ai hurlé!

Je suis une femme parce que je me souviens que le 8 mars, c’est la journée internationale des femmes

C’est quand même plus classe à fêter que le 14 février!
Préparez les bouquets, mais moi, je préfère ça ou ça 🙂

Vaporexpertise

Publié le par

J’effectue pas mal d’expertises au civil, et pourtant je me rend compte que j’en parle assez peu sur ce blog…

Dans un dossier, le disque dur du serveur de l’entreprise était au coeur du litige. Le tribunal m’avait demandé dans les missions de venir prendre possession du disque dur.

Une fois le rendez-vous pris avec le greffe concerné, je me présente, vêtu de mes plus beaux atours. A force de fréquenter les mêmes tribunaux, et malgré ma propension ochlophobe, je finis quand même par reconnaître quelques personnes… C’est le cas de cette gentille greffière dynamique:

Bonjour Monsieur l’Expert! Pouvez-vous attendre quelques instants que j’aille chercher le scellé de ce dossier?

Zythom: « Heu, bah, oui, bonjour, est-ce que vous voulez que je vienne vous aider? »

Non, merci, car vous n’avez pas le droit d’entrer dans la pièce des scellés. A tout de suite.

Une demi-heure plus tard, voici ma gentille greffière de retour… les mains vides et toute désolée: je ne trouve pas le scellé…

Nous voici bien ennuyés tous les deux: elle parce qu’elle voit bien que je suis venu pour rien, et moi, parce que je vois bien qu’elle est ennuyée que je sois venu pour rien.

Zythom: « Vous êtes sur que vous ne voulez pas que je cherche avec vous? Savez-vous reconnaître un disque dur informatique? Vous savez, ce n’est pas toujours facile… même pour un expert. »

Non, non, non… Je veux vérifier avant dans le dossier.

Gentille greffière dynamique se plonge alors avec efficacité dans une masse de papier, et , après quelques minutes, me regarde avec un sourire gênée: je suis désolé, mais j’ai fait une erreur dans la transcription de vos missions, le disque dur n’est pas chez nous, il a été confié à une entreprise de récupération de données par le client…

Après avoir obtenu l’adresse de l’entreprise de récupération de données, je prends contact avec icelle:

Zythom: « bonjour, Monsieur, je suis expert judiciaire en informatique, et j’ai pour mission de récupérer le disque dur qui vous a été confié par l’entreprise CESTLAKATA. »

Bonjour, je suis désolé, mais je suis le nouveau gérant et le nom de cette société ne me dit rien. Savez-vous quand le disque dur nous a été confié?

Zythom: « Euh, bah, attendez que je regarde… Oui, il y a trois ans! »

Ah! Oui? Je vérifie. C’est bon, effectivement, voici sa trace. Mais le disque dur a été détruit il y a six mois, lorsque j’ai repris la société. C’est la procédure normale lorsque le disque dur est irréparable et que le coût de la récupération est trop élevée pour le client… Et puis vous savez, si on devait garder toutes les pièces non réclamées plusieurs années…

Bien entendu, personne ne m’avait informé de cette situation lors de la première réunion d’expertise contradictoire.

J’ai donc contacté le magistrat pour l’informer de l’impossibilité de poursuivre mes missions, le disque dur ayant été vaporisé par un pilon. Il m’a demandé de déposer mon rapport en l’état.

C’était ma première expérience de vaporexpertise.

Je n’en ai pas eu d’autre depuis.

Des vaporwares par contre…

Nausées visuelles

Publié le par

Dans le problème de la recherche d’images pédopornographiques, j’ai déjà abordé le démontage du disque dur et la copie du disque dur (« La vue, c’est la vie« ).

J’ai également abordé les difficultés que je rencontrais avec la reconstitution des scellés. Au passage, je recommande cette méthode (trop forts les ricains) aux experts débutants qui me lisent. Personnellement, je continue à l’ancienne avec mon bâton de cire et mon creuset, sur de vieilles étiquettes récupérées et mes sachets de congélation…

Vous avez lancé vos scripts, vos virtualiseurs et vos différents programmes d’analyses. Vous voici donc à la tête de trois tas d’images:

– les images non effacées encore stockées de façon apparente sur le disque dur;

– les images effacées, récupérables avec leurs caractéristiques liées à l’OS (chemin d’accès vers le répertoire de stockage, dates de manipulation, etc)

– les images effacées, découvertes en zone non allouée, mais sans information OS.

Seulement voilà, l’habileté de vos outils à pister la moindre trace d’images vous place à la tête de 400000 (quatre cent mille) images…

Première étape: éliminer les doublons. Vous pouvez utiliser Picasa ou mieux ftwin.

Deuxième étape: éliminer les icones. Personnellement, je procède par tri sur les tailles de fichiers. Il est rare qu’un fichier de taille inférieure à 2Ko contienne une information intéressante. Ceci étant, je n’efface rien, je mets simplement de côté pour investigations ultérieures si nécessaire.

Cette étape est périlleuse sous Windows XP car dès qu’un répertoire dépasse 3000 ou 4000 fichiers la manipulation de masse est difficile (du moins sur mon poste de travail). Alors 400000…

Troisième étape: repérer les images disposant de métadonnées renseignées de type EXIF ou IPTC. C’est souvent riche d’informations et permet également d’effectuer un classement (par date de prise de cliché, par type d’appareil photo, etc). Lire à ce sujet une anecdote sur l’excellent site de Sid (ou sur le site de l’excellent Sid:).

A ce stade, vous voici face à 100000 (cent mille) images qu’il va vous falloir étudier une à une… Comment procède-je?

Et bien, pour l’instant, je n’ai rien trouvé de mieux que de faire défiler l’ensemble des photos sur l’écran de mon ordinateur. J’utilise pour cela des logiciels très simples, comme IrfanView et Picasa. Les deux disposent d’un mode d’affichage de miniatures permettant d’afficher plusieurs images à la fois. Ils disposent également de fonctionnalités permettant d’imprimer des images sous forme de planches contact (pour le rapport).

A ce stade de l’expertise, il faut prendre la précaution de fermer la porte de son bureau parce que débute parfois une véritable descente aux enfers. Sur certaines expertises, j’ai eu droit à des collections d’images de cadavres mutilés à coups de machette, assortis des films des massacres associés. Dans un autre coin du disque se trouvaient des images d’enfants de cinq ans violés par des pédophiles.

Il faut sélectionner les images et films. Les classer. Les imprimer (pour les films, extraire les images les plus représentatives).

Cette partie de ce type d’expertise est très difficile.

J’en ai les larmes aux yeux rien que de l’évoquer.

C’est pour cela que je tiens ce blog.

Merci de m’avoir lu.

Variations autour de 300

Publié le par

Le billet précédent était le 299e et a été l’occasion d’une fête à tout faire sauter. Me voici donc avec un billet portant un beau numéro bien rond.
J’ai beau être un peu fâché avec les chiffres ronds (au point que certains m’affublent à tort de TOC!), j’aime les nombres un peu particuliers. Et 300, comme chacun sait, est un nombre un peu à part.

D’abord, c’est un nombre triangulaire. En effet 300=24*25/2, c’est-à-dire un triangle équilatéral de côté 24…

Ensuite, c’est la somme de dix nombres premiers consécutifs 300=13+17+19+23+29+31+37+41+43+47, et la somme de deux nombres premiers jumeaux (nombres premiers séparés de 2): 300=149+151.

300 est un nombre de « grande joie », car il est divisible par la somme de ses chiffres.

Au bowling, c’est le score parfait (300=douze strikes consécutifs). Pour l’instant, j’en suis très loin sur la Wii Sport… Plus en tout cas que sur le flipper 300 des années 1970!

300, c’est aussi un nombre d’actualité puisque c’est paraît-il le nombre de décisions qui vont changer la France.

300K, c’est à peu près la température moyenne de la Terre (profitez en!).

L’article 300 du Code Civil dit ceci: « Chacun des époux séparés conserve l’usage du nom de l’autre. Toutefois, le jugement de séparation de corps ou un jugement postérieur peut, compte tenu des intérêts respectifs des époux, le leur interdire. » alors que celui du Code de Procédure Pénale dit: « Si les accusés ne se concertent pas pour récuser, le sort règle entre eux le rang dans lequel ils font les récusations. Dans ce cas, les jurés récusés par un seul, et dans cet ordre, le sont pour tous jusqu’à ce que le nombre des récusations soit épuisé. »

Il n’y a pas d’article 300 dans le Code Pénal ni dans le Code du Travail. L’explication est ici.

En chiffres romains, 300 s’écrit « CCC ».
CCC est un des 64 codons possibles du code génétique: c’est l’un de ceux représentant la proline.

CCC, ce sont également les initiales du célèbre Chaos Computer Club… et bien sûr du Comité Contre les Chats de Les Nuls.

300, c’est aussi le nombre record de visites sur ce blog (313 exactement), le 22 novembre 2007, en grande partie suite à ce commentaire de Me Eolas sur embruns.net

Ce trois centième billet est surtout l’occasion pour moi de vous remercier tous, par votre présence, d’avoir souhaité que ce blog continue.

En route donc jusqu’au 400e billet, si je survis à la semaine de ski qui s’annonce.
Si vous voyez passer un dinosaure en monoski, casque et doudoune de bucheron des années 80, c’est sans doute moi 🙂

Meilleurs voeux

Publié le par

Je ne sais pas vous, mais moi, j’ai encore raté l’envoi de tous mes courriers de bonne année et meilleurs voeux.

Bon, sur ce blog, j’ai quand même respecté la tradition a minima.
Il faut dire que je n’aime pas beaucoup ce côté obligatoire… Et puis pourquoi réserver au seul mois de janvier la possibilité d’adresser des souhaits?

Alors, en ce 1er février, parce que j’aime la fête, et que j’aime partager ma joie quand cela me chante, je vous souhaite à tous santé, bonheur et prospérité pour les 12 prochains mois (et plus).
Et un bon mois de février 2008!

artifices 15Source image: fr.bestgraph.com

De Michel Eyquem de Zythom – Faille spatio-temporelle

Publié le par

Cher Internaute,

C’est ici un blog de bonne foi, lecteur. Il t’avertit dés l’entrée, que je ne m’y suis proposé nulle fin que domestique et privée: je n’y ai eu nulle considération de ton service, ni de ma gloire: mes forces ne sont pas capables d’un tel dessein. Je l’ai voué à la commodité particulière de mes parents et amis: à ce que m’ayant perdu (ce qu’ils ont à faire bientôt) ils y puissent retrouver tous les traits de mes conditions et humeurs, et que par ce moyen ils nourrissent plus entière et plus vive, la connaissance qu’ils ont eue de moi. Si c’eût été pour rechercher la faveur du monde, je me fusse paré de beautés empruntées, ou me fusse tendu et bandé en ma meilleure démarche. Je veux qu’on m’y voit en ma façon simple, naturelle et ordinaire, sans étude et artifice: car c’est moi que je peins. Mes défauts s’y liront au vif, mes imperfections et ma forme naïve autant que la révérence publique me l’a permis. Que si j’eusse été parmi ces nations qu’on dit vivre encore sous la douce liberté des premières lois de nature, je t’assure que je m’y fusse très volontiers peint tout entier et tout nu. Ainsi, cher Internaute, je suis moi-même la matière de mon blog: ce n’est pas raison que tu emploies ton loisir en un sujet si frivole et si vain. Adieu donc.

De Zythom, ce 1er de mars 1580.

Au secours, je suis bloqué là-bas, et il va me falloir attendre encore 62 ans pour pouvoir vraiment m’amuser

M0275 01 0011

Texte original trouvé sur Les Bibliothèques Virtuelles Humanistes

Analyses inforensiques

Publié le par

La sérendipité est la caractéristique d’une démarche qui consiste à trouver quelque chose d’intéressant de façon imprévue, en cherchant autre chose, voire rien de particulier. Cette approche est issue d’une démarche heuristique.

Avec le développement des T.I.C (Technologies de l’information et de la communication), la sérendipité a pris une dimension toute particulière dans la recherche documentaire actuelle sur ordinateur et particulièrement sur Internet. JF Smith en se basant sur les travaux de K. Merton invente le terme de « sérendipité systématique » lorsqu’un chercheur utilise la découverte de la connaissance à partir de l’outil informatique. Les chercheurs d’information n’hésitent pas à naviguer, voire à se perdre au sein des liens hypertextes pour trouver au hasard d’une page, au détour d’un lien, au cœur d’un nœud, une information leur étant utile… alors même qu’ils ne savaient pas qu’ils la cherchaient vraiment. Ainsi la notion de sérendipité prend ici tout son sens comme «Découverte, par chance ou par sagacité d’informations qu’on ne cherchait pas exactement».

Source Wikipedia

Cette longue introduction honteusement pompée dans Wikipedia me sert:

1) A montrer que je connais des supers mots-pas-faciles-à-placer-dans-une-conversation

2) A introduire quelques pages d’un nouveau blog (nouveau pour moi) qui m’a bien intéressé: devloop.lyua.org/blog (pas facile à retenir), et surtout ces deux séries de billets

Analyse forensique d’un systeme windows et Solution du hoffmann forensic challenge, et de façon générale, la rubrique Sécurité.

Je ne connais pas la personne qui tient ce blog, mais comme il semble qu’il cherche du travail, si vous avez un job qui peut l’intéresser… En tout cas, les billets qu’il publie sont très intéressants. Cela m’a valu encore de nombreuses heures de lectures et de tests…

Tant que j’y suis, il me semble que le métier d’expert judiciaire tel que je l’exerce corresponde assez bien à la définition de zemblanité:

Le principe de zemblanité a été inventé par William Boyd (écrivain) dans son roman Armadillo (1999). Il s’agit de la faculté de faire exprès des découvertes attendues mais malheureuses et malchanceuses. La zemblanité tire son nom de la Nouvelle Zemble, qui se trouve exactement aux antipodes de l’île de Serendip, d’où est issu le concept de sérendipité. La zemblanité est définie comme le contraire de la sérendipité.

Source wikipedia.

Encore un mot pas facile à placer dans la conversation 🙂

La journée type

Publié le par

06h21, c’est l’heure à laquelle mon réveil est programmé pour sonner tous les jours de l’année. Pourquoi 21? Et bien j’ai horreur de l’idée que seule 12 des soixante minutes utilisables soient réellement exploitées. Alors je règle toujours mon réveil pour sonner sur l’une des 48 minutes sous employées. C’est mon point commun avec les SNCF et ses horaires de train…

En ce moment, c’est 21.
Tous les jours ouvrables de l’année.
Même quand je dois monter à Paris, sauf que c’est 4h21.
A ce moment là, l’alarme explose dans le silence de la nuit profonde.

Sauf en vacances.
Là, c’est moi qui explose le réveil.

Ma journée débute donc à 06h21.
Ensuite, c’est douche, café, préparation du sac, conduite au collège, et enfin arrivée au travail à 07h57.

07h57-12h48 la folie du métier d’un responsable informatique et technique
12h49-13h04 le quart d’heure repas-saladette-bureau-porte-fermée en bloguant (mode lecture)
13h05-18h12 la folie du métier d’un responsable informatique et technique (bis)

18h34-20h47 les enfants grandissent trop vite, il faut en profiter
20h48-22h42 au choix: expertises, bloguitude (mode écriture), lectures, TV (et oui) ou conseil municipal…

Et 22h43, c’est bien sûr l’heure de l’ascenseur

La vue, c’est la vie

Publié le par

J’ai déjà rapidement présenté comment je procède pour prendre une image du disque dur d’un scellé (lire ce billet).

En résumé:

– soit extraction du disque dur de l’unité centrale et mise en place dans un PC muni d’une carte giga et d’un bloqueur d’écriture, soit boot sur liveCD à partir du PC sous scellé après vérification des options du BIOS (débrancher le disque pour faire les essais de boot)

– côté PC de travail (sous Windows XP SP2, exécution sous cygwin, sinon exécution directe sous Linux) de « nc -l -p 2000 > image.dsk »

– côté disque dur scellé, sous HELIX ou sous DEFT, lancement dans un shell de la commande « dd if=/dev/sda | nc IP_PC_de_travail 2000 »

J’obtiens ainsi une image numérique du disque dur à analyser.

La commande « dd » peut être avantageusement remplacée par « dcfldd« , dc3dd ou en cas d’erreurs I/O sur le disque par « ddrescue« [1].

L’adresse IP_PC_de_travail utilisée dans la commande « nc » (netcat) peut aussi avantageusement être remplacée par celle d’un serveur samba, ce qui permet ensuite d’accéder au fichier image.dsk indifféremment depuis une machine Linux ou Windows (dans mon cas un « vieux » PC avec cinq disques SATA de 400 Go:).

Mais maintenant, que faire de ce gros fichier image.dsk?

Personnellement, j’utilise deux outils:

sleut kit et autopsy pour l’analyse inforensique proprement dite.

liveview pour démarrer l’image sous vmware (s’il s’agit d’un scellé sous Windows)

C’est ce dernier logiciel qui gagne l’honneur de fournir le titre du présent billet (avec une traduction très approximative).

Je dois dire que depuis l’utilisation de liveview et vmware, ma vision des scellés a considérablement changée. En effet, je « sens » beaucoup mieux l’organisation du stockage sur un Pc lorsqu’il est possible de naviguer à loisir sur celui-ci: organisation des icones sur le bureau, logiciels spécifiques que l’on peut exécuter, etc. L’image d’origine est protégée en lecture seule, un disque virtuel vient la compléter pour stocker tous les changements effectués (en général, il faut réactiver Windows XP pour pouvoir travailler dans la durée). Il suffit d’ajouter un disque dur partagé pour pouvoir récupérer toutes les données non effacées intéressantes.

L’utilisation des Sleut kit et Autopsy dépasse le cadre technique de ce blog, mais je recommande à tous les curieux de s’y exercer… C’est très instructif!

——————–

[1] Dans le cas de problèmes I/O sur un disque dur, il me semble important d’effectuer la prise d’image rapidement et, pour ma part, de ne pas calculer le hash MD5 qui dans ce cas me semble soumis à des aléas.