La nuit, à travers le réseau

Il y a quelques temps, j’ai procédé à la rotation de ma machine de tests qui est allée remplacer le PC de mon fils devenu plus exigeant en matière de jeux (éducatifs). J’ai récupéré son « vieux » PC pour en extraire la « substantifique moelle » et en faire ma nouvelle machine de tests.

Las, il se trouve que, pour une raison inconnue, ma carte PCI me permettant de brancher des disques SATA entre en conflit avec quelque chose que je n’ai pas encore eu le temps de déterminer. Et me voici cette semaine avec un disque dur SATA de 160 Go à analyser! Comment faire?

Je décide alors d’utiliser le PC d’origine (celui sous scellé) en laissant son disque SATA à l’intérieur, et de procéder à une prise d’empreinte à travers le réseau.

Re-las, ma distribution favorite HELIX ne reconnait pas les clavier et souris USB nécessaires sur ce PC. Me voici donc à la recherche d’une nouvelle distribution de type « live boot cd ». Muni d’un cédérom RW et de ma fidèle ligne ADSL, je teste différentes solutions trouvées sur Internet (qui n’est pas encore mort;).

Et, oh las (*), je désespérais de trouver mon bonheur, quand je suis tombé sur DEFT qui me semble pas mal du tout pour l’usage que je compte en faire.

Après démarrage sur le cédérom DEFT basé sur une Ubuntu, je vérifie la présence des commandes « dd » et « nc » (netcat). J’installe cygwin sur mon PC de travail sous Windows XP avec également la commande netcat.

Côté PC de travail, je tape:

« nc -l -p 2000 > image.dsk »

Et côté PC sous scellé booté sous DEFT:

« dd if=/dev/sda | nc IP_PC_de_travail 2000 »

Et me voilà parti pour cinq heures de prise d’image la nuit à travers le réseau.

Et moi, pendant ce temps là, la nuit JE DORS 🙂

(*) Je n’ai pas pu résister…

Note à benêt pour prise d'image

Pensum sur prise d’image de disque dur:

1) Ouvrir le PC mis sous scellé;

2) Vérifier la présence de cédéroms, dévédéroms ou cartes mémoires dans les lecteurs ad hoc;

3) Prendre une photo de l’intérieur du PC;

4) Retirer le ou les disques durs en notant les emplacements et positions des nappes et câbles;

5) Noter les marque, modèle, capacité et numéro de série de chaque disque dur (prendre une photo);

6) préparer un disque dur cible de capacité assez grande pour recueillir l’image du disque dur source;

7) s’assurer que la connectique est appropriée pour recevoir le disque source (ATA, SATA, etc.);

8) fixer le disque dur source dans le PC d’analyse et s’assurer d’une bonne dissipation de la chaleur;

9) placer le bloqueur d’écriture;

10) avant branchement électrique du disque dur source, démarrer le PC d’analyse pour s’assurer du bon paramétrage du BIOS (boot sur le bon média, date, SMART désactivé);

Dans tous les cas, mettre des gants, porter des lunettes, manipuler le disque comme s’il s’agissait d’ester nitrique de glycérine, pour éviter ça.

Chaud chaud chaud !

Le B.A.BA de l’expert judiciaire en informatique est d’être capable de procéder à la recherche d’informations sur un disque dur.

Voilà deux jours que je tente de faire une image du disque dur d’un scellé: je lance la prise d’image (huit heures annoncées à chaque fois) et PAF, quand je reviens quelques heures plus tard (ou le lendemain matin) la prise d’image s’est arrêtée en cours de route…

J’ai essayé avec plusieurs logiciels, plusieurs distributions GNU/Linux, rien n’y fait.

Quand soudain une idée surgit du fond de ma mémoire: la température!

Pour effectuer une analyse de disque dur en toute sécurité, il faut travailler sur une image. Pour réaliser cette image, vous pouvez procéder de plusieurs manière, mais pour ma part, j’utilise un PC dédié sur lequel je place le disque dur préalablement retiré de son PC d’origine. Comme cela, je connais bien le BIOS (de mon PC dédié), je maîtrise sa carte réseau (reconnue par mes distributions GNU/Linux), etc.

Mais, tout cela se fait carcasse ouverte, fils et nappes « en l’air ». Du coup, les disques durs sont un peu « pendants ». Ce qui fait qu’ils ne sont pas fixés à l’armature métallique du PC… Grave erreur: la dissipation de la chaleur se fait mal et la température des disques monte, monte, monte.

Comme je n’y ai pensé qu’après avoir relancé une prise d’image qui a démarré il y a trois heures et que je ne veux pas perdre (encore) plus de temps, me voici avec un ENORME ventilateur de bureau TRES bruyant visant le disque dur pour le refroidir.

Du coup, je travaille avec un casque antibruit sur les oreilles.

On ne plaisante pas avec les experts judiciaires qui ont endommagé une preuve.

Lecteur de fichiers DBX

Lors de chaque expertise, je suis confronté à la lecture des fichiers utilisés par Outlook Express.

A chaque fois, je recherche sur internet un lecteur de fichiers DBX, ne souhaitant pas installer Outlook Express sur mon PC.

Dernièrement, j’ai réalisé que j’avais sous la main quotidiennement un outil très simple et gratuit qui permet de lire ce type de fichiers (ainsi que ceux d’Outlook, mais je n’ai pas encore testé): Thunderbird.

Ce logiciel permet en effet de façon très simple d’importer des messages en provenance d’autres logiciels de messagerie, et sans présupposer de l’endroit où ils se trouvent (ce qui a en général le don de m’énerver!). Il suffit d’indiquer le répertoire où se trouvent les fichiers DBX et ceux-ci viennent s’importer proprement dans Thunderbird dans un répertoire intitulé « Courrier Outlook Express ».

C’est tout, c’est simple, c’est net.

PS: Thunderbird vient de sortir en version 2.0 avec tout plein d’améliorations.

Listes de diffusion

Je tiens à attirer l’attention sur un outil très puissant de gestion des listes de diffusion: le logiciel SYMPA.

Nous l’utilisons depuis 8 ans pour gérer nos (trop) nombreuses listes de diffusion internes et externes.

Il est opensource, fiable, stable et développé par des français, ce qui n’est pas si fréquent.

Il dispose de toutes les fonctions permettant de gérer des listes de diffusion (abonnements, désabonnements) et notamment les listes fermées d’utilisateur, la modération etc.

Pour ceux que cela intéresse: https://www.sympa.org

Mon bollard et mon couteau

Un lecteur me demande quels seraient selon moi les premiers achats à faire lorsque l’on prête le serment d’expert judiciaire en informatique.

Les réponses varient d’un expert judiciaire à un autre, mais pour ma part, je dirai: rien.

A chaque désignation, je demande des détails sur les missions et je refuse toute expertise qui est en dehors de mes compétences OU de mes possibilités financières.

Pour ne pas toujours venir avec seulement mon bollard et mon couteau, j’ai acheté au fur et à mesure des expertises les logiciels et matériels qui me permettent d’accepter plus de missions, ou de les exécuter de façon plus confortable.

Certains confrères m’ont indiqué refuser toutes les analyses de disques durs, car ils n’ont jamais été adeptes de ce type de recherche.

Heureusement pour moi, les outils opensource permettent d’effectuer quasiment toutes les opérations d’expertise, au prix d’une bonne connaissance du monde Linux (mais pas nécessairement des connaissances de type gourou).

J’en ai cité plusieurs sur ce blog et j’essayerai de faire un billet technique détaillé sur mon préféré HELIX

Sauvegardes: les données importantes

Lors de la préparation du passage à l’an 2000, j’ai suivi une présentation éponyme où le consultant énonçait les différentes étapes à suivre.

De son exposé, j’ai surtout retenu qu’il était important de s’occuper en priorité des données VITALES de l’entreprise. Mais que pour cela, il fallait être capable de déterminer quelles étaient REELLEMENT les données importantes de l’entreprise.

J’ai donc immédiatement établi la liste des applications VITALES de mon entreprise:

– la paie

– la comptabilité

– les applications métiers.

Tout le reste sert à maintenir un bon niveau de productivité, d’organisation, mais n’est finalement pas VITAL (c’est du confort).

Avant de mettre en place toutes les opérations de sauvegarde, j’ai soumis mon analyse aux secrétaires et assistantes des différents services.

Service paie: « si on perd toutes les données informatiques, je procède à la photocopie des bulletins de salaire du mois précédent en expliquant aux salariés et on régularise plus tard »

Service compta: « si on perd les données informatiques, on reviendra à l’âge de pierre dans le service, mais l’entreprise ne coulera pas (des explications ont suivies, mais je n’ai pas tout compris. Il y était question de déclarations fiscales, sociales, pariétales…) »

Les autre services: « la plupart des secrétaires utilisent des modèles de documents qu’elles ont mis au point individuellement et qui leur servent à générer des documents qui seront en général imprimés à un moment ou à un autre ».

Conclusions:

1) A ma grande surprise, l’entreprise ne coulera pas (immédiatement) si l’informatique brule.

2) Les données importantes ne sont pas celles que je croyais et qui me paraissaient évidentes.

3) Il faut s’adresser aux secrétaires et assistantes des services en non pas aux chefs des services, car ceux-ci m’ont tous dit que nous étions morts si l’informatique tombait en panne plus de deux jours.

4) Rester discret sur cette enquête pour rester crédible à cause de l’investissement de l’automate de sauvegarde, alors que les données VITALES (les modèles Word) tiennent sur une clef USB…

5) Le confort, cela n’a pas de prix.

6) Dans mon cas (je suis un privilégié), si la salle serveurs brule, j’ai UN MOIS avant de mettre réellement en péril l’activité de l’entreprise.

Cela laisse le temps d’acheter et de remonter des serveurs avec les données extraites des cendres.

C’est cela aussi le savoir faire de l’expert judiciaire !

PS: Je parle bien ici de l’évaluation d’un arrêt « longue durée » de l’informatique. Tout le monde sait qu’un serveur arrêté entraine ex abrupto une paralysie d’au moins une demi-journée (c’est le temps nécessaire pour un utilisateur moyen pour arrêter de fixer son écran désespérément noir ET pour arriver à joindre le service informatique dont la ligne est bizarrement toujours occupée).

Google is my friend

Vous avez du remarquer mon goût pour les outils google.
En fait, il s’agit surtout d’une grande paresse de ma part: leur moteur de recherche est rapide, google maps m’enchante, leur système d’hébergement de blog me suffit (il n’y a rien à faire!), et leur système d’analyse des stats web google.com/analytics me satisfait pleinement.

D’ailleurs, je viens de faire un tour dans google.com/analytics pour me rendre compte que j’en utilise à peine 1%. En fait, je me contente de regarder la page d’accueil avec les courbes d’audience et la synthèse géographique.

Car je suis un grand voyageur en chambre:
– bonjour à toi visiteur de la région de Wan Chai (Hong Kong, Chine)
– salamalékoum, égaré de Doha (Qatar)
– bienvenu habitant de la région de Petit-Bourg (Guadeloupe)
– salut à toi, bienheureux de Nouméa (Nouvelle Calédonie)…

Merci de votre passage sur ce modeste blog pour m’avoir permis de voyager un peu!

Hasta la vista !

Bon, je sais, le titre est un peu facile… Mais c’est vrai que je viens de recevoir mon nouveau PC avec Windows Vista pré-installé. Alors j’ai un peu joué avec, j’ai regardé les différentes coutures et recherché les innovations.

J’ai également beaucoup lu sur internet d’articles testant différents aspects de Windows Vista. Je vous invite d’ailleurs à lire ce billet de Bertrand Lemaire qui a testé Vista “en tant qu’utilisateur lambda”. Un petit extrait auquel j’adhère parfaitement:

Pour commencer, le système est d’une lourdeur incroyable qui consomme des ressources considérables. Une machine “ordinaire” ne peut pas être installée avec Vista dans des conditions acceptables pour l’utilisateur et une machine haut de gamme (et donc chère) risque de gros soucis de pilotes pour ses composants récents.
Cela, inutilement, puisque, objectivement, il n’y a pas d’innovation. Je rappelle que “l’invention” est une simple nouveauté tandis que l’innovation est une invention utile et utilisée. Vista possède des inventions, c’est sans doute difficile à contester, du moins par rapport à Windows XP (pas forcément vis-à-vis de MacOS ou de Linux). Mais des innovations vraiment pertinentes et apportant une valeur ajoutée à l’utilisateur, j’en cherche toujours.
Ce soir, je désinstalle Windows Vista pour y mettre le Windows XP de mon ancien poste (et une Debian avec Beryl sur mon ancien PC). Au passage, je vais essayer de mesurer les performances avant/après de la machine. A suivre…

PS: Au passage, je vais installer cette interface graphique. J’en ai déjà mal aux bras.