Récupération de données

Publié le 9 juillet 2014 par Zythom

J’ai déjà fait part ici même plusieurs fois des techniques que j’utilise pour récupérer des données dans le cadre de mes expertises judiciaires.

Je vous propose aujourd’hui une méthode assez simple qui m’a permis de récupérer tout un ensemble d’images, de films et de musiques d’un ami bien en peine de voir son disque dur tomber en panne. Lisez bien l’ensemble du billet avant de commencer, entraînez vous sur un vieux disque, essayez de comprendre les différents paramètres de chaque commande pour les adapter à votre cas. Je ne suis pas responsable des problèmes que vous allez générer… (mais je compatis 😉

Conditions :

Vous êtes rendu destinataire d’un disque dur illisible, mais qui semble fonctionner correctement : vous pouvez le brancher sur un ordinateur, vous l’entendez démarrer sans bruit suspect, sans odeur particulière, mais le système d’exploitation ne le voit pas, ne le détecte pas ou ne retrouve aucune donnée.

Matériels :

J’utilise deux ordinateurs. Le premier sera celui dans lequel sera placé le disque dur illisible. Vous devez être capable de le faire démarrer sur CD, DVD ou clef USB. Le deuxième ordinateur est sous Windows et dispose de suffisamment d’espace disque pour pouvoir stocker une image du disque que vous allez récupérer. Les deux ordinateurs sont branchés sur le même réseau.

Logiciels :

– la distribution DEFT que vous placerez sur CD, DVD ou clef USB

– le logiciel PhotoRec que vous téléchargerez en choisissant la bonne version de Windows (32 ou 64 bits).

– un répertoire appelé « partage » sur l’ordinateur Windows et configuré de manière à être accessible en écriture avec le compte windows « zythom »

Procédure :

– Placez le disque dur illisible dans le premier ordinateur

– Bootez le sur la distribution DEFT

– Puis tapez les commandes :

#mkdir /root/tempo

(création d’un répertoire provisoire en mémoire vive dans /root)

#mount -t cifs -o username=zythom /root/tempo 192.168.0.1/partage

où 192.168.0.1 est l’adresse IP de l’ordinateur Windows.

– Tapez ensuite la commande :

#dd_rescue /dev/sda /root/tempo/image.dd

où « /dev/sda » doit être le device correspondant à votre disque dur illisible (à adapter selon votre configuration).

– Patientez quelques minutes ou quelques heures (ou quelques jours), en fonction de la taille de votre disque dur.

– Quand la commande est terminée, vous pouvez éteindre l’ordinateur n°1. Vous devez disposer d’une image bit à bit du disque dur illisible sur votre ordinateur n°2, celui sous Windows, dans le répertoire « partage », sous le nom « image.dd ». Cette image peut être exploitée par différents logiciels pour y récupérer les données, en particulier photorec.

– Sur l’ordinateur n°2, dans une fenêtre de lignes de commandes, tapez la commande : photorec image.dd

– Suivez les indications du logiciel PhotoRec et laissez le extraire toutes les données qu’il reconnaît.

– Envoyez ensuite vos dons au créateur du logiciel,par exemple en regardant les dates et origines de vos pièces de la zone euro 😉

Si ma technique ne fonctionne pas, parlez en avec un informaticien et ne vous découragez pas : il y a plein d’autres méthodes permettant de récupérer les données. Seul conseil valable dans tous les cas : n’utilisez plus le disque dur, vous risquez d’effacer définitivement les données que vous essayez de récupérer.

Bon courage.

L’admin réseau, cet enquêteur inconnu

Publié le 17 janvier 2014 par Zythom

Nous venons de terminer une migration de notre infrastructure d’accès à internet. Nous sommes passés d’un réseau de collecte à un autre, réseaux de collecte nous permettant d’avoir accès à un point d’entrée du réseau RENATER, FAI officiel des établissements d’enseignement supérieur et de recherche.

Concrètement, pour moi, il s’agit d’acheter un appareil électronique qu’on appelle un routeur, le déballer et le visser dans une armoire pleine d’appareils similaires (en fait des switchs), attendre qu’un prestataire approprié vienne configurer cet appareil, et le jour J, au top conjoint donné par un informaticien de RENATER et du réseau de collecte, déconnecter le câble branché sur A pour le mettre sur B. Voilà, voilà.

Oui, mais non.

Jeudi, quand j’ai changé le câble de prises, l’accès à internet a été coupé, mais n’est pas revenu aussitôt le câble rebranché. 1000 personnes ont vu leurs cheveux se dresser sur leurs têtes: plus d’internet (en fait, je les ai rassuré aussitôt, plus d’accès à internet, merci pour lui).

Bah, j’étais prévenu, on ne change pas un chemin d’accès d’un claquement de câble dans une prise. Les plus studieux d’entre vous iront lire cette présentation du changement de routage de manière dynamique avec BGP. Disons pour résumer qu’un expert de ces problématiques s’occupe de tout au NOC (Network Operation Center) de RENATER.

Premier problème : l’ancien réseau de collecte A annonce la route vers mon établissement avec la priorité maximale. Difficile pour le nouveau réseau de collecte de faire mieux et de devenir prioritaire. La migration s’annonce difficile, surtout que la personne en charge de BGP chez A est… en congés aujourd’hui. Je fais finir par croire que A est fâché de ne pas avoir remporté l’appel d’offre et met quelques freins à la migration vers B.

Vendredi, le problème est réglé, je bascule tout l’établissement vers le nouveau réseau de collecte B. Le trafic passe dans les deux sens. Voilà, voilà.

Oui, mais non.

Le trafic ne passe pas. Retour arrière. Sauf que le réseau de collecte A voit d’un mauvais œil les alertes sur sa plate-forme de supervision « un coup je m’en vais », « un coup je reviens », surtout en cette période où plus de 40 établissements font plus ou moins la même chose. Ces choses là se règlent au téléphone, mais ce n’est pas le meilleur moment. Pourtant, je reste calme, cela ne sert à rien d’énerver tout le monde avec mon stress. Autre réunion téléphonique, avec RENATER et le nouveau réseau de collecte B cette fois. Tout le monde me dit que tout est ok de leurs côtés et que les problèmes viennent de chez moi.

C’est là que débute une véritable enquête.

Nous mettons en place en salle serveurs un tableau de papier sur lequel nous listons tous les problèmes rencontrés: perte partiel de l’accès internet (merci le loadbalancing avec une simple LiveBox), sites webs ok mais deux serveurs DNS sur quatre injoignables, accès aux services web internes aléatoires, envois des emails intermittent, etc.

La tension est palpable mais j’avais pris les devant en prévenant tous les clients que nous allions vivre une migration importante et qu’il risquait d’y avoir des perturbations dans La Force. Nous sommes concentrés sur la résolution du problème.

Tout est remis en cause. Et quand je dis tout, je veux vraiment dire tout: câbles, prises, virtualisation des passerelles, virtualisation des switchs, les VLAN, les switchs physiques, l’apparition d’une boucle sur le réseau réel, sur les réseaux virtuels. Les admins réseaux se sont transformés en enquêteurs suspicieux de tout ce qu’ils ont mis en place. Et pour chaque idée, un test est effectué.

Le vendredi soir arrive, la nuit et l’heure tardive n’y change rien. Je rentre chez moi le cœur gros. Le samedi est consacré à mon fils et son tournoi de ping-pong. Mais mon esprit est ailleurs : qu’est-ce que j’ai pu rater pour que notre migration se soit mal passée ?

Le week-end sera court : je décide de travailler tout le dimanche sur le problème. Me voilà donc seul dans cette maudite salle serveurs à faire différents tests. Je reboote les équipements les uns après les autres, y compris les serveurs de virtualisation après avoir migré les différentes machines virtuelles. Et soudain: EUREKA! Le port du switch sur lequel est branché la passerelle n’est pas correctement tagué. Je corrige la configuration, je branche la passerelle et j’ai enfin un accès internet correct. Je suis aux anges. Je préviens mon équipe par SMS, je tweete avec allégresse et finesse, et je rentre le cœur léger.

Mais lundi matin, en arrivant à mon bureau, patatra. Mon équipe me dit que rien ne marche. Nous reprenons toute notre enquête.

Elle durera 14h.

14h à refaire toutes les hypothèses, à reprendre toutes les pannes possibles, à passer des coups de fil pour s’entendre dire « non, non, le problème vient de votre côté ». A un moment, nous nous sommes retrouvés avec tout notre réseau
débranché, une passerelle physique construite de bric et de broc avec un
PC et deux cartes réseaux et un live cédérom pfsense, le tout branché
sur un switch HP récupéré et reconfiguré avec les VLAN adhoc pour
l’occasion… A 23h, je lâche le coup, exténué. Je ferme mon bureau avec le moral au plus bas. Pour la petite histoire, je monte sur mon vélo pour rentrer, et je découvre que la roue arrière est déboîtée. Je cherche dans l’école des outils pour essayer de réparer. Mon moral descend encore d’un cran. Sale journée.

Deux points positifs quand même: j’ai réussi à remettre la roue de mon vélo (j’aurai réussi au moins à réparer une chose ce jour-là). Et j’ai réussi à reproduire le problème sur commande: lorsque la passerelle est branchée seule sur le nouveau routeur du nouveau réseau de collecte, j’arrive à surfer sur internet à partir d’un poste (le seul ayant cette machine comme passerelle). MAIS si j’ouvre plusieurs pages dans plusieurs onglets, au bout d’une dizaine d’onglets, la passerelle n’accède plus à internet. Si j’attends environ une minute, elle retrouve ses esprits et accède de nouveau à internet. A n’y rien comprendre.

J’ai très peu dormi cette nuit là. Cinq jours que nous sommes quasiment coupés d’internet. Quelques personnes disposent d’un accès via la LiveBox du PRA. Nos serveurs web principaux sont sains et sauf (hébergés à l’extérieur en prévision de la migration). Mais beaucoup des outils du SI sont en temps normal accessibles aux étudiants et à leurs parents, et leur inaccessibilité commence à peser sur l’organisation.

Une part importante de mon métier est de penser à des plans B. J’ai d’ailleurs développé un sens aigu du film d’horreur permanent. Seulement voilà, dans le cas présent, j’arrive au bout du bout des idées possibles de tests à imaginer, de pannes possibles, de vérifications à effectuer…

Mais la nuit porte conseil. Je me réveille avec en tête l’hypothèse que le nouveau routeur, bien que configuré correctement (configuration plusieurs fois vérifiée), PEUT présenter un dysfonctionnement en cas de sollicitation. C’est mon dernier espoir. Problème: je ne connais pas ce nouvel équipement qui se configure en ligne de commande, et la documentation fait 300 pages. Je décide de prendre l’option « appel à un ami ».

Nous sommes mardi matin. Je téléphone à un expert du nouveau réseau de collecte pour lui demander de venir m’aider en salle serveurs. Après quelques négociations, il me propose de tout faire depuis son bureau, si je lui ouvre un accès ssh à notre passerelle. Pendant une heure, nous ferons des tests avec lui. Jusqu’au moment où je l’entends dire au téléphone: « tiens, ça me donne une idée ». Cela faisait 24h que je n’avais pas entendu cette phrase.

Quelques minutes après notre problème était résolu.

Rien ne clochait de notre côté. Ni sur notre réseau, ni sur notre passerelle, ni sur nos DNS, ni sur notre routeur. Le problème venait de leur côté à EUX. Le port sur lequel est branché la fibre optique venant de notre routeur était auparavant utilisé pour gérer des échanges entre une adresse IP unique et une adresse IP unique (une connexion entre serveurs proxys appairés). Il avait été configuré pour résister à une attaque DDOS, c’est-à-dire qu’il refusait de fonctionner s’il détectait un comportement anormal. Or, son branchement sur notre routeur a entraîné une discussion entre l’IP de notre routeur et un grand nombre d’adresses IP, ce qui a été détecté comme une anomalie, et donc une mise « OFF » pendant une minute.

Cela explique que dimanche, alors que j’étais seul à surfer, et que je n’avais pas pensé à ouvrir 20 onglets dans mon navigateur, tout fonctionnait. Mais lundi, dès que le personnel et les étudiants ont commencé à vouloir surfer, le système se coupait « quasiment » en permanence.

L’enquête est terminée. La fin a été comme souvent heureuse, grâce à l’entraide des différents admins réseaux, même si le réflexe initial de chacun est d’avoir confiance en SON système et de rejeter la faute sur le système de l’autre.

La morale est sauve: celui par qui le problème est arrivé, est celui qui l’a résolu. Je lui ai promis de boire ensemble une bouteille de champagne. L’erreur de configuration était subtile, mais sa perspicacité lui a permis de la débusquer.

Et grâce à lui, nous avons révisé en profondeur nos configurations…

——————–

Crédit images darkroastedblend.com

Partage sécurisé de fichiers

Publié le 25 novembre 2013 par Zythom

Lorsque l’on souhaite partager des fichiers avec des clients, se pose très vite la question des échanges sécurisés. Il y a plein de méthodes pour permettre cela, il existe même des sites qui proposent ce type de service, ou des Réseaux Privés Virtuels spécialisés (RPVA pour les avocats, OPALEXE pour les expertises judiciaires). Je trouve ces systèmes un peu lourds et chers pour l’usage que je souhaite en faire.

Je suis donc parti en quête d’une solution peu onéreuse, facile à mettre en place (pour moi) et à utiliser (pour mes clients), basée sur des technologies simples et efficaces. J’ai mis en place, pour l’instant, la solution que je vais vous présenter, et qui peut peut-être intéresser quelques uns d’entre vous, freelance ou pas.

Tout d’abord, je voudrais rappeler que je ne suis pas un spécialiste de la sécurité informatique, quoiqu’en pensent certains de mes lecteurs. Je suis un simple informaticien, qui se considère comme « généraliste » car curieux de tous les domaines et spécialisations informatiques. Merci donc aux spécialistes de la sécurité informatique d’être tolérants à mon égard.

Objectif: permettre à un client de mon entreprise de m’adresser un ou plusieurs documents de manière simple et suffisamment sécurisée. L’échange doit pouvoir avoir lieu dans les deux sens.

Contrainte: mes clients ne connaissent pas a priori l’informatique, même si certains peuvent être très à l’aise avec cet outil. Je dois donc m’adresser au moins technophile de mes clients: cela doit être facile à utiliser par Maître Michu et son assistant(e)…

Ma solution:

La contrainte posée écarte de fait l’échange d’emails chiffrés, que je trouve trop contraignant, trop complexe avec ses clefs privées/publiques.

Les différents outils proposés sur internet, du moins ceux que j’ai étudiés, m’ont paru compliqués à imposer: DropBox, SkyDrive, GoogleDrive ne s’installent pas sur tous les systèmes, demandent des droits administrateurs, etc.

L’interface qui me semble la plus universelle aujourd’hui est celle d’un navigateur internet. La solution doit reposer sur cette interface, avec aussi peu d’installation de plugins que possible.

Il existe plusieurs plates-formes web proposant le partage de documents. Mais toutes m’ont paru peu sures ou trop chères pour demander aux avocats avec lesquels je travaille d’y stocker des documents de travail confidentiels. La solution OPALEXE est sur-dimensionnée pour l’usage que je compte en faire (et pour mon chiffre d’affaires).

Plus je réfléchissais, et plus je comprenais qu’il fallait que les données restent chez moi, et que j’en maîtrise le plus possible la chaîne de responsabilité.

J’ai donc choisi de proposer un accès sécurisé à un serveur de stockage hébergé dans mon bureau et accessible à mes clients avocats via une interface web.

Je me suis tourné tout naturellement vers le système de stockage que je possède actuellement: un NAS Synology DS713+, mais je pense que ce qui va suivre doit pouvoir s’adapter facilement à un autre système de stockage, comme par exemple un NAS4Free. En tout cas, j’ai vérifié au boulot avec un NAS QNAP TS-559 Pro II, la procédure est très semblable.

Mise en place:

Etape 0: Choisir le bon protocole sur le système de stockage

L’HyperText Transfer Protocol Secure, plus connu sous l’abréviation HTTPS, est généralement utilisé pour sécuriser les transactions financières. C’est le petit cadenas rassurant que l’on trouve sur le navigateur lorsqu’on saisit dans un formulaire des informations qu’on ne voudrait pas voir diffusées à tous les vents.

Sur un NAS Synology, pour activer HTTPS, c’est assez simple, il suffit d’aller dans le panneau de configuration, Paramètres de DSM, onglet « Service HTTP » et de cocher « Activer la connexion HTTPS ». J’en profite pour cocher également « Rediriger automatiquement les connexions HTTP vers le HTTPS ». J’ai laissé les ports par défaut (http sur 5000 et https sur 5001).

Etape 1: Rendre son système de stockage accessible depuis internet.

J’ai la chance, comme beaucoup maintenant, de disposer d’une adresse IP fixe proposée par mon fournisseur d’accès internet. Sinon, je pense que j’aurais du utiliser les services du type noip.

Il me suffit donc d’aller dans l’interface d’administration de ma box pour créer une redirection de port du type {IP FIXE BOX}:443 vers {IP LAN du NAS}:5001.

Je teste avec mon téléphone portable et vérifie que l’URL https://IpFixe fonctionne bien et affiche le portail d’accès aux fichiers de mon NAS. A ce stade, j’ai un message d’avertissement de mon navigateur qui m’indique que ce site n’est pas sur. Sous Firefox, c’est assez flippant: « Cette connexion n’est pas certifiée » avec un bouton « Sortir d’ici ! ».

De quoi faire fuir tout(e) secrétaire d’un cabinet d’avocat. Voyons comment éviter cela.

Etape 2: Remplacer l’adresse IP par un nom de domaine.

Je gère tous mes noms de domaine chez Gandi depuis de nombreuses années. J’aime bien leur état d’esprit et leurs prix sont tout à fait corrects.

Je me rends donc dans l’interface d’administration Gandi du nom de domaine que j’ai choisi pour mon activité d’expertise privée. J’ajoute dans les informations DNS un champ « A » avec l’adresse IP FIXE BOX fournie par mon FAI et le petit nom que je souhaite lui donner. Dans mon cas, j’ai choisi « cabinet.shrdlu.fr ».

Je vérifie que le serveur est accessible cette fois avec l’URL https://cabinet.shrdlu.fr

Ça marche, mais la connexion n’est toujours pas certifiée…

Etape 3: Certifier la connexion internet.

C’est la partie la plus technique. Mais elle s’avère simple grâce à tous les HOWTO disponibles sur internet. J’ai choisi de suivre celui-là (en anglais).

Je résume les commandes ici:

Sur le NAS Synology:

cd /usr/syno

mkdir ssl

cd ssl

wget https://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf

cd

openssl genrsa -des3 -out cabinet.key 2048

openssl rsa -in cabinet.key -out cabinet.nopass.key

openssl req -nodes -new -key cabinet.key -out cabinet.csr

Sur l’interface Gandi de création d’un certificat (gratuit quand on dispose d’un nom de domaine chez eux):

– copier/coller le contenu du fichier cabinet.csr

– demander la génération du certificat

– récupérer le certificat et le coller dans un fichier cabinet.certif

– récupérer le certificat intermédiaire et le coller dans un fichier cabinet.interm

Sur le NAS Synology:

Dans « Panneau de configuration/Paramètres de DSM/Certificat », cliquer sur « importer le certificat », et fournir les fichiers suivants:

– clé privée: cabinet.nopass.key

– certificat: cabinet.certif

– certificat intermédiaire: cabinet.interm

Rebootez votre NAS et, là, miracle, l’URL:

https://cabinet.shrdlu.fr

est accessible par tous les navigateurs sans avertissement de sécurité.

Etape 4: Créer un compte client.

Les échanges avec Maître Michu se passent toujours par email. Cela commence par une prise de contact avec explications du contexte du dossier. Je demande ensuite, pour établir mon devis, un exemplaire du (pré)rapport d’expertise que j’ai à analyser. Je propose alors que ce document soit déposé électroniquement de manière sécurisée sur le serveur de stockage mis en place.

Je crée donc un compte sur mon NAS Synology, avec mot de passe adhoc, et j’adresse les informations de connexion par téléphone. J’en profite pour assister le secrétariat lors de la première connexion et lui faire faire quelques pas avec l’interface particulière du système d’accès aux fichiers Synology.

Les lecteurs intéressés par une démo proche du résultat que j’obtiens peuvent aller sur cette page. Attention, il faut penser à désactiver provisoirement AdBlock pour faire fonctionner l’accès à « File Station ».

L’échange de fichiers entre le NAS distant et le poste de travail est très simple puisque l’application « File Station » interfère via Java avec le système d’exploitation.

Le client peut me transférer toutes les pièces du dossier qu’il souhaite me soumettre. Je peux également lui déposer des documents qu’il récupérera par le même moyen.

Inconvénients:

– Je suis conscient que la procédure n’est pas si « simple » que cela pour le client. C’est un point à améliorer. Cela devrait être aussi simple que d’envoyer un email.

– La bonne intégration avec le système d’exploitation du client nécessite la présence de Java (et la réponse à des messages d’alerte potentiellement anxiogènes). Les tests effectués auprès de plusieurs cabinets d’avocat ont montré qu’au moins une fois Java n’était pas installé. C’est un problème.

Mais dans l’ensemble, pour l’instant, le système fonctionne bien avec les cabinets qui l’ont testé.

Bien entendu, je suis preneur de toutes suggestions de simplification, ou pour un retour d’expérience sur une solution différente. Les commentaires sont là pour cela 😉

Nettoyage d’automne et backstage

Publié le 30 septembre 2013 par Zythom

Cela faisait longtemps que je n’avais pas changé l’habillage de ce blog. ~~Après avoir hésité à mettre en place le même thème que le blog version américano-anglaise,~~ j’ai finalement opté pour quelque chose de plus léger et toujours dans l’esprit « blog ».

J’espère que ce nouvel habit d’automne vous plait.

PS: Il y a deux thèmes pour le blog, un pour la version ordinateur classique, l’autre pour mobiles. N’hésitez pas à me remonter les anomalies que vous constaterez pour l’un comme pour l’autre thème (en précisant).

Pour les curieux des coulisses d’un blog:

Bien que très concerné et intéressé par les technologies internet, je n’ai jamais souhaité m’occuper de l’hébergement de ce blog, ni de son développement. J’ai donc cherché une plateforme d’hébergement offrant de bonnes infrastructures et des outils simples de configuration et d’administration. En 2006, mon choix s’est tourné vers Blogger (racheté depuis par Google) qui présente de plus la particularité d’être entièrement gratuit.

La création d’un blog se fait en quelques minutes, si possible en suivant la procédure suivante:

– se choisir un pseudonyme disponible sur internet

– créer le compte Google correspondant à ce pseudonyme (adresse Gmail, etc.)

– ouvrir le blog sur Blogger

– choisir le modèle de présentation parmi les différents proposés dans l’interface d’administration et découvrir les différents paramétrages

– écrire des billets 😉

Personnellement, j’ai choisi le tout gratuit, sachant que je serai le produit. Je n’ai pas réservé de nom de domaine, je n’ai pas de mise à jour de système d’exploitation à faire, je ne gère pas de base de données, je n’ai pas de connaissance particulièrement prononcée des langages de mise en forme, je ne m’occupe pas de la bande passante nécessaire ni des attaques DDOS. Bref, c’est cool.

J’ai juste acheté une casquette Google pour faire mes conférences (et pour troller un peu ;-).

Bien sur, je sauvegarde régulièrement le blog par un export XML (avec la console d’administration Blogger) qui m’a été bien utile lors du piratage du blog l’année dernière.

Je n’ai pas accès aux logs du serveur qui m’héberge, et je dois dire que ça ne me manque pas beaucoup. Côté statistiques, j’utilise Google Analytics, paramétrable très facilement dans Blogger, et cela me suffit pour combler mon égo de blogueur. Quand un internaute m’insulte par email, je supprime simplement l’information et l’oublie aussitôt. J’ai gardé quelques remarques déplaisantes de confrères pour mon mur des cons personnel, mais je dois dire que c’est plutôt rare.

Côté référencement, je n’ai fait aucun effort particulier: pas de mot clef acheté, pas de truc ou astuce dans les méta balises… Je compte simplement sur le référencement des blogueurs qui aiment bien mon blog et sur la pertinence des moteurs de recherche.

A ce propos, je vous invite à aller regarder ma blogroll située sur le côté droit du blog. Elle contient tous les sites que je dévore dès que leurs auteurs publient quelques choses. Je place sur Google+ les billets qui m’ont particulièrement intéressé. Elle est organisée selon les rubriques suivantes:

– Le meilleur de la Justice (Me Eolas…)

– Les chapeaux blancs (Sid…)

– Le 4e pouvoir (Aliocha…)

– Les soigneurs (Boule de Fourrure…)

– Cerveau gauche (Dr. Goulu…)

– Cerveau droit (Embruns…)

– Blogs BD (BouletCorp…)

– L’Empire des sens (pardon maman…).

Si vous avez des liens à me conseiller, n’hésitez pas à me le envoyer par email ou en commentaire! Ou alors, ouvrez un blog et mettez les dans votre blogroll 😉

Sol lucet omnibus

(« le soleil luit pour tout le monde », Olibrius dans Astérix et les Normands)

Cracker les mots de passe

Publié le 24 septembre 2013 par Zythom

Quand j’étais jeune responsable informatique, dans les années 1990, il existait une « tradition » chez les administrateurs réseaux de l’époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l’on gérait.

C’est ainsi que j’ai découvert le logiciel « crack« , librement distribué et partagé sur internet par les administrateurs réseaux.

C’est aussi à cette époque que j’ai compris l’intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer.

Voici donc un billet sur les outils que j’utilise aujourd’hui dans les analyses que j’ai à mener, soit dans le cadre judiciaire, soit dans le cadre professionnel (quel admin n’a pas déjà eu à contourner un mot de passe root, ou un mot de passe BIOS). J’espère qu’il pourra être utile aux experts judiciaires débutants en la matière, ou à tout ceux qui veulent tester leur réseau informatique personnel ou professionnel.

Dernier point: il n’est pas inutile de rappeler que toute utilisation illégale de
ce type d’outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l’approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s’en servir à leur insu est réprimandée par la loi.

Bref, ce qui est mal est mal, ce qui est illégal est illégal…

S’il n’était mort il serait encore en vie.

Note à mes lecteurs issus ou nageant déjà dans l’univers de la sécurité informatique, ne vous attendez pas à des découvertes techniques incroyables dans ce qui va suivre, considérez ce billet comme une initiation au B.A.BA pour mes lecteurs « mékeskidis » (© Maître Eolas) ou les simples curieux.

—————————————

0) L’outil magique, celui qui impressionne les amis : Ophcrack

Rendez-vous sur le site de téléchargement d’Ophcrack, récupérez le liveCD qui va bien (Vista/7 par exemple), gravez le et bootez votre machine Windows 7. Regardez et admirez, c’est plug and play.

Ophcrack fonctionne très bien également sur des machines virtuelles, par exemples des images disques créées par la commande « dd » et transformées en VM par liveView.

Pour les plus motivés d’entre vous, il existe des « tables arc en ciel » en téléchargement plus ou moins libre sur internet, permettant d’améliorer les performances de récupération des mots de passe. Attention, ces tables peuvent faire plusieurs gigaoctets. Vous pouvez également les faire vous même (par exemple avec RainbowCrack): prévoir un ordinateur TRES puissant et plusieurs mois de calculs…

Ophcrack est un outil précieux lors des perquisitions, où l’on rencontre souvent du matériel sous Windows XP ou Windows 7.

Conseil aux administrateurs réseaux débutants: bloquez très vite le mode « boot sur CD » de tous les postes que vous administrez…

—————————————

1) L’ancêtre, celui qui fera de vous un barbu : crack

Crack est un logiciel de recherche de mot de passe par création de combinaisons de mots courants stockés dans des fichiers. Je dois à ce logiciel ma plus belle collection de « dictionnaires », le mot étant à prendre ici au sens de « liste de mots » (sans définition). J’ai des dictionnaires de mots dans un grand nombre de langues, des dictionnaires de mots écrits en phonétique, des règles de codage/décodage en langage SMS (t1t1 pour tintin), etc. J’ai également récupéré, quand ils ont été disponibles sur internet, tous les fichiers de mots de passe (parfois plusieurs millions) d’utilisateurs…

Comme indiqué en préambule, c’est le premier programme que j’ai
utilisé dans le contexte d’analyse de la sécurité de mon réseau, pour
tester la validité des mots de passe choisis par les étudiants. Je
précise que je suis barbu avec modération. 20% des mots de passe
utilisés par les étudiants ont été trouvés en moins de 5 mn, 80% en
moins d’une heure. J’ai affiché dans le couloir du laboratoire
informatique la liste des mots de passe par ordre de découverte (sans le
nom du compte associé), avec obligation pour chaque étudiant de changer
leur mot de passe… Toute une époque 😉

Crack est un programme conçu pour UNIX et fonctionnant sous UNIX. La rubrique « Troll » de la FAQ est instructive à ce sujet. Ceux qui ont un peu plus de temps, liront avec délice les emails les plus curieux envoyés au développeur de crack.

C’est un programme pédagogique, qui peut encore être utile, même si je dois avouer ne pas m’en être servi depuis longtemps.

—————————————

2) La référence : John l’éventreur

John The Ripper, ou JTR, est l’une des références dans l’univers des briseurs de mots de passe. Bien qu’un peu ancien maintenant, ce logiciel a su évoluer pour utiliser différentes méthodes d’approche.

Il a surtout l’avantage de fonctionner dans beaucoup d’environnements: Windows, Linux, Mac OS, etc. C’est encore un logiciel basé sur des dictionnaires.

Je raconte dans ce billet, une petite anecdote liée à la présence de ce logiciel sur le poste de travail d’un salarié avec le mot de passe du patron dans un fichier texte…

—————————————

3) L’attaque à distance multi-protocoles : Hydra

Si vous devez auditer un ensemble de postes, de serveurs, de protocoles, de services, de trucs à distance, ou tout simplement un ordinateur allumé ciblé, le tout sans bouger de votre poste d’analyse, voici le produit qu’il vous faut: THC-Hydra.

Je reporte ici la description du produit extraite de ce manuel en français: THC Hydra est un crackeur de mot de passe réseau supportant les protocoles suivants: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET, HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA, REXEC, SOCKS5, VNC, POP3, VMware-Auth, NCP, Firebird.

Le logiciel possède deux modes de fonctionnement: l’attaque par dictionnaires ou par force brute. A ce propos, ne pas oublier les fonctionnalités moins connues du couteau suisse des réseaux: nmap et ses possibilités d’attaque par force brute.

—————————————

4) Le mot de passe BIOS oublié : PC CMOS Cleaner

Toute la description est dans le titre. La encore, un liveCD à télécharger pour booter ensuite dessus. Rapide, efficace, mais modifie le scellé ce qui est interdit.

Sinon, la vieille méthode dite de « la pile BIOS à enlever » marche toujours, mais il faut savoir la trouver, surtout sur les ordinateurs portables. Encore une fois, interdit dans le cas d’un scellé.

—————————————

5) Efficace mais long : les emails

La meilleure de toutes les solutions est un constat simple que je fais souvent: la grande majorité des gens n’utilisent qu’un ou deux mots de passe, pour tous les systèmes d’authentification qu’ils rencontrent.

Il est donc très probable que l’utilisateur de l’ordinateur analysé ait choisi son mot de passe « habituel » pour s’enregistrer sur un site quelconque de téléchargement de démos, d’achats en ligne ou de webmail. Parmi tous les sites en question, il n’est pas rare que le mot de passe utilisé lors de la procédure d’inscription soit envoyé EN CLAIR dans l’email de confirmation de création du compte.

Il suffit donc d’analyser les correspondances emails (Outlook, Thunderbird, traces logs des différents navigateurs, etc) pour retrouver un ensemble d’emails du type « votre mot de passe est bien ZorroDu69, merci de conserver cet email » (oui, merci). Quand vous listez ensuite tous les mots de passe ainsi trouvés, le nombre dépasse rarement 3 ou 4. Il ne reste plus qu’à les tester sur le compte ciblé pour trouver le bon.

C’est l’application d’une des bases de l’ingénierie sociale…

—————————————

Conclusion

L’amoureux de la vie privée que je suis commencera par un conseil sur les mots de passe: choisissez les de manière à ce qu’ils ne puissent pas apparaître dans une liste de mots de passe, et suffisamment longs pour qu’ils résistent à une attaque par force brute. Je donne souvent l’exemple des premières lettres des mots d’une chanson ou d’un poème, en mélangeant majuscules et minuscules, ex: LsLdvdLBmCdULm, auxquelles vous ajoutez quelques chiffres (en majuscule, non, je plaisante), ex: LsLdvdL1844BmCdULm1896. C’est beau, c’est long, ~~c’est bon~~, c’est difficile à deviner quand on vous regarde taper sur le clavier (sauf si vous chantonnez).

Mais attention, ce n’est pas inviolable (cf point n°0 sur Ophcrack et le boot sur cédérom).

Ensuite, un conseil encore plus pénible: choisissez un mot de passe très différent pour chaque compte informatique. Dix comptes, dix mots de passe. 50 comptes, 50 mots de passe. Un mot de passe pour Twitter, un autre pour Facebook, un autre pour Gmail, etc. Évidemment, la nature humaine est ainsi faite que la mémorisation parfaite de tous ces mots de passe devient un tantinet compliquée. Je vous recommande donc le logiciel KeePass pour stocker de façon sécurisé tous vos mots de passe. Ce logiciel est même certifié par l’ANSSI, c’est dire. Il peut également générer des mots de passe très long aléatoirement, avec la possibilité de faire des copier/coller, ce qui revient à ne même pas connaître le mot de passe que vous utilisez.

Du coup, vous n’avez à retenir vraiment qu’un seul mot de passe, jamais mis par écrit: celui de l’accès à KeePass. De plus, ce logiciel est à double authentification (présence d’un fichier à choisir + mot de passe). Vous pouvez même placer KeePass sur le Cloud pour pouvoir y accéder de partout !

Cracker des mots de passe est une activité assez amusante, un petit défi technique accessible à tous. Il est par contre plus difficile pour certains étudiants de garder à l’esprit que tout ce savoir technique doit servir du bon côté de la Force. Quoi qu’il en soit: sit vis vobiscum !

SSTIC OpenVPN Synology Freebox et iPhone

Publié le 9 juin 2013 par Zythom

Ça y est, c’est fini, le SSTIC 2013 est terminé…

Comme l’année dernière, les trois jours de conférence ont été très intéressants. J’ai encore appris de nombreuses choses, sur l’univers de la sécurité informatique, sur les spécialistes qui habitent cet univers, sur mes nombreuses lacunes techniques et sur ma faible paranoïa…

J’ai également rencontré de nombreuses personnes avec qui j’ai pu discuter longuement. Pour la plupart, ces personnes me lisent sur ce blog et en apprécient le contenu, ce qui n’a pas gâté mon plaisir. J’étais très heureux de croiser autant de personnes passionnées par l’informatique et qui, pour la grande majorité, ont choisi le côté clair de la Force. J’y ai même rencontré une experte judiciaire en informatique jeune, jolie, compétente et sympathique. Je vous assure que c’est fort rare.

Le blog est toujours en ligne cette année, mon compte Twitter aussi. Il
faut dire que j’ai été beaucoup plus prudent que l’année dernière: je
n’ai pas du tout utilisé mon ordinateur portable (pourtant j’aurais été
un des rares Windows 8 de l’amphi ;-), et mon smartphone était en mode
avion, puis timidement en 3G pour quelques tweets. Pas de connexion dans
l’amphi, pas de connexion dans la rue, pas de connexion à l’hôtel: on
n’est jamais assez prudent.

Mais c’est un peu pénible de ne pas pouvoir répondre à ces emails, de ne pas pouvoir se connecter à son blog, de ne pas pouvoir lire dans ses flux RSS ses blogs préférés. Bref, c’est un peu pénible de ne pas pouvoir avoir un accès sécurisé à Internet.

Tout cela, c’est un peu de ma faute: j’ai tellement procrastiné sur le sujet que je me suis retrouvé « Gros-Jean comme devant » la veille du départ au SSTIC. Du coup, pendant le SSTIC, j’ai un peu enquêté à droite et à gauche pour savoir comment les plus paranoïaques des spécialistes de la sécurité sortaient couverts. Chacun dispose de ses outils, mais les mots suivants sont revenus souvent: VPN, TLS, ~~cryptage~~ ~~chiffrage~~ chiffrement, OpenVPN, bières, sauts en parachute…

Comme je ne pratique pas tous ces concepts, je me suis au travail dès ce week-end. Voici donc la solution qui me convient, et que je partage ici avec vous.

Contexte :

– Je dispose d’un magnifique iPhone que je souhaite utiliser, dans des conditions de bonne sécurité dans un milieu inconnu, pour accéder à internet.

– J’ai la chance d’avoir un NAS Synology DS713+ familial qui permet la mise en place d’un serveur VPN. Après avoir testé plusieurs fournisseurs VPN, je souhaite pouvoir utiliser une solution personnelle que je pourrai peut-être mieux maîtriser.

– Mes activités étant conformes aux lois françaises, et protégées par celles-ci, je souhaite profiter de mon abonnement ADSL personnel, situé en France métropolitaine (avec IP fixe).

– Enfin, plutôt qu’un accès PPTP, je souhaite mettre en place une solution plus sure, basée sur OpenVPN.

Mise en œuvre :

Je vais m’appuyer sur toutes les personnes ayant partagé sur Internet leurs solutions aux différents problèmes que j’ai rencontrés.

1) Installation du serveur VPN sur le NAS Synology:

Très simple et bien expliquée sur cette page du site de Synology.

2) Installation de l’application « OpenVPN connect » sur l’iPhone (sans jailbreak):

A l’heure où j’écris ces lignes, l’application n’est pas disponible sur un compte iTunes français, mais j’ai pu l’installer à partir d’un compte américain. Pour se créer un compte américain, il suffit de suivre les explications de ce site. Une fois installée, ne lancez pas tout de suite l’application.

3) Création des certificats:

Afin de maîtriser correctement la chaîne de sécurité, il me semble préférable de générer soi-même les différents certificats, par exemple pour pouvoir les modifier en cas de compromission. Pour cela, j’ai suivi à la lettre les instructions de cette page (du point n°1 au point n°3) qui utilisent le logiciel XCA.

4) Configuration du serveur VPN sur le NAS Synology:

Une partie des certificats doit être installée sur le NAS et pris en compte par le serveur VPN. J’ai suivi à la lettre les instructions 2 et 3 détaillées sur cette page. Notez que le point n°1 a déjà été fait à l’étape précédente (Création des certificats). J’ai également rencontré plusieurs problèmes lors du point n°4 de cette liste d’instructions, c’est pourquoi je le détaille dans les étapes qui suivent.

5) Récupération du fichier de configuration OpenVPN pour l’iPhone:

– Après avoir rebooté votre NAS pour être sur que le serveur VPN utilise la bonne configuration, retournez dans l’interface d’admin du Synology pour exporter la configuration du VPN server (Connectez-vous à DSM avec les identifiants d’admin. Allez à Menu principal > VPN Server. Cliquez sur OpenVPN sous la section Paramètres dans le panneau gauche. Vous avez un bouton « exporter la configuration » qui va permettre de stocker sur votre ordinateur le fichier qui va servir de base pour la configuration de l’iPhone. Il s’agit d’une archive compressée qui s’appelle « openvpn.zip ».

– Dézippez là sur votre ordinateur.

– Vous voici en possession d’un fichier openvpn.ovpn qui ressemble à cela

dev tun

tls-client

remote YOUR_SERVER_IP 1194

# The « float » tells OpenVPN to accept authenticated packets from any address,

# not only the address which was specified in the –remote option.

# This is useful when you are connecting to a peer which holds a dynamic address

# such as a dial-in user or DHCP client.

# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it’s

# default network gateway through the VPN.

# It means the VPN connection will firstly connect to the VPN Server

# and then to the internet.

# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.

# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

6) Modification du fichier openvpn.ovpn obtenu à l’étape précédente:

– « YOUR_SERVER_IP »doit être remplacée par l’adresse IP fixe de votre box ADSL. Étant heureux ~~propriétaire~~ locataire d’une freebox avec adresse IP fixe, je n’ai pas eu besoin de me replonger dans mes souvenirs du paramétrage de dyndns.

– J’ai décommenté la ligne « redirect-gateway » (mais je ne suis pas sur de son impact dans le temps)

– Il faut supprimer la ligne « ca ca.crt » et la remplacer par:

<
ca
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/ca
>

<
cert
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/cert
>

<
key
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/key
>

– Il faut ensuite remplacer les « xxx » par les contenus respectifs des fichiers certificats du client générés à l’étape n°3 « Création des certificats ».

– Il faut enfin corriger la ligne « reneg-sec 0 » en « reneg-sec 3600 ».

7) Transfert du fichier de configuration vers l’iPhone:

– Il faut transférer le fichier openvpn.ovpn modifié à l’étape précédente vers votre iPhone. Pour cela, il faut brancher votre iPhone sur votre ordinateur et utiliser iTunes: Menu iPhone / Apps. Dans « Partage de fichiers », descendre jusqu’à l’application « OpenVPN », la sélectionner, et cliquer sur le bouton « Ajouter… » pour aller chercher le fichier openvpn.ovpn.

– Sur votre iPhone, vous pouvez enfin lancer l’application OpenVPN », et accepter le chargement du profil trouvé dans le fichier openvpn.ovpn. Ne cherchez pas tout de suite à vous connecter…

8) Configuration de votre box ADSL pour le renvoi de port:

Allez dans l’interface de votre box ADSL pour paramétrer le renvoi du port UDP 1194 de l’adresse IP fixe de la box vers l’adresse IP et le même port de votre NAS familial.

9) Connexion VPN de votre iPhone:

Retournez sur votre iPhone, dans l’application OpenVPN et connectez vous dessus avec un compte valide de votre NAS. L’informatique est magique et tout fonctionne. Vous pouvez lire vos emails au SSTIC.

Erreurs possibles :

Il est possible de rencontrer plein d’erreurs tout au long de la procédure que j’indique ici, et il serait illusoire que je puisse vous donner toutes les solutions à vos problèmes. J’ai toutefois rencontré plusieurs difficultés qui m’ont fait perdre un nombre d’heures assez importantes. Je vous les indique ici en espérant faire le bonheur de quelques uns:

– Si vous avez une erreur de ce type:

Cannot load certificate file error:0906D06C: PEM routines:PEM_read_bio:no start line: error:140AD009: SSL routines:SSL_CTX_use_certificate_file:PEM lib

Il est fort probable que vous ayez modifié les certificats lors du copié/collé de l’étape 6. Une sombre histoire d’UTF8 mal géré par OpenVPN. Vous aurez plus d’informations sur cette page. Dans mon cas, j’ai recommencé mon copié/collé sous Notepad sans chercher à mettre en forme, et c’est passé.

– étape 8: vous n’allez pas le croire, mais j’avais déjà programmé sur ma box une redirection du port UDP 1194 vers mon ordinateur, il y a longtemps, lorsque j’ai effectué des tests de connexions à des VPN distants. Lorsque j’ai entré une nouvelle redirection de ce port vers celui de mon NAS, l’interface de la freebox n’a pas bronché, et évidemment, un port ne se redirige qu’une seule fois. Rien n’arrivait à mon NAS. Vérifiez donc qu’aucune redirection du port UDP 1194 n’est pas déjà faite…

Conclusion :

Je ne prétends pas avoir transformé mon iPhone en Teorem de Thales (woa le nom), mais je pense avoir rehaussé mon niveau de sécurité, du moins jusqu’à ma box ADSL. La technique est utilisable pour un ordinateur portable et certainement pour un téléphone sous Android.

Grâce à ce problème simple, j’ai pu m’intéresser d’un peu plus près à mon matériel et à ses configurations logiciels. C’est un week-end de bidouillages à mon niveau qui m’a fait réviser les certificats et découvrir l’arrière boutique de mon NAS Synology (en connexion ssh).

Bref, un hacker je vous dis 😉

Expérience sur l’anonymat

Publié le 14 mai 2013 par Zythom

Lorsque j’ai décidé d’ouvrir ce blog en 2006, j’ai pris comme pseudonyme « Zythom » car je voulais séparer mes activités IRL et numérique. Je considérais l’utilisation d’un pseudonyme comme allant de soi dans l’univers numérique.

Dès que j’ai commencé à avoir des lecteurs, je me suis trouvé devant le problème classique de la modération ou pas des commentaires. Après avoir hésité un peu, j’ai fait le choix de modérer les commentaires pour garder le contrôle du contenu du blog. Ce faisant, je sais que mon statut juridique est plus risqué, puisque j’autorise la publication du commentaire. Mais c’est mon choix et je l’assume jusqu’à présent.

Pour compenser un peu, parmi les différents paramètres de la configuration du blog, j’ai choisi d’autoriser la soumission de commentaires anonymes. Cela me semble logique, même si cela encourage quelques personnes à abuser de cette possibilité.

Mais je souhaitais pouvoir aller plus loin dans l’anonymat que je pouvais offrir à mes éventuels correspondants, aussi, en juin 2010, j’ai ajouté à la page contact de mon blog un formulaire PrivacyBox permettant à tout internaute qui le désire de me contacter d’une manière complètement anonyme, sans que je ne puisse avoir de moyens de connaître son identité réelle. Les messages que je reçois via ce formulaire sont de plus automatiquement chiffrés avec ma clef publique OpenPGP.

Maintenant que le service de PrivacyBox va fermer, il est temps pour moi de faire un petit bilan de cette expérience.

Donner la possibilité à des personnes de vous écrire sans contrainte d’identité lève un certain nombre de barrières: la parole est plus libre, plus directe. Des choses peuvent être dites sans fard, sans le verni de la politesse et la retenue de l’éducation. J’ai ainsi reçu des courriers d’encouragements et de soutiens de personnes qui souhaitaient rester anonymes.

J’ai aussi reçu des messages d’insultes, de menaces, de critiques…

Mais j’ai également reçu par ce biais des messages qui m’ont interloqué. Je me souviens en particulier de cette personne qui m’expliquait ses penchants pour les jeunes enfants et qui était tombé sur mon blog parce que j’y parle (souvent) de mes dossiers de recherches d’images pédopornographiques. Cette personne me livrait ses tourments et m’expliquait comment elle surmontait le passage à l’acte en consommant des ouvrages interdits en France mais autorisés au Japon (des mangas spécialisés dans les dessins pornographiques mettant en scène des enfants). J’ai reçu en quelques jours plusieurs messages très crus de sa part sur le sujet, sans pouvoir y répondre puisque la personne n’a pas souhaité me laisser le moyen de la contacter, et pour cause.

J’ai reçu également quelques demandes pour des interventions dans des dossiers, des questions sur le piratage, sur les techniques de contournement ou sur les moyens mis en œuvre par la Justice pour lutter contre telle ou telle fraude. J’y ai répondu dans la mesure de mes capacités et lorsque l’utilisateur me laissait une adresse email pour cela.

J’ai reçu en tout une centaine de messages.

J’ai ainsi été spectateur d’une liberté totale d’expression, sans inhibition.

J’en ai appris beaucoup sur la nature humaine.

J’en ai appris aussi sur moi-même, sur mes propres rouages.

J’ai mené cette expérience pour aller jusqu’au bout de l’anonymat.

Je suis désolé que le service de PrivacyBox ferme.

En tout cas, j’ai eu moins peur en lisant ces emails anonymes, qu’en lisant les commentaires que l’on trouve sous les articles de certains journaux en ligne…

Stockage

Publié le 5 mai 2013 par Zythom

La semaine dernière, j’ai reçu un ordinateur sous scellé à fin d’analyse. Pour une fois, il ne s’agit pas de recherche d’images pédopornographiques, mais de retrouver des conversations électroniques.

J’ouvre le scellé, et en extrait le disque dur pour analyse. Le disque dur fait 3To…

Bon, c’est normal, les capacités des disques durs vont en augmentant, mais après vérification, je ne dispose pas de disques durs suffisamment grands, et mon NAS personnel est presque plein. Comment faire une copie pour analyse, sachant qu’il me faut facilement le double de la taille du disque d’origine: pour l’image bit à bit, pour le fonctionnement en VM et pour toutes les données extraites ?

Sachant que le budget de la Justice, déjà exsangue, n’est pas prévu pour m’offrir un joli NAS, et que tout le monde compte sur mon travail d’analyse, rapide, fiable et PAS CHER… il me faut trouver une solution.

Twitter étant mon ami, je lance un tweet SOS à ceux qui me suivent sur le compte @Zythom. Et me voilà en train de tester plusieurs outils gratuits dont je vais un peu vous parler aujourd’hui.

Tout d’abord, il se trouve que je dispose d’un nombre invraisemblable de carcasses d’ordinateurs qui remplissent mon bureau, entre vieilles cartes mères et webcams-qui-ne-marchent-que-sous-XP. J’ai donc cherché dans le lot un vieux PC avec une carte mère acceptant les disques durs SATA. Me voici avec un NEC « Pentium 4 » datant du temps où l’on nommait les PC du même nom que leur processeur.

Une fois la poussière priée d’aller sur les objets alentours, je pars en chasse d’un clavier et d’une souris PS2, d’un écran fonctionnel, d’un cordon d’alimentation et d’un câble réseau catégorie 5e au moins.

En regardant bien la carte mère de cette vieille machine, je compte 4 ports SATA et deux ports IDE. Je fouille alors dans mon stock de disques durs dédiés aux expertises, et j’en extrais un vieux disque dur IDE de 40 Go, deux disques SATA de 3To et un disque tout neuf de 4To.

Me voici prêt à tenter de construire un NAS avec ça.

Les followers qui ne dormaient pas au moment où j’ai posé ma question m’ont proposé les produits suivants:

– Nexenta Community Edition

– XPEnology

– OpenMediaVault

– OpenFiler

– FreeNAS et

– NAS4Free

J’ai testé ces produits avec la machine que j’avais assemblée de bric et de broc. Voici mes constatations, et je demande aussitôt aux passionnés de ces produits de me pardonner mon test simpliste (je ne suis pas un labo de tests non plus!):

– Nexenta CE n’a pas reconnu mes disques durs;

– XPEnology n’a pas fonctionné de manière stable malgré tous mes efforts (je dispose déjà de deux NAS Synology, un vieux DS209j et un DS713+ flambant neuf, donc j’étais motivé);

– OpenMediaVault n’a pas réussi à faire booter ma machine;

– OpenFiler n’a pas reconnu mon disque dur de 4To lors de la configuration SoftRAID;

Le développement de FreeNAS ayant été repris par une société commerciale, j’ai directement testé NAS4Free qui est la suite du développement du code originel de FreeNAS. NAS4Free a reconnu l’ensemble de ma configuration, aucun message d’erreur n’est apparu lors de la constitution du RAID0 qui a aggloméré tous mes disques durs (sauf celui de 40Go qui sert uniquement pour le système au démarrage).

Mon choix s’est donc arrêté sur NAS4Free.

J’ai donc maintenant un NAS de capacité ~~10 To~~ 9 To qui me permet de mener à bien la mission d’expertise qui m’a été confiée. L’accès aux disques est rapide, l’incorporation dans mon réseau privé très simple, le partage des données entre machines Linux ou Windows est simple à paramétrer. Bref, une solution que je recommande à tout ceux qui ont un besoin rapide de stockage pour pas trop cher.

Seuls inconvénients: la consommation et le bruit, légèrement supérieurs à ceux de mon NAS perso Synology DS713+ sur lequel s’appuie toute la famille.

Mais si le dernier reste allumé en permanence toute l’année, le NAS4Free ne reste allumé que le temps d’une expertise, c’est-à-dire… quelques nuits 😉

Ma prochaine étape sera de faire l’achat que quelques cartes PCI multiports SATA pour augmenter la capacité de mon NAS improvisé. Je dois pouvoir atteindre les 16 disques durs de 4To, soit 64To!

Ensuite, pour passer à 180To, je testerai le pod de stockage Backblaze que Korben m’a fait découvrir.

De quoi voir venir 😉

————————————————————————–

Source image: inpic.ru

Prise d’image rapide d’un disque dur

Publié le 29 janvier 2013 par Zythom

Je voudrais vous faire part d’un retour d’expérience sur le sujet de la prise d’image de disque dur. J’en ai déjà parlé un peu sur ce blog, ici et là.

Lorsque l’on me confie un scellé à analyser, la première étape technique consiste à faire une image du disque dur à analyser. Il faut bien sur que l’image soit parfaitement fidèle, car c’est elle (et elle seule) qui sera étudiée ensuite. La prise d’image doit garantir l’accès en lecture seule du disque dur, afin de ne rien écrire sur celui-ci pour ne pas compromettre la preuve.

A ce stade du récit, je me permets de rappeler que cette précaution ne vaut pas pour certains cas, comme par exemple avec les disques durs SSD. En effet, ceux-ci disposent d’un algorithme d’égalisation de l’usure qui peut entraîner le déplacement de données dès la mise sous tension (donc techniquement, les données du disque dur sont modifiées avant même qu’on cherche à y accéder). Mais comme à l’impossible nul n’est tenu…

En pratique, il suffit d’extraire le disque dur du scellé et de le placer dans un duplicateur de disque dur. Sauf, que ces appareils coûtent plusieurs milliers d’euros et qu’aucun tribunal n’a encore accepté de m’équiper… Il me faut donc fabriquer moi-même mon duplicateur, ce que j’ai détaillé dans ce billet intitulé « La nuit, à travers le réseau« .

Mais cette technique me posait plusieurs problèmes: ma station de prise d’image est relativement volumineuse et les temps de copie sont très longs. Ces problèmes ne sont pas gênants lorsque je travaille chez moi, mais deviennent rédhibitoires lors d’une intervention en extérieur où la mobilité et le temps sont des facteurs clefs. De plus, la technique demande de démonter le disque dur à copier, ce qui n’est pas toujours facile à faire, surtout dans le cas d’ordinateurs portables.

Voici donc la méthode que j’utilise, et qui pourrait intéresser des confrères, ou des lecteurs souhaitant faire une copie rapide d’un disque dur complet (sauvegarde, récupération de données…). Elle a été testée sur des ordinateurs de type PC, sous Linux ou Windows.

Je dispose d’un ordinateur portable muni d’un port USB3. Ce type de port USB est 10 fois plus rapide que les ports USB2 encore très fréquents sur les ordinateurs. Mais à l’époque d’écriture du présent billet, de plus en plus de portables disposent de ce type de port, à des prix abordables. Il faut également s’assurer de la présence d’une carte réseau gigabit.

Il faut faire l’acquisition d’un disque dur externe USB3 de grosse capacité pour pouvoir stocker l’image obtenue lors de la copie. J’ai choisi un disque de 3To premier prix (en fait, j’en ai plusieurs en stock car parfois je suis amené à les mettre eux-mêmes sous scellés, mais c’est une autre histoire).

Je me suis acheté un petit switch gigabit et deux câbles réseaux gigabits. Là aussi, un premier prix suffira. 5 ports, c’est très bien.

Il faut disposer d’un lecteur de cédérom USB, très pratique maintenant que beaucoup de portables sont livrés sans lecteur. J’ai opté pour un graveur de DVD premier prix, ce qui me permettra de réaliser des gravures de CD ou de DVD pour réaliser des scellés facilement lorsque le volume de données est relativement faible.

Enfin, il faut télécharger et graver le liveCD DEFT que se doit de disposer tout expert informatique.

Procédure :

1) Vous allumez votre ordinateur portable et branchez votre disque dur externe USB3 (sur le bon port USB, celui qui est bleu à l’intérieur).

2) Vous configurez une adresse IP fixe sur la carte réseau giga (par exemple 192.168.63.1) que vous branchez sur le switch giga.

3) Vous désactivez votre firewall

4) Vous créez un répertoire « partage » sur votre disque dur externe, que vous configurez en partage pour tous #PartagePourTous.

5) Vous branchez votre lecteur de cédérom sur l’ordinateur à copier, que vous branchez lui sur le switch giga.

6) Vous bootez l’ordinateur à copier sur le LiveCD DEFT (en général, le choix du boot se fait par l’appui répété de la touche « Echap »)

7) Sur l’ordinateur à copier, vous tapez:

% ifconfig eth0 192.168.63.100

% ifconfig eth0 up

% mkdir /root/toto

% mount -t cifs //192.168.63.1/partage -o username=zythom /root/toto

% dd_rescue /dev/sda /root/toto/hd.dd

Avec un peu de chance, si la carte réseau du pc à copier supporte le gigabit/s (ce qui est le cas de beaucoup de cartes aujourd’hui), et si la distribution DEFT reconnaît les différents composants du pc à copier, alors vous aurez réalisé en un temps record, une copie du disque dur de la machine visée. Par exemple, un disque dur d’1 To en moins de 3h. La dernière commande de l’étape 7 crée un fichier nommé « hd.dd » dans le répertoire « partage » situé sur votre disque dur externe USB3. Ce fichier contient une image fidèle (aux erreurs de segments près) du disque dur du pc que vous deviez copier.

Bien sûr, plusieurs étapes ont des chausses trappes:

– à l’étape 6, le démarrage sur le LiveCD peut nécessiter le choix de paramètres de boot particuliers (noapic, nolapic, nodmraid, vga=xxx…)

– la configuration du réseau à l’étape 7 peut être plus complexe et demande une bonne maîtrise des paramétrages, surtout en cas de carte réseau particulière.

– la commande « mount » indiquée à l’étape 7 suppose que votre ordinateur portable est une machine Windows avec un compte protégé par mot de passe (demandé lors de l’exécution de mount). Il faut adapter la commande si vous êtes sous Linux ou Mac OS.

Cette procédure ne fonctionnera pas à tous les coups, mais permettra dans un grand nombre de cas, d’avoir une copie rapide de disque dur, à un coût raisonnable.

N’hésitez pas à me faire part de vos améliorations en commentaires.

———————————————-

Source image Megaportail

Ce moment magique où le disque dure

Publié le 2 février 2012 par Zythom

Mon activité d’expert judiciaire en informatique est connue de mon entourage et de mes amis, en particulier le fait que je sais « faire parler » un disque dur. Il m’arrive donc parfois d’être contacté par un ami qui m’avoue son désespoir de ne plus arriver à lire les données de son disque dur. La conversation donne en général ceci:

« Je n’arrive plus à accéder à mon disque dur externe. J’y stocke les photos de la famille. Je me suis pris les pieds dans l’alim et le disque dur a volé dans la pièce… Quand je l’ai rebranché, plus rien. »

Ce moment gênant où le disque dur ne démarre plus…

« … mais rassure moi, tu as bien des sauvegardes? »

Ce moment troublant où l’on réfléchit à la date de la dernière sauvegarde.

« Heu, mouis, mais pas récentes. »

« Bon. Qu’est ce qu’il fait comme bruit ton disque dur? »

« Et bien, justement, il ne fait plus aucun bruit. Enfin, si, un petit sifflement d’une seconde, puis rien pendant deux secondes, puis de nouveau un petit sifflement… »

« Ok. Ton disque dur est mort. Tu peux faire une croix sur tes données. »

Ce moment particulier où l’on annonce que toutes les données sont perdues à jamais…

« Non!? Et tu ne peux rien y faire? Même toi?

« Bah. A l’impossible nul n’est tenu. Si ton disque est mort, à part l’intervention d’une société spécialisée avec démontage en salle blanche, je ne vois pas. »

Le deuil.

Étape 1: le choc.

Cette courte phase du deuil survient lorsqu’on apprend la perte. C’est une période plus ou moins intense où les émotions semblent pratiquement absentes.

Exemple: « …!? »

Étape 2: la colère.

Phase caractérisée par un sentiment de colère face à la perte. La culpabilité peut s’installer dans certains cas. Période de questionnements.

Exemple: « Mais c’est nul! Tu peux rien faire? Mais alors, comment je vais récupérer mes données? $#%!§ (biiip) »

Étape 3: le marchandage.

Phase faite de négociations, chantages…

Exemple: « Non, mais tu peux vraiment rien faire? Et si je t’envoie le disque dur, tu peux essayer quand même? Avec un peu de chance… Et puis, toi, tu sais y faire avec ça. A chaque fois que je t’appelle, mon PC remarche, même quand tu interviens à distance! »

Étape 4: la dépression.

Phase plus ou moins longue du processus de deuil qui est caractérisée par une grande tristesse, des remises en question, de la détresse.

Exemple: « Toutes les photos depuis la naissance du dernier!!! Pourtant, j’avais décidé d’acheter ce disque dur pour faire des sauvegardes. Mais bon, voilà, plutôt qu’un disque de secours, c’est vite devenu un disque principal, avec toute la place qu’il proposait. Comment je vais faire? »

Étape 5: l’acceptation.

Dernière étape du deuil où l’endeuillé reprend du mieux. La réalité de la perte est beaucoup plus comprise et acceptée. L’endeuillé peut encore ressentir de la tristesse, mais il a retrouvé son plein fonctionnement. Il a aussi réorganisé sa vie en fonction de la perte.

Exemple: « Écoute, j’ai bien compris que je n’avais aucune chance de récupérer mes données, mais plutôt que de jeter le disque dur, je te l’envoie pour que tu tentes l’impossible, même le démontage. Si tu y arrives, c’est fantastique, et si tu ne peux vraiment rien faire, c’est tant pis pour moi. »

Une fois le disque dur récupéré, j’ai immédiatement branché celui-ci sur une prise de courant. Résultat: bzzz (1s) « … » (2s) bzzz (1s), etc.

Comme expliqué à mon camarade, je ne suis pas magicien. Un disque dur est un miracle de technologie, une mécanique de précision. Tellement précis que les têtes de lecture sont profilées pour flotter sur un coussin d’air au plus près des plateaux magnétiques.

Je démonte quand même le boitier USB. J’en extrais le disque dur que je branche directement sur mon PC. Même bruit particulier. Comme si quelque chose empêchait les plateaux de se mettre à tourner. Je pars me coucher.

Le lendemain soir, je retrouve le disque dur que j’ai posé sur mon bureau où il va finir sa vie comme presse-papier. Je le regarde, pensif. Bzzz, « … », bzzz, « … », c’est vraiment comme si le moteur électrique n’arrivait pas à lancer la rotation des plateaux. J’inspecte les vis particulières qui scellent le boitier. Je sais que si je l’ouvre, dans l’atmosphère normalement poussiéreuse de mon bureau, je condamne définitivement les données stockées sur les plateaux.

Il ne me reste plus qu’une seule chose à tenter, une méthode que je tiens de mon père, qu’il tenait lui même de son père.

Je branche le disque dur sur une alimentation SATA externe que j’utilise lorsque je n’ai plus assez de branchements issus de l’alimentation de mon PC. Je constate qu’il fait toujours ce bruit de « démarrage bloqué ».

Je le saisis fermement.

Je le soulève de 10 cm au dessus de mon bureau.

Je frappe cette mécanique de précision, sensible et fragile, sèchement sur la surface de bois de mon bureau.

Une fois.

Deux fois.

Sur la tranche.

Sur le dessus.

Ce moment fascinant où l’on tape sur le bureau avec un disque dur.

Et ce soir là, un petit miracle s’est produit. Quelque chose que je n’avais jamais vécu auparavant. Le genre de truc qu’on lit sur internet sans vraiment y croire, du même genre que le coup du congélateur. Impossible ou improbable, il a toujours quelqu’un qui vous jure que ça marche, que ça a marché.

J’ai frappé un disque dur sur mon bureau, et il s’est remis à fonctionner. La méthode utilisée par mes père et grand-père sur leur télévision fonctionne donc. C’était donc vrai, la force brutale peut vaincre l’ingénierie la plus pointue.

J’ai pu récupérer toutes les données et rendre à un papa heureux toutes ses précieuses photos. J’ai certainement un peu entamé la durée de vie de son disque, mais je l’ai prévenu: « fais tes sauvegardes et prie pour que ton disque dure ».

—————

– Cette anecdote n’a aucun intérêt si ce n’est peut-être parce qu’elle est parfaitement authentique.

– J’engage mes lecteurs à ne pas répéter cet acte désespéré sur leurs propres disques durs, et encore moins sur des disques durs ne leur appartenant pas. Il s’agit effectivement ici d’un miracle. Et par définition, cela ne se reproduira pas.

– Aucun scellé n’a été blessé pendant cette séquence.

Le blog de Zythom

Blog d'un informaticien ancien expert judiciaire

Archives par mot-clé : Technique

Récupération de données

L’admin réseau, cet enquêteur inconnu

Partage sécurisé de fichiers

Nettoyage d’automne et backstage

Cracker les mots de passe

SSTIC OpenVPN Synology Freebox et iPhone

Expérience sur l’anonymat

Stockage

Prise d’image rapide d’un disque dur

Ce moment magique où le disque dure