Archives par mot-clé : Technique

Une expertise au jour le jour (1)

Publié le par

Hier dimanche, j’ai passé la journée enfermé à la maison dans mon bureau pour démarrer une expertise délicate. Je vais essayer d’en rendre compte ici au fur et à mesure.

Tout d’abord, pourquoi suis-je enfermé dans mon bureau?

Et bien il s’agit d’une recherche d’images pornographiques mettant en scène des enfants mineurs.

J’ai trois enfants, donc bureau fermé.

Première action: le rapport.

J’ouvre un rapport type, j’y place toutes les références de cette affaire, etc.

J’y retranscris les missions indiquées sur le PV, ce qui me permet de bien les étudier (je tape à deux doigts depuis toujours).

Tiens, il y a deux missions portant le numéro 5 sur le PV, une erreur de l’OPJ sans doute. Bon, je vais noter 5b la sixième mission pour ne pas décaler les autres numéros, afin de conserver une certaine lisibilité pour tous ceux qui vont avoir à lire la procédure.

Deuxième action: l’ouverture des scellés.

Il s’agit d’un lot de cédéroms et DVD, ainsi qu’une unité centrale.

Je vérifie que le contenu correspond bien aux étiquettes…

Patatra, l’étiquette du scellé mentionne 8 CD et 5 DVD, alors que je n’ai que 12 galettes. Après vérification, il manque bien un cédérom.

Bon, cela commence bien.

Je note ce problème dans mon rapport.

Troisième action: l’analyse des supports optiques.

Je procède en trois temps: étiquetage, analyse du support (nombre de sessions, type de données…) , transfert du contenu vers mon disque dur et analyse du contenu (décompression, recherche d’images et de films).

Je vérifie qu’il n’y a pas de session cachant des données.

Je procède à la récupération des données lorsque la gravure a été mal faite (erreur de redondance cyclique).

A chaque fois, je prends des notes directement dans mon rapport (partie intitulée « investigations techniques »).

Pour cette fois, l’impression des images n’est pas demandée dans les missions, mais leur gravure pour exploitation ultérieure.

Cela me prendra 6 heures pour l’étude des 12 supports optiques, totalisant trois milles images et 70 films, tous pornographiques.

Présence de nombreuses photos mettant en scène des mineurs, dont un grand nombre de mineurs de 15 ans.

Sale boulot.

Quatrième action: l’analyse de l’unité centrale.

J’ouvre l’unité centrale pour étudier visuellement son contenu.

Il n’y a qu’un seul disque dur, mais il fait 160 Go.

L’analyse promet d’être longue…

Je vérifie que les différents lecteurs (optiques, disquette, cartes mémoires) sont vides.

Je débranche le disque dur.

Je boote et entre dans le BIOS pour noter les date et heure, et forcer le boot sur « cédérom exclusif ».

Je rebranche le disque dur et boote sur un cédérom « maison » Linux.

Le disque dur est constitué de deux partitions (la première est cachée et sert aux réinstallations systèmes, la deuxième est NTFS).

Mauvaise nouvelle: mon cédérom « maison » Linux ne reconnait pas la carte réseau intégrée de cette carte mère.

Je démonte donc le disque dur et le place sur une station d’accueil « maison ».

Reboot (sur la station d’accueil donc) et copie bit à bit du disque dur à travers le réseau vers mon PC de travail.

Estimation du temps de copie (et compression): 3 jours!

Il est 22h.

Je vérifie que tout est en ordre pour fonctionner (onduleur, cables, etc).

Je suis fatigué.

L’expression « des images plein la tête » n’est pas toujours positive.

La suite dans trois jours (au mieux)…

Je sauvegarde mais j’ai tout perdu quand même

Publié le par

Pour faire suite à mon précédent billet sur les sauvegardes, une petite anecdote d’expertise:

Une entreprise poursuit son prestataire informatique suite à la perte de quatre mois de données clients (bons de commandes, bons de travaux, factures…).

Les faits:

  • une sauvegarde du serveur est faite tous les jours;
  • deux bandes sont utilisées alternativement (jours pairs et jours impairs);
  • un jour, pendant la sauvegarde, le serveur plante avec un écran bleu de la mort;
  • le prestataire, contacté par téléphone, conseille de redémarrer le serveur et de voir s’il fonctionne correctement;
  • une fois redémarré, le serveur fonctionne correctement et est utilisé normalement par l’entreprise;
  • le lendemain, le serveur replante de la même façon lors de la sauvegarde;
  • cette fois-ci le serveur ne redémarre plus, son disque étant HS.

Si vous avez bien suivi les faits, les deux plantages du serveur ont eu lieu à chaque fois pendant la sauvegarde, deux jours de suite. Il n’y a donc aucune sauvegarde fonctionnelle, puisqu’à chaque fois les sauvegardes ont été écrasées par les nouvelles sauvegardes non terminées.

Le disque étant HS, l’entreprise n’a plus de donnée !

Sa seule solution a été de restaurer les données conservées lors de la clôture de son année comptable, quatre mois auparavant et de saisir à la main toutes les données dont une trace papier a pu être retrouvée. Imaginez si 11 mois s’étaient écoulés depuis…

Interrogé par mes soins, la personne responsable des sauvegardes m’a indiqué que le prestataire avait émis l’hypothèse (parmi d’autres) que la bande utilisée pouvait être défectueuse et être responsable du plantage du serveur. C’est pourquoi la deuxième bande avait été utilisée (en plus, il s’agissait de la bande du jour).

Conclusion:

Je ne rapporterai pas ici le contenu de mon rapport qui reste confidentiel, mais plutôt quelques leçons que l’on peut tirer de cette mésaventure:

  • il faut faire des sauvegardes des données importantes;
  • en cas de destruction (même partielle) d’une sauvegarde, il faut immédiatement mettre de côté les sauvegardes précédentes;
  • les sauvegardes « jours pairs/jours impairs » sont très insuffisantes. Il faut privilégier des schémas de sauvegarde plus efficaces (complète, incrémentale, différentielle…);
  • il faut être conscient qu’un disque dur peut lâcher d’un coup
  • il faut former ses équipes aux bons réflexes.

Ces remarques sont valables tant pour un particulier que pour un chef d’entreprise, pour une entreprise individuelle comme pour une multinationale.

J’espère avoir fait peur à tout le monde.

Sauvegardez vos données !

Publié le par

Mes étudiants viennent souvent me voir pour une panne de disque dur de leur ordinateur personnel.

Plusieurs de mes expertises judiciaires concernent des entreprises qui ont perdu des données vitales suite à une panne de disque dur sur leur serveur.

Dans tous les cas, je propose à mon interlocuteur d’acheter un nouveau disque dur et de restaurer les données à partir des dernières sauvegardes effectuées.

Et presque à chaque fois, la réponse est la même: « je ne sauvegarde pas mes données » ou « mes sauvegardes sont périmées ».

Vous qui avez fait l’acquisition à Noël d’un bel ordinateur, vous qui avez fait 200 photos numériques par jour pendant les dernières fêtes, vous qui conservez plusieurs années de photographies numériques originales bien classées sur votre disque dur: SAUVEGARDEZ VOS DONNEES!

A quel prix estimez-vous la perte totale et définitive de vos données?

Cela n’a pas de prix.

Combien coute un cédérom ou un DVD vierge?

Rien ou presque rien.

Gravez un DVD chaque fois que vous prenez des photos lors d’une occasion mémorable. Complétez le DVD avec toutes les anciennes photos, de manière à ce qu’une photo soit présente sur plusieurs DVD. Indiquez sur le DVD son contenu et la date de gravure pour retrouver rapidement une donnée perdue. Rangez le dans un classeur de DVD dédié à cet usage.

Ceux qui souhaitent pouvoir effectuer des sauvegardes rapides et faciles peuvent y dédier un vieil ordinateur en suivant ces consignes.

Vous pouvez aussi vous astreindre à un reformatage complet de votre ordinateur tous les mois. Cela dégage les bronches et force un méga ménage mensuel. Au moins faites le avant d’être obligé de le faire.

Particulières, particuliers, sauvegardez vos données!!

Et arrêtez de venir me voir pour vous plaindre d’avoir tout perdu lors d’un crash de disque dur…

Tout un pays derrière une seule adresse IP

Publié le par

Tous les webmasters savent que les statistiques de consultation des sites web sont à analyser avec prudence, tant il est difficile de répondre à la question suivante: combien de personnes sont venus lire telle ou telle page?

Les raisons sont multiples, mais l’une d’entre elles est qu’il arrive assez souvent qu’un accès internet soit partagé par plusieurs personnes. La navigation internet est alors perçue comme provenance d’une seule machine alors qu’elle provient en fait d’un groupe de personnes. On parle alors de serveur mandataire (ou proxy).

Exemple: chez moi, nous sommes cinq à partager une liaison « libre boite » ADSL (chacun dispose de sa machine, nous ne mélangeons pas les torchons et les serviettes).

Autre exemple: mon entreprise. Nous disposons d’un PC sous Debian qui fait office de parefeu/passerelle/proxy/filtre et qui gère l’accès internet pour les 300 PC de l’établissement.

Autre exemple: le Qatar.

En effet, il semble que ce pays ait mis en place un accès unique pour pouvoir filtrer l’ensemble de sa population, si l’on en croit cette dépêche:

« The entire country had been accidentally blocked because Qatar’s sole telecom, Q-Tel, funnels all Internet traffic through a single Internet protocol address, which allows it to monitor and censor its users, Gerard said. When Wikipedia blocked that single IP address, it shut down participation by all of Qatar, a Connecticut-sized Arab country that harbours the world’s largest field of natural gas.

[…]

Routing an entire country’s traffic — even that of a tiny country like Qatar — through a single IP address is unusual, Gerard said. Wikipedia is looking for a way to refine its capabilities to block problem individual users in the Gulf state without hamstringing the entire country, he said. »

Pourvu que l’adresse IP du Qatar n’apparaisse pas dans une des « black lists » de messagerie (RBL)…

Postgrey

Publié le par

Ce billet fait suite comme promis au billet « SPAM mon amour« .

Le nombre de SPAM augmentant avec une régularité déconcertante, il a bien fallu que je mette en place des mesures concrètes dans l’entreprise où je travaille.

J’ai donc mis en place (il y a déjà longtemps) un classique postfix + RBL + amavis + SPAMassassin + Clamav

Mais la trouvaille la plus géniale a été indéniablement postgrey.

Testé avec succès depuis deux ans, voici en quelques mots son mécanisme:
Postgrey est une implémentation du « greylisting » pour Postfix, c’est-à-dire une technique consistant à soupçonner chaque serveur de messagerie d’être un méchant spammeur, avant de changer d’avis éventuellement.

La majorité des spammeurs font du « Fire and Forget », en envoyant des milliers de messages à partir de réseaux de PC munis d’un serveur de messagerie temporaire et non officiel (des « bot nets » constitués de PC piratés). Le temps d’utilisation de ces PC piratés étant très court pour ne pas être repérés, les spammeurs ne peuvent donc pas respecter le standard SMTP qui indique qu’en cas d’échec de transmission, le serveur émetteur DOIT réémettre son message.

Postgrey s’appuie sur cette faiblesse des spammeurs.

Comment? Mais tout simplement en demandant à Postfix de refuser le message la première fois qu’il arrive, et de l’accepter s’il se présente une deuxième fois.

Explications:
Lorsqu’un serveur tente d’envoyer un message une première fois à votre Postfix, ce dernier va le refuser en envoyant le code 450, c’est-à-dire « serveur non disponible ». Ce refus durera 5mn pour éviter les réémissions immédiates.

Deux cas se présentent alors :
– soit le serveur émetteur est un « bon » serveur officiel et sérieux, respectueux des RFC sur SMTP et il réémet son message… Postfix détecte alors qu’il s’agit d’un deuxième envoi, l’accepte et vous recevez le message normalement.
– soit l’émetteur ne réémet pas son message! Et c’est donc probablement un spammeur ou un virus !

Conséquences:
– le taux de SPAMs reçus chute de 90%…
Il ne passe, si vous avez suivi, que les SPAMs de spammeurs « professionnels » qui réémettent leurs messages.
– le mécanisme introduit un retard dans la réception des messages (refus du message une première fois, attente minimale de 5 mn, réexpédition par le serveur d’origine qui varie entre 5 mn et 30 mn).

Si tout le monde a été satisfait de la chute du nombre de SPAMs reçus, certains ont grincé des dents sur les délais parfois longs introduits par le mécanisme. Il m’a suffit alors de mettre en place des « listes blanches » pour les sites « amis » avec lesquels nous communiquons beaucoup.

J’ai également prévenu le personnel et modifié la charte informatique de l’entreprise pour faire apparaître le délai et son explication, pour éviter de tomber sous le coup de l’article 226-15 du code pénal:

« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende […] »

Bien sur, l’ensemble des mécanismes anti-spam mis en place n’est pas parfait (notamment contre les SPAMs basées sur des images). Mais il offre un confort suffisant.

Pour l’instant.

Et c’est en partie ce qui me rend indispensable…

Mon PC à 10000 m

Publié le par

J’ai un petit Dell Dimension 2400 qui sert à l’un de mes enfants et dont je voudrais augmenter la mémoire (du Dell, pas de ma fille). Aussi sec, je vais sur le site Dell pour y trouver les spécifications de cette machine (mémoire max et type de mémoire).

Quelle ne fut pas ma surprise de voir dans le tableau des spécifs, que cette machine a été conçue pour fonctionner entre -15,2 m et 3048 m. Pourquoi donc -15,2 m (-50 pieds) ?

Mais le plus drôle, ce sont quand même les limitations du stockage: le PC ne doit pas être stocké à moins de -15,2 m (encore!), ni à plus de 10670 m.

Zut, j’avais un temps envisagé d’utiliser un ballon à hélium pour faire du stockage de PC en vol stationnaire à 10000 m !

SPAM mon amour

Publié le par

Il y a quelques années, j’ai acheté un nom de domaine pour mon usage privé.
Récemment, mon hébergeur m’a proposé de mettre en place des filtres anti SPAM.
En voilà une idée qu’elle est bonne !(me suis-je dit)
Je reçois environ 30 SPAM par jour sur mes adresses emails privées contre 5 messages réels. Tout ce qui peut faire baisser ce ratio est bon à prendre.
Ayant mis en place pour mon travail un système antiSPAM assez efficace (postgrey+SPAMassassin), je me dis qu’enfin je vais pouvoir bénéficier des dernières technologies de lutte antiSPAM.
Me voilà donc parti pour mettre en place des filtres via l’interface web proposée par mon hébergeur. Le principe est très simple: une partie détection, une partie action.
Dans la partie détection, je choisis « antispam, score supérieur à 100 » (100 quoi, je ne sais pas, mais il paraît que si un email atteint ce score, c’est un spam à 100%).
Dans la partie action, je choisis « refuser avec ce motif: j’aime pas le spam ».
Et paf, prend ça dans les dents!

Deux jours plus tard, bilan: catastrophe!
Je reçois un nombre incalculable de messages d’erreur. Evidemment, les SPAM utilisant des adresses de retour bidon, le filtre proposé par l’hébergeur n’avait aucun sens. En fait de technologie de pointe, le filtre est un bête retour à l’envoyeur, technique très frustre périmée depuis des lustres. Je modifie le filtre en mettant comme action « supprimer définitivement ».

Trop tard! Mon nom de domaine a été repéré par les spammeurs. Non seulement je continue à recevoir des SPAM, mais je reçois maintenant un nombre invraisemblable de messages d’erreur en provenance de serveurs de messageries m’indiquant que bons nombres de spammeurs utilisent dorénavant mon domaine privée comme adresse d’expéditeur ou comme adresse de retour.

Conclusion:
Je reçois depuis trois semaines environ 80 SPAM par jour contre 5 messages valables.

C’est Hirochima.

Heureusement, j’utilise « Thunderbird » comme logiciel de messagerie. Tous les SPAM sont repérés correctement et mis de côté.

J’envisage de plus en plus d’héberger mon nom de domaine sur mes propres serveurs pour pouvoir mettre en place une politique antiSPAM efficace.

Pour ceux que cela intéresse, je ferai prochainement un billet sur postgrey.

Terminologie et néologie

Publié le par

Dans le journal officiel n°214 du 15 septembre 2006 est publié un avis de la commission générale de terminologie et néologie concernant le vocabulaire de l’audiovisuel et de la communication:

Il ne faut pas dire « home cinéma » mais « cinéma à domicile »,

pas « webcam », mais « cybercaméra »;

pas « blockbuster » (production cinématographique à gros budget), mais « grosse machine »;

pas « story-board », mais « scénarimage »;

pas « call TV », mais « télé-tirelire »…

Au passage, j’ai appris le mot « kakémono » qui signifie « grande affiche à suspendre » (merci google).

Autant j’applaudis les efforts louables d’une commission pour maintenir la richesse de la langue française, surtout dans le domaine technique, autant je m’attriste de voir que cet effort est fait par des technocrates isolés dans leur tour d’ivoire.

Pourquoi ne pas simplement valider tous les termes choisis par nos « cousins » canadiens qui sont confrontés directement au choc des langues.

Quels imbéciles ont choisi « mél » pour remplacer « email » alors que nos amis québécois utilisent depuis longtemps le mot « courriel », diminutif logique de « courrier électronique », traduction pendante de « electronic mail »?

Comment ne pas trouver stupide le mot « cédérom », transcription phonétique de CDROM signifiant « Compact Disc Read Only Memory », alors que l’expression « Disque Compact » nous tendait les bras?

Face aux Avocats dont le métier implique la maîtrise du mot juste, comment vais-je devoir rédiger un rapport d’expertise clair? Dois-je remplacer la phrase « Le disque compact mentionné dans le courriel a été trouvé dans le home-cinéma présent sur place et contenait le story-board d’un blockbuster destiné à une call TV » par la phrase suivante « Le cédrom mentioné dans le mél a été trouvé dans le cinéma à domicile présent sur place et contenait le scénarimage d’une grosse machine destinée à une télé-tirelire ».

Après tout, c’est beaucoup plus joli.

Informatique de confiance

Publié le par

L’informatique a ceci de fabuleux que l’on peut en faire son métier, vivre dedans à longueur de journée et méconnaître encore nombres de ses aspects.

Je suis tombé sur un papier consacré à l' »informatique de confiance » qui m’a poussé à faire une petite recherche sur Google, ce qui m’a amené sur ce lien.

Pas mal non?

Lire aussi bien sur ceci.