Archives par mot-clé : Technique

On ne peut pas toujours tout cacher

Publié le par

amant

Chaque mission est un défi, et puisque les magistrats me confient plutôt des missions techniques, il s’agit souvent pour moi d’un défi technique. Mais comme je le répète assez souvent sur ce blog, à l’impossible nul n’est tenu. Quoique.

Deux entreprises sont en conflit commercial, et l’une accuse l’autre d’avoir récupéré par l’intermédiaire d’un transfuge un certain nombre d’informations confidentielles. Les dites informations sont contenues dans des fichiers PDF qui auraient été emmenés par le salarié débauché sur son ordinateur portable personnel. Le salarié concerné nie les faits et affirme n’avoir jamais manipulé ces fichiers sur son ordinateur personnel.

La justice a fait saisir l’ordinateur en question et comme les enquêteurs disponibles sont occupés ailleurs à faire monter le taux d’enquêtes résolues, je suis désigné pour mener à bien l’investigation. Ma mission: trouver trace du fichier « SuperConf.pdf ». Me voici donc à la maison dans mon bureau à faire l’analyse du matériel saisi. J’ai déjà expliqué ici comment je procède pour copier le disque dur afin de créer une copie parfaite (aux secteurs défectueux près). J’ai déjà raconté aussi ici les galères rencontrées dans certains démontages d’ordinateurs portables.

Dans le cas présent, une fois l’image du disque dur effectuée et transformée en machine virtuelle, je commence par me « promener » dans le système de fichiers, pour « sentir » un peu le profil de l’utilisateur de l’ordinateur: quels sont les logiciels installés, les raccourcis, l’organisation général de la machine, etc.

Très vite, je tombe sur un effaceur de traces redoutable: Eraser. Là, je me dis tout de suite que mes chances de retrouver des traces du fichier PDF recherché sont assez minces. Mais, le travail devant être fait, je lance une recherche du nom de fichier dans la zone allouée du disque dur, dans la zone non allouée, dans la table des fichiers effacés/non effacés, et partout où je peux retrouver un fragment de fichier PDF.

Comme prévu, aucun fichier « SuperConf.pdf ». Par ailleurs, la liste des fichiers effacés est parfaite vide.

Par contre, je découvre un fichier non effacé qui s’appelle « SuperConf.myd » qui se trouve dans le répertoire « Documents and SettingscépasmoiApplication DataAdobeAcrobat »…

Étrange.

Une petite recherche sur Internet me laisse penser qu’il s’agit d’un fichier associé au système de gestion de base de données MySQL. Mais que vient faire ce SGBD dans le logiciel Acrobat? Je fouille un petit peu plus sur le disque dur pour finalement réaliser qu’il ne s’agit pas de l’habituel « Reader » gratuit mais bien de la version complète du logiciel phare de chez Adobe. Une recherche plus approfondie sur Internet ne donne pas grand chose (à l’époque;) sur l’association Acrobat/MySQL…

Comme je n’ai rien d’autre à me mettre sous la dent, je décide d’installer MySQL et ses outils sur une machine vierge et d’y transférer l’ensemble des fichiers .MYD récupérés sur le scellé (enfin sur son image). Je ne m’étendrai pas ici sur la configuration d’une instance MySQL et sur les différents échauffements toujours nécessaires pour dérouiller mes connaissances sur ce merveilleux langage qu’est SQL. J’arrive à « monter » les différents fichiers .MYD dans le SGBD et à lancer quelques commandes SELECT * dans le requéteur.

Et là, avec une certaine surprise je dois dire, je découvre que le logiciel Acrobat garde trace de tous les fichiers qu’il a manipulés, avec les informations associées: Auteur, mots clefs, nom du fichier, chemin d’accès, taille du fichier, dates diverses, sujet et d’autres encore. Et en l’espèce, tout ce qui concernait mon fichier « SuperConf.pdf »: Erazer avait effacé toute trace du fichier d’origine, mais n’avait rien retiré des traces laissées dans la base de données interne d’Acrobat.

J’ai pu ainsi rendre un rapport précisant bien que le fichier « SuperConf.pdf » avait bien été présent sur l’ordinateur mis sous scellé. Avec bien entendu toutes les réserves que je fais à chaque fois et que je rencontre trop rarement autour de moi: les dates ne prouvent pas grand chose, la présence du fichier ne signifie pas nécessairement que sa manipulation ait été faite par le propriétaire de l’ordinateur, etc.

J’ai ainsi pu vérifier une fois encore le principe de l’échange de Locard, ou son équivalent informatique:

On ne peut chiffrer ou déchiffrer une donnée, l’inscrire ou la supprimer d’une mémoire, sans apporter et déposer une trace sur l’ordinateur, sans modifier et prendre quelque chose qui s’y trouvait auparavant.

Je dois admettre que j’ai au final passé beaucoup plus de temps à essayer de rédiger un rapport clair et facilement compréhensible qu’à mener les investigations techniques…

Pour ceux qui ont peur de se faire voler leur ordinateur

Publié le par

protectionJe lis ici ou là que des journalistes se sont faits voler leurs ordinateurs sur lesquels se trouvaient des données confidentielles en rapport avec leurs enquêtes. Un doute soudain me fait croire (à tord sans doute) que ces données confidentielles n’auraient pas fait l’objet d’une protection suffisante, concernant leur accès (chiffrement) et/ou concernant leur récupération (sauvegarde).

Je me rends compte (aidé par un fidèle twitterer) que je n’ai jamais abordé ici cet aspect du problème. J’ai bien évoqué les difficultés rencontrées lors des expertises judiciaires (d’aujourd’hui ou de demain) face au chiffrement, mais je n’ai jamais indiqué la méthode que je recommande à ceux qui souhaitent protéger leurs données. Je vais essayer de corriger cela maintenant, modestement et à mon niveau.

Toute d’abord, évacuons le problème de terminologie: on entend souvent parler de cryptage, voire de chiffrage, mais ces mots sont incorrects. Le seul terme admis en français est celui de chiffrement. Par ailleurs, l’opération inverse du chiffrement est le déchiffrement. Il est cependant admis de désigner par décryptage, ou décryptement, un déchiffrement effectué de manière illicite par un attaquant, typiquement sans disposer de la clé secrète mais après avoir trouvé une faille dans l’algorithme de chiffrement (source). Joie et richesse de la langue française.

Enfin, il ne s’agit pas d’un cours sur le chiffrement, ni d’une présentation se prétendant universelle, mais de la solution que j’utilise pour protéger les données du cabinet d’avocat de mon épouse, ainsi que les données que je conserve suite à mes différentes expertises judiciaire (en général les rapports et leurs annexes).

J’utilise pour cela un outil opensource gratuit très simple d’usage et très puissant: TrueCrypt.

Constatant que le volume de données à protéger par chiffrement est relativement limité (je ne chiffre pas mes photos de vacances, même celles où je suis déguisé d’une façon ridicule – mais drôle), j’ai mis en place le chiffrement d’un GROS fichier d’environ 2Go, fichier destiné à contenir toutes les données que je souhaite protéger.

Je n’ai pas choisi de chiffrer tout un disque dur ou toute une partition, je n’ai pas choisi de chiffrer mes clefs USB, je n’ai pas choisi de chiffrer la partition où se trouve mon système d’exploitation, même si tout cela est possible avec TrueCrypt.

Toute l’astuce d’utilisation (et toute la contrainte) tient dans le fait que le GROS fichier va être manipulé par TrueCrypt afin de faire croire au système d’exploitation (Windows 7, Vista, XP, 2000, Mac OS X, GNU/Linux) que vous avez accès à un nouveau (petit) disque dur de 2Go.

Ce disque dur (virtuel) s’appelle un « volume TrueCrypt ».

Le site officiel décrit parfaitement (en anglais) la manière de créer et d’utiliser un tel volume: cela se trouve ici.

Une fois le volume TrueCrypt créé, la seule vraie contrainte est de l’associer (à la main) à une lettre[1] pour qu’il soit vu et utilisable comme une clef USB. Il ne faut pas non plus oublier de le désassocier AVANT d’éteindre l’ordinateur ou de déplacer le GROS fichier.

Cette solution a de nombreux avantages:

– TrueCrypt est un logiciel opensource et gratuit.

– TrueCrypt existe en version installable localement ou en version portable sur clef USB (par exemple dans le package LiberKey).

– La copie du GROS fichier de 2Go ne pose aucune difficulté, par exemple pour un transfert d’un pc à un autre, un transfert vers une clef USB ou un transfert par internet.

– La sauvegarde des données est aussi simple que d’habitude, puisque le GROS fichier est considéré par tous les logiciels ou procédures de sauvegarde comme un fichier normal. Vous pouvez d’ailleurs le copier dans un répertoire partagé sur le réseau sans craindre pour l’accès aux données. Vous pouvez en graver une copie sur DVD.

– Une taille de 2Go permet au GROS fichier d’être manipulé simplement par tous les systèmes d’exploitation (un conseil quand même: donnez au GROS fichier un nom simple, sans accent, sans espaces et pas trop long, par exemple « perso »).

Attention quand même, la protection tient grâce à votre mémorisation d’un mot de passe suffisamment robuste pour ne pas être deviné. Un mot de passe très long est conseillé. Astuce: prenez les 1er caractères de chaque mot de votre chanson favorite et insérez-y quelques chiffres. Exemple avec la Marseillaise: Aedlp1789Ljdgea1889Cndlt1989Lesel. Utilisez de préférence le couplet 7, dit couplet des enfants… Et bien sur, évitez de chanter en tapant votre mot de passe.

Pour les plus exposés d’entre vous, ceux qui risquent d’être menacés par leur cambrioleur pour obtenir leur mot de passe, TrueCrypt propose un mécanisme de double protection: votre GROS fichier contient alors deux parties, chacune protégée par un mot de passe. Le 1er mot de passe donne accès à des données sans importance (mais confidentielle quand même, ne prenez pas les gangsters pour des imbéciles), alors que le 2e mot de passe donne accès aux vraies données que vous souhaitez protéger. En cas de menace, vous ne donnerez sous la torture que le 1er mot de passe en jurant que c’est le seul. Il n’y a aucun moyen (même pour un expert judiciaire:) de vérifier l’existence d’un 2e mot de passe pour accéder à une 2e partie éventuelle. Ce mécanisme doit être prévu lors de la création du GROS fichier, et s’appelle « Hidden TrueCrypt volume« .

N’oubliez pas que cette méthode ne protège pas vos emails. Il faut plutôt lire ce billet.

Si avec cela vous n’arrivez pas à protéger vos données, plus personne ne peut rien pour vous.

[Edit du 03/11/2010] Je vous invite à tester TrueCrypt en suivant le mode opératoire décrit par la blogueuse Kozlika dans une série de billet qu’elle a écrite. Bonne lecture 🙂

——————–

[1] Dans le cas d’un OS Windows.

——————–

Cliquez sur l’image pour l’agrandir. Crédit darkroastedblend.com

Cave ne ante ullas catapultas ambules

Publié le par

insouciance

Je suis en train de terminer une expertise informatique particulièrement éprouvante qui m’a pris presque tout mon temps libre depuis quatre semaines.

Être expert judiciaire, c’est en général une activité parallèle à une activité principale, les magistrats voyant dans cette activité principale la garantie d’un certain niveau de compétence et d’une mise à niveau permanente.

Dans mon cas, je suis salarié dans une école d’ingénieurs. Cela occupe mon temps de 9h à 19h, coupé par une pause d’une demi heure pour avaler une saladette devant mon ordinateur.

Depuis quatre semaines, donc, de 21h à 23h, et les quatre dimanches concernés, j’ai consacré toutes mes forces à analyser le contenu de plusieurs scellés qui m’ont été confiés pour en retirer 60 Go de films et photographies pornographiques et pédopornographiques.

Lors du devis initial adressé au Procureur de la République, j’avais indiqué qu’il me faudrait sans doute 30 heures de travail, ce qui dans mon cas représente une « grosse » expertise. A 90 euros de l’heure (tarif spécial service public), le devis me paraît toujours élevé. Mais, quand on sait que l’on sera (peut-être) payé deux ans plus tard

Mais si vous comptez bien, j’ai déjà passé plus de 60 heures dans la gadoue… et je n’ai pas encore terminé. Que se passe-t-il donc? Je suis tombé sur un PC infecté par de nombreux virus, vers et autres chevaux de Troie…

Et bien quoi, me direz-vous, ne suffit-il pas de passer un bon coup d’antivirus pour nettoyer tout cela? Certes, mais alors, quid de la volonté de l’utilisateur de télécharger tous les fichiers trouvés sur l’ordinateur?

Si vous lisez le serment prêté par l’expert judiciaire, et que j’ai modestement placé en sous-titre de ce blog, j’ai juré de donner mon avis en mon honneur et en ma conscience. Un avis, cela se donne quand on le demande: c’est le but des missions confiées par le magistrat. L’honneur, concept relativement complexe, a à voir avec l’éthique personnelle et le sentiment du devoir. Et enfin, j’ai déjà parlé ici de la conscience et de ses difficultés.

Ma vision personnelle des missions est qu’il faut savoir y lire « l’esprit de la mission ». Personne ne m’a demandé dans cette expertise de savoir si oui ou non l’ordinateur qui m’a été confié appartient sans le savoir à un réseau de stockage distribué. Une sorte d’Amazone S3 version bad boys. Mais imaginez un peu la scène si c’était vrai, si un ordinateur contaminé, non content d’être dans un botnet pour spammer le monde entier, était utilisé pour stocker des données forcément compromettantes, comme par exemples des images pédopornographiques.

Dois-je, en ma conscience, dire au magistrat: « mais je n’ai pas regardé car vous ne me l’avez pas demandé »? Non. Mais dans ce cas, le travail est gigantesque: il faut analyser le code de chaque virus, de chaque ver, de chaque cheval de Troie pour savoir ce qu’il cherche à faire en s’étant implanté sur cet ordinateur… Et cela prend du temps, beaucoup de temps…

Alors, pour rester dans une fourchette de temps raisonnable (j’ai également une date limite pour réaliser une expertise judiciaire), je procède de la façon suivante: j’utilise plusieurs antivirus, je note toutes les détections faites lors des analyses (nom du programme malveillant, nom du fichier infecté), et je me renseigne sur les sites des éditeurs d’antivirus sur l’activité de chaque programme malveillant détecté. Et comme chaque éditeur utilise une terminologie différente, cela prend encore plus de temps.

Je compile tout cela pour le magistrat, afin de donner mon avis à cette question qu’il ne m’a pas posée: l’utilisateur est-il responsable de l’arrivée sur cette machine des fichiers illégaux que j’y ai trouvés.

Et parfois, ce n’est pas facile d’y répondre.

Un conseil: installez un bon antivirus.

Gestion de stress

Publié le par

stress

Cet après-midi là, tous les ordinateurs du travail se sont mis à planter (sauf le mien;). Mon téléphone a commencé à crépiter et mes voisins de bureau à venir me voir, goguenards.

Aussitôt, je suis aller rejoindre mon équipe en salle serveurs.

Première chose, redémarrer la production. Comprendre ensuite si possible, mais arrêter le moins longtemps possible la structure. Et pour cela, il faut un peu de calme: je prends les téléphones de mon équipe pour éliminer le plus possible les interférences avec le monde extérieur. Je deviens le seul point d’entrée du service informatique (je réponds à tous les appels, poliment mais très succinctement: « Nous avons un gros problème, nous nous en occupons, merci de votre appel mais il va falloir patienter »).

Nous commençons une analyse de tous les symptômes du problème. Les serveurs sont très lents. Seuls les serveurs Windows semblent atteints. Il est difficile, voire impossible, d’ouvrir une session distante dessus. Une attaque virale?

Je continue de répondre aux appels et à accueillir les personnes qui se déplacent jusqu’au service (en général des étudiants envoyés par les professeurs à la pêche aux informations).

Est-ce une instabilité liée au système de virtualisation? Dans ce cas, pourquoi les machines virtuelles GNU/Linux ne semblent pas affectées?

Je suis calme et ma sérénité gagne toute l’équipe. Nous sommes en train de faire un diagnostic différentiel sans canne et sans Vicodin… Les hypothèses fusent librement et nous les soupesons chacune pour trouver une piste.

Qu’est-ce qui peut bien mettre tout notre système par terre? Nous lançons iptrafic pour regarder les trames réseaux.

« Tiens, les machines de Casablanca se synchronisent sur notre WSUS local. Pas bon ça! »

« Peut pas être en rapport avec le problème, les débits en jeux sont trop faibles: 10Mb/s d’un côté, 2Gb/s de l’autre, un rapport de 200 entre les deux… »

« Un problème de synchro entre les deux annuaires, alors »

« OK, reboote l’un des deux serveurs AD, attend qu’il soit en ligne et reboote le deuxième ensuite, on verra bien »

La situation de crise est bien là. L’école est arrêtée, je sais que l’on me reprochera d’avoir failli. Mais le moment n’est pas encore à assumer le problème, le moment est à la recherche d’une solution pour retrouver un bon fonctionnement…

Nous sommes calmes, les gestes sont précis et les hypothèses, plus ou moins loufoques, sont passées au crible les unes après les autres.

« Si c’est un problème réseau, on est mal »

« C’est sur, nous n’avons pas de sondes temps-réel, à peine une surveillance snmp des principaux switches. »

« Tous les serveurs Windows fonctionnent au ralenti, plusieurs personnes n’arrivent pas à s’y connecter, ceux déjà connectés ont des timeouts, et certaines machines sous XP se figent »

« Regarde la carte réseaux de la console, elle clignote comme une folle. »

« Bon, pas le temps de lancer un Wireshark. On reboote le cœur de réseau. Si ce n’est pas cela. On débranche tout. On arrête toutes les VM, tous les serveurs physiques, et on redémarre tout ».

Et comme dans une opération dans un bloc chirurgical, nous arrêtons le cœur (trois alimentations à mettre sur off), nous comptons jusqu’à dix, puis l’on remet tout sous tension.

Le cœur de réseau repart… Sur nos écrans, nous lançons différents tests pour jauger le fonctionnement des serveurs. Je regarde les courbes de charge. Il faut environ une minute pour que les autotests du cœur de réseau aboutissent et que le système soit de nouveau opérationnel. Nous retenons notre souffle.

Les étudiants dans le couloir nous font des petits signes d’encouragement. Les cours reprennent. Le problème est résolu. Notre switch principal était en vrille. Pourquoi? Pour l’instant, nous ne savons pas. J’ai peur d’une attaque virale qui serait passée à travers les antivirus. Il faudra bien que cela nous arrive, maintenant que l’on a abandonné Novell…

L’alerte aura durée un quart d’heure. C’est trop, beaucoup trop. Maintenant il faut que j’explique à 1000 personnes que je n’ai pas été capable d’empêcher cela. Mais pendant un quart d’heure, l’équipe a fait corps et travaillé avec une puissance que l’on ne trouve que dans les situations d’urgence.

Et ça, c’est beau.

Migration samba vers Windows server

Publié le par

labyrinthe

Il est cinq heures du matin, j’émerge doucement du fond de mon lit de chambre d’hôtel. Je suis en mission.

La veille, j’ai préparé consciencieusement tout mon matériel d’intervention, j’ai relu mes fiches de procédures et bouclé ma trousse à outils.

Il est six heures. Je suis devant la porte… seul.

Je suis en déplacement au Maroc pour migrer le système informatique de notre école casablancaise (casaouia comme disent les jeunes). Il y a deux heures de décalage avec la France et mon équipe technique (restée en France) embauche à 8h.

J’entre dans l’école et je m’installe. Me voici devant mon ordinateur, branché sur Skype. Je serai les mains et les bras de mon équipe pendant les 5 prochains jours.

Voici le problème: il y a sur place 30 ordinateurs sous Windows XP, dont 20 en libre service, et un serveur sous GNU/linux faisant tourner Samba en contrôleur de domaine. J’ai pris la décision (relatée dans ce billet) de migrer tous les ordinateurs vers un contrôleur de domaine Windows 2008 R2. Cette décision valait pour les ordinateurs de mon école sur le campus français. Il est cohérent de l’appliquer également sur les autres sites distants gérés par mon service. Je m’attaque donc à une migration Samba vers un serveur Windows.

Toute la migration a été préparée à distance: le nouveau serveur est prêt (sous la forme d’une machine virtuelle WMware), les comptes Active Directory ont été créés, et les données des comptes Samba synchronisées par un Robocopy approprié. Il ne reste plus qu’à changer à la main le domaine de chaque ordinateur et à migrer les profils des utilisateurs.

Je commence donc par le plus simple: les ordinateurs en libre service. En effet, les étudiants n’ayant que des profils très simples, seules les machines sont à migrer. Un changement du mode domaine X vers le mode Workgroup TOTO, suivi d’un retour vers le mode domaine Y, suffit à faire basculer la machine d’un domaine à l’autre. J’en profite pour faire du nettoyage: CCleaner, défragmentation, Windows update, examen en profondeur par l’antivirus, etc.

Le passage sur les machines du personnel m’a posé plus de soucis. Notre procédure de migration de profils, réalisée lors de notre passage Novell Netware vers Windows Server, s’intéressait aux profils locaux créés à la volée sous Windows XP par le client Novell et faisait grand usage de la commande « moveuser.exe ».

Seulement voilà, cette commande ne fonctionne pas dans mon cas (migration entre deux domaines) et me retourne un message d’erreur mystérieux. Internet étant mon amis, j’y recherche la solution. Je n’ai pas le temps de trouver quelque chose d’exploitable car une solution telle que je les aime m’est fourni par un membre de mon équipe via Skype: « Et si on migrait chaque profil Samba vers un compte local (avec moveuser) et ensuite ce compte local vers AD (encore avec moveuser) ». Aussitôt proposé, aussitôt testé. Cette commande qui permet de migrer un profil local vers un compte de domaine permet également de faire l’inverse.

Voici donc l’astuce, seule raison d’être de ce billet:

– sur chaque poste, en tant qu’administrateur local, créer un compte local TOTO.

– exécuter: moveuser.exe « ANCIENDOMAINEnomutilisateur » TOTO /y /k

– puis: moveuser.exe TOTO « NOUVEAUDOMAINEnomutilisateur » /y /k

– supprimer le compte local TOTO

Cette astuce fonctionne pour une migration Samba <-> AD, ou Domaine1 <-> Domaine2 quelque soit le contrôleur de domaine (enfin je crois).

Elle sauvera peut-être la mise de quelques autres administrateurs windows débutants.

Pourquoi faire moins compliqué quand on peut faire plus simple.

Chain of custody

Publié le par

responsabilitesUn commentateur de ce blog (sam280), sous le billet « Un peu de technique« , m’a posé une question sur la « chain of custody »:

sam280 a dit…
Outre la copie sous windows, je m’étonne de ne trouver aucune mention de la fameuse « chain of custody ».
Par exemple, à Enclave Forensics ils utilisent md5 (pas terrible, mais bon) afin de prouver que la copie est identique à l’original (quand c’est possible): https://www.youtube.com/user/DHAtEnclaveForensics#p/u/2/6SEnVNUAe0s
Pourriez-vous nous éclairer sur l’équivalent dans le droit français de la « chain of custody » et la façon dont vous la maintenez ?

Avant de faire part de mon sentiment sur ce problème, je voudrais planter le décor en définissant la « chain of custody »:

Extrait de Wikipedia au 27/02/2010 (Informatique légale):

Rapport de garde
Terme adapté de l’anglais « chain of custody », l’expression « rapport de garde » représente un rapport ou procès-verbal établi lors de la saisie ou de la réception d’une information numérique et de son support, comportant toute information sur le détenteur antérieur (propriétaire, usager, gardien), les lieux et conditions d’acquisition (saisie, transmission), la nature du support d’information (description physique avec photographie, numéro de série), la description éventuelle de l’information numérique (méta-données, structure des données, empreinte numérique), la situation d’accès aux données (accessibles ou non), la présence de sceau (avec identification), le libellé de l’étiquette d’accompagnement, les dates d’ouverture et de fermeture du support, la mention des modifications éventuelles (suppression de mot de passe) et l’état de restitution du support (scellé, accessibilité aux données, étiquette) avec photographie.

Personnellement, je préfère l’expression « chaîne de responsabilité » (traduction plus littérale de chain of custody) plutôt que « rapport de garde ». C’est donc cette expression que je vais utiliser par la suite.

Intérêt de la chaîne de responsabilité? S’assurer que la pièce à conviction présentée au procès est bien celle qui a été saisie sur le lieu du crime. Que c’est bien celle-ci qui a été analysée lors de l’enquête, et qu’elle n’a pas été altérée, ou si oui, dans quelles conditions et pour quelles raisons.

Comment cette chaîne de responsabilité est-elle organisée en France? Et bien, c’est très simple, de mon point de vue, elle n’est pas organisée… Ah si, le scellé m’est livré avec une étiquette marron sur laquelle est indiquée diverses mentions, mais rien n’est prévue pour l’expert judiciaire (les étiquettes indiquent une année à compléter commençant par « 19.. » et ont du être fabriquées en grande quantité dans les années 1950). Le scellé est plus ou moins bien constitué (son ouverture est souvent possible sans briser le sceau de cire). Je ne connais pas les nom et qualité de la personne qui me l’apporte. Il n’y a pas de vérification sérieuse de l’identité de la personne qui le réceptionne (et en général il s’agit de mon épouse dont le cabinet est sur place). Enfin, à ma connaissance, aucune obligation n’est expliquée à l’expert judiciaire, à part « la reconstitution du scellé ». En tout cas, les différentes formations proposées aux (futurs) experts ne semblent pas mentionner pas cet aspect.

Chaque expert met donc en place sa propre procédure, suite à son expérience, son domaine d’expertise, ses lectures et ses échanges de bonnes pratiques. « A la française » donc.

Je voudrais citer un commentaire trouvé sous l’article Ces as de l’informatique au secours des juges et que je reproduis ici car il me semble intéressant:

Je ne suis pas expert judiciaire mais expert scientifique qui en connait un rayon en termes de bonnes pratiques. Sachez que dans notre domaine, le pharmaceutique, tout ce qui n’a pas été réalisé selon une procédure documentée et validée n’existe pas. Une validation d’un logiciel chez nous prend de 6 mois à un an. Un « expert » dont la formation n’est pas documentée et qui à ouvert un DD sans procédure validée et qui a copier tout ça sur son ordi sans validation de sa procédure… n’a en fait rien fait de valable juridiquement parlant. Tout avocat peut facilement contester le travail de cet « expert » si la documentation aussi bien du travail que des procédures est défaillante, même si lui a la réputation d’être un crac. Et chaque fois qu’il change de matos, il peut recommencer sa validation. Mettre en place ces procédures est, en fait, bien plus complexe que d’ouvrir le DD. C’est ça la réalité judiciaire. Les expertises de coin de table et rien c’est du pareil au même.

Nous n’en sommes qu’au début des contestations. Le juge de l’article n’est même pas encore au courant. Bientôt, ces expertises ce sera en fait beaucoup de temps perdu pour rien. Du balai, toutes ces « expertises » de soi-disant experts. Et avec « les bonnes pratiques d’expertise informatique » qu’il va falloir mettre en place, les prix vont monter, monter et du coup les expertise vont se faire rares, très rares.

Je pense que, malheureusement, ce commentateur a parfaitement raison et qu’il manque en France la mise en place d’une chaîne de responsabilité stricte en matière d’investigation.

Pour autant, il en faut pas attendre que quelqu’un pense à mettre en place un système global et la plupart des experts judiciaires ont mis en œuvre de bonnes pratiques en la matière. A défaut d’avoir une chaîne complète, il faut donc essayer d’être un bon maillon, et voici en résumé ma chaîne à un maillon:

Le scellé arrive à la maison: mettez en place un cahier de réception avec date, nom et qualité du livreur et signature.

Ouverture du scellé: utilisez un cahier de prises de notes (papier ou numérique). Notez l’état général du scellé, les rayures, les éléments endommagés, la quantité de poussière visible, les traces de moisi (si, si!), etc. Prenez quelques photos (avec les appareils numériques, ne pas hésiter à mitrailler). Si l’ouverture du scellé nécessite une procédure particulière, notez sur ce cahier les sites internets utilisés ou la documentation technique ad hoc. Ce cahier est la clef de voute de votre mémoire. Pensez aux chercheurs du siècle précédent qui notaient tout pendant leurs expériences. Si votre expertise se déroule sur plusieurs jours, notez bien la date à chaque fois.

Extraction du disque dur: C’est toujours un moment émouvant lorsqu’il s’agit de sortir le (ou les) disque dur. En effet, c’est seulement à ce moment là que vous allez comprendre que le devis adressé au magistrat, et dans lequel vous indiquez 10h de travail, risque d’être un peu sous évalué avec les trois disques de 1000 Go que vous êtes en train d’extraire. N’oubliez pas de prendre des photos, de noter les positions des disques (surtout en cas de RAID logiciel) et des cavaliers pour pouvoir tout remonter correctement. Et ne croyez pas que ce soit la phase la plus facile de l’expertise

Mise sous tension de l’unité centrale sans disque dur: Cette étape est nécessaire pour vous permettre d’entrer dans le BIOS afin de noter tous les éléments concernant l’horloge de la machine. Souvent, le système d’exploitation s’appuie sur le temps fourni par le BIOS. En tout cas, si la pile du BIOS est épuisée, ce sont des informations perdues, et il faut l’écrire dans son rapport d’expertise.

Prise d’image: Tout ce processus est décrit dans ce (récent) billet. Je le complète ici en parlant du calcul du hash du disque dur. Non, il ne s’agit pas d’un dérivé du chènevis utilisé par nos pécheurs, mais du résultat d’une fonction de hachage. Personnellement, j’utilise MD5 avant ET après la prise d’image. Normalement, le résultat doit être le même, ce qui prouve que vous n’avez en rien modifié les données écrites sur le disque dur (attention, les données S.M.A.R.T. ont été modifiées). Si les hashs calculés avant et après la prise d’image sont différents, alors cela signifie, soit que vous êtes nul, soit que des secteurs défectueux sont apparus sur le disque pendant la prise d’image, soit que vous travaillez avec un disque dur SSD. En effet, dans ce dernier cas, les fabricants ont chacun mis en place une technique dite « d’étalement de l’usure » (en anglais « wear levelling ») qui a pour objectif d’éviter de toujours utiliser pour le stockage les mêmes cellules mémoires, car ces dernières perdent (après quelques millions de cycles de lecture et écriture) leurs capacités nominales de mémorisation. Pour plus d’informations, lire l’excellent article dans la revue Experts de mes confrères Jean-Louis Courteaud et Jean-François Tyrode.

Remontage du scellé: Paradoxalement, ce n’est pas forcément l’étape la plus simple. Si l’expertise a duré plusieurs jours, voire plusieurs semaines (cas du salarié qui n’effectue ses expertises que le week-end ;), le cahier de notes et les photos prennent toute leur importance. Il faut être précis, surtout que vous ne pourrez pas brancher l’ordinateur pour voir s’il démarre correctement.

Reconstitution du scellé: J’ai déjà écrit plusieurs billets sur ce thème. En résumé: cachet de cire (billet de 2007 toujours valable) si vous voulez impressionner, ou sac poubelle transparent fermé avec un solide adhésif d’emballage.

Restitution du scellé: Notez bien les heure et date de reprise, ainsi que les nom et fonction (avec signature) sur votre cahier de suivi.

A défaut d’être une bonne chaîne de responsabilité, cela m’a permis d’être un maillon suffisamment fort, surtout lorsque j’ai reçu un coup de fil d’un magistrat qui avait perdu la trace d’un scellé.

Et là, avec ma chain of custody, je crie « Kudos« !

Un peu de technique

Publié le par

13image insolite05Bon, ce n’est pas parce que je croule sous les expertises que je ne peux pas écrire un petit billet en exploitant la puissance non utilisée du processeur de mon ordinateur d’investigation pendant une prise d’image de disque dur.

Justement, j’avais envie de partager une nouvelle manière d’effectuer une prise d’image « à travers » le réseau avec mes camarades experts judiciaires qui me font l’honneur de me lire sans pester devant leurs écrans.

Il ne s’agit pas de révolutionner la technologie, mais simplement d’écrire un petit billet aide-mémoire et pourquoi pas de rendre service aux OPJ informatiquophile.

Ingrédients.

Il vous faut:

– un ordinateur « A » dans lequel vous placerez le disque dur extrait du scellé

– un réseau représenté par un switch si possible d’1Gb/s

– un ordinateur que j’appellerai « Catherine » en l’honneur de Pierre Desproges qui nous a quitté trop tôt. Cet ordinateur vous servira pour l’analyse et doit être muni d’un espace disque disponible confortable.

– un cédérom avec la distribution DEFT Linux Computer Forensics live cd la bien nommée

– et enfin, un carnet papier pour vos notes et un stylo qui marche.

Hypothèse de travail: l’ordinateur « Catherine » est équipé du système d’exploitation Windows 7, que l’on appelle également Windows Vista Final Edition, ou Windows NT 6.1.

Mode opératoire.

Après avoir branché vos câbles réseaux, après avoir désactivé le boot sur disque dur de l’ordinateur « A », après avoir testé le boot sur cédérom DEFT de l’ordinateur « A », vous pouvez commencer vos opérations:

– notez la marque, le modèle et le numéro de série du disque dur extrait du scellé

– branchez le dans l’ordinateur « A » (ordinateur éteint)

– bootez l’ordinateur « A » sur le cédérom DEFT

– à l’invite sur « A », configurez le réseau,

par exemple avec la commande

A# ifconfig -a eth0 192.168.0.10

– vérifiez la communication avec l’ordinateur « Catherine »,

par exemple avec la commande

A# ping 192.168.0.20

– sur l’ordinateur « Catherine », créez un répertoire de partage « darkstream » destiné à recevoir le fichier « image.dd », par exemple, en faisant « clic droit » sur le dossier « darkstream », puis « partager avec » et choisissez un compte protégé par mot de passe, par exemple le compte « zythom ». Lui donner l’autorisation lecture/écriture.

– de retour sur l’ordinateur « A », vous allez créer un répertoire d’attachement:

A# mkdir /mnt/darkstream

– puis vous allez saisir la commande magique:

A# mount -t cifs //192.168.0.20/darkstream -a username=zythom /mnt/darkstream

et répondre à la demande du mot de passe du compte zythom.

– finalement, vous pouvez commencer la copie numérique à travers le réseau en utilisant la commande suivante:

A# dd_rescue /dev/sda /mnt/darkstream/image.dd

commande qui a le mérite d’accepter la présence de blocs défectueux sur le disque dur à numériser.

Vous pouvez alors aller vous coucher en croisant les doigts pour que le disque dur extrait du scellé ne choisisse pas ce moment pour rendre l’âme et vous obliger à lire en détail l’assurance en responsabilité civile que vous avez judicieusement pensé à prendre pour couvrir vos opérations d’expertise. Il n’est pas drôle d’expliquer au magistrat qui vous a désigné que vous avez manqué de chance dans son dossier Darkstream où il vous demandait de retrouver des « listings » Excel. Personnellement, je dispose un grand ventilateur de bureau dirigé vers le disque dur pour assurer son refroidissement (mais je croise les doigts quand même).

En fois la prise d’image numérique terminée, vous pouvez éteindre l’ordinateur « A » et en retirer le disque dur que vous replacerez dans le scellé d’origine.

Il vous reste alors à supprimer le partage du répertoire darkstream sur l’ordinateur « Catherine » (le partage hein, pas le répertoire) et à imposer l’attribut « lecture seule » sur le fichier « image.dd »

Et maintenant, commence l’analyse de ce fichier, avec des outils tels que « liveview » pour un démarrage du disque dans une machine virtuelle, ou « Sleuth kit et Autopsy« , ou le très onéreux EnCase® Forensic mais ça, c’est une autre histoire…

La récupération de données, faites la vous-même

Publié le par

Vous avez veillé tard hier soir, vous avez malencontreusement effacé un document important, malgré les conseils de David .J. Way

Vous allumez votre ordinateur et, horreur, celui-ci ne redémarre plus, et affiche au choix: un curseur clignotant sur fond noir, un écran bleu, un message sibyllin au sujet d’un fichier manquant apparemment indispensable (NTLDR?)…

Vous faites un grand ménage de vos fichiers et, croyant travailler sur une copie de répertoire, vous effacez toutes vos photos de votre voyage exceptionnel sur l’ISS

Votre petit dernier a eu la bonne idée de supprimer votre dossier « accord final avec les chinois » pour faire de la place pour son dernier FPS, TPS, RPG, RTS ou sa variante MMO

Et bien entendu, votre dernière sauvegarde (choisir une ou plusieurs mentions):

– date de Mathusalem

– quoi, quelle sauvegarde?

– est sur un cédérom ayant servi de sous-verre à votre dernier Mathusalem

– est complète, mais non restaurable (pas de cédérom de boot, ni de logiciel adhoc)

– se trouve hors de portée sur la planète Mathusalem

– se trouve justement sur le disque dur de l’ordinateur en panne…

Bienvenu dans le monde impitoyable des problèmes informatiques.

Première règle: empêcher toute écriture sur le disque dur à problème. Par exemple, en éteignant l’ordinateur.

Seconde règle: réfléchir calmement pour éviter tout mauvais choix. C’est le moment de proposer une pause à votre enfant réclamant son jeu. N’hésitez pas à avertir votre mari/épouse/conjoint(e)/concubin(e)/amant(e)/copain(e)/colocataire/confrère/collègue/patron/subordonné/partenaire(s) sexuel(s) que vous avez un GROS problème à gérer et qu’il vous faut calme et silence. Débranchez le téléphone. N’appelez pas un ami. N’essayez pas le 50/50, ni l’avis du public.

Troisième règle: ne rien entreprendre que l’on ne maitrise pas. Ce n’est pas le moment pour essayer « un truc », surtout si c’est le fils du voisin « qui s’y connait bien » qui vous le conseille. Y’en a qui ont essayé, ils ont eu des problèmes!

Hypothèse de travail: votre disque dur semble fonctionner. Il ne fait pas de « clac clac » et ronronne normalement. Si ce n’est pas le cas, ou s’il s’agit d’une clef USB ou d’un disque SSD qui ne fonctionne plus sur aucun autre ordinateur, alors il ne vous reste probablement plus qu’à écouter cette musique. Si vous avez supprimé votre dossier le mois dernier, et que depuis vous avez défragmenté un disque dur rempli à 99%, ou si vous avez utilisé un outil tel que UltraShredder, WipeDisk ou WipeFile de votre LiberKey, il est peu probable que vos données soient récupérables, et dans ce cas: musique.

Que faire? La liste des opérations qui suivent ne prétend pas être la meilleure, ni exhaustive, ni complète. C’est MA liste de conseils, SGDZ. Elle pourra évoluer au gré de mes humeurs et des commentaires des lecteurs (dont je m’approprierai honteusement les bonnes idées).

1) Copie du disque endommagé.

– C’est un réflexe d’expert judiciaire. Je ne travaille jamais sur le disque dur d’origine. Si votre disque dur est en train de vous lâcher, il est préférable d’en effectuer une copie qui, certes, stressera votre disque, mais une fois seulement.

– Une fois la copie effectuée (voir ci-après), rangez votre disque dur et n’y touchez plus.

– Si votre disque d’origine n’est pas trop gros et que vous avez de la place, n’hésitez pas à dupliquer la copie. Vous pourrez alors essayer différents outils de récupération (voir ci-après) et en cas de fausse manip (loi de Edward Aloysius Murphy Jr.), vous pourrez toujours redupliquer la copie, sans toucher au disque dur d’origine. Vous n’avez pas beaucoup de place, n’est-ce pas le moment d’acheter un petit disque de 2To qui pourra toujours vous servir ensuite d’espace de stockage de vos sauvegardes?

– Si vous avez un seul ordinateur, courez acheter un disque dur USB externe (de taille supérieure au votre). Paramétrez votre BIOS pour démarrer sur le disque dur USB sur lequel vous allez installer un nouveau système tout neuf. Il vous suffit ensuite de taper la commande (si Windows, exécution sous cygwin):

dd if=/dev/disque_dur_origine of=nom_de_fichier_image

– Si vous avez deux ordinateurs (et un réseau), il me semble plus pratique de procéder comme indiqué dans ce billet, et de procéder ainsi à une prise d’image à travers le réseau. En résumé: côté PC de travail (si Windows, exécution sous cygwin)

nc -l -p 2000 > nom_de_fichier_image

et côté PC avec disque dur contenant les données endommagées, boot sous DEFT, lancement dans un shell de la commande

dd if=/dev/disque_dur_origine | nc IP_PC_de_travail 2000

– Dans tous les cas, si la commande dd ne fonctionne pas à cause de la présence de secteurs défectueux, il est possible d’utiliser la commande dd_rescue ou sa sœur ddrescue.

2) Les outils de récupération.

Comme j’ai déjà bien travaillé sur ce blog, je vous invite à lire ce billet. En résumé, je vous propose d’utiliser l’outil PhotoRec. Avec cet outil, vous pourrez récupérer tous ces fichiers là.

Vous pouvez également utiliser le live CD INSERT, sur lequel vous trouverez quelques uns des meilleurs outils de récupération (gparted, gpart, partimage, testdisk et recover).

Les linuxiens pourront utiliser avec succès le live CD PLD RescueCD avec entre autres les outils gzrt, disc-recovery-utility, e2retrieve, e2salvage, foremost, gpart, recover, recoverdm, et scrounge-ntfs.

3) L’entrainement, il n’y a que cela de vrai.

Plutôt que d’attendre que la catastrophe n’arrive, essayez un peu de récupérer un fichier effacé exprès.

Mettez en place une stratégie de sauvegarde.

Mettez en place une stratégie de sauvegarde ET de restauration.

Mettez en place une stratégie de sauvegarde ET de restauration ET testez les.

Un peu de lecture ne fait pas non plus de mal:

DataRecovery de la communauté Ubuntu

Data Recovery de Wikipedia (en anglais)

– La distribution Operator (Live CD)

Vous vous sentez fort et sur de vous… Vos données ont « ceinture et bretelles »? N’oubliez pas qu’une panne arrive même aux meilleurs: Sid et /tmp, Chappeli et la poubelle (du copain?)

4) Et après?

Si le disque dur contenant les données perdues vous semble un peu vieux, séparez vous en (en l’amenant à une déchèterie spécialisée). Ne le conservez pas pour faire des sauvegardes ou pour y stocker des données peu importantes (toutes vos données sont importantes). N’oubliez pas d’effacer les anciennes données avant de vous débarrasser du disque.

Si vous arrivez à récupérer tout seul vos données perdues, laissez moi un petit commentaire sous ce billet 😉

Si vous avez utilisé le superbe outil PhotoRec ou TestDisk, envoyez quelques anciennes pièces de monnaies à l’auteur du logiciel Christophe GRENIER, je suis sur que cela lui fera plaisir.

Si vous avez utilisé exceptionnellement une distribution Linux ou des outils OpenSource, pourquoi ne pas continuer?

Connaissez-vous Firefox, Thunderbird, Liberkey, Tristan Nitot, Framasoft? N’hésitez pas à soutenir toutes ces personnes.

Allez réconforter votre mari/épouse/conjoint(e)/concubin(e)/amant(e)/copain(e)/colocataire/confrère/collègue/patron/subordonné/partenaire(s) sexuel(s) en lui expliquant que vous étiez très énervé quand vous lui avez parlé durement. Idem pour votre enfant et son maudit jeu.

Et n’oubliez pas de rebrancher le téléphone.

SAN Ku Kaï

Publié le par

ilssonticiMa vision de l’expert judiciaire en informatique, c’est qu’il s’agit d’un généraliste de l’informatique, qui doit connaître un peu de tout, plutôt qu’un spécialiste qui connait tout d’un domaine particulier.

Un peu comme médecin généraliste vs médecin spécialiste.

Et finalement, professionnellement, c’est ce que je suis un peu: je dois gérer un réseau informatique de 300 PC, des serveurs de fichiers, des serveurs d’impression, des serveurs d’applications, des serveurs de sécurité, des serveurs d’accès à internet, des serveurs internet, des achats informatiques, des switchs réseaux, etc. Sans pour autant être spécialiste de chaque question.

Bien entendu, je suis aidé par une équipe de deux techniciens (plus) compétents, mais ils ont également à gérer le même éparpillement des connaissances.

C’est pourquoi quand j’ai commencé à m’intéresser de près au remplacement de notre « vieux » système de stockage des données de l’entreprise/école, il m’a fallu aborder de front le monde inconnu du stockage.

Dès le début, j’ai rencontré quelques difficultés de vocabulaire, mais comme je les ai déjà évoquées dans ce billet, je n’en reparlerai pas ici.

Je vais essayer de faire un billet « retour d’expérience » pour les responsables informatiques qui pourraient se retrouver dans le même cas que moi.

1) Définition du problème:

Faire évoluer un système de stockage qui concentre toutes les données des utilisateurs. Ce système consiste en une baie de disques SCSI d’une capacité totale maximale de 320 Go. Cette baie est gérée par un serveur dédié fonctionnant sous Novell Netware.

2) Premières décisions:

Si possible, le nouveau système doit permettre de continuer à faire fonctionner notre organisation basée autour de nos serveurs Novell, avec annuaire EDirectory, sans hypothéquer une éventuelle migration vers du « full Microsoft ».

Après réflexion, et quelques mois de tests, je prends la décision de virtualiser tous mes serveurs pour m’affranchir du matériel et minimiser le nombre de machines physiques. Quatre acteurs dominent le marché de la virtualisation: VMware, Xen, VirtualBox et HyperV de Microsoft. A un moment, il faut trancher et prendre une décision stratégique, et c’est ma responsabilité. Après plusieurs tests et quelques hésitations, je choisis VMware pour sa fiabilité, ses parts de marché et son interface clic&play.

3) Etudes documentaires:

Choisir une solution de stockage demande de connaitre l’état de l’art. Curieusement, grâce à mon blog et suite à ce billet, plusieurs responsables informatiques m’ont contacté et, dans les discussions par emails qui ont suivi, ils m’ont fait part de beaucoup de trucs et astuces qui ont pu faire avancer ma réflexion.

Le plus utile dans mon cas a été l’outil open source « OpenFiler » qui avait échappé à mes recherches googlesques et qui s’est révélé très utile pour comprendre et tester CIFS, NFS et surtout iSCSI grandeur nature. Bref, si vous voulez mettre en place un NAS ou un SAN gratuit…

Merci en tout cas à tous les RSI qui m’ont aidé via mon pseudonyme Zythom!

4) Les fournisseurs:

La chance que j’ai de travailler dans le privé est de ne pas être contraint aux lourdeurs des appels d’offres publics. J’ai mis en place en fait une procédure qui s’appuie sur les avantages des deux systèmes (mise en concurrence, transparence) tout en évitant les inconvénients (lourdeurs des commissions d’ouverture des appels d’offres, rédaction des CCTP et CCAP, etc).

Je rencontre donc plusieurs fournisseurs (j’en parle un peu ici) et plusieurs utilisateurs. Je parle de mon projet et chacun me vante les mérites de son système.

Peu à peu, je me rends compte que les prix des SAN d’entrée de gamme ont baissé et que la meilleure solution pour moi est vraiment de remplacer mon système de stockage par un SAN sur lequel pourront s’appuyer les machines physiques qui hébergeront mes machines virtuelles.

Mais chaque fournisseur met en avant plusieurs solutions avec des caractéristiques techniques très différentes. Comment comparer?

5) SAS ou SATA?

Les disques durs SAS sont très rapides, mais très chers avec peu de capacité.

Les disques durs SATA offrent de très grandes capacités à des prix très abordables, mais un temps d’accès long.

Après plusieurs hésitations, et une visite chez mon voisin universitaire, j’ai choisi de prendre une baie SAN avec beaucoup de disques SATA. J’ai ainsi le beurre (coût intéressant, grosse capacité), l’argent du beurre (nombre d’I/O suffisant car 10 disques) et le sourire de la crémière: j’ai pu acheter deux SAN identiques.

6) Le choix final:

J’ai retenu la solution « deux SAN Dell MD3000i ».

J’ai ainsi un SAN pour le stockage des datastores VMware sur des LUN de 2To basés sur un disque virtuel de 8 disques SATA d’1To en RAID5 avec 2 disques hot spare.

Le deuxième SAN (identique) me permet de disposer d’un matériel de secours en cas de panne majeure sur le premier, et me sert pour entreposer les copies de sauvegardes des machines virtuelles, ainsi que les backups sur disques (qui sont quand même beaucoup plus rapides que les backups sur bandes).

C’est « ceinture et bretelles ».

7) Et maintenant?

J’assume les choix effectués, même s’ils sont évidemment critiquables par des spécialistes. Mais quand on est généraliste, il faut s’appuyer sur les conseils du réseau et sauter à l’eau.

J’ai fini de faire joujou avec les outils de configuration des deux SAN. J’ai créé les LUN. Je suis en train de migrer mes machines virtuelles et de virtualiser les machines physiques. J’en profite pour passer de la version gratuite de VMware ESXi3.5 vers la version commerciale intitulée vSphere Enterprise 4.0. Du coup, je commence à découvrir et à jouer avec VMotion.

Mais cela, c’est une autre histoire.

Libre échange

Publié le par

travail
Je travaille depuis plusieurs semaines sur les réseaux P2P cryptés et les réseaux F2F afin d’en tester les performances et les propriétés, notamment dans le domaine inforensique. A ce sujet, j’exhume ici un billet d’aout 2007 qui me semble redevenir d’actualité:

——————————-
Edmond Locard est le médecin français créateur du premier laboratoire de police scientifique à Lyon en 1910. Son ambition était de substituer la preuve matérielle au seul témoignage humain par l’analyse systématique des traces laissées par le coupable.

Parmi ses innombrables travaux, le principe dit « d’échange de Locard » reste le plus célèbre:

on ne peut aller et revenir d’un endroit, entrer et sortir d’une pièce sans apporter et déposer quelque chose de soi, sans emporter et prendre quelque chose qui se trouvait auparavant dans l’endroit ou la pièce.

Je pense que ce principe s’applique également lors de la recherche de preuves informatiques. Pour paraphraser Locard,

on ne peut chiffrer et déchiffrer une donnée, l’inscrire ou la supprimer d’une mémoire sans apporter et déposer une trace sur l’ordinateur, sans modifier et prendre quelque chose qui s’y trouvait auparavant.

C’est la base même de l’informatique légale (forensic) pratiquée par un expert judiciaire.

Et bien entendu, comme toujours, se déroule une course permanente entre gendarmes et voleurs pour savoir qui disposera des meilleurs outils techniques. Lire pour cela le très instructif site forensicwiki.org et en particulier cette page.

Cette surenchère se faisant pour le plus grand bonheur des administrateurs informatiques qui disposent ainsi d’outils leur permettant de sécuriser leurs réseaux, ou des utilisateurs qui peuvent ainsi protéger les données des regards indiscrets ou récupérer un mot de passe perdu.

C’est de ce point de vue un débat continuel entre protection de la vie privée et accès à des données permettant de confondre un dangereux criminel.
Débat d’actualité.
——————————-

Parmi tous mes tests, actuellement, le logiciel Peer2me est celui qui me pose le plus de questions.