Illusoire anonymat

Publié le 23 décembre 2008 par Zythom

Je reçois beaucoup d’emails me questionnant sur ce sujet, et je me rends compte que ce que je tiens pour évident, du fait de ma profession, ne l’est pas pour tout le monde.

Je tiens ce blog en utilisant le pseudonyme « Zythom ».

Je m’en suis déjà clairement expliqué dans ce billet et dans celui-ci.

Mon anonymat n’est pas celui du dénonciateur anonyme.

Notre Maître à tous explique très bien les raisons de son anonymat. Je n’irai pas le paraphraser…

Aliocha, journaliste anonyme qui tient le blog « La Plume d’Aliocha« , a très bien expliqué l’intérêt des masques pour l’écriture dans son billet « impérieux anonymat« .

Néanmoins, j’ai parfaitement conscience que cet anonymat est tout relatif.

Qui mieux que moi est bien placé pour savoir qu’il suffit d’une demande officielle de la justice pour lever cet anonymat?

Quels sont alors les éléments techniques qui permettent à un expert judiciaire, ou à un officier de police judiciaire, de « remonter » jusqu’à la personne physique? Comment procèdent-ils?

Pour illustrer la démarche, je vais prendre mon propre cas.

En tout premier lieu, en copier/collant Maître Eolas, j’existe. J’ai vérifié ce matin auprès d’experts, médecins, juristes et philosophes, qui m’ont tous confirmé mon existence. Aucun doute n’est plus permis là dessus.

Je blogue principalement depuis la maison, ou depuis mon lieu de travail lors de ma pause repas-saladette. Accessoirement depuis un hôtel ou des amis. Plus rarement depuis un point d’accès Wifi en libre service (un bar, ou un banc public à Paris).

1) Depuis la maison.

J’utilise les services d’une entreprise de télécommunication qui relie mon domicile à Internet via un réseau téléphonique. Autrement dit un fournisseur d’accès internet (FAI). Lorsque je souhaite me connecter à Internet, cette entreprise doit me fournir un numéro qui identifie chaque machine connectée à Internet. Ce numéro s’appelle l’adresse IP. A un instant t, ce numéro est affecté à une machine unique, et le FAI a l’obligation légale de conserver l’historique précis des affectations « adresse IP / abonné ».

Ainsi, lorsque vous surfez sur un site, vous y laissez la trace de votre passage sous la forme de votre adresse IP. Celle-ci identifie le FAI (car il dispose d’un paquet d’adresses IP qu’il est le seul à gérer) et il suffit de lui demander le nom de l’abonné à qui telle adresse IP a été affectée tel jour à telle heure.

Bien, mais comment faire pour accéder aux données de consultation du site https://zythom.fr pour y retrouver l’adresse IP de son auteur?

Et bien, il suffit de demander tout cela poliment à l’hébergeur du site, dont les coordonnées doivent apparaître de façon très claire sur le site. Dans le cas de ce blog, vous trouverez toutes ces informations (et plus encore) dans les mentions légales.

En résumé: fichiers de log des connexions du blog -> adresse IP utilisée par l’auteur -> FAI -> identité de l’abonné -> blogueur.

2) Depuis le lieu de travail.

La situation est la même puisque le lieu de travail vous connait et que l’informaticien de votre entreprise sait qui utilise l’accès internet. La loi lui demande de conserver également les fichiers de connexions afin de pouvoir remonter jusqu’au compte informatique utilisé.

En résumé: fichiers de log des connexions du blog -> adresse IP utilisée par l’auteur -> FAI -> entreprise -> fichiers de connexions internet -> compte informatique utilisé -> blogueur.

3) Depuis un hôtel.

La situation est la même que depuis le lieu de travail car l’hôtel vous connait et que la loi lui demande de conserver également les fichiers de connexions afin de pouvoir remonter jusqu’au compte informatique utilisé par le locataire de la chambre.

En résumé: fichiers de log des connexions du blog -> adresse IP utilisée par l’auteur -> FAI -> hôtel -> fichiers de connexions internet -> compte wifi utilisé -> blogueur.

4) Chez un ami.

Les choses commencent à se compliquer…

En effet, comme dans le cas du surf depuis la maison, il est facile de remonter jusqu’à l’abonné du fournisseur d’accès à internet (votre ami). Et là, c’est à lui d’expliquer à la maréchaussée qui a utilisé sa liaison internet tel jour à telle heure…

5) Depuis un accès Wifi public en libre service.

Dans ce cas, le côté « public » de l’accès rend le surf complètement anonyme. Sauf si le blogueur est habitué d’un bar précis (ou d’un banc de Paris particulier)…

6) Les problèmes.

Ils sont nombreux, et je n’en présenterai que quelques uns.

– l’adresse IP peut être modifiée dans les fichiers de log du blog, du lieu de travail ou du FAI;

– il peut y avoir un problème de datation (heure d’été/d’hiver, dérive de l’horloge du serveur, etc.);

– l’informaticien de votre entreprise ne connait pas nécessairement toutes ses obligations légales;

– remonter jusqu’à l’identité d’un abonné n’implique pas qu’il soit la bonne personne (famille, amis, borne wifi mal protégée utilisée par le voisinage, etc.);

– les comptes informatiques dans les entreprises sont parfois utilisés par plusieurs personnes, ou protégés par des mots de passe triviaux;

– les réseaux d’anonymisation brouillent sérieusement les pistes (Tor, Freenet, I2P, etc.) mais ne sont pas infaillibles.

Pour ma part, j’ai fait le choix d’une certaine transparence: je blogue sous pseudonyme, mais mon identité est facile à obtenir via une décision judiciaire.

Et comme je le mentionne ici, beaucoup de monde la connait déjà.

J’assume pleinement tous les billets que j’ai écrits.

Mais que mon masque ne vous empêche pas d’accepter mes vœux les plus sincères pour les fêtes de Noël et de fin d’année. Pour ma part, je vais hiberner quelques temps pour profiter de ma famille, tout en préparant quelques billets, entre autres sur les suites de ce billet. My God, what a teaser!

——————-

Image via darkroastedblend.com

Service informatique

Publié le 27 novembre 2008 par Zythom

Je suis fan du dessinateur Jean-Michel Ucciani qui tient avec brio un blog BD perso, mais également un blog professionnel.

Quand je suis tombé sur ce dessin, je n’ai pas pu m’empêcher de penser à mon travail de responsable informatique.

Je le publie donc ici, avec l’aimable autorisation de son auteur.

Source « Le blog pro de JM Ucciani dessinateur« .

Economiseur d’écran

Publié le 14 novembre 2008 par Zythom

Dans une démarche de développement durable et en vue de diminuer la facture d’électricité, j’ai décidé d’exploiter au maximum les possibilités de mises en veille des 350 écrans et ordinateurs de l’entreprise. Surtout que parmi les écrans, il y a de nombreux vidéoprojecteurs dont les lampes coûtent 1/3 du prix d’achat de l’appareil.

Bref, je cherche à faire de vraies éco-économies sans grands efforts.

En premier lieu, comme informaticien, je me suis donc penché sur le problème des écrans. Depuis des années, nous utilisons de superbes « économiseurs d’écran » qui consistent à remplacer l’affichage par un écran noir sur lequel se déplacent le logo de l’établissement. Certains vont même jusqu’à faire défiler des images de leurs vacances. Tout cela est très joli… Mais complètement obsolète!

En effet, les écrans CRT ont depuis longtemps améliorés leur revêtement de phosphore afin d’éliminer le phénomène de combustion interne qui gravait définitivement les pixels allumés en permanence (la barre windows ou l’écran de login par exemple). Sans compter que les écrans plats LCD ne connaissent même pas ce phénomène. La fonction de « screen saver » est donc devenue complètement inutile…

Par contre, la dépense énergétique est, elle, toujours bien réelle!
En effet, le rétro-éclairage des écrans plats est toujours actif sur un écran noir, malgré la légende urbaine des économies effectuées…
Ce n’est donc plus la fonction « écran de veille » qu’il faut installer, mais bien celle de mise en veille de l’écran permettant la mise hors tension de l’écran.

Extrait de Wikipédia:
Les écrans d’ordinateurs consomment la même quantité d’énergie lorsque l’économiseur d’écran est actif que lorsqu’il n’y en a pas. Cette quantité peut varier entre quelques watts pour les petits écrans LCD et plusieurs centaines pour les plus grands écrans plasma. Par contre l’utilisation d’économiseurs d’écran occasionne un surcroît de consommation d’énergie au niveau de l’ordinateur lui-même, via l’utilisation de calculs graphiques: cette surconsommation peut aller de quelques watts à plusieurs dizaines de watts supplémentaires!

Nous passons donc sur l’ensemble du parc pour effectuer les réglages nécessaires, tout en informant les utilisateurs des motifs de la décision. Je dois dire que tout le monde a compris et accepté la modification, avec parfois quelques soupirs lors de la disparition de belles animations photos…

C’est donc avec le sentiment du début du devoir accompli (il reste beaucoup à faire en terme d’économies… entre autre sur l’extinction des lumières et appareils) que j’ai pu faire un premier bilan positif: tout le monde a conscience que la somme de petits efforts aboutit à de réels progrès.

Et pourtant, il reste bien des efforts à faire, toujours sur le sujet des écrans en veille. J’étais en réunion de travail, avec cinq personnes, autour d’un vidéoprojecteur sur lequel était projeté une présentation. A la fin de la présentation, nous démarrons une discussion. Au bout de 10 mn, et alors que plus personne ne s’intéressait au visuel projeté sur l’écran, le vidéoprojecteur se met en veille.

Et immédiatement, celui qui avait la souris à portée de main l’a secouée pour faire sortir le vidéoprojecteur de son sommeil…

Beaucoup d’efforts encore, je vous dis.

Prochaine étape, extinction de tous les ordinateurs le soir, mise en place de détecteurs de mouvements dans les amphithéâtres, dans les salles de TD et TP…

469 millions de spams pour la recherche

Publié le 13 novembre 2008 par Zythom

Je viens de lire un article d’Ars Technica indiquant que sept chercheurs américains avaient utilisé le botnet de spams généré par le ver Storm pour envoyer 469 millions de spams vantant entre autre des produits pharmaceutiques en vente sur de faux sites qu’ils avaient créés, afin d’étudier la rentabilité de ce type d’activité.

Je ne nie pas l’intérêt de leur article que vous pouvez lire ICI, mais je suis interloqué par la manière de procéder.

En tant que particulier, je souffre relativement peu du spam grâce à l’utilisation d’outils intelligents (Thunderbird et gmail) et les adresses emails jetables telles que yopmail.

Il en va totalement autrement en tant que responsable informatique, avec plus de 20.000 emails à traiter par jour et toutes les astuces que cela demande (greylisting, spamassassin, listes noires…)

Mon sang s’est donc mis à bouillir quand j’ai appris que nos sept chercheurs américains jouaient avec les outils du diable.

Extrait de l’article:
We conducted our study under the ethical criteria of ensuring neutral actions so that users should never be worse off due to our activities, while strictly reducing harm for those situations in which user property was at risk.

Traduction basée sur Google:
Nous avons mené notre étude dans le cadre de critères éthiques garantissant des actions neutres de façon à ce que les utilisateurs ne soient jamais dans des situations pires à cause de nos activités, tout en réduisant strictement les dommages pour les situations dans lesquelles la propriété de l’utilisateur était en danger.

Cela me fait quand même mal quelque part de savoir que mes serveurs d’emails ont peut-être reçu quelques milliers de spams éthiquement corrects pour le bien de la recherche…

Via futura-sciences.

Ils sont formidables

Publié le 13 novembre 2008 par Zythom

Il m’arrive d’avoir une baisse de moral. Je vois souvent la vie en noir (c’est pour cela que j’ai choisi cette couleur pour ce blog). Je rédige des rapports d’expertise sur des sujets éprouvants. Je dirige un service technique et un service informatique (ce qui veut dire que je dois gérer beaucoup de problèmes et de mauvaises humeurs tout en restant zen et diplomatique). J’essaye d’impulser des projets positifs, des changements d’habitudes, des changements tout courts, je tiens un blog qui parle (un peu) d’expertises, mais je rencontre beaucoup de résistance au changement.

Bref, la vraie vie quoi.

(l’expression « quoi » est typique du Nord et se prononce « koua »)

Heureusement, je travaille dans une école d’ingénieurs avec des étudiants formidables: ils représentent la jeunesse, ils comprennent le besoin du changement, ils font des erreurs parce qu’ils font des essais, ils ont des projets et cherchent à les réaliser, ils posent des questions.

Tous les matins, ils me font aimer arriver au boulot.

Craquer les mots de passe

Publié le 12 novembre 2008 par Zythom

Il y a de nombreuses circonstances où savoir craquer les mots de passe peut être particulièrement utile. Par exemple, lorsqu’un fournisseur a mis un mot de passe inconnu sur le compte administrateur d’une machine qui vous appartient.

Flashback:

L’entreprise de formation où je travaille a ouvert un centre au Maroc. Je dois en piloter toute l’informatique (achat, installation, maintenance…) sans personnel informatique sur place. J’ai donc choisi de procéder de la façon suivante:

– expressions des besoins par les utilisateurs et validation technique par mes soins

– achats par le directeur marocain (négociations avec les fournisseurs et choix)

– livraisons et déballages par un technicien du fournisseur

– installations par un professeur marocain du composant logmein pour prise de contrôle à distance (produit gratuit et très performant!)

– configurations et installations à distance des logiciels pédagogiques. Pour ce dernier point, j’ai mis en place cet été un serveur Citrix XenApps qui permet l’utilisation au Maroc d’applications installées en France dans ma notre salle serveurs. Les publications de nouvelles applications (fréquentes dans le monde de l’enseignement) ne nécessitent donc pas de déplacement au Maroc.

Back to the present:

Mais la mise en place d’un système informatique complet demande malgré tout de venir sur place de temps en temps. J’ai déjà décrit mes aventures une fois, deux fois, trois fois, quatre fois, pour trois missions à Casablanca (trois emménagements du centre de formation).

Et lors de la dernière intervention, il m’a fallu raccorder au réseau 10 PC dont le fournisseur n’avait pas indiqué le mot de passe administrateur. Le temps m’étant compté très juste, je ne pouvais pas procéder à la réinstallation complète des postes.

Comment trouver ces mots de passe?

C’est là où l’activité d’expert judiciaire en informatique fournit une aide appréciée lors de mon activité professionnelle: la connaissance de l’outil ad hoc pour ce genre d’intervention: ophcrack et son « live cd ». Ophcrack est un craqueur de mots de passe Windows basé sur des tables arc-en-ciel. Il récupère 99,9% des mots de passe alphanumériques en quelques secondes. Le « live cd » permet de trouver les mots de passe sans rien installer sur la machine visée, alors que l’installation locale permet de personnaliser les tables arc-en-ciel.

En moins d’une demi-heure, j’avais les dix mots de passe des comptes administrateurs.

Lire aussi: liste d’outils de sécurité.

The future:

Pour les étudiants-administrateurs informatiques, voilà une bonne raison de configurer les postes de travail Windows de façon à ce qu’ils ne puissent pas démarrer sur cédérom (ni sur port USB) et de limiter les droits d’accès des utilisateurs.

Sans oublier bien entendu d’utiliser des mots de passe « administrateur Windows » différents de ~~celui~~ ceux utilisés en salle serveurs.

Il n’est enfin pas inutile de rappeler que toute utilisation illégale de ce type de logiciel entraine votre responsabilité juridique.

——————–

Crédit images darkroastedblend.com

Aide mémoire LVM

Publié le 11 novembre 2008 par Zythom

Après installation d’une distribution Debian netinstall 40r5, si l’on a fait le choix de monter un LVM sur plusieurs disques (3 fois 20Go par exemple) et que l’on s’aperçoit après installation que seul le premier disque est réellement utilisé (la commande vgdisplay retourne un « volume group size » de 20 Go au lieu des 60Go attendus), il faut:

1) étendre le volume logique aux trois disques:
lvextend -L+40Go /dev/grpvol/root

2) et redimensionner à chaud le système de fichier ext3
resize2fs -p /dev/grpvol/root

C’est la troisième fois que j’ai besoin de régler ce problème (je dois rater quelque chose dans la procédure d’installation. RTFM?) et je rame à chaque fois dans Google avant de retrouver ces deux commandes.
Je saurais où les chercher une prochaine fois:)

PS: C’est toujours amusant d’installer un serveur de 10 ans d’âge, biprocesseur Pentium II, 512Mo de mémoire vive et dont la carte mère n’accepte pas les disques durs IDE de plus de 20Go. Un serveur pour faire des tests bien sur…

Commission de sécurité

Publié le 6 novembre 2008 par Zythom

Lorsque j’ai fait le choix d’ajouter sur ma tête la casquette de responsable technique, je savais qu’il allait falloir que j’acquière rapidement des connaissances qu’un simple responsable informatique ne possède pas nécessairement.

La gestion d’un bâtiment ERP2 en fait partie.

ERP = Etablissement Recevant du Public, et non pas Progiciel de Gestion Intégré comme je l’ai pensé la première fois que l’on m’en a parlé.

Un ERP possède au moins un type et entre dans une catégorie: dans le cas de mes bâtiments, il s’agit d’un ERP de type R (Etablissements d’enseignement) de catégorie 2 (701 à 1500 personnes). La gestion technique d’un tel ensemble de bâtiments nécessite de respecter des règles de sécurité afin de prévenir les accidents.

Par chance, mon prédécesseur m’a laissé un (volumineux) dossier contenant la règlementation à suivre et une pile de dossiers à jour concernant la sécurité. Il faisait ainsi mentir l’adage « Mon prédécesseur, cet incapable; mon successeur, cet ambitieux« . Et pour faire mentir cet adage à mon tour (vis à vis de mon futur successeur), je me suis plongé dans les abimes règlementaires des ERP2…

Ma première décision a été de faire venir un pompier pour qu’il inspecte rapidement les lieux. La présence d’un homme en uniforme a également permis de faire passer plus en douceur la décision n°2 issue de cette inspection: supprimer toutes les tables, présentoirs, chaises et autres mobiliers qui s’étaient gentiment invités dans les couloirs et les escaliers de l’établissement… Les axes de circulation ne sont pas des zones de stockage, et ces objets représentent un risque pour l’évacuation en cas d’incendie ET pour la progression des pompiers. Seuls les photocopieurs d’étage semblent tolérés.

Pour le reste, RAS: tous les éléments de sécurité (extincteurs, trappes de désenfumage, centrale du système de sécurité incendie, détecteurs, etc.) ou les éléments dangereux (charriot élévateur, palans, ascenseurs, etc.) sont opérationnels et font l’objet de contrôles réguliers par des sociétés agréées.

Il n’empêche.

Tout ceci doit faire l’objet d’un contrôle ultime, une fois tous les trois ans: LA visite de la commission de sécurité.

Sous son intitulé complet, la commission consultative départementale de sécurisé et d’accessibilité est l’organisme compétent, à l’échelon du département, pour donner un avis concernant la poursuite d’activité de l’établissement à l’autorité investie du pouvoir de police administrative.

Et il y a quelques jours, c’était la première visite que j’avais à gérer…

Je me suis donc retrouvé face à cinq personnes: un représentant du préfet, de la mairie, de la police, de la DDE et des pompiers. Cela m’a rappelé les oraux des concours d’entrée aux grandes écoles! Et pendant deux heures, ils ont épluchés les documents que je leur présentais à la demande: consignes de sécurité, bilans des exercices d’évacuation, registre de sécurité, PV de vérifications des installations électriques, des chaudières, du gaz, des extincteurs, jusqu’aux contrats d’entretien des portes coulissantes de l’entrée principale de l’établissement.

Puis a eu lieu la visite des bâtiments. Nous nous sommes promenés dans tous les laboratoires, toutes les salles de TP, de TD, dans les amphithéâtres… RAS.

Enfin est venue la visite du sous-sol: archives et locaux de stockage du mobilier. Le pompier me désigne la porte d’un local en me demandant de l’ouvrir. Et là, stupeur: enchevêtrement de câbles, de rallonges, de chaises, de tabourets, d’enceintes, d’amplis, de batteries, de moquettes, de caisses, de cartons, de jeux de lumières… Il s’agit du local de répétition des différents groupes de musique de l’école.

Un silence plane sur le groupe agglutiné à l’entrée de cette pièce à l’aspect improbable.

Le pompier me regarde et m’interroge: Monsieur le responsable technique, quels sont les problèmes que vous relevez dans cette pièce?

Moi, déconfit: Et bien… les appareils électriques sont branchés sur des rallonges multiprises cascadées (jusqu’à quatre multiprises!), la pièce est remplis d’objets encombrants et inflammables visiblement stockés là sur une longue durée (zone de stockage) alors qu’il s’agit d’une pièce de vie, le désordre ambiant devient un piège mortel en cas d’incendie, pour les occupants qui cherchent à sortir, comme pour les sauveteurs qui cherchent à entrer. Bref, un piège mortel.

Lui: Et que comptez-vous faire?

Moi: Fermeture immédiate de ce local et dès demain, nettoyage avec les étudiants puis mis en place d’une installation électrique correspondant à leurs besoins.

Lui: Bien.

Résultat: avis favorable.

PS: Le pompier est revenu quinze jours après pour une visite impromptue. Tout avait été fait. Je n’ai qu’une parole.

Que faire quand vous découvrez une infraction?

Publié le 29 octobre 2008 par Zythom

En l’absence de poste effectivement dédié à la sécurité, je fais office de RSSI dans mon entreprise, c’est-à-dire que j’assure la responsabilité de la sécurité du système d’information.

En d’autre termes (dixit wikipedia), la sensibilisation des utilisateurs aux problèmes de sécurité, la sécurité des réseaux, la sécurité des systèmes, la sécurité des télécommunications, la sécurité des applications, la sécurité physique, la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur), la stratégie de sauvegarde des données et la mise en place d’un plan de continuité d’activité «disaster recovery».

Bien.

Cela tombe assez bien car en tant qu’expert judiciaire, je suis amené plutôt souvent à me prononcer sur la validité des actions menées au sein des entreprises par les responsables concernés par ces problèmes (et ils sont nombreux, les problèmes potentiels).

Seulement voilà, RSSI, c’est un métier à part entière, qui demande des connaissances techniques particulièrement élevées, et dans des domaines très divers. Un métier d’Expert.

Donc, quand on se définit comme un informaticien généraliste devant intervenir sur tous les aspects de l’informatique (i.e. responsable-informatique-dans-une-école-d’ingénieurs-et-expert-judiciaire-en-informatique), il est bon d’avoir plus que quelques bonnes notions concernant la sécurité informatique.

Et heureusement, il y a la pratique, la théorie et le partage d’expérience.

Concernant le partage d’expérience, il y a les blogs: Sid, Bruno Kerouanton, Maître Eolas, et j’en passe d’autres et des moins bons, et il y a les conférences.

A propos des conférences, s’il est parfois difficile d’y aller (temps, distance, frais…), il est souvent possible d’obtenir les actes, et parfois même gratuitement! C’est le cas pour le Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC).

Du coup, il est possible d’accéder à des documents intéressants (quand on arrive à en comprendre le sens). C’est le cas de l’excellent « Recueil et analyse de la preuve numérique dans le cadre d’une enquête pénale » de Nicolas DUVINAGE.

Résumé: Au cours de l’enquête pénale peuvent être saisies et analysées de nombreuses pièces à conviction de toutes natures: traces d’ADN, empreintes digitales, armes, etc, mais aussi disques durs, clés USB, téléphones portables… La présentation portera à la fois sur les grands principes de la criminalistique (étude scientifique des éléments de preuve), qui s’appliquent indifféremment à tous les scellés quelle que soit leur nature, mais aussi sur les particularités du traitement de la preuve numérique (saisie, conservation, exploitation, présentation des résultats). Une conduite à tenir-type sera également conseillée aux RSSI et administrateurs-réseau d’entreprise en cas de découverte d’infraction dans leur périmètre de compétences.

Et parce que nous sommes tous maintenant des RSSI en puissance (je n’ai pas dit « compétents »), et grâce à l’aimable autorisation de l’auteur, je peux retranscrire ici les conclusions de ce document (pour votre bonheur je vous encourage à les lire dans le document original).

———- extrait ———–

QUELQUES CONSEILS

«Les RSSI qui découvrent une infraction…»

Vous découvrez ce que vous pensez/supposez être une infraction… mais vous n’êtes pas magistrat!

• …ce n’est pas forcément une infraction.

• …et même si c’en est une, le suspect n’est pas forcément celui que l’on croit (ex.: poste de travail partagé, trojan, etc).

• …et même si c’est bien lui, il n’est pas forcément coupable (ex.: comportement involontaire).

• …et même s’il l’est pour tout le monde, il ne sera pas forcément condamné (ex.: absence de preuves suffisantes, vice de procédure, etc.).

De fausses accusations (même énoncées de bonne foi et sans intention de nuire) peuvent avoir de lourdes conséquences:

– Il est plus facile de détruire une réputation en 5 minutes que de la reconstruire… même s’il est prouvé que la personne est innocente («Il n’y a pas de fumée sans feu», les accusations de pédophilie sont souvent indélébiles…).

– Pour le suspect:

• Risque de mise à pied ou de licenciement;

• Risque de rupture conjugale, de suicide (pédophilie);

• Méfiance de l’entourage, de la famille, des amis, des collègues…

Conseil n°1: PRUDENCE et DISCRETION:

• Ne pas alerter toute l’entreprise (se contenter par ex du responsable juridique et du directeur du site, faire attention aux éventuelles complicités internes…).

• Laisser faire les spécialistes du droit (signaler les faits à la gendarmerie/police…).

• Ne pas porter de jugement hâtif sur l’intéressé (lui laisser le bénéfice du doute et la présomption d’innocence).

Conseil n°2: Pour autant, il faut réagir! …tout en respectant le droit du travail et les libertés fondamentales de la personne:

• Pas d’analyse des fichiers personnels privés du PC du suspect (cf. «arrêt Nikon» de la Cour de Cassation).

• Pas de «perquisition» dans son vestiaire, dans ses tiroirs en son absence.

Conseil n°3: Pour autant, il faut réagir! …et préserver les éléments de preuve:

• Remplacer le PC suspect par un autre PC (ex.: en prétextant une maintenance, une mise à jour, un problème de sécurité, ou au pire, en prétextant une infraction moins

infamante que la pédophilie [piratage, escroquerie…]).

• Extraire/graver les fichiers issus de serveurs (ex.: logs gravés sur CD).

• Si vous avez impérativement besoin de faire des analyses: réaliser une copie bit à bit des supports mis de côté et n’analyser que ces copies.

• Conserver les supports mis de côté dans un endroit sûr (ex.: coffre-fort) en attendant de les donner à la gendarmerie/police.

——- fin d’extrait ——–

Et si je peux me permettre d’ajouter un conseil: contactez un expert judiciaire. Il saura réaliser les actions techniques préconisées…

On voit des choses et on se demande pourquoi elles existent. Moi je rêve de choses qui n’ont jamais existé et je me demande pourquoi pas?

George Bernard Shaw

——————–

Crédit images darkroastedblend.com

Live view

Publié le 17 octobre 2008 par Zythom

Il est parfois étrange de constater comment mon activité professionnelle peut être alimentée par mon activité d’expert judiciaire en informatique, et réciproquement.

J’ai déjà vanté ici les mérites des machines virtuelles pour allumer un PC virtuel copie conforme du PC sous scellé. Les outils ne manquent pas: virtualbox, virtualpc, Oracle VM, QEMU, Xen, etc.

Après avoir testé plusieurs d’entre eux et les avoir mis en place pour la réalisation de séances de travaux pratiques (TP d’études de différents systèmes d’exploitation, analyse réseaux, etc), j’utilise avec succès les produits VMware dans le service informatique: d’abord VMware workstation, puis player, server et maintenant ESXi (gratuite depuis quelques semaines).

J’ai finalement mis en place en salle serveur la solution VMware ESXi, dans sa version gratuite. Et après quelques semaines de tests, elle est entrée en production. Chaque serveur fait tourner entre deux et quatre machines virtuelles, et nous sommes en train de migrer tous nos serveurs vers cette solution.

En quoi cette solution peut-elle être utilisée dans le cadre d’une expertise judiciaire informatique? Tout simplement, comme je l’expliquais dans ce billet, s’il est important de disposer des logiciels permettant de procéder à l’analyse inforensique d’une image de disque dur, il est intéressant et plutôt pratique de pouvoir démarrer une copie de l’ordinateur. Et pour éviter de déployer l’image sur un ordinateur matériel, l’idée d’utiliser des machines virtuelles surgit naturellement.

Comment? Et bien il suffit par exemple de convertir l’image numérique du disque dur en une machine virtuelle VMware à l’aide du logiciel Live View.

Du point de vue ressource, Live View vous permet de travailler en lecture seule sur la copie du disque dur, les modifications inévitablement effectuées par le système d’exploitation étant conservées sur un autre disque dur virtuel (qu’il est facile d’effacer rapidement).

Vous disposez ainsi d’une machine virtuelle redémarrable et réinitilisable à l’infini, sur laquelle il est possible de mener quelques investigations simples qui pourront être vérifiées de façon probante sur la « photographie » du scellé d’origine (l’image du disque dur ou de la clef USB): organisation générale du disque dur, logiciels installés, liens présents sur le bureau, fichiers de la corbeille, fond d’écran, raccourcis vers supports externes, etc.

A noter pour les experts judiciaires fortunés, que Live View semble pouvoir travailler avec des images provenant d’EnCase® Forensic. A 5000 euros la licence, je n’ai pas le volume d’affaires pour m’offrir cet outil performant…

Un dernier truc concernant Live View: je ne l’ai utilisé que pour créer des machines virtuelles Windows. Il semble n’avoir qu’un support limité de Linux. Cela ne me gène pas car pour l’instant, je n’ai jamais eu à analyser de machines Linux de cette façon là. Du coup, pour éviter au maximum les problèmes d’activation de l’OS, il faut « coller » au plus près des caractéristiques physiques de la machine initiale (comme la taille mémoire). Si tout va bien, vous pourrez redémarrer autant de fois que vous le souhaitez, à condition de réinitialiser l’image « from scratch ». Dans le cas d’un Windows XP sans service pack, il faudra passer par la procédure d’activation…

Mais dans tous les cas, comme je j’avais déjà indiqué, avec Live View, la vue, c’est la vie rtualisation:)

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Professionnel