Hier soir, premier tri manuel des données extraites du disque dur: 21 Go de photos et films tous pornographiques, et dont une grande partie concernant des mineurs de 15 ans. Deux heures de travail (21h-23h).

Parmi les missions qui m’ont été confiées, je dois préciser la proportion d’images concernant des enfants mineurs. Ceci va me demander d’étudier en détail chaque photo, et donc des jours et des jours de travail. Ce matin, j’ai donc contacté l’OPJ à l’origine du PV de missions pour lui faire part des avancées de mon expertise et lui proposer de limiter mes activités sur le classement des photos.

Surpris par ma demande dont la conséquence est de diminuer de façon importante ma future facture, il est parfaitement d’accord avec ma suggestion.

Je note tout ceci dans mon rapport (j’ai prêté serment d’accomplir ma mission, il s’agit d’expliquer pourquoi je la limite).

Je procèderai à la gravure (deux exemplaires me sont demandés) sur DVD de toutes ces données ce soir (10 DVD probablement).

A venir ensuite: étude des fichiers effacés, des navigations internet, étude des échanges sur messagerie, recherche d’informations pouvant intéresser l’enquête.

On verra ce qui pourra être fait ce soir.

Bon, en rentrant hier soir, la copie était interrompue: le switch réseau n’a visiblement pas supporté le débit du transfert entre les deux PC.

Changement du switch, redémarrage de la procédure de copie sans la compression, réestimation du temps de copie: 9h. Euh, j’avais donc mal estimé le temps de la copie (hier j’avais calculé 3 jours…). On va dire que c’est à cause du switch défectueux.

La nuit passe.

Ce matin, tout est OK. La prise d’image s’est bien déroulée pendant la nuit: durée 27852s (à vos calculettes).

J’éteins la station d’accueil et range le disque d’origine.

Je fais une copie de l’image (2×160 Go: heureusement que j’inaugure mon nouveau DD de 400 Go!) et lance mes procédures automatiques de recherche d’images.

Il est 8h du matin, il faut aller travailler.

Suite des investigation ce soir après 21h… Et alors fini les automatismes, place à l’être humain!

Hier dimanche, j’ai passé la journée enfermé à la maison dans mon bureau pour démarrer une expertise délicate. Je vais essayer d’en rendre compte ici au fur et à mesure.

Tout d’abord, pourquoi suis-je enfermé dans mon bureau?

Et bien il s’agit d’une recherche d’images pornographiques mettant en scène des enfants mineurs.

J’ai trois enfants, donc bureau fermé.

Première action: le rapport.

J’ouvre un rapport type, j’y place toutes les références de cette affaire, etc.

J’y retranscris les missions indiquées sur le PV, ce qui me permet de bien les étudier (je tape à deux doigts depuis toujours).

Tiens, il y a deux missions portant le numéro 5 sur le PV, une erreur de l’OPJ sans doute. Bon, je vais noter 5b la sixième mission pour ne pas décaler les autres numéros, afin de conserver une certaine lisibilité pour tous ceux qui vont avoir à lire la procédure.

Deuxième action: l’ouverture des scellés.

Il s’agit d’un lot de cédéroms et DVD, ainsi qu’une unité centrale.

Je vérifie que le contenu correspond bien aux étiquettes…

Patatra, l’étiquette du scellé mentionne 8 CD et 5 DVD, alors que je n’ai que 12 galettes. Après vérification, il manque bien un cédérom.

Bon, cela commence bien.

Je note ce problème dans mon rapport.

Troisième action: l’analyse des supports optiques.

Je procède en trois temps: étiquetage, analyse du support (nombre de sessions, type de données…) , transfert du contenu vers mon disque dur et analyse du contenu (décompression, recherche d’images et de films).

Je vérifie qu’il n’y a pas de session cachant des données.

Je procède à la récupération des données lorsque la gravure a été mal faite (erreur de redondance cyclique).

A chaque fois, je prends des notes directement dans mon rapport (partie intitulée « investigations techniques »).

Pour cette fois, l’impression des images n’est pas demandée dans les missions, mais leur gravure pour exploitation ultérieure.

Cela me prendra 6 heures pour l’étude des 12 supports optiques, totalisant trois milles images et 70 films, tous pornographiques.

Présence de nombreuses photos mettant en scène des mineurs, dont un grand nombre de mineurs de 15 ans.

Sale boulot.

Quatrième action: l’analyse de l’unité centrale.

J’ouvre l’unité centrale pour étudier visuellement son contenu.

Il n’y a qu’un seul disque dur, mais il fait 160 Go.

L’analyse promet d’être longue…

Je vérifie que les différents lecteurs (optiques, disquette, cartes mémoires) sont vides.

Je débranche le disque dur.

Je boote et entre dans le BIOS pour noter les date et heure, et forcer le boot sur « cédérom exclusif ».

Je rebranche le disque dur et boote sur un cédérom « maison » Linux.

Le disque dur est constitué de deux partitions (la première est cachée et sert aux réinstallations systèmes, la deuxième est NTFS).

Mauvaise nouvelle: mon cédérom « maison » Linux ne reconnait pas la carte réseau intégrée de cette carte mère.

Je démonte donc le disque dur et le place sur une station d’accueil « maison ».

Reboot (sur la station d’accueil donc) et copie bit à bit du disque dur à travers le réseau vers mon PC de travail.

Estimation du temps de copie (et compression): 3 jours!

Il est 22h.

Je vérifie que tout est en ordre pour fonctionner (onduleur, cables, etc).

Je suis fatigué.

L’expression « des images plein la tête » n’est pas toujours positive.

La suite dans trois jours (au mieux)…

Pour faire suite à mon précédent billet sur les sauvegardes, une petite anecdote d’expertise:

Une entreprise poursuit son prestataire informatique suite à la perte de quatre mois de données clients (bons de commandes, bons de travaux, factures…).

Les faits:

• une sauvegarde du serveur est faite tous les jours;
• deux bandes sont utilisées alternativement (jours pairs et jours impairs);
• un jour, pendant la sauvegarde, le serveur plante avec un écran bleu de la mort;
• le prestataire, contacté par téléphone, conseille de redémarrer le serveur et de voir s’il fonctionne correctement;
• une fois redémarré, le serveur fonctionne correctement et est utilisé normalement par l’entreprise;
• le lendemain, le serveur replante de la même façon lors de la sauvegarde;
• cette fois-ci le serveur ne redémarre plus, son disque étant HS.

Si vous avez bien suivi les faits, les deux plantages du serveur ont eu lieu à chaque fois pendant la sauvegarde, deux jours de suite. Il n’y a donc aucune sauvegarde fonctionnelle, puisqu’à chaque fois les sauvegardes ont été écrasées par les nouvelles sauvegardes non terminées.

Le disque étant HS, l’entreprise n’a plus de donnée !

Sa seule solution a été de restaurer les données conservées lors de la clôture de son année comptable, quatre mois auparavant et de saisir à la main toutes les données dont une trace papier a pu être retrouvée. Imaginez si 11 mois s’étaient écoulés depuis…

Interrogé par mes soins, la personne responsable des sauvegardes m’a indiqué que le prestataire avait émis l’hypothèse (parmi d’autres) que la bande utilisée pouvait être défectueuse et être responsable du plantage du serveur. C’est pourquoi la deuxième bande avait été utilisée (en plus, il s’agissait de la bande du jour).

Conclusion:

Je ne rapporterai pas ici le contenu de mon rapport qui reste confidentiel, mais plutôt quelques leçons que l’on peut tirer de cette mésaventure:

• il faut faire des sauvegardes des données importantes;
• en cas de destruction (même partielle) d’une sauvegarde, il faut immédiatement mettre de côté les sauvegardes précédentes;
• les sauvegardes « jours pairs/jours impairs » sont très insuffisantes. Il faut privilégier des schémas de sauvegarde plus efficaces (complète, incrémentale, différentielle…);
• il faut être conscient qu’un disque dur peut lâcher d’un coup
• il faut former ses équipes aux bons réflexes.

Ces remarques sont valables tant pour un particulier que pour un chef d’entreprise, pour une entreprise individuelle comme pour une multinationale.

J’espère avoir fait peur à tout le monde.