Archives par mot-clé : Technique

Les scellés

Publié le par

Je me souviens avec quelle émotion (encore!) j’ai reçu mes premiers scellés: belles étiquettes vieillottes, empaquetage avec ficelles d’un autre âge et surtout beaux cachets de cire rouge comme à la télé!!

Pour chaque dossier avec scellés, vous lirez sur la liste des missions la phrase « vous prendrez réception des scellés n°X et Y que vous ouvrirez » (je n’ai jamais lu l’expression « briser les scellés »), puis en fin de liste, « … vous procèderez à la reconstitution des scellés ».

Mais problème: comment reconstituer un scellé ? Faut-il acheter de la cire rouge ? Où ? Faut-il acquérir un sceau ? Où ? Comment faire fondre la cire ?

Après une recherche sur Internet (essayez de la faire, c’est assez difficile), je suis finalement parti dans une boutique spécialisée « rue du Palais » pour y trouver tout le nécessaire.

J’ai donc :

un joli bâton de cire rouge,

un sceau fait sur mesure avec un joli dessin d’ordinateur (!),

un petit creuset en verre pour y faire fondre la cire,

et une bougie pour chauffer le creuset.

C’est donc parti pour la reconstitution des scellés.

Il me faut trouver un sac plastique transparent (c’est mieux).

Il me faut trouver des agrafes (mon agrafeuse est TOUJOURS vide à ce moment là).

Je plie une feuille de papier pour faire une bande que je place au bord du sac plastique et CRAC je mets mes agrafes dessus pour fermer le tout (ATTENTION pas trop d’agrafes, voir plus loin).

J’entoure le tout d’une belle ficelle que j’ai hérité de mon grand-père.

J’attache au bout l’étiquette d’origine du scellé sur laquelle j’écris la date, « scellé reconstitué par l’expert » et je signe où je peux car l’administration n’a pas prévu de case pour les experts.

Attention : nous passons à la réalisation du cachet de cire !

Ce qu’il vous faut maintenant imaginer, c’est que je suis assis par terre (je n’ose pas faire ces manipulations sur mon bureau, c’est trop dangereux…), en train de découper à la scie un morceau de cire rouge (elle est TRES dure), pour le placer ensuite dans mon petit creuset en verre que je place sur une bougie. Il faut ensuite attendre cinq bonnes minutes pour que la cire fonde.

Et là, d’un geste expert, POUR CHAQUE AGRAFE, côté sortie des agrafes, il faut verser la cire pour faire un petit rond, pas trop petit, pas trop grand, poser le creuset rapidement car la cire sèche vite, saisir le sceau et faire un joli cachet bien dégoulinant et tellement « geek ».

Remarque pour les nouveaux experts :

Si vous ne mettez pas une bande de papier pour y mettre les agrafes qui vont sceller votre sac plastique, la cire fera fondre (très artistiquement d’ailleurs) ledit sac plastique.

Remarque pour les experts expérimentés :

Par pitié, 38 ans après le premier pas sur la lune, dites moi qu’il existe un appareil simple à faire fondre la cire… et dites moi où je peux l’acheter !

En attendant, le jeu consiste à chercher à ouvrir les scellés sans les briser, afin de pouvoir les reconstituer facilement.

Mais les OPJ savent y faire et c’est quasiment impossible !

Qui a dit qu’informaticien expert judiciaire n’était pas une activité manuelle.

Huissiers de Justice et Experts Judiciaires

Publié le par

Il m’arrive de moins en moins souvent d’avoir à assister un Huissier de Justice mandaté pour réaliser un constat de contrefaçon informatique, notamment en matière de site internet.

Internet étant maintenant entré dans un grand nombre de foyers et d’habitudes, beaucoup d’huissiers considèrent que la présence d’un expert judiciaire à leur côté pour un constat n’est plus utile (le montant des honoraires d’un expert judiciaire n’est certainement pas étranger non plus à cette décision).

Le site legalis.net nous rappelle dans ce billet que malheureusement les subtilités informatiques échappent encore trop souvent aux non informaticiens.

Mais pas aux juges du Tribunal de Grande Instance de Mulhouse qui indiquent dans cette décision :

Attendu enfin, concernant l’ensemble des constatations réalisées le 27 août 2004 au sein de la société YYY, que l’huissier ne précise pas s’il a vidé la mémoire cache de l’ordinateur ayant servi à établir le constat ; qu’il n’affirme pas davantage avoir vérifier si la connexion au réseau internet se faisait ou non par un serveur proxy ;

Attendu que l’ensemble de ces incohérences ou omissions ôtent toute valeur probante aux constatations réalisées ;

Qui a dit que les Juges ne connaissaient rien aux subtilités d’Internet?

Mais peut-être est-ce parce qu’ils utilisent (eux) les compétences des experts judiciaires en informatique.

Huissières, Huissiers, appuyez-vous sur les experts judiciaires en informatique pour vos constats informatiques. Ils n’en seront que plus probants.

Les outils d’un expert judiciaire

Publié le par

J’inaugure avec ce billet une nouvelle rubrique qui sera consacrée aux outils que j’utilise (ou que j’aimerais utiliser) lors de mes expertises.

Outil n°1, loin devant tous les autres: Linux, ,ou plutôt, certaines distributions Linux, comme l’une de mes favorites: HELIX.
Il s’agit d’un live CD permettant entre autre chose la prise d’image d’un disque dur et son analyse en profondeur.

Voici son contenu actuel:

# sleuthkit : Brian Carrier’s replacement to TCT.
# autopsy : Web front-end to sleuthkit.
# mac-robber : TCT’s graverobber written in C.
# fenris : debugging, tracing, decompiling.
# wipe : Secure file deletion.
# MAC_Grab : e-fense MAC time utility.
# AIR : Steve Gibson Forensic Acquisition Utility.
# foremost : Carve files based on header and footer.
# fatback : Analyze and recover deleted FAT files.
# md5deep : Recursive md5sum with db lookups.
# sha15deep : Recursive sha1sum with db lookups.
# dcfldd : dd replacement from the DCFL.
# sdd : Specialized dd w/better preformance.
# PyFLAG : Forensic and Log Analysis GUI.
# Faust : Analyze elf binaries and bash scripts.
# e2recover : Recover deleted files in ext2 file systems.
# Pasco : Forensic tool for Internet Explorer Analysis.
# Galleta : Cookie analyzer for Internet Explorer.
# Rifiuti : « Recycle BIN » analyzer.
# Bmap : Detect & Recover data in used slackspace.
# Ftimes : A toolset for forensic data acquisition.
# chkrootkit : Look for rootkits.
# rkhunter : Rootkit hunter.
# ChaosReader : Trace tcpdump files and extract data.
# lshw : Hardware Lister.
# logsh : Log your terminal session (Borrowed from FIRE).
# ClamAV : ClamAV Anti Virus Scanner.
# F-Prot : F-Prot Anti Virus Scanner.
# 2 Hash : MD5 & SHA1 parallel hashing.
# glimpse : Indexing and query system.
# Outguess : Stego detection suite.
# Stegdetect : Stego detection suite.
# Regviewer : Windows Registry viewer.
# Chntpw : Change Windows passwords.
# Grepmail : Grep through mailboxes.
# logfinder : EFF logfinder utility.
# linen : EnCase Image Acquisition Tool.
# Retriever : Find pics/movies/docs/web-mail.
# Scalpel : Carve files based on header and footer.

Evidemment, j’invite tous les passionnés à tester ces outils et à les maitriser, ainsi que les professeurs (souvent passionnés également) à les utiliser pour leurs enseignements.

Je découvre à chaque fois de nouveaux outils dans cette distribution dont je n’utilise pour l’instant qu’un petit pourcentage.

Je parlerai de certains de ces outils plus en détails plus tard et dans cette rubrique.

Windows Vista

Publié le par

Cela fait deux semaines que je teste Vista: mon entreprise ayant la chance de disposer d’une licence ad hoc, j’ai reçu toute une série de CD et DVD contenant les différentes versions du nouveau système d’exploitation de Microsoft, et la nouvelle suite Office 2007.

Autant vous le dire tout de suite, j’ai été très déçu.

La première installation n’est pas allé à son terme. Sans doute une combinaison de composants non gérée par le nouvel OS.

La deuxième installation n’a pas installé AERO, la carte graphique étant considérée comme trop limitée. Dommage, car c’est justement cela que je voulais tester.

J’ai donc ajouté une carte graphique « musclée » et recommencé l’installation. C’est sur cette machine que j’ai effectué quelques tests.

Bon, tout d’abord, le client Novell ne s’installe pas sous Vista. Dommage, toute la gestion des données de mon entreprise est basée autour de ZenWorks, eDirectory et un serveur NAS sous Novell.

Ensuite, petit détail désagréable, ma webcam logitech de base n’est pas reconnue. Le site du constructeur classe mon matériel dans la catégorie « ancien ». Je suppose donc que je ne verrai jamais un pilote Vista pour cette webcam que j’utilise quotidiennement sous Skype.

L’interface AERO m’a extrêmement déçue. A force de voir des copies d’écran montrant l’interface 3D, je croyais naïvement que cette interface 3D restait en permanence à l’écran et que l’on déplaçait les objets dans les trois dimensions (un peu comme dans « Minority reports », mais avec une souris).

Je préviens les linuxiens que j’ai été pareillement déçu par l’interface 3D de compiz, pour les mêmes raisons.

Après deux semaines d’utilisation, je n’ai rien trouvé dans Vista qui vaille la peine de débourser les sommes demandées. Mon dual boot Windows XP SP2 / Debian, muni de tous ses gratuiciels, logiciels libres et logiciels commerciaux couvrent parfaitement mes besoins. Les deux systèmes m’offrent une parfaite stabilité, alors pourquoi passer à Vista?

  1. Parce qu’un expert judiciaire doit savoir extraire de Vista les données que la justice lui demande;
  2. Parce que les nouveaux ordinateurs « clefs en main » seront livré avec Vista;
  3. Parce que professionnellement, je passerai probablement tous les PC de mon entreprise sous Vista dans les années à venir (une entreprise privée de formation doit former aux outils rencontrés dans les entreprises. Donc si les entreprises passent à Vista, nous passerons à Vista)

A contrario, pourquoi rester sous Windows XP?

  1. Parce que cela me couterait trop cher de migrer mes huit PC familiaux;
  2. Parce que les progrès proposés par Vista sont mineurs à mes yeux;
  3. Parce que Windows XP SP2 est stable et qu’en ce domaine, il vaux mieux attendre l’arrivée du SP2 pour Vista (pour des raisons marketing, le SP1 arrivera très vite: la version actuelle de Vista est en fait une version béta, Vista SP1 sera une version instable et Vista SP2 sera la version normale, l’expérience passée l’a montré);
  4. Parce que quand on est honnête, respectueux des lois et que sa bibliothèque de MP3 ne comporte que des morceaux dont on détient les droits d’écoute, on a le droit d’avoir envie de pouvoir écouter « sa » musique sur les baladeurs de son choix, et pendant plusieurs années.

Hasta la vista!

Une expertise au jour le jour (4)

Publié le par

Cela fait deux jours que je ne peux pas continuer mon expertise pour cause de surcharge professionnelle. On ne peut pas aller à Paris pour une journée de travail (levé 4h du matin, train à 5h, réunion de 10h à 18h, train retour à 22h, couché à 23h), mener une vie familiale normale (une femme et trois enfants à bichonner quand même) et trouver les heures de concentration nécessaires pour mener à bien un travail d’expertise de qualité.

Une expertise mal faite peut briser la vie de plusieurs personnes.

Dans le cadre des recherches de photos avec des enfants, j’ai également toujours l’angoisse de passer à côté d’une photo d’un enfant disparu recherché par sa famille.

Demain samedi, je dois exceptionnellement travailler toute la journée. Il va donc falloir bloquer encore tout le dimanche pour continuer l’expertise actuelle.

C’est aussi cela, le travail d’un expert.

Une expertise au jour le jour (3)

Publié le par

Hier soir, premier tri manuel des données extraites du disque dur: 21 Go de photos et films tous pornographiques, et dont une grande partie concernant des mineurs de 15 ans. Deux heures de travail (21h-23h).

Parmi les missions qui m’ont été confiées, je dois préciser la proportion d’images concernant des enfants mineurs. Ceci va me demander d’étudier en détail chaque photo, et donc des jours et des jours de travail. Ce matin, j’ai donc contacté l’OPJ à l’origine du PV de missions pour lui faire part des avancées de mon expertise et lui proposer de limiter mes activités sur le classement des photos.

Surpris par ma demande dont la conséquence est de diminuer de façon importante ma future facture, il est parfaitement d’accord avec ma suggestion.

Je note tout ceci dans mon rapport (j’ai prêté serment d’accomplir ma mission, il s’agit d’expliquer pourquoi je la limite).

Je procèderai à la gravure (deux exemplaires me sont demandés) sur DVD de toutes ces données ce soir (10 DVD probablement).

A venir ensuite: étude des fichiers effacés, des navigations internet, étude des échanges sur messagerie, recherche d’informations pouvant intéresser l’enquête.

On verra ce qui pourra être fait ce soir.

Amphi wifi sans pile

Publié le par

J’ai assisté à une réunion dans mon entreprise sur le thème « comment permettre aux étudiants de suivre un cours basé sur l’utilisation de leurs ordinateurs portables en amphi ».

Très vite, la solution du Wifi est abordée par les participants qui se tournent alors tous vers moi.

  • « Pour équiper un amphi en Wifi, il n’y a pas de problème. On place plusieurs bornes sur des canaux différents pour couvrir tout l’amphi (il faut utiliser des termes techniques compliqués pour faire pro mais pas trop pour faire sérieux), et le nombre de canaux étant limité, il faut régler la puissance d’émission de chaque borne pour éviter de perturber les autres zones. Mais il y a un autre problème… »
  • Silence attentif mais ennuyé.
  • « Dites moi, les étudiants ont bien des cours de 2x2h le matin avec une pause d’1/4 d’heure? »
  • « Ben oui »
  • « Les batteries des portables ont rarement une autonomie effective de plus de deux heures, non? »
  • Silence très attentif
  • « Bon, ben, le problème, c’est qu’il faut équiper les amphis avec 250 prises électriques pour alimenter chaque portable. Dès que c’est fait, vous me le dites et on installe le Wifi ».

Cela a été une des réunions les plus courtes de ma carrière professionnelle (pour la réunion la plus courte de ma « carrière d’expert », voir ici).

Notez bien que ce problème sera peut-être résolu plus vite que l’on croit:

https://www.mypodcast.ch/~chroniques/Plugin/49-06-plugin.mp3

Après tout, les étiquettes RFID fonctionnent sur ce principe, ainsi que des souris sans fil et sans pile.

Les plus anciens d’entre vous connaissent déjà le poste à galène. A quand le portable à galène?

Ou alors, il faut obliger les étudiants à s’équiper de portables à manivelle.

Une expertise au jour le jour (2)

Publié le par

Bon, en rentrant hier soir, la copie était interrompue: le switch réseau n’a visiblement pas supporté le débit du transfert entre les deux PC.

Changement du switch, redémarrage de la procédure de copie sans la compression, réestimation du temps de copie: 9h. Euh, j’avais donc mal estimé le temps de la copie (hier j’avais calculé 3 jours…). On va dire que c’est à cause du switch défectueux.

La nuit passe.

Ce matin, tout est OK. La prise d’image s’est bien déroulée pendant la nuit: durée 27852s (à vos calculettes).

J’éteins la station d’accueil et range le disque d’origine.

Je fais une copie de l’image (2×160 Go: heureusement que j’inaugure mon nouveau DD de 400 Go!) et lance mes procédures automatiques de recherche d’images.

Il est 8h du matin, il faut aller travailler.

Suite des investigation ce soir après 21h… Et alors fini les automatismes, place à l’être humain!

Une expertise au jour le jour (1)

Publié le par

Hier dimanche, j’ai passé la journée enfermé à la maison dans mon bureau pour démarrer une expertise délicate. Je vais essayer d’en rendre compte ici au fur et à mesure.

Tout d’abord, pourquoi suis-je enfermé dans mon bureau?

Et bien il s’agit d’une recherche d’images pornographiques mettant en scène des enfants mineurs.

J’ai trois enfants, donc bureau fermé.

Première action: le rapport.

J’ouvre un rapport type, j’y place toutes les références de cette affaire, etc.

J’y retranscris les missions indiquées sur le PV, ce qui me permet de bien les étudier (je tape à deux doigts depuis toujours).

Tiens, il y a deux missions portant le numéro 5 sur le PV, une erreur de l’OPJ sans doute. Bon, je vais noter 5b la sixième mission pour ne pas décaler les autres numéros, afin de conserver une certaine lisibilité pour tous ceux qui vont avoir à lire la procédure.

Deuxième action: l’ouverture des scellés.

Il s’agit d’un lot de cédéroms et DVD, ainsi qu’une unité centrale.

Je vérifie que le contenu correspond bien aux étiquettes…

Patatra, l’étiquette du scellé mentionne 8 CD et 5 DVD, alors que je n’ai que 12 galettes. Après vérification, il manque bien un cédérom.

Bon, cela commence bien.

Je note ce problème dans mon rapport.

Troisième action: l’analyse des supports optiques.

Je procède en trois temps: étiquetage, analyse du support (nombre de sessions, type de données…) , transfert du contenu vers mon disque dur et analyse du contenu (décompression, recherche d’images et de films).

Je vérifie qu’il n’y a pas de session cachant des données.

Je procède à la récupération des données lorsque la gravure a été mal faite (erreur de redondance cyclique).

A chaque fois, je prends des notes directement dans mon rapport (partie intitulée « investigations techniques »).

Pour cette fois, l’impression des images n’est pas demandée dans les missions, mais leur gravure pour exploitation ultérieure.

Cela me prendra 6 heures pour l’étude des 12 supports optiques, totalisant trois milles images et 70 films, tous pornographiques.

Présence de nombreuses photos mettant en scène des mineurs, dont un grand nombre de mineurs de 15 ans.

Sale boulot.

Quatrième action: l’analyse de l’unité centrale.

J’ouvre l’unité centrale pour étudier visuellement son contenu.

Il n’y a qu’un seul disque dur, mais il fait 160 Go.

L’analyse promet d’être longue…

Je vérifie que les différents lecteurs (optiques, disquette, cartes mémoires) sont vides.

Je débranche le disque dur.

Je boote et entre dans le BIOS pour noter les date et heure, et forcer le boot sur « cédérom exclusif ».

Je rebranche le disque dur et boote sur un cédérom « maison » Linux.

Le disque dur est constitué de deux partitions (la première est cachée et sert aux réinstallations systèmes, la deuxième est NTFS).

Mauvaise nouvelle: mon cédérom « maison » Linux ne reconnait pas la carte réseau intégrée de cette carte mère.

Je démonte donc le disque dur et le place sur une station d’accueil « maison ».

Reboot (sur la station d’accueil donc) et copie bit à bit du disque dur à travers le réseau vers mon PC de travail.

Estimation du temps de copie (et compression): 3 jours!

Il est 22h.

Je vérifie que tout est en ordre pour fonctionner (onduleur, cables, etc).

Je suis fatigué.

L’expression « des images plein la tête » n’est pas toujours positive.

La suite dans trois jours (au mieux)…

Je sauvegarde mais j’ai tout perdu quand même

Publié le par

Pour faire suite à mon précédent billet sur les sauvegardes, une petite anecdote d’expertise:

Une entreprise poursuit son prestataire informatique suite à la perte de quatre mois de données clients (bons de commandes, bons de travaux, factures…).

Les faits:

  • une sauvegarde du serveur est faite tous les jours;
  • deux bandes sont utilisées alternativement (jours pairs et jours impairs);
  • un jour, pendant la sauvegarde, le serveur plante avec un écran bleu de la mort;
  • le prestataire, contacté par téléphone, conseille de redémarrer le serveur et de voir s’il fonctionne correctement;
  • une fois redémarré, le serveur fonctionne correctement et est utilisé normalement par l’entreprise;
  • le lendemain, le serveur replante de la même façon lors de la sauvegarde;
  • cette fois-ci le serveur ne redémarre plus, son disque étant HS.

Si vous avez bien suivi les faits, les deux plantages du serveur ont eu lieu à chaque fois pendant la sauvegarde, deux jours de suite. Il n’y a donc aucune sauvegarde fonctionnelle, puisqu’à chaque fois les sauvegardes ont été écrasées par les nouvelles sauvegardes non terminées.

Le disque étant HS, l’entreprise n’a plus de donnée !

Sa seule solution a été de restaurer les données conservées lors de la clôture de son année comptable, quatre mois auparavant et de saisir à la main toutes les données dont une trace papier a pu être retrouvée. Imaginez si 11 mois s’étaient écoulés depuis…

Interrogé par mes soins, la personne responsable des sauvegardes m’a indiqué que le prestataire avait émis l’hypothèse (parmi d’autres) que la bande utilisée pouvait être défectueuse et être responsable du plantage du serveur. C’est pourquoi la deuxième bande avait été utilisée (en plus, il s’agissait de la bande du jour).

Conclusion:

Je ne rapporterai pas ici le contenu de mon rapport qui reste confidentiel, mais plutôt quelques leçons que l’on peut tirer de cette mésaventure:

  • il faut faire des sauvegardes des données importantes;
  • en cas de destruction (même partielle) d’une sauvegarde, il faut immédiatement mettre de côté les sauvegardes précédentes;
  • les sauvegardes « jours pairs/jours impairs » sont très insuffisantes. Il faut privilégier des schémas de sauvegarde plus efficaces (complète, incrémentale, différentielle…);
  • il faut être conscient qu’un disque dur peut lâcher d’un coup
  • il faut former ses équipes aux bons réflexes.

Ces remarques sont valables tant pour un particulier que pour un chef d’entreprise, pour une entreprise individuelle comme pour une multinationale.

J’espère avoir fait peur à tout le monde.