Archives par mot-clé : Technique

Votre plus vieille donnée?

Publié le par

Le Conseil d’Etat a rejeté le recours des FAI sur le décret les obligeant à conserver les informations de connexion de leurs abonnés. Cette mesure leur impose de conserver pendant un an toutes les données de connexion par Internet, téléphone fixe et mobile de leurs clients (source: 01net.com).

Cette lecture m’a donné l’idée d’une Question à deux euros pour alimenter ma rubrique la plus fumeuse: quelle est la donnée la plus ancienne de mon disque dur?

Ni une, ni deux, me voici à la recherche de cette curieuse information… Bien entendu, je recherche une donnée m’appartenant, pas le fichier d’une quelconque installation à la date douteuse (1970 par exemple…)

C’est comme cela que je suis tombé sur l’un des premiers emails que j’ai écris!

Daté du 11 février 1989, je l’avais envoyé à un collègue lors du raccordement à internet de mon laboratoire de recherche. Notre laboratoire, bien que situé en plein Paris était en retard. Nous avions encore une partie des bâtiments électrifiés en 110v! Des canalis amenaient le 220v spécialement pour nos stations de travail Apollo.

En 1989, le web graphique n’existait pas encore! Il me faudra attendre 1993 pour utiliser les premières versions de NCSA Mosaic.

Nous utilisions des lignes de commandes pour échanger des fichiers et envoyer des emails. Si si! (je m’adresse à mes jeunes lecteurs).

De transferts en conversions, de changements en déménagements, d’une station de travail Apollo sous Unix en passant par un mac II SI et toutes une suite de machines sous Windows, cet email se trouve aujourd’hui sur mon thunderbird, dans la catégorie « A ranger »(!)

Et vous quelle est votre plus vieille donnée présente sur votre disque dur?

Attention, vos vieilles cartes perforées ne comptent pas (sauf à en faire le transfert aujourd’hui, et je vous souhaite bien du courage).

Et ne me demandez pas le contenu de ce vieil email! C’est ridicule personnel.

Le sens caché des choses

Publié le par

Il est 16h et j’attends avec impatience l’arrivée des OPJ qui doivent m’apporter mon premier scellé. Ah, ça y est, ils arrivent! Deux policiers descendent de leur voiture et viennent sonner à la porte. Les voisins soulèvent leurs voilages. J’ai déjà ouvert la porte et je discute avec les deux officiers. Ils me confirment ma mission principale: la recherche d’images pédopornographiques. Ils me remettent un PC dans un grand sac noir qui ressemble à un sac poubelle sauf que celui-ci est cacheté (c’est en fait bien un sac poubelle). Je serre la main des policiers, autant par politesse que pour les voisins…

Me voici dans mon bureau. J’ouvre le scellé. Je démonte le PC et en extrait le disque dur. Je tremble un peu. C’est ma première analyse.

Je n’ai pas encore de bloqueur de lecture, mais par chance, ce modèle de disque dur possède un cavalier permettant d’empêcher l’écriture (et donc de modifier le contenu du disque dur). Je procède à la prise d’empreinte numérique, replace le disque d’origine dans le scellé et place sa copie dans mon ordinateur de travail. L’analyse peut commencer.

Je ne dispose pas (encore) de logiciel spécialisé dans l’analyse de disque et la recherche de preuve. Je débute en informatique légale et je suis seul. Aucune aide à attendre de l’extérieur: je ne connais aucun autre expert judiciaire, ni en informatique ni dans une autre spécialité. J’ai pour seul bagage mes connaissances, des livres et internet. Il faut que j’y arrive.

J’explore le disque dur d’une façon informelle, à l’aide de l’explorateur de fichiers. Rien ne semble anormal.

J’entreprends l’exploration complète et systématique de l’arborescence de fichiers. Rien. Le contenu du disque est parfaitement banal.

Je dégote sur internet un programme de récupération des fichiers effacés. Je le teste sur mon poste avant de l’employer sur le disque cible. Bingo, sur le disque cible se trouvent un petit millier de fichiers effacés dont plusieurs images à caractère pornographiques.

Je continue la recherche en dressant la liste de tous les programmes installés. Certains me sont inconnus. Internet n’étant accessible qu’au travail (nous sommes à la fin du 20e siècle, à une période où le web n’existe pas encore, internet est en mode texte et est réservé aux seuls chercheurs), j’emmène cette liste au travail et en discute avec mon équipe technique. Après identification de la plupart des programmes, il en reste deux qui sont inconnus au bataillon.

Après une rapide recherche de deux heures sur les sites gopher, je découvre qu’il s’agit de deux programmes de stéganographie.

Le mot même me fait peur, nous sommes en pleine période Jurassic Park.

Je me rappelle alors que lors de mon analyse informelle préalable, j’avais aperçu de nombreuses images haute définition (pour l’époque) de type « fond d’écran pour station de travail » (certains se rappelleront d’une image de guépard à couper le souffle).

Il se trouve que j’avais dans ma propre collection de fonds d’écran certaines des images en question. Je procède alors à une comparaison des tailles de fichiers, puis des contenus binaires. Bingo.

Le logiciel demandait un mot de passe pour chaque image. L’imagination humaine étant ce qu’elle est, je tentais tous les mots de passe « habituels ». Niet. J’essaye alors une adaptation du logiciel « crack », père des logiciels de cassage moderne. Et là, quelques heures plus tard, LE mot de passe.

Sésame ouvre toi, et toutes les images « fond d’écran » se sont avérées être réceptacles d’images cachées par stéganographie. D’images abominables bien entendu… C’est une des raisons du fond noir de ce blog.

J’ai appris beaucoup de choses sur la technique ce jour là, mais aussi beaucoup sur l’espèce humaine. Et à plusieurs niveaux, sur le sens caché des choses.

De l’utilisation des commentaires dans un document informatique

Publié le par

Trouvé sur le blog de precisement.org un exemple de commentaire de président de chambre sur le travail des avocats:
https://www.precisement.org/blog/breve.php3?id_breve=338

Personnellement, je me suis déjà beaucoup amusé à la lecture de commentaires trouvés dans un document word ayant été distribué via une liste de diffusion…

Parfois, l’historique des modifications d’un tel document est également très instructive.

Attention donc.

Le principe de l’échange de Locard

Publié le par

Edmond Locard est le médecin français créateur du premier laboratoire de police scientifique à Lyon en 1910. Son ambition était de substituer la preuve matérielle au seul témoignage humain par l’analyse systématique des traces laissées par le coupable.

Parmi ses innombrables travaux, le principe dit « d’échange de Locard » reste le plus célèbre:

on ne peut aller et revenir d’un endroit, entrer et sortir d’une pièce sans apporter et déposer quelque chose de soi, sans emporter et prendre quelque chose qui se trouvait auparavant dans l’endroit ou la pièce.

Je pense que ce principe s’applique également lors de la recherche de preuves informatiques. Pour paraphraser Locard,

on ne peut chiffrer ou déchiffrer une donnée, l’inscrire ou la supprimer d’une mémoire sans apporter et déposer une trace sur l’ordinateur, sans modifier et prendre quelque chose qui s’y trouvait auparavant.

C’est la base même de l’informatique légale (forensic) pratiquée par un expert judiciaire.

Et bien entendu, comme toujours, se déroule une course permanente entre gendarmes et voleurs pour savoir qui disposera des meilleurs outils techniques. Lire pour cela le très instructif site forensicwiki.org et en particulier cette page.

Cette surenchère se faisant pour le plus grand bonheur des administrateurs informatiques qui disposent ainsi d’outils leur permettant de sécuriser leurs réseaux, ou des utilisateurs qui peuvent ainsi protéger les données des regards indiscrets ou récupérer un mot de passe perdu.

C’est de ce point de vue un débat continuel entre protection de la vie privée et accès à des données permettant de confondre un dangereux criminel.

Débat d’actualité.

La part des anges

Publié le par

Quand un vin est mis en fût pour vieillir, son degré alcoolique diminue progressivement par évaporation de l’alcool. Le volume du vin diminue et la partie disparue s’appelle « la part des Anges ».

En informatique, il a du vous arriver de commencer à taper un texte sur le clavier, et pour une raison qui vous échappe une fenêtre d’avertissement apparait, ou une bulle d’aide vient vous prévenir que votre bureau contient des icones inutilisées et qu’il faudrait faire un peu de ménage, ou tout simplement votre curseur ne s’est pas positionné où il fallait… Bref, vous êtes le nez sur le clavier en train de taper avec vos quatre doigts depuis une minute quand vous relevez le nez et accommodez vos yeux sur l’écran pour vous rendre compte que rien de ce que vous avez tapé n’apparait nulle part.

Pourtant, le clavier de l’ordinateur a nécessairement réagi à la frappe de chaque touche! Où est donc passé tout le texte saisi?

C’est la part des anges en informatique.

Vous penserez à moi la prochaine fois que cela vous arrivera.

Bienvenu au club.

Allez vous coucher plus tôt

Publié le par

Je faisais il y a quelques années auprès de mes étudiants un cours de programmation en langage C. J’avais compilé dans ce cours l’ensemble des erreurs communément faites par leurs prédécesseurs lors des séances de travaux pratiques que j’encadrais (ce qui n’empêchait pas malheureusement les étudiants de retomber dans les mêmes ornières…).

En relisant avec nostalgie ce cours, je suis tombé sur une recommandation que je faisais aux étudiants et qui me semble toujours valable aujourd’hui:

Lorsque vous travaillez tard sur un projet important, la fatigue vous entrainera à faire la « petite » erreur qui va anéantir en quelques secondes des heures de travail. Allez donc vous coucher avant que cette erreur n’arrive.

Voici ce qu’écrivait David .J. Way dans un manuel de construction de clavecin (20e siècle):

‘Penser’ est la cause de toute erreur. La preuve en est que chaque personne qui commet une erreur dit toujours « Oh, mais je pensais… ». Ne faites pas attention à ce genre de pensées – avant d’assembler des éléments, vous devez être conscient de ce que vous faites. Assemblez les morceaux sans colle, étudiez si ça va et contrôlez le résultat en le comparant avec votre dessin qui montre comment les morceaux s’emboîtent.

Et après avoir collé quelques morceaux, contrôlez le résultat une fois de plus. J’ai entendu tant de fois la triste anecdote: « Hier soir, j’ai fait ça et ça, mais ce matin j’ai regardé ce que j’ai fait… »

Cher constructeur, si vous aviez regardé hier soir, vous auriez pu encore séparer et corriger votre assemblage. Beaucoup d’entre vous construisent pendant leur temps de loisir, par conséquent vous êtes tentés de travailler tard dans la nuit. Mais, à en croire les plaintes qui me parviennent, la plupart des erreurs concernent la dernière chose que vous faites avant d’aller vous coucher. Cessez donc votre travail un peu plus tôt.

Je pense toujours que tout informaticien devrait tenir compte de cet avertissement.

Archéoinformatique

Publié le par

« L’informatique des entreprises (…) est à l’image d’un site archéologique. (…) Tout au fond, on tombe sur de vrais fossiles, calcifiés : la carte perforée n’est plus physiquement là, mais on peut trouver son « empreinte » sur des disques durs dernier cri, jusqu’à des traces d’organisation en quatre-vingt « colonnes » ».

Pierre Vandevingste, La Recherche.

Cette remarque est tellement vraie…

Le scandale du fichier élèves de l’éducation nationale

Publié le par

Jusqu’à la semaine dernière le fichier « base élèves » de l’Education Nationale, un document dont l’accès est en théorie réservé aux seuls directeurs d’école, aux maires et à l’administration centrale, était consultable avec comme nom d’utilisateur le numéro de l’établissement (un renseignement public) et comme mot de passe le même numéro (source 01net.com)

Aussi étrange que cela puisse paraître « la consigne avait été donnée aux chefs d’établissement de se simplifier la vie, en évitant de mémoriser un mot de passe compliqué« , révèle Le Canard Enchaîné dans son édition du mercredi 27 juin…

Ce qui m’attriste le plus dans cette histoire, ce n’est pas l’accès en lui même (une erreur humaine est toujours possible et pardonnable). Non: c’est la consigne donnée par l’administration et l’insouciance des directeurs d’école que cela n’a pas particulièrement troublé.

L’accès à des données privées NE CHOQUE PAS en France.

De ce fait, la CNIL semble avoir de moins en moins de poids et de soutiens.

En bref, tout le monde s’en fout.

Bientôt donc, comme aux youessa vous pourrez consulter librement le détail des gains de vos voisins, amis et ennemis, leurs condamnations, etc.

Les banques et assurances auront accès à vos différentes maladies et traitements médicaux.

Et tout cela dans une relative indifférence générale.

Consternant.

Hacker vaillant, rien d’impossible

Publié le par

Dans mon esprit, le mot hacker désigne plutôt un bidouilleur qu’un pirate ou un consultant en sécurité informatique. D’un autre côté, je ne connais pas personnellement Jacques Coeur

Par contre, je suis très (auto)satisfait de ma tentative de fonctionnement d’un disque dur USB mis sous scellé.

Le problème des scellés, c’est qu’il ne faut pas en modifier un bit afin de préserver leur intégrité. Dans le cas qui me préoccupe, il s’agit d’un conflit entre deux entreprises où l’un des ordinateurs mis en cause a été mis sous scellé. Plus exactement, une image (ghost) a été faite puis stockée sur un disque dur externe USB.

C’est ce disque dur USB qui ma été remis sous scellé.

Ma mission (et je l’ai accepté) est de procéder à un certain nombre de vérifications en faisant fonctionner plusieurs des programmes stockés sur le disque dur USB…

Problème: je n’ai pas l’ordinateur original, je ne dois pas modifier le disque dur USB (donc pas question de booter dessus), j’ai très peu de temps et ma version du logiciel GHOST ne reconnait pas ce disque USB.

Solution trouvée (si vous avez une solution plus rapide, ne me le dites pas, c’est trop tard):

– faire une image du disque USB (avec le logiciel True Image par exemple)

– déployer cette image sur un disque IDE vierge

– booter sur ce disque dur (juste pour voir au cas où, mais cela n’a pas fonctionné)

– faire une image du disque dur IDE (avec le logiciel GHOST 12)

– transformer cette image en disque dur virtuel pour le logiciel Virtual PC (avec GHOST 12)

– installer Virtual PC et créer un ordinateur virtuel utilisant ce disque virtuel

– croiser les doigts et démarrer l’ordinateur virtuel.

Et bien, chez moi, cela marche!

Résultats: le scellé est préservé et j’ai pu démarrer un ordinateur virtuel simulant parfaitement l’ordinateur d’origine, tout au moins dans ses aspects logiciels de base. Les anomalies à rechercher n’étant pas liées au hardware, ni à la configuration, j’ai pu mener mon enquête et rendre compte des résultats. En plus, c’est pratique de travailler sur son rapport tout en faisant fonctionner l’ordinateur à étudier dans une autre fenêtre.

Par contre, j’y ai laissé quelques plumes avec des nuits très courtes.

Si j’avais plus de temps, j’essaierais bien tester Xen, mais je n’ai pas (encore) réussi à l’installer.

Le chemin est long jusqu’au chapeau blanc

Donnez moi une arme et une bouteille de Tequila…

Publié le par

Via le blog de Tristan Nitot, je suis tombé sur cette « dépêche » sur un forum qui m’a bien fait rire. Comme elle ne semble plus accessible que via le cache de Google, je la place ici (la version française de mon cru est mise à la suite pour ceux de ma famille qui ne lisent pas la langue de Nelson).

————————————

Give me a gun, and a bottle of Tequila…

I check my work email from home before I make my morning commute, so I can see what sort of maelstrom I’m about to walk into…

If you can guess by the subject of the post, this one is a doozy.

From: $user who for whatever reason came in on Monday when no one else was in the building.

To: IT Dept.

Re: A/C constantly running.

Hi Guys,

I came in today (Monday) to finish up a project I was working on before our big meeting with a potential client tomorrow, and I noticed that there were three or four large air conditioners running the entire time I was here. Since it’s a three day weekend, no one is around, why do we need to have the A/C running 24/7? With all the power that all those big computers in that room use, I doubt it is really eco-friendly to run those big units at the same time. And all computers have cooling fans anyway, so why put the A/C for the building in that room? I got a keycard from $facilitiesmanager’s desk and shut off the A/C units. I’m sure you guys can deal with it being warm for an hour or two when you come in tomorrow morning. In the future, let’s try to be a little more conscientious of our energy usage. Thanks.

RESULT:

Fatalities: Exchange Server, Domain Controllers, a few Sun boxes that I’m not sure of the usage.

Near-Fatalities: Phone Switch, Apps Servers.

Temperature of server room 7AM Tuesday Morning: 90 Degrees Fahrenheit.

Status of Employee who sent the above e-mail: Terminated.

————————————

Donnez moi une arme, et une bouteille de Tequila…

Je lis mes emails depuis chez moi le matin avant d’embaucher, de façon à voir dans quel bazar je vais débarquer…

Le titre de ce billet vous laisser deviner que cette fois, on a atteint un sommet.

De: « Utilisateur qui avait une raison de venir travailler lundi alors qu’il n’y avait personne »

A: Service informatique

Sujet: Clim en marche

Salut les gars,

Je suis venu travailler aujourd’hui (lundi) pour finir un projet avant un rendez-vous important avec un client potentiel demain, et j’ai remarqué qu’il y avait trois ou quatre climatiseurs en fonctionnement pendant tout le temps où j’étais là. Comme il s’agit d’un week-end de trois jours, personne d’autre n’était là, alors pourquoi faire fonctionner la clim 24h/24 et 7j/7? Avec tout le courant déjà utilisé par les gros ordinateurs de la pièce, je doute qu’il soit très écologique de faire fonctionner toutes ces clims en même temps. En plus, tous les ordinateurs ont des ventilateurs, alors à quoi bon toutes ces clims dans cette pièce? J’ai utilisé le badge du responsable pour éteindre toutes les clims. Je suis sur que vous pouvez supporter un peu de chaleur pendant une heure ou deux quand vous arriverez demain matin. A l’avenir, soyons un peu plus consciencieux avec notre utilisation de l’énergie. Merci.

RESULTAT:

Sont morts: le serveur Exchange (messagerie), les contrôleurs de domaine, quelques SUN dont je ne suis pas trop sur de l’usage

Presque morts: l’autocommutateur téléphonique, les serveurs d’applications.

Température de la salle serveur à 7h mardi matin: 32 °C

Bilan pour le salarié qui a envoyé l’email précédent: licencié