Commission de sécurité

Publié le 6 novembre 2008 par Zythom

Lorsque j’ai fait le choix d’ajouter sur ma tête la casquette de responsable technique, je savais qu’il allait falloir que j’acquière rapidement des connaissances qu’un simple responsable informatique ne possède pas nécessairement.

La gestion d’un bâtiment ERP2 en fait partie.

ERP = Etablissement Recevant du Public, et non pas Progiciel de Gestion Intégré comme je l’ai pensé la première fois que l’on m’en a parlé.

Un ERP possède au moins un type et entre dans une catégorie: dans le cas de mes bâtiments, il s’agit d’un ERP de type R (Etablissements d’enseignement) de catégorie 2 (701 à 1500 personnes). La gestion technique d’un tel ensemble de bâtiments nécessite de respecter des règles de sécurité afin de prévenir les accidents.

Par chance, mon prédécesseur m’a laissé un (volumineux) dossier contenant la règlementation à suivre et une pile de dossiers à jour concernant la sécurité. Il faisait ainsi mentir l’adage « Mon prédécesseur, cet incapable; mon successeur, cet ambitieux« . Et pour faire mentir cet adage à mon tour (vis à vis de mon futur successeur), je me suis plongé dans les abimes règlementaires des ERP2…

Ma première décision a été de faire venir un pompier pour qu’il inspecte rapidement les lieux. La présence d’un homme en uniforme a également permis de faire passer plus en douceur la décision n°2 issue de cette inspection: supprimer toutes les tables, présentoirs, chaises et autres mobiliers qui s’étaient gentiment invités dans les couloirs et les escaliers de l’établissement… Les axes de circulation ne sont pas des zones de stockage, et ces objets représentent un risque pour l’évacuation en cas d’incendie ET pour la progression des pompiers. Seuls les photocopieurs d’étage semblent tolérés.

Pour le reste, RAS: tous les éléments de sécurité (extincteurs, trappes de désenfumage, centrale du système de sécurité incendie, détecteurs, etc.) ou les éléments dangereux (charriot élévateur, palans, ascenseurs, etc.) sont opérationnels et font l’objet de contrôles réguliers par des sociétés agréées.

Il n’empêche.

Tout ceci doit faire l’objet d’un contrôle ultime, une fois tous les trois ans: LA visite de la commission de sécurité.

Sous son intitulé complet, la commission consultative départementale de sécurisé et d’accessibilité est l’organisme compétent, à l’échelon du département, pour donner un avis concernant la poursuite d’activité de l’établissement à l’autorité investie du pouvoir de police administrative.

Et il y a quelques jours, c’était la première visite que j’avais à gérer…

Je me suis donc retrouvé face à cinq personnes: un représentant du préfet, de la mairie, de la police, de la DDE et des pompiers. Cela m’a rappelé les oraux des concours d’entrée aux grandes écoles! Et pendant deux heures, ils ont épluchés les documents que je leur présentais à la demande: consignes de sécurité, bilans des exercices d’évacuation, registre de sécurité, PV de vérifications des installations électriques, des chaudières, du gaz, des extincteurs, jusqu’aux contrats d’entretien des portes coulissantes de l’entrée principale de l’établissement.

Puis a eu lieu la visite des bâtiments. Nous nous sommes promenés dans tous les laboratoires, toutes les salles de TP, de TD, dans les amphithéâtres… RAS.

Enfin est venue la visite du sous-sol: archives et locaux de stockage du mobilier. Le pompier me désigne la porte d’un local en me demandant de l’ouvrir. Et là, stupeur: enchevêtrement de câbles, de rallonges, de chaises, de tabourets, d’enceintes, d’amplis, de batteries, de moquettes, de caisses, de cartons, de jeux de lumières… Il s’agit du local de répétition des différents groupes de musique de l’école.

Un silence plane sur le groupe agglutiné à l’entrée de cette pièce à l’aspect improbable.

Le pompier me regarde et m’interroge: Monsieur le responsable technique, quels sont les problèmes que vous relevez dans cette pièce?

Moi, déconfit: Et bien… les appareils électriques sont branchés sur des rallonges multiprises cascadées (jusqu’à quatre multiprises!), la pièce est remplis d’objets encombrants et inflammables visiblement stockés là sur une longue durée (zone de stockage) alors qu’il s’agit d’une pièce de vie, le désordre ambiant devient un piège mortel en cas d’incendie, pour les occupants qui cherchent à sortir, comme pour les sauveteurs qui cherchent à entrer. Bref, un piège mortel.

Lui: Et que comptez-vous faire?

Moi: Fermeture immédiate de ce local et dès demain, nettoyage avec les étudiants puis mis en place d’une installation électrique correspondant à leurs besoins.

Lui: Bien.

Résultat: avis favorable.

PS: Le pompier est revenu quinze jours après pour une visite impromptue. Tout avait été fait. Je n’ai qu’une parole.

Que faire quand vous découvrez une infraction?

Publié le 29 octobre 2008 par Zythom

En l’absence de poste effectivement dédié à la sécurité, je fais office de RSSI dans mon entreprise, c’est-à-dire que j’assure la responsabilité de la sécurité du système d’information.

En d’autre termes (dixit wikipedia), la sensibilisation des utilisateurs aux problèmes de sécurité, la sécurité des réseaux, la sécurité des systèmes, la sécurité des télécommunications, la sécurité des applications, la sécurité physique, la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur), la stratégie de sauvegarde des données et la mise en place d’un plan de continuité d’activité «disaster recovery».

Bien.

Cela tombe assez bien car en tant qu’expert judiciaire, je suis amené plutôt souvent à me prononcer sur la validité des actions menées au sein des entreprises par les responsables concernés par ces problèmes (et ils sont nombreux, les problèmes potentiels).

Seulement voilà, RSSI, c’est un métier à part entière, qui demande des connaissances techniques particulièrement élevées, et dans des domaines très divers. Un métier d’Expert.

Donc, quand on se définit comme un informaticien généraliste devant intervenir sur tous les aspects de l’informatique (i.e. responsable-informatique-dans-une-école-d’ingénieurs-et-expert-judiciaire-en-informatique), il est bon d’avoir plus que quelques bonnes notions concernant la sécurité informatique.

Et heureusement, il y a la pratique, la théorie et le partage d’expérience.

Concernant le partage d’expérience, il y a les blogs: Sid, Bruno Kerouanton, Maître Eolas, et j’en passe d’autres et des moins bons, et il y a les conférences.

A propos des conférences, s’il est parfois difficile d’y aller (temps, distance, frais…), il est souvent possible d’obtenir les actes, et parfois même gratuitement! C’est le cas pour le Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC).

Du coup, il est possible d’accéder à des documents intéressants (quand on arrive à en comprendre le sens). C’est le cas de l’excellent « Recueil et analyse de la preuve numérique dans le cadre d’une enquête pénale » de Nicolas DUVINAGE.

Résumé: Au cours de l’enquête pénale peuvent être saisies et analysées de nombreuses pièces à conviction de toutes natures: traces d’ADN, empreintes digitales, armes, etc, mais aussi disques durs, clés USB, téléphones portables… La présentation portera à la fois sur les grands principes de la criminalistique (étude scientifique des éléments de preuve), qui s’appliquent indifféremment à tous les scellés quelle que soit leur nature, mais aussi sur les particularités du traitement de la preuve numérique (saisie, conservation, exploitation, présentation des résultats). Une conduite à tenir-type sera également conseillée aux RSSI et administrateurs-réseau d’entreprise en cas de découverte d’infraction dans leur périmètre de compétences.

Et parce que nous sommes tous maintenant des RSSI en puissance (je n’ai pas dit « compétents »), et grâce à l’aimable autorisation de l’auteur, je peux retranscrire ici les conclusions de ce document (pour votre bonheur je vous encourage à les lire dans le document original).

———- extrait ———–

QUELQUES CONSEILS

«Les RSSI qui découvrent une infraction…»

Vous découvrez ce que vous pensez/supposez être une infraction… mais vous n’êtes pas magistrat!

• …ce n’est pas forcément une infraction.

• …et même si c’en est une, le suspect n’est pas forcément celui que l’on croit (ex.: poste de travail partagé, trojan, etc).

• …et même si c’est bien lui, il n’est pas forcément coupable (ex.: comportement involontaire).

• …et même s’il l’est pour tout le monde, il ne sera pas forcément condamné (ex.: absence de preuves suffisantes, vice de procédure, etc.).

De fausses accusations (même énoncées de bonne foi et sans intention de nuire) peuvent avoir de lourdes conséquences:

– Il est plus facile de détruire une réputation en 5 minutes que de la reconstruire… même s’il est prouvé que la personne est innocente («Il n’y a pas de fumée sans feu», les accusations de pédophilie sont souvent indélébiles…).

– Pour le suspect:

• Risque de mise à pied ou de licenciement;

• Risque de rupture conjugale, de suicide (pédophilie);

• Méfiance de l’entourage, de la famille, des amis, des collègues…

Conseil n°1: PRUDENCE et DISCRETION:

• Ne pas alerter toute l’entreprise (se contenter par ex du responsable juridique et du directeur du site, faire attention aux éventuelles complicités internes…).

• Laisser faire les spécialistes du droit (signaler les faits à la gendarmerie/police…).

• Ne pas porter de jugement hâtif sur l’intéressé (lui laisser le bénéfice du doute et la présomption d’innocence).

Conseil n°2: Pour autant, il faut réagir! …tout en respectant le droit du travail et les libertés fondamentales de la personne:

• Pas d’analyse des fichiers personnels privés du PC du suspect (cf. «arrêt Nikon» de la Cour de Cassation).

• Pas de «perquisition» dans son vestiaire, dans ses tiroirs en son absence.

Conseil n°3: Pour autant, il faut réagir! …et préserver les éléments de preuve:

• Remplacer le PC suspect par un autre PC (ex.: en prétextant une maintenance, une mise à jour, un problème de sécurité, ou au pire, en prétextant une infraction moins

infamante que la pédophilie [piratage, escroquerie…]).

• Extraire/graver les fichiers issus de serveurs (ex.: logs gravés sur CD).

• Si vous avez impérativement besoin de faire des analyses: réaliser une copie bit à bit des supports mis de côté et n’analyser que ces copies.

• Conserver les supports mis de côté dans un endroit sûr (ex.: coffre-fort) en attendant de les donner à la gendarmerie/police.

——- fin d’extrait ——–

Et si je peux me permettre d’ajouter un conseil: contactez un expert judiciaire. Il saura réaliser les actions techniques préconisées…

On voit des choses et on se demande pourquoi elles existent. Moi je rêve de choses qui n’ont jamais existé et je me demande pourquoi pas?

George Bernard Shaw

Live view

Publié le 17 octobre 2008 par Zythom

Il est parfois étrange de constater comment mon activité professionnelle peut être alimentée par mon activité d’expert judiciaire en informatique, et réciproquement.

J’ai déjà vanté ici les mérites des machines virtuelles pour allumer un PC virtuel copie conforme du PC sous scellé. Les outils ne manquent pas: virtualbox, virtualpc, Oracle VM, QEMU, Xen, etc.

Après avoir testé plusieurs d’entre eux et les avoir mis en place pour la réalisation de séances de travaux pratiques (TP d’études de différents systèmes d’exploitation, analyse réseaux, etc), j’utilise avec succès les produits VMware dans le service informatique: d’abord VMware workstation, puis player, server et maintenant ESXi (gratuite depuis quelques semaines).

J’ai finalement mis en place en salle serveur la solution VMware ESXi, dans sa version gratuite. Et après quelques semaines de tests, elle est entrée en production. Chaque serveur fait tourner entre deux et quatre machines virtuelles, et nous sommes en train de migrer tous nos serveurs vers cette solution.

En quoi cette solution peut-elle être utilisée dans le cadre d’une expertise judiciaire informatique? Tout simplement, comme je l’expliquais dans ce billet, s’il est important de disposer des logiciels permettant de procéder à l’analyse inforensique d’une image de disque dur, il est intéressant et plutôt pratique de pouvoir démarrer une copie de l’ordinateur. Et pour éviter de déployer l’image sur un ordinateur matériel, l’idée d’utiliser des machines virtuelles surgit naturellement.

Comment? Et bien il suffit par exemple de convertir l’image numérique du disque dur en une machine virtuelle VMware à l’aide du logiciel Live View.

Du point de vue ressource, Live View vous permet de travailler en lecture seule sur la copie du disque dur, les modifications inévitablement effectuées par le système d’exploitation étant conservées sur un autre disque dur virtuel (qu’il est facile d’effacer rapidement).

Vous disposez ainsi d’une machine virtuelle redémarrable et réinitilisable à l’infini, sur laquelle il est possible de mener quelques investigations simples qui pourront être vérifiées de façon probante sur la « photographie » du scellé d’origine (l’image du disque dur ou de la clef USB): organisation générale du disque dur, logiciels installés, liens présents sur le bureau, fichiers de la corbeille, fond d’écran, raccourcis vers supports externes, etc.

A noter pour les experts judiciaires fortunés, que Live View semble pouvoir travailler avec des images provenant d’EnCase® Forensic. A 5000 euros la licence, je n’ai pas le volume d’affaires pour m’offrir cet outil performant…

Un dernier truc concernant Live View: je ne l’ai utilisé que pour créer des machines virtuelles Windows. Il semble n’avoir qu’un support limité de Linux. Cela ne me gène pas car pour l’instant, je n’ai jamais eu à analyser de machines Linux de cette façon là. Du coup, pour éviter au maximum les problèmes d’activation de l’OS, il faut « coller » au plus près des caractéristiques physiques de la machine initiale (comme la taille mémoire). Si tout va bien, vous pourrez redémarrer autant de fois que vous le souhaitez, à condition de réinitialiser l’image « from scratch ». Dans le cas d’un Windows XP sans service pack, il faudra passer par la procédure d’activation…

Mais dans tous les cas, comme je j’avais déjà indiqué, avec Live View, la vue, c’est la vie rtualisation:)

18

Publié le 14 octobre 2008 par Zythom

Etre SST (Sauveteur-secouriste du Travail) dans une école d’ingénieurs, c’est gérer beaucoup de bobologie. Mais pas seulement.

Ce matin, j’ai été appelé car un étudiant avait un malaise.

Une fois sur place, j’ai découvert un étudiant allongé par terre, faisant des convulsions et ayant du mal à respirer.

C’est très impressionnant.

Il était entouré par ses amis. Comme il ne pouvait pas parler, ce sont eux qui m’ont expliqué que j’avais été dérangé inutilement car il faisait ce type de crise régulièrement, qu’il ne fallait pas s’inquiéter, qu’il suffisait d’attendre et que cela allait passer…

Mon sang n’a fait qu’un tour: attendre, ne pas s’inquiéter, ne pas faire de vague, ne pas déranger, rester discret, ne pas prendre de décision, les-secours-mais-vous-n’y-pensez-pas…

J’ai immédiatement, et pour la première fois de ma vie, appelé le 18.

J’ai eu quelqu’un de très calme qui m’a posé quelques questions. J’étais moi-même très calme, à ma grande surprise. De la théorie à la pratique, il y a parfois un gouffre. J’ai ensuite demandé à deux des étudiants présents d’aller attendre et guider les secours jusqu’à nous dans le dédale de l’école.

Je suis resté avec l’étudiant malade en essayant de le détendre par des paroles rassurantes, en l’allongeant sur le lit de l’infirmerie. Les pompiers sont arrivés quelques minutes plus tard et ont pris les choses en main. Ils ont rapidement emmené l’étudiant à l’hôpital en observation.

Ensuite, il m’a fallu rassurer les amis de l’étudiant, leur expliquer qu’on ne peut pas regarder quelqu’un qui est peut-être en train de mourir, que ni eux ni moi ne sommes médecins. Je n’ai pas du être très convainquant car ils sont partis en me reprochant mon exagération. Tous les adultes présents semblaient assez d’accord avec eux.

N’empêche.

Depuis que j’ai accepté la responsabilité du service technique, et par là la gestion de la sécurité des biens et des personnes, j’ai décidé de bousculer les habitudes: plus de médicaments à l’infirmerie (uniquement des compresses stériles et des lingettes nettoyantes), une liste à jour des pansements et désinfectants, les instruments indispensables (ciseaux à bout ronds, pince à échardes, oeillère pour laver l’oeil, gants jetables, sachets plastiques, couverture de survie…

Et appel systématique aux urgences en cas de problème médical.

Cela a beaucoup changé les petites habitudes… Mais je résiste à la pression et essaye d’être pédagogique sur ces changements, sur la sécurité, etc.

N’empêche que quand les pompiers sont partis, je suis rentré m’isoler dans mon bureau et j’ai pleuré un bon coup. Le contrecoup sans doute.

Je suis trop sensible, j’aurais fait un mauvais urgentiste.

De Michel Eyquem de Zythom

Publié le 12 octobre 2008 par Zythom

N’ayant rien à faire ce dimanche, et constatant que ce blog a maintenant une audience internationale, je me permets de le présenter en langue anglaise et en chinois.

Having nothing to do this Sunday, and noting that this blog has an international audience, let me present it in English and Chinese. Thank you « Google beta translation. »

在没有做到这一点星期日，并指出，此博客具有国际观众，让我目前它的英文和中国。谢谢你“谷歌测试翻译。”

Internet user, loe here a well-meaning Blog. It doth at the first entrance forewarne thee, that in contriving the same I have proposed unto my selfe no other than a familiar and private end: I have no respect or consideration at all, either to thy service, or to my glory: my forces are not capable of any such desseigne. I have vowed the same to the particular commodity of my kinsfolk and friends: to the end, that losing me (which they are likely to do ere long), they may therein find some lineaments of my conditions and humours, and by that meanes reserve more whole, and more lively foster the knowledge and acquaintance they have had of me. Had my intention beene to forestal and purchase the world’s opinion and favour, I would surely have adorned myselfe more quaintly, or kept a more grave and solemne march. I desire thereun to be delineated in mine own genuine, simple and ordinarie fashion, without contention, art or study; for it is myselfe I pourtray. My imperfections shall thus be read to the life, and my naturall forme discerned, so farre-forth as publike reverence hath permitted me. For if my fortune had beene to have lived among those nations which yet are said to live under the sweet liberty of Nature’s first and uncorrupted lawes, I assure thee, I would most willingly have pourtrayed myselfe fully and naked. Thus, gentle Surfer, myselfe am the groundworke of my blog: it is then no reason thou shouldest employ thy time about so frivolous and vaine a subject. Therefore farewell,

From Zythom,
The First of March, 1580.

Original text from Montaigne, translation by John Florio.

以下是博客诚实的球员。你无法进入，我已设定的个人目标和私营答：我不写，使你幸福，我不写我的荣耀，我的部队没有能力这样一个设计。我写信给我的父母和朋友，我将死于一天，他们可以找到所有的特质，我的性格，使他们能够记得我。如果我写信给得到支持的世界，我抹去我的错误和夸大我的素质。我想看看我的简单，自然和普通，学习和没有诡计：因为这是我说，我画画。我国断层热衷于阅读，我的不完善之处，并形成幼稚的我而言，公众尊敬的帮助了我。如果我一直在这些人说，他们仍然生活在甜蜜的自由性质，我向你们保证，我将非常高兴画一个整体，赤身裸体。所以，亲爱的旅客，我本人的主题我的博客：这是不正常的，你失去的时间来阅读。因此，再见。
从Zythom ，在1580年3月1号。

Backstage 0810

Publié le 10 octobre 2008 par Zythom

Comme beaucoup de scientifiques, j’aime les chiffres. Et les nombres aussi.
Je sais, ce ne sont pas des choses qui se disent en société.
C’est un peu honteux.

Quand j’étais jeune, lors des réunions de famille, mes parents, très fiers, donnaient mes résultats scolaires en pâture aux oncles et tantes. Et leurs enfants (mes cousins et cousines) me regardaient par en dessous avec l’air de dire « pfff quel polard ». Et pour briller dans les yeux des filles, il me fallait cacher cette passion pour les nombres, pour les maths, pour l’informatique naissante, pour l’électronique, pour la physique, pour l’astrophysique.

Sur le sac US qui me servait de cartable (nous étions des rebelles à l’époque:), là où tous mes copains inscrivaient les noms des groupes de rock en vogue, moi j’avais écrit les sigles suivants: SHRDLU, Lisp, Lovelace et Turing. Et quand on me demandait leur signification, je me taisais et baissais les yeux.

Quand on me demandait ce que je faisais (alors que je me grillais les neurones en math sup), je répondais « Bah, je fais des études en sciences » et renvoyais la question, tant il est vrai que pour intéresser quelqu’un, il faut l’écouter parler de lui (ou d’elle).

Aujourd’hui, je suis loin de toute cette misère personnelle, et je me plonge avec délice dans les ouvrages qu’il me fallait auparavant recouvrir d’une couverture de « Playboy » pour éviter les regards désapprobateurs: « The International Journal of Forensic Computer Science« , « Paradoxes mathématiques » et autres MISC… Et comme je m’amuse à tenir ce blog, j’ai pu me plonger grâce à vous (et avec délice) dans les nombres des statistiques de consultation que me remonte « google analytics ».

BOOM BOOM BOOM BOOM BOOM BOOM (roulements de tambours)

Voici donc, en exclusivité confidentiel défense, quelques nombres (avec des images, c’est encore plus joli) que vous avez générés en venant me rendre visite sur ce blog, entre le 1er septembre 2006 et 2008:

Le tableau de bord des visites mensuelles:

Je rougis de plaisir de savoir que 4864 personnes se sont égarées ici au mois de septembre 2008! Je sais, c’est à peine une heure de visiteurs du blog de JM Ucciani dessinateur, mais bon, je vous remercie tous, chers lecteurs et lectrices!

Vue d’ensemble des visiteurs:

Profil technique – les navigateurs:

Firefox, numéro un haut la main! Cela devrait faire plaisir à Tristant Nitot.

Profil technique – vitesses de connexion:

Tout cela me permet de voir qu’il existe des visiteurs ayant une liaison internet OC3 à 155 Mb/s (une connexion OC3 est 100 x plus rapide que T1 (1.5 Mb/s) et 3.5 x plus rapide que T3 (45Mb/s)), mais aussi quelques uns en liaison modem 56k (je sais, c’est peut-être une personne qui est venue 1479 fois)…

La synthèse géographique:
69 636 visites, provenant de 119 pays/territoires.

~~Pour un blog exclusivement en français, cela fait plaisir de voir qu’il y a encore des français à l’étranger:)~~ [Edit 12/10/2008: un lecteur me fait remarquer qu’il n’y a pas que des français qui parle français hors de France… Je suis honteux, vraiment! Je corrige donc.] Pour un blog exclusivement en langue française, cela fait plaisir de voir qu’il y a autant de francophones dans le monde:)

Les mots clefs utilisés qui amènent ici:

Quelques mots clefs sont également intéressants…
image(s) pédophile(s) 284+157+137+73+53+52 = 756 visites qui amènent ici suite à la saisie de ces mots clefs dans les moteurs de recherche.

Mais n’oubliez pas la citation suivante:
« Je me suis jeté dans la boue plus d’un demi-million de fois. Cela permet-il d’en déduire quoi que ce soit sur mon état mental? »
Sepp Maier (gardien de but allemand) via Courtois.

Les sources de trafic:
LE tableau des tableaux, celui que l’on ne montre jamais, celui des sources de trafic (69 636 visites via 383 sources et supports):

Merci donc à google et à vos marques-pages.
Merci à Sid, Bertrand Lemaire, Bruno Kerouanton…

Merci surtout à Maître Eolas (attention site addictif) dont le référencement permanent montre ici l’influence (et je ne parle pas des pics de fréquentation lorsqu’il publie un lien dans un billet – heureusement que je ne paye pas la bande passante de l’hébergement…) Qu’il soit ici publiquement écrit que je lui offre une bière dans le premier endroit où je peux entrer avec un sac sur la tête (je porte très mal la serviette).

Un grand merci aussi à Paxatagore qui a été le premier blogueur à me référencer dans sa blogroll! (Paxatagore, revenez!)

Allez, je lève mon verre à la santé de tous ceux qui sont venus ici passer en moyenne 1mn 56s 31415926535. En particulier à tous les lyonnais 🙂

Et si un jour vous croisez quelqu’un en costume noir avec un autocollant ETAOIN sur son attaché case, alors qui sait, c’est peut-être moi?

Suum quique tribuere

Slap-happy

Publié le 6 septembre 2008 par Zythom

J’exerce le doux métier de responsable informatique et technique dans une école d’ingénieurs. Comme mes homologues, j’ai mis en place une sécurité informatique essentiellement basé sur des mots de passe et sur une séparation des réseaux. Les utilisateurs doivent changer régulièrement leurs mots de passe et les choisir suffisamment compliqués. Mais certains étudiants aiment jouer avec le feu et cherchent à pirater le compte d’un professeur… Voici la dernière anecdote en date.

Un professeur décide de faire un examen en deux parties à un mois d’intervalle. Il constate avec surprise que quelques étudiants ont vu leurs résultats quadrupler en passant de 04/20 à 16/20 d’une épreuve à l’autre.

Il décide d’approfondir le problème et soupçonne rapidement une tricherie: ces étudiants semblent avoir eu accès au sujet de la deuxième épreuve. Après avoir étudié toutes les fuites possibles, il subodore un vol de mot de passe et vient me voir.

La plupart des systèmes informatiques sont journalisés et le mien ne fait pas exception. Me voici donc à explorer les fichiers de LOG où sont stockés les connexions des utilisateurs. J’y découvre que le professeur semble s’être connecté au système le soir dans les salles informatiques en libre service.

Par mon expérience d’expert judiciaire en informatique, je connais bien la différence entre personne physique et compte informatique, et le danger du raccourci de langage qui consiste à dire « Untel s’est connecté » au lieu de dire « le compte d’Untel a été utilisé ».

Une simple vérification auprès du professeur me permet de comprendre que son compte informatique a été utilisé hors sa présence. Son mot de passe avait donc été volé.

Il y a plusieurs façon de voler un mot de passe: enregistreur de frappe (keylogger), attaque par dictionnaire, mot de passe facile à deviner lors de la saisie (prénom, nom commun…). Ayant à cœur de sécuriser mon système informatique du mieux possible, je mène ma petite enquête pour connaître la méthode utilisée.

En analysant les fichiers de LOG des connexions utilisateurs, je me rends vite compte que parmi les étudiants suspectés de tricherie, deux se sont connectés sur des ordinateurs voisins de celui sur lequel le compte du professeur a été abusivement utilisé.

En étudiant les fichiers de LOG des impressions, je me rends compte qu’un autre étudiant a imprimé un fichier portant le même nom que le fichier contenant le corrigé de l’examen et appartenant au professeur.

En interrogeant le professeur, celui-ci jure qu’il ne stocke pas de données aussi confidentielles sur son compte pédagogique (le compte accessible en salle de cours). Nous vérifions ensemble. Effectivement, aucune trace visible du corrigé sur son compte. Néanmoins, notre système informatique permet une récupération personnelle des données effacées: clic droit, menu « recouvrer les fichiers » (OS Novell Netware). Et hop, voici qu’apparait le fameux corrigé! Le professeur m’indique alors avoir fait transité le fichier par son compte réseau, puis sur sa clef USB, avant de l’effacer. Il ne connaissait pas la fonctionnalité de récupération de données (les étudiants oui, et c’est moi qui le leur enseigne…).

Restait à savoir comment les étudiants avaient obtenus le mot de passe.

Je convoque tout mon petit monde dans mon bureau et prend mon air le plus sévère. Après quelques minutes sur la sellette, les étudiants m’ont expliqué leur façon de faire: lors d’un cours en amphithéâtre, l’un d’entre eux avait son ordinateur portable allumé. Au moment où le professeur s’est connecté sur l’ordinateur de l’amphithéâtre pour son cours, l’étudiant a tourné discrètement la webcam de son portable pour filmer le professeur saisissant son mot de passe.

Une fois en salle informatique, l’étudiant s’est connecté sur le compte du professeur, et ne trouvant rien, a eu l’idée de vérifier les fichiers effacés. CQFD.

Les quatre étudiants ont eu zéro et sont passés en conseil de discipline. Ils n’ont pas été exclus.

Je les aime bien mes étudiants. Ils sont juste un peu parfois irresponsables et insouciants.

Je me méfie maintenant des webcams, des appareils photos, des caméras, des stylos, des lunettes, des montres, des nounours, des miroirs, des ordures, des volants…

10 ans

Publié le 5 septembre 2008 par Zythom

Happy birthday…

Grâce au paradoxe des anniversaires (utilisé en cryptographie pour élaborer des attaques sur les fonctions de hachage), je sais maintenant que si je vais à une assemblée de plus de 10111 blogueurs, j’ai une chance sur 10 d’y rencontrer un blogueur ayant commencé son blog le même jour que moi… c’est-à-dire il y a pile 10 ans, le 101 septembre 11111010110.

Et pour fêter cela, une petite note culturelle ~~honteusement pompée sur~~ issue de Wikipedia:
Deux est :
* Le nombre de la deuxième pièce des centimes d’euros où figure une Marianne, pour les pièces françaises.
* Le nombre de la dernière pièce d’euros où figure un chêne, un hexagone et la devise républicaine pour les pièces françaises.
* Le nom de plusieurs personnages fictifs : N° Deux.
* Dans la langue anglo-saxonne, la locution «number two», est un euphémisme pour la défécation.
* Un des préfixes d’appel radio alloués au Royaume-Uni.
* Le numéro de la zone DVD pour l’Europe, l’Afrique du Sud, le Moyen-Orient et le Japon.
* Au rugby, le numéro de la position la plus dangereuse, le talonneur.
* Au baseball, deux représente la position du receveur.
* Le premier chiffre des codes d’appel téléphoniques en premier lieu pour les pays d’Afrique.
* La seconde dans le système scolaire français est la première classe du lycée.
* La deuxième planète du système solaire s’appelle Vénus.
* Le nombre de couleurs dans un jeu de cartes (rouge et noir).
* En France, le nombre d’années de mariage des noces de cuir.
* Dans les pays anglo-saxons et en Allemagne, le nombre d’années de mariage des noces de coton.
* En musique :
o Dans l’échelle diatonique, la seconde — représentée de préférence par le chiffre arabe 2 — désigne un intervalle entre deux degrés conjoints. On pourra distinguer la seconde mineure, qui équivaut au demi-ton, et la seconde majeure, qui équivaut au ton.
o Dans une gamme ou une tonalité, le chiffre romain II désigne, soit le deuxième degré — appelé sus-tonique —, soit la fonction tonale associée, soit l’accord correspondant — lorsqu’il est distingué, II = majeur et ii = mineur.
o Dans la musique modale, le deuxième mode est appelé Dorien.
* Années historiques : -2, 2, 1902 ou 2002.
* Le n° du département français, l’Aisne.
* Le numéro de l’autoroute française A2 qui part de Péronne (de l’A1) pour atteindre la Belgique.
* Le nombre d’atomes d’hydrogène dans une molécule d’eau (H2O)

En anglais, 2 (two) est :
* La dénomination du billet de 2$ où figure le portrait de Thomas Jefferson ; (dernière impression en 1996 ; en 2004, rarement vu en circulation).
* La dénomination de la pièce de 2$ canadiens où figure un ours polaire.
* La dénomination de la pièce de 2$ néo-zélandais, où figure le héron blanc.
* Une abréviation pour le mot «to» — leur prononciation se ressemble mais ce ne sont pas des homophones au sens strict, voir par exemple la phrase «from two to two to two two» («de deux heures moins deux à deux heures deux»); ce mot a plusieurs sens, mais l’abréviation en général utilisée pour l’acception «vers» (direction, but), comme par exemple dans P2P (peer-to-peer) ou en langage SMS «2U» (to you, pour toi).

So, thanks 2U dear reader… Tout particulièrement à ceux qui m’ont incité à continuer quand j’ai eu une baisse de moral.

Hips, à la votre!

Tiip-tiiptiip-tiiptiip

Publié le 16 août 2008 par Zythom

Aujourd’hui est un grand jour pour moi: c’est un jour anniversaire pour ce blog!!!
Cela fait 711 jours que ce blog a débuté 🙂

Ma fille ainée: « Pfff. »
Ma fille cadette: « Ah bon? »
Mon fils benjamin: « Papa j’ai gagné une moto sur Mario Kart! »
Ma femme: « Qu’est-ce que tu viens faire encore ton intéressant sur internet »

Cela fait 1 an, 11 mois et 11 jours que ce blog existe.
Et il se trouve que cela m’amuse.

Merci à tous les lecteurs.

A moi la maison bleue

Publié le 18 juillet 2008 par Zythom

Ce billet est la suite de ce billet, celui-ci, celui-là, et ce dernier …

Ca y est, c’est l’heure du grand départ.
Le grand moment du reset total, avant celui du total recall.

Rien n’est prêt, mais nous partons.

Je risque de laisser ce blog en friche pour trois semaines.

I’ll be back…

Mots clefs: vacances, départ, break, famille, j’en ai bien besoin, stop, oubli des mots de passe, bisous Maman et Papa, salut, bye, Brian is in the kitchen, $$$, douane, randonnée, ampoules, photos, tente, plaisirs, galères, ours, paysages…

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Professionnel