Archives par mot-clé : Professionnel

Interviews

Publié le par

Coup sur coup, trois personnes m’ont demandé si j’acceptais de répondre à leurs questions. Je me suis prêté au jeu et je me suis dit que cela pourrait avoir sa place ici, comme un retour d’expérience.

Jérôme tient le blog Genma et a mis en ligne ici un échange que nous avons eu par email. Je vous invite à aller le lire et a découvrir son blog par la même occasion.

La revue MISC m’a fait l’honneur de s’intéresser à mon activité d’expert judiciaire et devrait publier le résultat de nos discussions dans son prochain numéro. Je suis encore abonné à un très petit nombre de revues, celles que je considère comme indispensables: MISC, GNU/Linux magazine France et « Revue Experts« . Je suis d’autant plus fier d’avoir été contacté par MISC. A quand une interview dans Linux Mag et dans Revue Experts?

Enfin, voici l’interview d’Alban réalisée dans le cadre de son projet tutoré sur les infractions informatiques et les attaques informatiques possible sur un réseaux wifi, effectué à l’IUT d’Orsay.

———————————————-

Question: Expliquez votre rôle lors du déroulement d’une affaire judiciaire, le juge d’instruction vous confie divers matériels informatiques à expertiser avec une mission précise?

L’expert judiciaire peut intervenir dans de nombreuses procédures judiciaires, par exemple en matière commerciale ou dans une instruction. A chaque fois le rôle de l’expert est identique: il donne un avis indépendant au magistrat (qui est libre de le suivre ou de ne pas le suivre) en charge du dossier. Dans le cadre d’une instruction dans laquelle du matériel informatique a été saisi et mis sous scellé, le magistrat instructeur peut demander l’avis d’un expert judiciaire en informatique et lui confier les scellés. L’expert judiciaire doit alors répondre à des questions précises posées par le magistrat et mentionnées dans son ordre de mission. Dans mon cas, les questions sont souvent axées autour de la présence de fichiers d’un certain type. Dans ce billet, je donne un exemple de mission:

– Assister les services d’enquête du Commissariat de AAA au cours de la perquisition qui s’effectuera au NN rue YY à AAA et à la saisie du matériel informatique utile à la manifestation de la vérité;

– Prendre possession, dans ce même commissariat du scellé n°NN (PV n°NNNN/NNN) comportant les faux billets de 50 euros, portant le même numéro NNNNNNNNN, saisis par les services d’enquête au NN rue YY à AAA le NN mois NNNN;

– Analyser les faux billets ainsi que les contenus des disques durs, imprimantes et autres matériels informatiques utiles à la manifestation de la vérité, saisis;

– Dire si le matériel informatique saisi a été utilisé pour la contrefaçon, la falsification ou l’impression des faux billets saisis;

– Faire tous actes utiles à la manifestation de la vérité.

Question: Dans votre blog vous relatez une majorité d’affaires de pédo-pornographie, pensez-vous pour autant qu’internet est un repère de pédophiles?

Internet est un ensemble de réseaux informatiques reliés les uns aux autres. Ce n’est pas le seul, mais c’est le plus connu. De plus en plus de personnes dans le monde accèdent à internet, plus de 2 milliards d’après le site internetworldstats.com. Parmi ces personnes, il y a beaucoup de gens normaux, mais aussi des voleurs, des gangsters, des adorateurs du nazisme, des pédophiles, des zoophiles, etc. et cela dans des proportions qui doivent a priori être les mêmes que dans tout groupe d’êtres humains de très grande taille. Internet n’est pas un repère de pédophile, pas plus que ne l’est le réseau téléphonique ou le réseau autoroutier.

Il est par contre exact que j’ai écris beaucoup de billets sur des expertises judiciaires dans lesquelles j’étais missionné pour chercher sur des scellés des images de nature pédopornographique. Je vois à cela au moins deux explications:

– j’ai ouvert ce blog à fond noir pour évacuer par l’écriture le mal être que me cause ce type de dossier. En parler me fait du bien car je reçois le soutien de nombreux lecteurs. Je parle plus volontiers des dossiers qui me remuent que des dossiers qui concernent des litiges entre une SSII qui a mal gérée l’informatisation de sa cliente.

– sur l’ensemble des affaires que j’ai eues à gérer, les dossiers de recherche d’images pédopornographiques sont les plus nombreux. Il faut peut-être en chercher la cause auprès du garde des sceaux et des instructions qu’il donne dans les priorités des poursuites qui doivent être engagées.

Je pense que si j’avais été médecin, j’aurais sans doute écris beaucoup de billets sur des humains malades, sans pour cela qu’il faille en déduire que tous les humains sont tout le temps malades. Le fait que l’État poursuive en priorité les détenteurs d’images pédophiles échangées par internet ne signifie pas que tous les internautes sont des pédophiles. Même si certains politiques essayent de faire croire le contraire.

Question: Avez vous déjà réalisé des expertises pour des affaires d’infractions informatiques. Sont elles différentes des autres affaires?

Tous mes dossiers au pénal concernent des infractions informatiques supposées. Mais je soupçonne que derrière ce terme, vous voulez parler des cybercrimes, c’est-à-dire des infractions pénales commises au moyen d’un système informatique connecté à un réseau. Je suppose également que par « autres affaires » vous voulez parler de mes autres dossiers, comme par exemple des litiges entre un particulier et son vendeur informatique. La spécificité des cybercrimes est directement liée à sa définition: la présence d’un réseau (en général internet) présente rapidement un aspect international et donc l’intervention auprès de structures administratives, judiciaires ou commerciales étrangères. Les crimes concernés peuvent ne laisser que peu de traces à remonter (ou trop comme dans le cas des attaques DDOS). Un individu peut pénétrer un système à l’autre bout de la planète. Mais fondamentalement, chaque affaire est unique. Elles sont donc toutes différentes les unes des autres.

Question: Vous inspectez des disques durs, des GPS, avez vous été amené à étudier des équipements réseaux ou un système d’information dans son ensemble?

Oui, plusieurs fois. Je raconte dans ce billet une expertise dans une entreprise qui avait fermée. Je donne aussi un exemple d’analyse de messagerie faite in situ.

Question: Dans l’établissement ou vous travaillez, un accès internet est mis à la disposition des élèves, quels moyens avez vous mis en place pour respecter la LCEN et la conservation des logs de connexion?

Comme la plupart de mes collègues responsables informatiques, j’ai mis en place une charte informatique expliquant les règles d’usage de l’informatique de l’établissement et en particulier de l’accès internet. J’ai mis en place un serveur proxy SQUID transparent sur la passerelle de l’établissement pour relever les logs des accès internet. Ceux-ci sont croisés avec les adresses IP fournies par le serveur DHCP et les logs de connexion aux comptes informatiques. Ils sont ensuite stockés sur un serveur dédié pour être détruits automatiquement au bout de 12 mois. Par contre, j’ai toujours refusé de mettre en place un système de filtrage listes blanches / listes noires. Je compte plus sur la pédagogie et les explications que sur un système de blocage plus ou moins arbitraire et de toute façon très inefficace.

Question: Utilisez vous la technologie wifi dans établissement, si oui comment l’avez vous sécurisée?

Oui, comme dans toutes les grandes écoles d’ingénieurs, le wifi est maintenant un réseau indispensable. J’utilise un produit opensource qui s’appelle pfsense très facile à installer et qui de plus gère parfaitement le load balancing entre notre accès RENATER et une box ADSL. Toutes les bornes de l’établissement sont des bornes premiers prix non protégées. La connexion est donc très simple pour tous les équipements wifi. Une fois connecté sur le réseau wifi situé sur un LAN dédié, le lancement du navigateur déclenche une page web https spéciale gérée par pfsense et que l’on appelle « portail captif ». Il faut alors entrer ses login et mot de passe gérés par le LDAP de l’établissement (un AD Windows 2008 R2). Chaque étudiant (ou chaque chercheur) est responsable de son chiffrage (connexions https ou VPN privé) s’il souhaite protéger ses données qui passent « en clair » via les ondes radios wifi. Je dois reconnaître que la sécurité est loin d’être parfaite, mais elle me semble suffisante pour l’établissement.

Question: Votre fonction d’expert vous rend elle plus sensible dans votre rôle de responsable informatique?

La pratique des expertises judiciaires me plonge dans des affaires où des erreurs ont été commises. Il est évident que je tire les leçons à titre professionnel (et privé) de ces erreurs pour améliorer mon système informatique. L’exemple le plus parlant est celui des sauvegardes et des plans de reprise après incident. J’ai rencontré une entreprise qui a eu un sinistre dans sa salle serveur et qui était toute fière de disposer de toutes ses données sauvegardées, mais qui n’avait aucune solution pour les réinstaller (serveurs introuvables sur le marché, pas de machines de secours). J’ai également eu à gérer beaucoup de réunions d’expertise où la tension était palpable. Cette expérience me sert dans les situations de crise que je peux rencontrer dans mon univers professionnel. Être expert judiciaire, c’est aussi aller voir chez les autres comment cela se passe, quelles solutions ont été choisies, quelles méthodes sont utilisées. Et cela, c’est toujours enrichissant.

Bonne chance pour votre projet tutoré.

Cordialement,

Zythom

Les mentors

Publié le par

Je parle souvent ici de mes souvenirs, des faits de mon passé qui m’ont marqué. Conformément à la ligne éditoriale de ce blog, les anecdotes sont égocentrées et tirées de ma propre expérience.

Pourtant, je ne suis que ce que mes maîtres ont fait de moi. Je suis un nain posté sur les épaules de géants.

Quels sont ces géants?

– Mes parents, bien sur, qui m’ont élevé (au sens propre et figuré);

– Ma sœur, qui m’a soutenu, en particulier pendant les années noires des classes préparatoires;

– Ma femme, qui a éveillé ma conscience morale (et pas que), en particulier lors de nos discussions sur la peine de mort;

– Mes professeurs, de la crèche au doctorat, et en particulier LP qui m’a appris à désapprendre au début de mes années de recherche;

– Les spéléologues JYP et AJ qui ont partagé avec patience et passion leurs connaissances sportives et intellectuelles abyssales;

– Les élus que je côtoie une fois par semaine et qui consacrent (eux) beaucoup (plus) de temps à régler les problèmes de la vie de notre collectivité;

– Les experts judiciaires, et en particulier ceux (et ils sont nombreux) qui offrent, plus qu’ils ne monnayent, leur savoir-faire à la justice;

– Les auteurs de SF, Asimov, Clark, van Vogt, Herbert, Dick, Lovecraft, Bradbury, Pohl, Heinlein, Simak, Sturgeon, Haldeman, Laumer et les autres, qui peuplent mes soirées et mes rêves d’explorations spatiales et temporelles;

– Les blogueurs, et en particulier Maître Eolas, qui m’ont encouragé, pris sous leurs ailes, et conseillé quand certains ne me voulaient pas que du bien;

– Les étudiants qui, par leur travail, leurs exigences et leur enthousiasme, font que tous les matins, j’ai hâte d’être au boulot;

– Mes enfants, qui me montrent presque tous les jours que l’on peut apprendre à ses aînés;

Et puis bien sur, il y a vous, chère lectrice et cher lecteur, qui me faites l’honneur de venir encore ici, sur ce petit coin d’internet alors qu’il y a tant de chose à voir ailleurs.

Je suis la somme de toutes les expériences que vous m’avez apportées.

Merci encore à tous.

Penser à tout

Publié le par

On ne peut pas penser à tout. Le plan B peut être défaillant, le plan C aussi. On peut imaginer que les utilisateurs vont réagir comme cela, on peut penser prévoir tous les évènements possibles. Mais dans la réalité…

Un jour, pour changer un peu la routine de l’exercice d’évacuation incendie de l’école où je travaille, j’ai eu l’idée de pimenter celui-ci avec des fumigènes… Pour corser un peu le problème, j’ai déclenché les fumigènes dans le hall de l’école, où tous les étudiants ont l’habitude de se réunir pendant les pauses de la journée. Je précise que les fumigènes étaient placés dans un local technique pour simuler un feu d’armoire électrique.

Et j’ai observé le déroulement de l’exercice.

Au bout de 10s, la fumée a envahi le hall et a été détectée par le système de sécurité incendie. Notre système a une temporisation de 2mn avant le déclenchement des sirènes d’évacuation (c’est interdit depuis par la règlementation, mais pourtant bien pratique pour éviter les fausses alertes). Dès le début de la détection, les téléphones de l’équipe sécurité se mettent à sonner. Je les vois commencer à s’agiter. Quelques étudiants qui passaient par là par hasard s’approchent du local technique avec un extincteur. Je les remercie et leur explique qu’il s’agit d’un exercice. Je suis fier d’eux.

A M+2mn, les sirènes se mettent en route. Elles sont assourdissantes. Comme il pleut dehors, tous les étudiants choisissent de passer par le hall, au lieu de sortir par les issus de secours. Une partie non négligeable passent tous près de l’incendie en toussant pour rejoindre le lieu de regroupement. Les autres font demi tour et accélèrent le pas en voyant la fumée. Certains veulent rester dans les salles « parce qu’il pleut ». Les enseignants appliquent les consignes et forcent les récalcitrants à sortir.

M+4mn, tout l’établissement est évacué, la pluie s’arrête, beaucoup de monde est présent au point de regroupement. L’appel est en cours par les enseignants. Mon équipe de sécurité incendie inspecte tout l’établissement pour s’assurer que tout le monde est sorti.

Je repère quelques étudiantes qui sortent des toilettes. Je les presse de rejoindre l’extérieur. Je visite les salles informatiques. Je repère un étudiant avec son casque de musique sur la tête en train de travailler dans une salle en libre service. Le responsable de zone me dit qu’il est sur que la salle était vide. L’étudiant me confirme être en train de se connecter et qu’il vient d’arriver pour travailler. Il n’a pas entendu les sirènes. Je suis sceptique. Je l’envoie vers le point de regroupement.

Un responsable de zone m’informe que des étudiants souhaitent rentrer dans leur salle de cours pour prendre leurs affaires car ils veulent aller manger. Nous sommes à M+6mn et l’incendie est toujours en cours. Je n’imaginais même pas que l’on puisse penser à rentrer dans un bâtiment en feu pour une telle raison.

M+7mn, je déclare la fin de l’alerte à l’ensemble des personnes regroupées. C’est à ce moment là que les pompiers sont arrivés, prévenus par téléphone par plusieurs personnes qui ont vraiment cru à un incendie.

Les pompiers ont été très gentils et ont trouvé mon idée originale et sympathique. Ils m’ont simplement demandé de les appeler avant pour les prévenir de l’exercice.

On ne peut pas penser à tout.

J’ai depuis modifié mon cours de présentation des consignes incendie, renforcé les contrôles post-évacuation. Je préviens toujours les pompiers lors des exercices. Et j’essaye d’imaginer tous les cas de figures possibles.

Il faut penser à tout.

Intelligence artificielle

Publié le par

Je suis depuis longtemps fasciné par le concept d’intelligence: qu’est-ce que l’intelligence, comment la mesure-t-on, peut-on la simuler artificiellement, comment se développe-t-elle, etc.

Je pense qu’une partie de mon attrait pour l’informatique vient de ce domaine très particulier qu’on appelait auparavant « Intelligence Artificielle » et qui fait maintenant parti du champ plus vaste des Sciences Cognitives qui sont en plein développement.

Je me souviens avec émotion de mes premiers programmes qui résolvaient des problèmes aussi complexes que la réduction de fraction ou le calcul de PGCD et de PPCM. Ces programmes s’appropriaient des compétences réservés jusque là aux seuls humains. J’ai connu la montée en puissance des programmes de jeux d’échec jusqu’au choc final de la première défaite d’un homme face à une machine (Gary Kasparov vs Deep Blue en 1997).

Mais la création d’une véritable intelligence artificielle reste à faire. Aucune machine n’a à ce jour réussi le Test de Turing, à savoir être capable de soutenir une conversation avec un être humain sans que celui-ci puisse deviner avec certitude s’il parle avec une machine ou avec un autre être humain.

J’ai pour ma part réalisé mon mémoire de DEA (Diplôme d’Études Approfondies, diplôme aujourd’hui disparu, une sorte d’année Master2 orientée recherche) sur le sujet de la « Logique temporelle », extension du calcul des prédicats incluant des opérateurs spécifiques liés au temps (avant, après, pendant telle durée, etc). J’ai préparé ce diplôme en parallèle à ma dernière année d’école d’ingénieurs, et pour cela je suivais des cours à l’Université tous les samedi matin. Je raconte d’ailleurs ici même ma première conférence effectuée sur ces travaux…

Si les considérations théoriques peuvent sans aucun doute faire progresser la recherche d’une intelligence artificielle, j’avais envie d’explorer la question sous un autre angle: le fonctionnement du cerveau. J’ai donc préparé (et passé) une thèse dans le domaine, à la mode à l’époque, des réseaux de neurones formels. J’y a consacré quatre années passionnantes de ma vie à étudier les réseaux de neurones bouclés à apprentissage supervisé (le bouclage du réseau introduisant une récurrence et donc l’introduction du temps dans le système, ce qui était ma spécialité de DEA).

J’ai adoré travailler avec des neurobiologistes, des éducateurs de jeunes enfants, des neurochirurgiens, des psychiatres et des cogniticiens. En tant qu’ingénieur informaticien, j’étais le lien, le liant entre toutes ces disciplines qui me fascinaient. J’avais (et j’ai encore) tout à apprendre, à comprendre. Comment le cerveau est-il structuré, organisé, quel est le rôle supposé de chaque niveau, de chaque structure, pourquoi un ensemble aussi « lent » par rapport au temps électronique est-il capable de reconnaitre un visage parmi des milliers mémorisés, pourquoi quand un morceau du cerveau manque (après un accident par exemple), les facultés restent intactes parfois…

Mes choix de vie personnels m’ont écarté de ce champ de recherche, mais je suis sur que des progrès considérables pourraient encore être accomplis, avec en particulier des applications concrètes en automatique et en météorologie, ou dans tout domaine où l’obtention de modèles non linéaires de type boite-noire pourraient être utiles. Mais je ne suis pas irremplaçable et la recherche se porte très bien sans moi. Donnez-moi 10 millions d’euros et je vous promets de consacrer toute ma vie restante à ce sujet (montant non remboursable, Paypal accepté, sans garanti de résultat). Mais obtenir d’un réseau de neurone une simulation d’un système non linéaire, si cela serait très utile pour les ingénieurs, n’en fait pas une machine intelligente. Et pourtant, plus la science avance, plus le fonctionnement électrique et chimique du cerveau est bien compris. C’est le fonctionnement d’ensemble, l’algorithme, qui n’est pas encore connu.

Bien entendu, l’existence d’une machine intelligente marquerait une étape considérable dans l’histoire de l’humanité. J’ai dévoré tous les ouvrages (ou presque) de science-fiction qui traitent du sujet: les Asimov bien entendu, et autre Clarkeries. Je guette souvent la sortie au cinéma de chaque film de science-fiction traitant plus ou moins du sujet (comme A.I. de Spielberg).

Mais les années passent, les concours d’intelligence artificielle s’enchainent les uns après les autres, mais aucune machine capable de rivaliser avec un cerveau humain, même moyen, n’a encore vu le jour.

Alors quand ma fille ainée de 16 ans, à qui je faisais part de ma déception de ne pas vivre cette révolution, m’a répondu: « Mais enfin, papa, une machine intelligente, ça ne pourra jamais exister », je me suis dis qu’elle avait peut-être raison.

Mais j’espère encore.

—————————–

Source image le magnifique site « If we don’t, remember me »

Bilan 2010

Publié le par

Je n’aime pas regarder en arrière. Cela me rend inutilement nostalgique et je préfère toujours m’activer sur des projets. J’aime le lundi parce que toute la semaine s’offre à moi pour avancer dans ma vie professionnelle ou dans ma vie publique. J’aime le vendredi soir, car tout le week-end s’offre à moi pour avancer dans ma vie privée ou dans mes expertises (j’ai aussi des expertises dans la semaine, une vie publique le week-end et une vie privée tout le temps mais vous saisissez l’idée).

Pour autant, il me paraît sain de temps en temps de faire un point, non pas pour simplement regarder le travail accompli, mais pour observer le passé. Et rien de mieux que le changement d’année pour cela.

Bilan de mon activité d’expert judiciaire.

J’ai eu beaucoup de missions en 2010, principalement au pénal, surtout des dossiers de recherche d’images ou de films pédopornographiques, dont une a duré des mois aidez-moi. C’est toujours la raison d’être de la couleur noire du fond de ce blog, tant décriée par plusieurs lecteurs. Mais j’ai eu aussi de « belles » affaires, techniquement très intéressantes et dont je parlerai peut-être ici-même. En particulier, j’ai eu à faire de l’archéologie informatique sur des systèmes d’exploitation antiques qui m’ont rappelé de bons souvenirs.

J’espère pouvoir en parler dès que je recevrai mon courrier de confirmation de réinscription comme expert judiciaire, mais un coup de fil au greffe de la Cour d’Appel m’a permis de savoir que les magistrats avaient accepté mon dossier. J’ai bu une bonne bouteille à cette occasion… Mais comme Saint Thomas, j’attends le courrier officiel (pour ouvrir une autre bouteille).

Bilan professionnel.

Je travaille dans une école privée d’ingénieurs que je considère comme très performante, avec un vrai projet de formation efficace, soutenue par les collectivités publiques, l’État et l’Europe. J’ai la chance d’appartenir à une équipe de direction soudée, solidaire et dynamique. Je l’écris sans flagornerie puisque personne n’y connait l’existence de ce blog. Mon employeur me donne les moyens nécessaires pour toute la partie technique et informatique de l’établissement. J’ai également une équipe de techniciens très compétents qui travaille avec moi avec enthousiasme. Enfin, les étudiants sont sérieux et épanouis, ce qui m’encourage toujours à porter leur projet professionnel. Et puis, c’est toujours agréable de travailler avec des clients qui ont chaque année entre 18 et 23 ans (en tout cas, cela motive à rester dans le coup).

Bilan de ma vie publique.

Être conseiller municipal, c’est s’impliquer concrètement dans la vie de sa cité. Beaucoup moins qu’un adjoint, mais suffisamment pour bien remplir certaines soirées. Je regrette néanmoins qu’il n’y ait pas d’opposition dans mon conseil municipal. Je pense que certaines décisions seraient plus discutées, plus préparées. En tout cas, il ne manque pas de choses à faire dans une commune et j’aime beaucoup ce travail de l’ombre. Certains sont faits pour être mis en avant, d’autres pour être les briques de base. Je suis de ces dernières.

Les projets municipaux avancent, pour le bien de tous. Le budget est équilibré, bien préparé par les adjoints. Il y a une vraie politique sociale en direction des plus démunis, des plus fragiles. Je suis fier de travailler dans cette équipe.

Bilan de ma vie personnelle.

Je suis un homme heureux. J’ai une famille fantastique: mes enfants grandissent, ni trop vite, ni pas assez vite, et j’ai une épouse extraordinaire, même si elle ne veut pas que je parle d’elle sur ce blog. Et elle fait un métier passionnant. Pour moi donc, l’année 2010 a été globalement très positive. Je n’ose pas trop en parler tant je lis ici ou là que tout le monde est content de tourner cette page pour ouvrir celle de 2011. Si un bonheur ne doit pas s’afficher, au moins qu’il se partage. Je m’y emploie.

La famille élargie aux parents, frères et sœurs, beaux parents, beaux frères et belles sœurs est soudée, surtout quand la maladie frappe douloureusement. Chère belle sœur qui lutte contre la maladie si loin de nous, mes pensées t’accompagnent chaque jour.

En 2009, j’avais fait une « wish list » dont j’avais fait le bilan un an après. Je vais faire ici le bilan de ce bilan et compléter la liste:

– être toujours vivant, si possible en bon état [ok, ça, c’est bon, mais il faut sérieusement penser à reprendre le sport et perdre 10kg]

– arriver à compléter le tri sélectif au boulot avec la récupération du papier par une filière de recyclage [ok, fait cette année]

– stopper l’inflation du nombre de PC à la maison (10 début 2009, 9 début 2010) [ok, virtualisation de mes 2 machines d’expérimentation = 7]

– arriver à obtenir le paiement des expertises judiciaires effectuées (un an de retard) [non, toujours un an de retard, et je crains le pire en 2011]

– ranger mon bureau professionnel [c’est fait, en partie]

– ranger mon bureau personnel [re raté, pas d’excuse]

– acquérir une paire de lunette vidéo 3D [raté, mais j’ai toujours bon espoir d’une baisse des coûts avec l’arrivée des TV 3D]

– migrer l’ensemble des serveurs du boulot (>6ans) vers de nouveaux serveurs virtualisés [yes, we have done it]

– arriver à faire fonctionner cette $#%µ& régulation de chauffage au boulot [raté, mais le propriétaire s’y intéresse un peu plus chaque année]

– remplacer les chaudières gaz du boulot (2x800kW quand même) par des / panneaux solaires / éoliennes / chaudières bois / forages géothermiques (rayer les mentions inutiles) [raté, les chaudières sont en trop bonnes formes. Mais un projet d’étude sur des panneaux solaires d’appoint démarré début 2010 a abouti. Reste maintenant l’obstacle des financements. L’État semble faire machine arrière…]

– travailler moins et gagner plus [raté, je travaille plus pour le même salaire, mais mon boulot est de plus en plus intéressant]

– faire évoluer les serveurs web du boulot [non, remplacé par le changement du système d’information. La vraie évolution sera pour 2011]

– faire un peu plus de sport et plus régulièrement [non, j’ai arrêté la course à pied et le tennis]

– m’intéresser de plus près aux outils des Pentesters [raté, là aussi, c’est un métier. J’ai travaillé quand même sur une meilleure maîtrise de WireShark]

– m’intéresser de plus près aux travaux scolaires de mes enfants [oui. Je suis incollable sur les forces (1èreS), la guerre de 100 ans (5e) et les verbes du 1er groupe (CE2)]

– m’intéresser de plus près aux travaux extra scolaires de mes enfants [ok, je fais 2000 kms par jour pour les accompagner partout. Enfin, surtout mon épouse.]

– assister au moins une fois à une Berryer [raté]

– rencontrer IRL Me Eolas, Me Tarquine, Mme Aliocha, Mr Boulet, Mr Sid, Me Mô, Mr Gloaguen, Mr « Authueil », Mme Bonjour et être capable d’aligner une ou deux phrases sans balbutier [0 pointé cette année].

– et bien sur, continuer de rêver [ok, ça, on ne pourra pas me l’interdire].

J’ajoute à la partie non atteinte de la liste, les objectifs suivants pour 2011:

– postuler pour une inscription sur la liste de la Cour de Cassation (si, si:)

– suivre plus de formations techniques, en particulier auprès des pentesters

– approcher quelques experts judiciaires pour leurs soutirer des billets invités

– me préparer à devenir expert judiciaire « prestataire de services »

– mettre en place des enquêtes de satisfaction clients auprès des étudiants

– encourager le personnel de l’établissement à venir en vélo plutôt qu’en voiture

– venir moi-même en vélo

– acheter un vélo

– migrer le système d’information de mes trois sites de production

– suivre de près la rénovation de l’école primaire de ma commune

– finir l’implantation de l’aire d’accueil des gens du voyage et les accueillir

– dire et montrer l’amour que je porte à mes proches et être réellement présent dans les difficultés. C’est un peu simplet, mais la vie a aussi besoin de choses simples.

Et je conserve ma conclusion de l’année dernière pour 2011:

Bonne année à tous! Qu’elle vous apporte joie et bonheur.

Si je peux me permettre de pasticher Margot Motin:

un quintal de Chantilly Powa dans ta face! Poutoux-poutoux-coeur-paillettes-et-bonne-année 🙂

Bonne fin d’année 2010

Publié le par

Mme Zythom, Zythom16, Zythom12, Zythom8 et moi-même, nous nous associons pour vous souhaiter à tous de bien enterrer l’année 2010, en espérant que l’année 2011 soit la meilleure possible.

Profitez bien, gardez la santé et le moral.

Faites chauffer les procs.

Have fun.

Et n’oubliez pas, Vulnerant omnes, ultima necat.

Toutes blessent, la dernière tue.

La mort du hotspot wifi gratuit ouvert

Publié le par

En tant que responsable informatique, je n’ai pas d’autre souhait que le confort des utilisateurs. Pour cela, parmi toutes les actions entreprises, j’ai mis en place un réseau Wifi permettant à tout un chacun de se connecter en toute simplicité.

Pour les plus techniciens d’entre vous, j’ai choisi un VLAN dédié wifi dont la passerelle/parefeu est une machine basée sur l’excellent logiciel pfsense. Ce produit permet de mettre en place très facilement un portail captif interrogeant un serveur Radius (par exemple freeradius ou dans mon cas maintenant Windows 2008 R2).

Tout fonctionne très bien, je place des bornes wifi premier prix partout, je rappelle aux utilisateurs que rien n’est chiffré et de faire attention (mais tout le monde s’en fout). Globalement, tout va bien.

Oui mais voilà, mon entreprise reçoit des visiteurs, des conférenciers, des consultants, organise des colloques, des symposium, des conférences, prête ses locaux pour des assemblées générales, des séminaires, des sapins de Noël… Et tout ce petit monde souhaite maintenant accéder à internet de la manière la plus simple possible.

Pour les universitaires, pas de problème particulier, il y a Eduroam. Mais pour l’industriel lambda ou le participant étranger à un colloque, avec mon système, il faut lui créer un compte personnel.

Bien qu’étant responsable informatique (et donc « chef »), je n’aime pas mettre en place un système avec des MonEquipeVaCréerUnCompteAChaqueFois ou des OnAKAFaireFaireçaParLaKeuil. Donc, après avoir discuté avec plusieurs responsables informatiques dans d’autres écoles, j’ai bien vu et compris qu’il y a deux grandes catégories de systèmes:

1) Une délégation technique permettant à plusieurs personnes (en général des secrétariats) de créer un compte provisoire à la demande, avec génération d’un ticket contenant un identifiant et un mot de passe compliqué.

2) Un hotspot wifi open, autrement un accès libre à tous les vents.

La solution n°1 est mise en place dans toutes les écoles ou universités que j’ai contactées, ou dans les hôtels que je fréquente. La solution n°2 est celle retenue par les restaurants (McDonald’s par exemple) ou les cafés de ma ville.

A priori, pour moi, la solution n°1 est la plus sérieuse, mais c’est celle où l’informatique est vécue comme pénible et les informaticiens comme des emmerdeurs personnes agaçantes. Dans un cas, quand vous allumez votre ultraportable, toutes vos mises à jour vont échouer tant que vous n’avez pas lancé le navigateur pour vous authentifier. Dans l’autre, vous surfez en toute liberté et c’est votre administrateur préféré, adoré, adulé, qui va en prison.

Diable, la prison, le déshonneur, l’infamie.

C’est que dans « responsable informatique » il y a le mot « responsable ». Et dans une petite structure comme la mienne (bien que grande par la notoriété la qualité des étudiants formés) il ne s’agit pas de badiner avec ce type de concept. Inutile d’enseigner la responsabilité aux étudiants-futurs-ingénieurs s’il s’agit de se cacher derrière le chef du chef de son chef, fut-il ministre.

Mon côté « responsable » penche donc pour la première solution.

Mon côté « pratique » penche pour la seconde solution.

Première phase: je-vais-me-débrouiller-tout-seul

Me voici donc sur internet à la recherche de réponses juridiques. La meilleure technique est de nos jours plutôt basée sur l’utilisation du web et du moteur phare du moment Google (que je remercie au passage pour l’hébergement du présent blog), ce qui m’amène assez vite aux textes de loi concernés, et surtout à des commentaires explicatifs. En particulier celui-ci: « Conservation des données de trafic: hot-spots wi-fi, cybercafés, employeurs, quelles obligations? »

Cet article m’a estomaqué stupéfait ébahi éberlué ébaubi:

Le propriétaire d’un cybercafé est-il tenu de conserver les données de trafic de ses clients?

OUI. Les cybercafés, les restaurants, les hôtels, les aéroports ou tout autre endroit qui propose un accès au réseau internet au public, à titre payant ou gratuit, sont concernés par ces dispositions. Ils doivent conserver les données techniques pendant un an à compter de leur enregistrement.

Existe-t-il une obligation d’identifier l’utilisateur de l’ordinateur?

Non. Le cybercafé en question n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion.

En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription par exemple, il a l’obligation de conserver ces données pendant un an.

Les «données techniques de connexion», qu’est-ce que c’est? L’article définit en son début les «données de trafic» dont je suppose, malgré l’habituelle précision des termes juridiques qu’il s’agit également des données techniques de connexion.

[Ce] sont les informations techniques générées par l’utilisation des réseaux de communications tels qu’internet. Il s’agit par exemple de l’adresse IP de l’ordinateur (n° identifiant chaque ordinateur connecté à internet) utilisé, de la date, de l’heure et de la durée de chaque connexion ou encore des informations permettant d’identifier le destinataire d’une communication (par exemple le numéro de téléphone appelé).

Deuxième phase: j’affronte un automate téléphonique

Sur le site de la CNIL figure un numéro de téléphone pour celui qui souhaite poser une question juridique. Aussitôt, j’appelle le numéro. Trop tôt: il faut appeler après 10h mais avant 12h, ou après 14h mais avant 16h. J’appelle alors à 10h02. Après l’automate et grâce à *11 (« tapez 1 si vous êtes un professionnel », puis « tapez 1 si vous avez une question juridique »), j’obtiens une personne vivante à qui j’explique brièvement mon problème et qui me répond: « je vous passe une personne compétente » puis me bascule sur une boite vocale… Je rappelle, me farcit l’automate téléphonique et son *11 (connaissent pas les cookies dans la téléphonie). Une voie électronique (mais humaine) m’annonce une attente de 5 minutes. J’attends, et au bout de 5mn, la musique/conseils/informations s’arrête et j’ai un magnifique silence au bout du fil. Trou noir… Je laisse passer 2mn puis raccroche. Je rappelle. Il est 10h22, le standard de la CNIL ne répond plus, il sonne occupé… Je tente le coup 5 fois dans la matinée: occupé.

Troisième phase: je demande de l’aide

Internet est un monde magique: je lance une bouteille sur twitter: « Question pour la CNIL: accès wifi, l’identité d’une personne fait-elle partie des données techniques de connexion à conserver pour une école? ». Plusieurs personnes me répondent: @Skhaen @MathieuAnard @el_suisse @PierreCol @v_yaya @dascritch @Duncane_Idaho @FredLB @mariedePVV @Maitre_Eolas @frinnock @jkbockstael @ookook @MattGNU @okhin @Paul_Da_Silva @bortzmeyer @e_sanjuro @ph_lhiaubet @xavieragnes @akbarworld @whizzkidfr @fersingb @MasterLudo @_jbd entrent dans la danse de ma Time Line. J’espère ne vexer personne si j’écris que la meilleure réponse juridique vient de @Maitre_Eolas: « Les données techniques doivent être fixées par un décret attendu depuis + de 6 ans. À défaut, je dis : aucune obligation. » Suivi d’un inquiétant: « Les avocats. Pour avancer dans un monde de droit. » Faudra que j’en parle à Mme Zythom…

Quatrième phase: j’appelle les autorités

Je retente l’appel téléphonique vers la CNIL et là, miracle: automate, *11, attente 2mn, voix humaine non électronique qui me passe une autre voix humaine compétente. Quelques minutes de discussion et le verdict tombe, confirmant les propos de Maître Eolas: les décrets d’application définissant précisément les données techniques de connexion ne sont pas encore sortis, d’où l’article sibyllin du site de la CNIL.

Et comme l’article en question mentionne la HADOPI:

Qui peut demander la communication de ces données de trafic?

Uniquement des personnes habilitées par la loi à les obtenir, notamment les autorités judiciaires dans le cadre d’une procédure pénale, ou la HADOPI.

J’appelle la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet à ce numéro, pour savoir si mes droits de responsable informatique sont protégés sur internet.

Je dois dire que l’accès téléphonique à un être humain est beaucoup plus facile, sans doute une question de budget. J’ai eu très vite au téléphone une personne à qui j’ai pu expliquer mon problème. Voici sa réponse: « Peu importe la manière d’accéder à internet (ici un réseau wifi ouvert). En cas de téléchargement illégal, le titulaire de la ligne recevra les messages de la réponse graduée. Il doit sécuriser sa ligne ».

A ma remarque indiquant que dans le cas d’un accès wifi ouvert la sécurisation de la ligne pour savoir si un téléchargement est légal ou pas nécessite de mettre en place une écoute active des données en transit, ce qui me semble illégal, sa réponse fut tout aussi simple: « je vous donne une réponse juridique claire: le titulaire de la ligne doit sécuriser son utilisation. Si un téléchargement illégal est effectué depuis sa ligne, il recevra les messages de la riposte graduée ».

Lorsque je lui fais remarquer que la CNIL indique sur son site qu’un cybercafé n’a pas l’obligation légale de demander à ses clients leurs identités, sa réponse est identique.

Idem quand je lui parle des hotspots municipaux parisiens, des accès publics des bibliothèques œuvrant pour l’accès à la culture pour tous.

Je lui indique qu’il me semble que c’est l’arrêt de mort des accès wifi gratuits et ouverts, elle m’indique que dans la procédure de riposte graduée, j’aurais la possibilité de présenter mes arguments devant un tribunal et de dire que j’ai appelé la HADOPI pour obtenir ses informations. Quand je lui ai demandé son nom pour pouvoir établir la preuve de mon appel, elle a refusé (mais j’ai son prénom;).

Dernière phase: conclusion provisoire

Pour satisfaire mes obligations légales et pouvoir prouver ma bonne foi en cas d’attaque HADOPI, je réfléchis à ajouter l’adresse MAC de la machine dans les données techniques de connexion à conserver un an. Et cela même si je sais qu’il est très simple de modifier l’adresse MAC de sa machine ou d’en simuler une.

Il me faut également soupeser tout le mal que pourrait faire la publicité d’une poursuite HADOPI contre mon entreprise. En particulier l’impact sur la notoriété du diplôme durement acquis par les étudiants.

Je sens que c’est mal parti pour la mise en place d’un accès wifi ouvert et que le service informatique va devoir plancher sa communication interne pour expliquer la création de compte sur présentation d’une carte d’identité. Déjà qu’on a du mal à expliquer qu’on refuse de communiquer par email les mots de passe oubliés… VDM.

Pour ceux qui ont peur de se faire voler leur ordinateur

Publié le par

Je lis ici ou là que des journalistes se sont faits voler leurs ordinateurs sur lesquels se trouvaient des données confidentielles en rapport avec leurs enquêtes. Un doute soudain me fait croire (à tord sans doute) que ces données confidentielles n’auraient pas fait l’objet d’une protection suffisante, concernant leur accès (chiffrement) et/ou concernant leur récupération (sauvegarde).

Je me rends compte (aidé par un fidèle twitterer) que je n’ai jamais abordé ici cet aspect du problème. J’ai bien évoqué les difficultés rencontrées lors des expertises judiciaires (d’aujourd’hui ou de demain) face au chiffrement, mais je n’ai jamais indiqué la méthode que je recommande à ceux qui souhaitent protéger leurs données. Je vais essayer de corriger cela maintenant, modestement et à mon niveau.

Toute d’abord, évacuons le problème de terminologie: on entend souvent parler de cryptage, voire de chiffrage, mais ces mots sont incorrects. Le seul terme admis en français est celui de chiffrement. Par ailleurs, l’opération inverse du chiffrement est le déchiffrement. Il est cependant admis de désigner par décryptage, ou décryptement, un déchiffrement effectué de manière illicite par un attaquant, typiquement sans disposer de la clé secrète mais après avoir trouvé une faille dans l’algorithme de chiffrement (source). Joie et richesse de la langue française.

Enfin, il ne s’agit pas d’un cours sur le chiffrement, ni d’une présentation se prétendant universelle, mais de la solution que j’utilise pour protéger les données du cabinet d’avocat de mon épouse, ainsi que les données que je conserve suite à mes différentes expertises judiciaire (en général les rapports et leurs annexes).

J’utilise pour cela un outil opensource gratuit très simple d’usage et très puissant: TrueCrypt.

Constatant que le volume de données à protéger par chiffrement est relativement limité (je ne chiffre pas mes photos de vacances, même celles où je suis déguisé d’une façon ridicule – mais drôle), j’ai mis en place le chiffrement d’un GROS fichier d’environ 2Go, fichier destiné à contenir toutes les données que je souhaite protéger.

Je n’ai pas choisi de chiffrer tout un disque dur ou toute une partition, je n’ai pas choisi de chiffrer mes clefs USB, je n’ai pas choisi de chiffrer la partition où se trouve mon système d’exploitation, même si tout cela est possible avec TrueCrypt.

Toute l’astuce d’utilisation (et toute la contrainte) tient dans le fait que le GROS fichier va être manipulé par TrueCrypt afin de faire croire au système d’exploitation (Windows 7, Vista, XP, 2000, Mac OS X, GNU/Linux) que vous avez accès à un nouveau (petit) disque dur de 2Go.

Ce disque dur (virtuel) s’appelle un « volume TrueCrypt ».

Le site officiel décrit parfaitement (en anglais) la manière de créer et d’utiliser un tel volume: cela se trouve ici.

Une fois le volume TrueCrypt créé, la seule vraie contrainte est de l’associer (à la main) à une lettre[1] pour qu’il soit vu et utilisable comme une clef USB. Il ne faut pas non plus oublier de le désassocier AVANT d’éteindre l’ordinateur ou de déplacer le GROS fichier.

Cette solution a de nombreux avantages:

– TrueCrypt est un logiciel opensource et gratuit.

– TrueCrypt existe en version installable localement ou en version portable sur clef USB (par exemple dans le package LiberKey).

– La copie du GROS fichier de 2Go ne pose aucune difficulté, par exemple pour un transfert d’un pc à un autre, un transfert vers une clef USB ou un transfert par internet.

– La sauvegarde des données est aussi simple que d’habitude, puisque le GROS fichier est considéré par tous les logiciels ou procédures de sauvegarde comme un fichier normal. Vous pouvez d’ailleurs le copier dans un répertoire partagé sur le réseau sans craindre pour l’accès aux données. Vous pouvez en graver une copie sur DVD.

– Une taille de 2Go permet au GROS fichier d’être manipulé simplement par tous les systèmes d’exploitation (un conseil quand même: donnez au GROS fichier un nom simple, sans accent, sans espaces et pas trop long, par exemple « perso »).

Attention quand même, la protection tient grâce à votre mémorisation d’un mot de passe suffisamment robuste pour ne pas être deviné. Un mot de passe très long est conseillé. Astuce: prenez les 1er caractères de chaque mot de votre chanson favorite et insérez-y quelques chiffres. Exemple avec la Marseillaise: Aedlp1789Ljdgea1889Cndlt1989Lesel. Utilisez de préférence le couplet 7, dit couplet des enfants… Et bien sur, évitez de chanter en tapant votre mot de passe.

Pour les plus exposés d’entre vous, ceux qui risquent d’être menacés par leur cambrioleur pour obtenir leur mot de passe, TrueCrypt propose un mécanisme de double protection: votre GROS fichier contient alors deux parties, chacune protégée par un mot de passe. Le 1er mot de passe donne accès à des données sans importance (mais confidentielle quand même, ne prenez pas les gangsters pour des imbéciles), alors que le 2e mot de passe donne accès aux vraies données que vous souhaitez protéger. En cas de menace, vous ne donnerez sous la torture que le 1er mot de passe en jurant que c’est le seul. Il n’y a aucun moyen (même pour un expert judiciaire:) de vérifier l’existence d’un 2e mot de passe pour accéder à une 2e partie éventuelle. Ce mécanisme doit être prévu lors de la création du GROS fichier, et s’appelle « Hidden TrueCrypt volume« .

N’oubliez pas que cette méthode ne protège pas vos emails. Il faut plutôt lire ce billet.

Si avec cela vous n’arrivez pas à protéger vos données, plus personne ne peut rien pour vous.

[Edit du 03/11/2010] Je vous invite à tester TrueCrypt en suivant le mode opératoire décrit par la blogueuse Kozlika dans une série de billet qu’elle a écrite. Bonne lecture 🙂

——————–

[1] Dans le cas d’un OS Windows.

——————–

Cliquez sur l’image pour l’agrandir. Crédit darkroastedblend.com

Recrutement des jeunes

Publié le par

Je suis parfois sidéré de la manière que peuvent avoir les étudiants de chercher du travail (stage ou emploi). Beaucoup d’entre eux préparent consciencieusement leur CV et leur lettre de motivation, plus ou moins sur le même modèle, puis adressent tout cela aux entreprises, par email ou par courrier papier, à l’adresse trouvée dans les annuaires spécialisés.

Certains viennent s’ouvrir à moi de leurs difficultés: « J’ai envoyé 200 lettres, et je n’ai encore aucune réponse positive ».

J’écris donc ce billet pour tous les étudiants (ou pas) qui cherchent leur premier emploi. Je souhaite me concentrer sur un point rarement abordé (il me semble): l’obtention de l’entretien. Vous avez donc déjà digéré 2000 sites web et manuels vous expliquant comment rédiger votre CV et/ou lettre de motivation.

La méthode que je vais vous présenter est simple, universelle, et a été testé par un grand nombre de mes étudiants. Elle a pour base l’idée qu’il faut se prendre en main et OSER.

—————————————–

Tout d’abord, chercher du travail, c’est DIFFICILE. On ne peut pas généralement se contenter de faire fonctionner une photocopieuse et la machine à poster. Il faut CIBLER.

Bon, alors là, j’ai droit en général à la remarque suivante: « Oui, mais moi, je ne connais personne… »

Cela tombe bien, moi non plus.

1) Vos critères:

Pour trouver l’entreprise qui a besoin de vous, il faut commencer par faire une recherche dans un annuaire spécialisé. Il y a les pages jaunes, mais aussi beaucoup d’outils tels que le Kompass. Vous y chercherez les entreprises selon vos propres critères: taille (TPE, PME, grands groupes…), situation géographique, secteurs d’activité, etc. La plupart des centres documentaires de vos écoles sont abonnés à ce type d’annuaires.

2) La liste:

Vous obtenez enfin une liste d’entreprises qui vous semblent pouvoir correspondre à vos aspirations. Classez cette liste par ordre de préférence. Ne commencez pas forcément par celle qui vous plait le plus, afin de roder votre méthode d’approche. Pour chaque entreprise de la liste, créez un dossier (papier ou électronique selon vos goûts) dans lequel vous allez stocker toutes les informations que vous allez obtenir sur cette entreprise, ET celles que vous allez lui envoyer.

3) Le phoning:

C’est l’étape la plus importante. Vous ne connaissez personne dans l’entreprise ciblée? Normal, tout le monde n’a pas un papa Président de la République. Par contre, vous avez le numéro du standard, ou celui des ressources humaines. Notez les dans vos fiches, mais inutile de vous y frotter: ces personnes sont aguerries aux techniques de rembarrage téléphonique.

Par contre, ajoutez votre chiffre fétiche aux derniers numéros du numéro de téléphone du standard, et tentez votre coup. Par exemple, un numéro de standard qui se termine par 00? Et bien remplacez le double zéro par 12 (ou 07, 13, etc).

4) Mais qui êtes-vous?

Bien sur, vous n’avez aucune idée de sur qui vous allez tomber: un ingénieur, une secrétaire, un stagiaire, une personne de l’entretien… Tant pis: présentez-vous poliment et demandez si vous êtes bien chez l’entreprise TRUC. Il n’y a aucune raison que la personne qui a décroché le téléphone vous rentre dedans. Par contre, elle va très vite vous demander qui vous êtes et ce que vous voulez. Là, il faut avoir préparé une petite explication. Personnellement, je suis plutôt pour l’explication « recherche de stage », même si vous êtes en recherche d’emploi. Cela fait moins peur.

5) L’accroche:

Il vous faut absolument garder le contact avec la personne que vous avez au bout du fil. Dites lui par exemple: « Me permettez-vous de vous poser quelques questions sur l’entreprise pour me faciliter ma recherche de stage? ». Rares seront les sans-cœur qui se débarrasseront de vous immédiatement. Posez alors quelques questions judicieusement choisies, comme par exemple: « Y a-t-il souvent des stagiaires dans l’entreprise? » etc. Après quelques questions innocentes, demandez « Y a-t-il un gros projet en cours actuellement dans l’entreprise? ». Si la personne vous parle plutôt « plan de licenciement », inutile de perdre votre temps (et le sien). Abrégez la conversation poliment.

6) Le chef de projet:

Si par contre, la personne vous dit fièrement que l’entreprise vient de décrocher le contrat du siècle, posez lui des questions autour de ce projet et en particulier: « Pensez-vous que le chef de projet va avoir besoin de stagiaires? ». Quelle que soit la réponse, demandez lui dans quel service travaille le chef de projet concerné par le gros contrat et en particulier le nom de cette personne. Faites parler votre interlocuteur de ce qu’il connait le mieux, son service, son travail. Vous verrez, c’est fou ce que l’on obtient comme information sur une entreprise par ce biais, comme par exemple sur la (bonne) ambiance de travail.

7) La recommandation:

Avant de raccrocher, demandez à votre interlocuteur s’il peut vous passer les coordonnées du chef de projet (téléphone direct), et – cerise sur le gâteau – demandez lui si vous pouvez l’appeler de sa part (et prenez le nom de votre interlocuteur). Là encore, vous verrez que votre culot sera en général payant, la personne vous donnera les informations demandées.

8) Le coup de grâce:

A ce stade, vous disposez d’un vrai point d’entrée dans l’entreprise: le nom d’un responsable d’un projet prometteur qui risque d’avoir besoin d’embaucher du personnel, avec en plus la recommandation d’une autre personne de l’entreprise. Appelez cette personne et proposez lui vos services (stage ou emploi). Il faut être prêt à se présenter oralement de manière simple et brève. Vous devez faire bonne impression. L’objectif étant d’envoyer un CV qui sera lu attentivement, demander lui (ou faite confirmer) ses coordonnées (service, bâtiment…). Dites lui que vous lui adressez un CV dès aujourd’hui, et remerciez la pour le temps consacré au téléphone.

9) Le suivi:

Vous pouvez donc ajuster votre CV pour qu’il colle parfaitement aux besoins de l’entreprise (sans mentir ni inventer). Vous pouvez rédiger une lettre de motivation commençant par « Suite à notre conversation téléphonique de ce jour, je me permets de vous adresser comme convenu ». Il reste à envoyer le tout par la poste. Enfin, n’oubliez pas de conserver précieusement une copie des CV et courriers pour vous y retrouver lors d’un entretien que vous ne manquerez pas d’avoir avec cette personne (rien n’est plus catastrophique que d’avoir à la main un CV différent de celui que l’on a envoyé).

10) Le suivi bis:

Tout le monde est débordé, ou prétend l’être. Votre CV est peut-être sous une pile de dossiers encore non traités. N’hésitez pas à rappeler votre correspondant une semaine après lui avoir envoyé votre CV. Demandez lui poliment s’il a bien reçu votre courrier, s’il a eu le temps de le traiter. Demandez lui s’il peut vous accorder un rendez-vous afin que vous puissiez vous présenter.

—————————————–

Les étudiants à qui je fais ce discours réagissent de manière variée. Certains trouvent que cela dépasse leur capacité d’improvisation. D’autres ont du mal à comprendre qu’il soit si difficile de trouver du travail (ceux là n’ont en général pas encore commencé à chercher). Cette présentation leur aide à comprendre que la recherche d’emploi est avant tout une affaire de contacts humains et qu’il ne faut pas hésiter à sortir un peu des sentiers battus.

Et tous les étudiants qui l’ont appliquée travaillent actuellement.

Et de cela, je suis fier.

—————–

Source image: « La vie est trop courte pour se tromper d’emploi » jobsintown.de

Cliquez sur l’image pour l’agrandir.

Extinction

Publié le par

Il y a, dans l’école d’ingénieurs où je travaille, 150 extincteurs près desquels les étudiants et le personnel passent tous les jours. En tant que responsable informatique et technique, j’ai la charge de leur entretien et la responsabilité de leur bon fonctionnement aukazou.

Depuis toujours, le bon entretien de ces matériels est sous-traité auprès du fabricant qui s’assure, moyennant finance, que les appareils sont bien remplis, en bon état de fonctionnement, etc.

Un jour, alors que j’intervenais sur un feu de poubelle extérieure avec un seau d’eau, je me suis demandé pourquoi je n’avais pas eu le réflexe de prendre un extincteur. En fait, je me suis rendu compte que je n’avais jamais appris à m’en servir, autrement que lors d’une démonstration fictive faite par un pioupiou devant 140 personnes pendant mon service militaire.

Alors j’ai proposé au service RH d’organiser une formation à toute l’équipe de sécurité de l’établissement (vous savez, ceux qui viennent voir dans chaque bureau et chaque salle si tout le monde est sorti lorsque le signal d’alarme incendie s’est déclenché par accident). (Bonne) idée acceptée, et donc, nous voilà dehors, face à une cuve enflammée, à étudier le fonctionnement pratique des extincteurs.

Conclusions:

– Vous devez savoir qu’un extincteur normal se vide en 15s… et un extincteur de voiture en 5s (!) et qu’il faut donc appuyer sur la poignée uniquement quand vous êtes très près du feu.

– Que si vous n’êtes pas très costaud, l’extincteur fonctionne très bien posé par terre.

– Que les extincteurs à CO2 deviennent très très froids, et qu’il faut donc les manipuler avec précaution (si vous voulez garder la peau de vos mains).

– Que les extincteurs à poudre envoient une poudre bleue dans un nuage de poudre qui fait tousser.

– Qu’il n’y a pas de recul (avec les extincteurs traditionnellement accessibles au public).

– Que la manipulation est toujours la même: on tire un coup sec sur la goupille pour la retirer, on appuie sur un bouton pour percuter ou simplement sur la poignée.

– Qu’il est bon de procéder à un essai (un petit pschittt) avant de se trouver à 30 cm du feu.

– Qu’il ne faut pas crier « au feu! », sauf si vous êtes militaire ou si vous êtes agressé dans la rue…

Pensez également, la prochaine fois que vous serez sur votre lieu de travail, à prendre quelques minutes pour lire le mode d’emploi de l’extincteur le plus proche. On ne sait jamais…