Archives par mot-clé : Technique

Téléchargement illégal – Aspects techniques

Publié le par

N’attendez pas de moi que je donne mon avis pour ou contre telle ou telle solution politique au problème du téléchargement illégal.

Vous avez de toute façon la réponse dans l’énoncé du problème.

Dura lex sed lex.

Ceci dit, d’autres le font très bien et avec élégance, par exemple avec ce billet d’Hugues Serraf qui a mis en musique mes idées, quand bien même je n’en avais pas. A part, bien sur, que toute peine ne mérite pas salaire, ce que certains musiciens semblent avoir compris…

J’ai bien proposé ma solution… Mais elle ne semble pas être dans l’air du temps. Peut-être aurais-je eu plus de succès (et plus d’énergie pour la défendre) en 1960?

Je m’égare.

Ce qui m’exaspère, c’est l’incurie technique des solutions proposées.

Car enfin, qu’est-ce qui semble se profiler à l’horizon?

La surveillance des réseaux?

Mais il me semble que les opérateurs surveillent déjà (plutôt bien) leur outil de travail. Qui a déjà visité un centre de supervision le sait déjà.

Donc rien de neuf là dedans (quoi que les FAI en disent, et ce n’est pas une publicité).

Des sanctions pour les pirates?

Sans être très au courant du sujet, il me semble qu’il y a déjà pléthore de possibilités de sanctions…

La juste rémunération des auteurs et distributeurs spoliés de leurs droits?

En faisant payer l’ensemble des internautes? Déjà que j’ai du mal à avaler le prix des DVD vierges que j’utilise en quantité pour mes sauvegardes professionnelles… Pourquoi pas un impôt spécifique que tout le monde paierait. Liberté, égalité, fraternité avec les sociétés de production.

Je m’égare encore…

Non, ce qui me chagrine, c’est que tout semble reposer sur le postula suivant:

Le téléchargement illégal est effectué depuis l’adresse IP que votre fournisseur d’accès à internet vous a affectée, donc c’est vous le coupable!

Adresse IP?

Késako? comme disent les occitans.

Direction Wikipédia: une adresse IP (avec IP pour Internet Protocol) est le numéro qui identifie chaque ordinateur connecté à Internet, ou plus généralement et précisément, l’interface avec le réseau de tout matériel informatique (routeur, imprimante) connecté à un réseau informatique utilisant le protocole internet.

A chaque fois que vous allumez votre modem, une adresse IP lui est affecté par votre opérateur (qui vous connait puisqu’il vous facture).

Bientôt il se passera la même chose avec votre réfrigérateur.

Oui, mais moi j’ai une connexion ADSL partagée entre plusieurs ordinateurs à la maison.

Me dit un(e) p(m)ère de famille.

Oui, mais vous êtes responsable de ce qui se passe sous votre toit bla bla bla, ha ha ha. Surveillez donc un peu vos enfants quand ils vont sur internet…

Oui, mais moi j’ai une box ADSL partagée à plusieurs.

me disent mes étudiants habitant une résidence universitaire dont la façade ressemble de plus en plus au dessous d’un circuit wrappé.

Oui, mais c’est celui qui paye qui est responsable (enfin je crois)! En tant que fournisseur d’accès à internet, il se doit de mettre en place un système de traçabilité des usages bla bla bla, ha ha ha.

A moins que?

A moins que quelqu’un ne pirate votre ligne téléphonique…

Que savez-vous de ce qui se passe dans les centraux téléphoniques?

Vous avez un doute? Allez lire cet excellent billet de Nono.

A moins que quelqu’un ne pirate votre borne wifi…

Combien (dont je suis!) utilisent encore des bornes wifi à cryptage WEP, ou même transmettant en clair, faisant les délices du wardriving

A moins que quelqu’un ne pirate votre boitier ADSL…

Que savez-vous vraiment de ce qui se trame dans ces boitiers? Venez partager quelques unes des inquiétudes de Sylvain Sarmejeanne.

Et pour parfaire vos connaissances, vous pouvez toujours lire la thèse que Sid a jugé, ou au moins lire ses impressions ici.

Et n’oubliez pas que sur ce dossier, on nous fera certainement encore le coup des radars: vous êtes flashés, vous payez, vous pourrez expliquer ensuite que vous êtes innocent.

Bon, à ce stade du billet, je pense que vous aurez compris que les arguments permettant à un avocat de démonter l’accusation de téléchargement illégal ne manquent pas à condition que l’expert judiciaire mandaté ne trouve rien d’illégal sur vos disques durs.

Un bon avocat, un bon expert judiciaire, finalement toutes ces nouvelles lois vont dans le bon sens 🙂

Il va falloir quand même que j’arrête d’enregistrer la radio.

Maintenant qu’elles sont toutes numériques, comment faire la différence?

Et les cédéroms que l’on m’a volés, vol pour lequel je n’ai pas déposé plainte par manque de temps et aussi parce que j’avais de toute façon fait une copie par sécurité… J’ai l’air fin maintenant avec mes copies privées sans originaux!

Dura lex sed lex.

Enfin, si vous avez un peu d’argent, il y a les paradis pour milliardaires

Alors là, pas de problème!

Surveillance optimale, pas de grain de sable dans le système, les cartes bancaires sont en sureté.

Homo sum, humani nil a me alienum puto

Je suis un homme, rien de ce qui est humain ne m’est étranger

L’Héautontimorouménos (en voilà un titre à mémoriser!), Térence.

Vista et ses thumbcaches

Publié le par

Je croule sous les expertises pédopornographiques.

J’ai quatre dossiers ouverts en parallèle!

Du jamais vu pour moi…

Pour ceux qui découvrent ce blog, je les invite à lire sur ce thème ce billet, celui-ci et celui-là.

Pour analyser un scellé, j’ai pris l’habitude de procéder d’abord à une prise d’image numérique du disque dur, pour ensuite étudier son contenu (celui de l’image, pas le disque dur original).

Pour étudier le contenu de l’image, je procède toujours à peu près de la même manière: je lâche mes chiens scripts à la recherche d’images sur l’ensemble du disque dur, et pendant que mes fidèles limiers explorent la totalité du disque dur (zone allouée et non-allouée), je flâne moi-même avec un explorateur de fichiers pour m’imprégner de la logique de son propriétaire.

Cette fois-ci ma flânerie me montrait une belle machine neuve sous Vista. Le PC a peu servi, ayant été acheté depuis peu. L’historique internet montre bien quelques sites, mais rien que de très banal: les grandes enseignes habituelles d’internet, et un peu de pornographie. Le tour préliminaire de la propriété me laisse penser que cette fois-ci je ne trouverai rien de criminel.

Je commence l’introduction de mon rapport en attendant les résultats de mes scripts de recherche. Je blogue un peu aussi.

Quelques heures plus tard, une douce voix un bip m’avertit que l’exécution des scripts est terminée.

Et là, surprise: tout un lot d’images pédophiles.

Mais où pouvaient bien se cacher ces images?

En zone allouée?

Des fichiers cachés?

Des fichiers effacés?

En zone non-allouée, pas même référencé dans la table des fichiers?

Dans des fichiers zippés?

Non.

Dans le fichier thumbcache_256.db…

Késako?

Lorsque vous visualisez le contenu d’un répertoire en mode d’affichage « Miniatures », une image réduite (une « miniature ») est placée sur la représentation de chaque fichier. Si votre fichier contient des images, vous pouvez ainsi en apercevoir une représentation réduite, ce qui vous permet de trouver rapidement la bonne image.

Sous Windows XP, tous les répertoires images explorés dans ce mode contiennent ensuite un fichier caché Thumbs.db

Ce fichier contient toutes les miniatures des fichiers du répertoire. Un régal pour toutes les analystes forensiques.

Pour Vista, Microsoft a modifié son système de mise en cache des vignettes. Plutôt que de créer un fichier caché Thumbs.db dans chaque répertoire, un groupe de fichiers thumbcache_*.db contient une réduction plus ou moins fine de chaque image stockée.

Dans cette affaire, le propriétaire de l’ordinateur avait particulièrement bien effacé la trace de ces activités criminelles.

Mais il n’avait pas pensé à effacer le fichier thumbcache_256.db de Vista, révélant ainsi sa petite collection de 300 images pédophiles particulièrement atroces.

Je ne suis pas un enquêteur.

Je ne suis pas un juge.

Je suis un simple informaticien au service de la justice.

Mais j’aimerai pourtant un jour y reconnaître l’un de ces visages pour pouvoir mettre la police sur les traces des ravisseurs.

Et parfois, c’est dur.

Confidentialité par emails

Publié le par

MAJ 07/12/2007: ajout partie 5.
Billet initial du 05/12/2007.

Ce mémo est à destination des magistrats, greffiers, avocats et experts envisageant d’utiliser leur adresse email pour échanger des données confidentielles. Il sera développé, modifié et corrigé en fonction des commentaires et du temps que je pourrai y consacrer.

1) Problème
2) Solution retenue
3) Principes de chiffrement
4) Principes de signature
5) Les outils
6) Création de ses clefs
7) Les risques

1) Problème
Zythom, expert judiciaire, souhaite communiquer avec Maître Eolas, avocat, dans le cadre d’une expertise.
Les échanges doivent être confidentiels.
Il est possible que des documents soient annexés aux courriers échangés.
Les deux parties souhaitent avoir la preuve que l’autre a bien reçu et lu la correspondance (non-répudiation[1]).
Il va de soi que chacun souhaite également que la correspondance reçue et lue soit exactement celle qui a été envoyée (aucun tiers n’a réussi à la modifier).

2) Solution retenue
Pour des raisons légales, la solution retenue est basée sur l’utilisation de la messagerie électronique et la connaissance des adresses emails des deux parties. L’envoi d’un email équivalant à s’adresser des cartes postales, le choix est fait d’utiliser un système de chiffrement (parfois appelé à tort cryptage).
J’ai choisi le système GPG pour son universalité, sa gratuité, sa robustesse, sa qualité et sa licence libre.

3) Principes de chiffrement
Chaque partie dispose d’un couple de clefs qui va permettre la sécurisation des échanges: une clef privée (connue seulement de son propriétaire) et une clef publique (accessible à tous).

Ce qui donne:
Clef privée de Zythom et clef publique de Zythom,
Clef privée de Me Eolas et clef publique de Me Eolas.

Lorsque Zythom souhaite chiffrer un message adressé à Me Eolas (et à lui seul), il utilise pour cela la clef publique de Me Eolas pour chiffrer le message avant envoi (puisque la clef est publique, Zythom peut la connaître et l’utiliser).

Seul Me Eolas dispose de la clef permettant le déchiffrage (la clef privée de Me Eolas).
Même Zythom ne pourrait pas déchiffrer le message, puisqu’il ne dispose pas de cette clef privée indispensable (mais où est le problème, puisqu’il dispose du message avant chiffrage).

En résumé, lorsque l’on veut écrire à quelqu’un, il suffit de chiffrer le message avec la clef publique de cette personne.

Comment obtenir la clef publique d’une personne?
Et bien, il suffit de connaître son adresse email et de contacter un serveur de gestion de clefs publiques.

4) Principes de signature
Comment signer un document pour permettre d’identifier son auteur?
Par exemple, comment Zythom va-t-il signer un document de façon à permettre à Me Eolas de s’assurer que Zythom en est bien l’auteur?

Construction de la signature:
Zythom calcule la somme de contrôle[2] du message qu’il adresse à Me Eolas.
Cette somme de contrôle est ensuite chiffrée par Zythom avec sa propre clef privée (qu’il est le seul à détenir) et est jointe au document en tant que signature.

Vérification de la signature:
Me Eolas pourra alors calculer d’un côté la somme de contrôle du document qu’il a reçu, et d’un autre côté déchiffrer à l’aide de la clef publique de Zythom la signature jointe au document. Si les deux sommes de contrôle correspondent, l’auteur du document est identifié.

5) Les outils
Je n’ai pas la prétention de présenter tous les outils existants, ni même ceux couvrant toutes les configurations possibles. Je partage simplement mon expérience personnelle (forcément limitée).

La base:
Sous système d’exploitation Windows 2000/XP/2003/Vista: gpg4win. Choisissez a minima GnuPG et WinPT

Les messageries:
Les utilisateurs de Thunderbird installeront enigmail.
Les utilisateurs de Firefox installeront FireGPG qui fonctionne parfaitement pour Gmail.
Les utilisateurs d’Outlook: Personnellement, j’utilise beaucoup le copier/coller et WinPT avec le bloc notes.

6) Création de ses clefs
A venir…

7) Les risques
A venir…
La lecture des commentaires donnent déjà une bonne idée des risques.

[1] La non-répudiation signifie la possibilité de vérifier que l’envoyeur et le destinataire sont bien les parties qui disent avoir respectivement envoyé ou reçu le message. Autrement dit, la non-répudiation de l’origine prouve que les données ont été envoyées, et la non-répudiation de l’arrivée prouve qu’elles ont été reçues (extrait de wikipedia).

[2] La somme de contrôle, également appelée empreinte, résumé de message, condensé, condensat ou encore empreinte cryptographique, est calculée à l’aide d’une fonction de hachage.

Le domaine des Dieux

Publié le par

Vous avez toujours rêvé de disposer de votre nom de domaine bien à vous, avec son cortège de boite aux lettres à vos prénom et nom, votre site internet (mais pas trop compliqué hein!), un agenda, une messagerie instantanée, un blog…

Oui, mais tout ça, c’est très cher, et c’est très compliqué.

Bon, je vais voir si je peux vous faire ça pour moins de 100000 euros, ma petite dame.

Attention, ceux qui ont déjà versé une somme conséquente à leur prestataire vont s’en mordre les doigts.

1ère étape: achat du nom de domaine.
Mon choix: gandi.net
Pour moins de 15 euros TTC, vous vous achetez votre petit domaine bien à vous pour une année. Lisez bien les modes d’emploi, vérifiez bien les erreurs de frappe, et au besoin, faites vous aider par un « copain informaticien » pour bien comprendre chaque étape.

2e étape: l’hébergement.
Vous voulez des serveurs fiables avec une bande passante confortable, des boites aux lettres de grande capacité, en nombre quasi illimité, un petit site web de type « plaquette », le tout très simple à gérer?
Faites héberger gratuitement votre nom de domaine par Google avec Google Apps

3e étape: il n’y a pas de troisième étape.

Pour le blog, vous avez le choix entre gandi.net (offre incluse dans le prix de base) ou Google via blogger.com (le présent blog y est hébergé gratuitement). Pour les listes de diffusion, il vous suffit de passer par Google groups (listes privées fermées dans mon cas, réservées à mon groupe de proches).

Total de l’investissement = 15 euros TTC par an!
Et en plus, si vous gérez l’informatique d’un établissement d’enseignement supérieur, vous pouvez disposer ainsi d’un nombre illimité de boites aux lettres de 4.7 Go chacune (2000 dans mon cas)!!! Sans avoir à gérer les sauvegardes, les changements d’OS, les pannes serveurs, les temps d’accès, le SPAM…

Ah, j’entends certains me parler de confidentialités de leurs emails, gna gna gna. N’oubliez pas: un email qui circule sur internet est aussi confidentiel qu’une carte postale. Et certainement moins. Mais vous utiliserez alors GPG pour vous rassurer.

Vous l’avez compris, Google is still my friend…

Portabilité du bricolage

Publié le par

J’ai reçu il y a quelques jours un ordinateur portable de marque Apple.

Je n’aime pas analyser les portables, vous allez comprendre pourquoi.

La devise de l’expert judiciaire en informatique est celle d’Hippocrate : Primum non nocere, qui se traduit par d’abord, ne pas nuire ou plus généralement avant tout, ne pas nuire à la preuve.

Il faut donc être sur de ne pas endommager ou écrire sur le disque dur que l’on doit analyser.

Dans mon cas, je ne maîtrise pas de système simple pour booter un Apple ibook G4 sur cédérom pour une prise d’image à travers le réseau. Il me faut donc démonter le portable pour en extraire le disque dur afin de le placer sur mon matériel d’analyse.

La galère commence.

Première phase, trouver sur internet un site qui décrit le plus précisément possible le démontage. En l’espèce, il s’agit de l’excellent site aberco.free.fr/ibook/demontage1.html qui me sauve la vie.

2ème phase: la préparation des outils. Après avoir étudié le problème en détail, il s’agit de faire l’inventaire de tout le matériel nécessaire. Ici, j’ai besoin de plusieurs tournevis cruciformes très fins, de tournevis Torx et d’un tournevis mou (une brosse à dent limée). Je recommande également le rangement d’un vaste espace de travail, ceci pour placer les différentes vis extraites sur des croquis de remontage.

3ème phase: le démontage. Personnellement, j’ai mis quatre heures! En effet, le propriétaire du portable apprécierait peu que son matériel lui soit rendu avec des marques de démontage (d’où le tournevis mou) ou avec des pièces mal remontées. Il faut utiliser le bon tournevis pour chaque vis afin de ne pas marquer la tête (de vis). Il faut placer la vis démontée sur une feuille blanche sur laquelle on aura reporté un croquis de la machine, pour être sur de la replacer au bon endroit. Il faut travailler au dessus du plan de travail (et non sur ses genoux) pour qu’une vis malicieuse qui saute de son emplacement ne rebondisse pas dans un endroit inaccessible.

Il faut démonter 42 vis sur un ibook G4 avant de pouvoir extraire son disque dur… Et elles sont presque toutes différentes! Certaines sont cachées derrière des petits aimants. Et pour couronner le tout, avec l’évolution de la fabrication, le portable que je démontais n’était pas exactement comme celui du site internet: certaines vis manquaient et d’autres, surnuméraires, étaient vicieusement cachées.

Règles d’or: quand vous avez enlevé toutes les vis, il en reste une cachée quelque part. Ne pas forcer. Rester calme.

Pour compliquer le tout, des clips maintiennent certains éléments plastiques qu’il faut forcer… mais pas trop.

Quatre heures, je vous dis!

Mais l’analyse en valait le coup…

PS: J’ai oublié de dire qu’il m’avait également fallu 4 heures pour remonter l’ensemble des pièces, avec quelques frayeurs quand je n’avais pas correctement repéré le trou dans lequel la vis devait être remontée (surtout vers les premières étapes du remontage).

J’en ai profité pour enlever la poussière accumulée sous le clavier et pour passer un coup de chiffon sur le parebrise.

Primum non nocere

Le PC à huile

Publié le par

Si vous en avez assez du bruit de votre machine et rêvez de pouvoir utiliser votre bel ordinateur dans un silence reposant, et bien PrésencePC l’a fabriqué et testé pour vous: le PC à (refroidissement à) huile… SGDZ.

Je n’ai pas testé, je ne sais pas si cela fonctionne, ni si c’est dangereux ou non, mais j’attends de voir si des OPJ vont me livrer ce type de scellé!

Alleï, ce soir, c’est frites!

La solitude de l’expert

Publié le par

L’expert judiciaire exerce ces missions la plupart du temps seul. Il arrive parfois qu’il se sente bien seul…

Il m’est arrivé, il y a quelques années, d’avoir à remplir une mission inhabituelle (pour moi): un tribunal de commerce m’avait demandé de récupérer des données clients sur un serveur dans une entreprise en faillite et de faire l’inventaire du parc informatique pour faciliter le travail du commissaire priseur.

J’ai d’ailleurs appris à mes dépens à cette occasion qu’il y a un certain nombre de points à vérifier avant de se déplacer pour une telle expertise. Je raconte ici la suite des évènements.

Quand un expert se déplace pour effectuer une mission, il est rarement mis au courant des détails très techniques qu’il va rencontrer. Dans cette affaire, et malgré mes nombreuses questions auprès de mes différents interlocuteurs, il m’était impossible d’avoir la moindre information technique intéressante: combien de PC, quel système d’exploitation (windows, VMS, GCOS, Debian, AIX, Irix, Mac OS, NetBSD…), type des disques (SCSI, IDE…), leur capacité (1 Go, 10 Go, 100 Go, 1 To…). Bon, par contre, tout le monde pouvait me donner le mot de passe du serveur (c’est déjà ça).

Pour préparer mes affaires, je procède donc exactement comme pour une expédition lointaine dans un pays dont on ne connait ni la géographie ni le climat. Je mets dans une valise tous les éléments techniques qui pourraient m’être utile: graveur externe, disques IDE et SCSI, bloqueur d’écriture, nappes de fils, alimentations, tournevis, lampe électrique, unité centrale, écran, PC portable, DVD et cédéroms vierges, papier, crayons, câbles et cartes réseaux, switch, clef USB, disquettes…

Me voici donc, de bon matin, à deux cents kms de chez moi, seul dans cette entreprise fermée depuis plus d’un an. L’entreprise est installée dans un grand appartement de six pièces. Il flotte dans l’air comme une odeur de renfermé. J’ouvre les volets.

Je repère très vite le serveur (installé dans la cuisine aménagée pour l’occasion en salle serveur). L’électricité ayant été remise la veille, j’appuie sur le bouton de démarrage après avoir vérifié l’état général des connexions électriques. Le serveur s’allume dans un bruit d’enfer qui semble normal.

Assis devant l’écran, je fais mes premières constations: bios, nombre et type de disques, OS, messages d’alerte… jusqu’à la fenêtre de demande d’identification. J’entre le mot de passe indiqué dans les documents qui m’ont été fournis: sésame ouvre toi, ça marche! Je récupère les données sur mon disque externe USB reconnu par l’OS (Windows 2000). C’est un coup de chance car aucune de mes nappes ne correspondent au système SCSI du serveur. Cela fait une heure que je suis là et la première partie des missions est déjà accomplie. Je suis content.

Là où cela s’est un peu corsé, c’est quand j’ai voulu remettre en état le réseau en place. En effet, de nombreuses données sont présentes sur les disques durs des différents PC et tous ne disposent pas de port USB, alors qu’ils sont tous connectés en réseau. Rien ne fonctionne, aucune machine ne voit le serveur. Petite inspection à quatre pattes en salle serveur: le réseau a été « saboté ». Il s’agit en effet d’un réseau éthernet avec des câbles et connecteurs de type BNC qui doit se terminer par un bouchon de 50 ohms sur un raccord en « T ». Or le câble arrivant sur le serveur est directement raccordé à la carte réseau. Ça ne peut pas fonctionner. Le sabotage est intentionnel. Déjà à cette époque, l’utilisation de câbles réseaux BNC commençait à se faire rare. Et nul bouchon à l’horizon: ni sur le câble, ni dans l’appartement, ni dans ma valise. Début des ennuis.

Je referme bien l’appartement à clef, puis commence à chercher un magasin d’informatique ou d’électronique. Je n’ai pas de carte détaillé de la ville, pas d’accès internet, nous sommes samedi midi, la ville est déserte. Je demande aux commerçants qui sont incapables de me renseigner. Je prends mon véhicule et commence mes recherches. 2h plus tard, après avoir écumé les zones industrielles, les centres commerciaux, je tombe sur un petit magasin de maquettes qui vend aussi un peu d’électronique. Dans le capharnaüm du magasin, nous trouvons le vendeur et moi quelque chose qui ressemble à une paire de résistances terminales BNC… Victoire et retour dans l’entreprise.

Réseau fonctionnel, je commence à récupérer les données de chaque poste de travail (il y en a dix!). L’après midi bien entamé y passera. Le soir arrive, la pénombre aussi. Les yeux fatigués, je me lève pour allumer la lumière: rien. Tous les plafonniers ont été vidés de leurs néons et ampoules. J’allume tous les écrans et reprend le travail dans la lumière blafarde. Je sors ma lampe de poche et m’en sers pour me déplacer entre les meubles. Certains écrans grésillent. Je me sens seul.

A l’époque, je n’ai pas de téléphone portable, je ne peux donc pas prévenir mon épouse de ne pas s’inquiéter. Les ombres et les fantômes de l’entreprise suffisent déjà à me mettre mal à l’aise. Quelques craquements se produisent dans les pièces voisines. Le changement de température sans doute. Au fait, il n’y a pas de chauffage… Je mets mon manteau et bouge un peu les bras pour me réchauffer. Je note sur ma « check list » de penser à prendre des vêtements chauds la prochaine fois.

23h. Fini. Je ramasse tous mes équipements, toutes mes affaires et toutes mes notes. Je remets tout en état. J’éteins et ferme tout. Me voici dans le couloir avec ma lampe de poche et mon sac de sport rempli de matériel sur l’épaule. Je me rends compte soudain que je n’ai pas pensé à prévenir les voisins ni la police de ma présence. J’ai vraiment l’air d’un cambrioleur. Par chance, personne ne viendra m’inquiéter.

Sur le chemin du retour, il n’y a personne sur la route.

Je suis encore seul.

Votre plus vieille donnée?

Publié le par

Le Conseil d’Etat a rejeté le recours des FAI sur le décret les obligeant à conserver les informations de connexion de leurs abonnés. Cette mesure leur impose de conserver pendant un an toutes les données de connexion par Internet, téléphone fixe et mobile de leurs clients (source: 01net.com).

Cette lecture m’a donné l’idée d’une Question à deux euros pour alimenter ma rubrique la plus fumeuse: quelle est la donnée la plus ancienne de mon disque dur?

Ni une, ni deux, me voici à la recherche de cette curieuse information… Bien entendu, je recherche une donnée m’appartenant, pas le fichier d’une quelconque installation à la date douteuse (1970 par exemple…)

C’est comme cela que je suis tombé sur l’un des premiers emails que j’ai écris!

Daté du 11 février 1989, je l’avais envoyé à un collègue lors du raccordement à internet de mon laboratoire de recherche. Notre laboratoire, bien que situé en plein Paris était en retard. Nous avions encore une partie des bâtiments électrifiés en 110v! Des canalis amenaient le 220v spécialement pour nos stations de travail Apollo.

En 1989, le web graphique n’existait pas encore! Il me faudra attendre 1993 pour utiliser les premières versions de NCSA Mosaic.

Nous utilisions des lignes de commandes pour échanger des fichiers et envoyer des emails. Si si! (je m’adresse à mes jeunes lecteurs).

De transferts en conversions, de changements en déménagements, d’une station de travail Apollo sous Unix en passant par un mac II SI et toutes une suite de machines sous Windows, cet email se trouve aujourd’hui sur mon thunderbird, dans la catégorie « A ranger »(!)

Et vous quelle est votre plus vieille donnée présente sur votre disque dur?

Attention, vos vieilles cartes perforées ne comptent pas (sauf à en faire le transfert aujourd’hui, et je vous souhaite bien du courage).

Et ne me demandez pas le contenu de ce vieil email! C’est ridicule personnel.

Le sens caché des choses

Publié le par

Il est 16h et j’attends avec impatience l’arrivée des OPJ qui doivent m’apporter mon premier scellé. Ah, ça y est, ils arrivent! Deux policiers descendent de leur voiture et viennent sonner à la porte. Les voisins soulèvent leurs voilages. J’ai déjà ouvert la porte et je discute avec les deux officiers. Ils me confirment ma mission principale: la recherche d’images pédopornographiques. Ils me remettent un PC dans un grand sac noir qui ressemble à un sac poubelle sauf que celui-ci est cacheté (c’est en fait bien un sac poubelle). Je serre la main des policiers, autant par politesse que pour les voisins…

Me voici dans mon bureau. J’ouvre le scellé. Je démonte le PC et en extrait le disque dur. Je tremble un peu. C’est ma première analyse.

Je n’ai pas encore de bloqueur de lecture, mais par chance, ce modèle de disque dur possède un cavalier permettant d’empêcher l’écriture (et donc de modifier le contenu du disque dur). Je procède à la prise d’empreinte numérique, replace le disque d’origine dans le scellé et place sa copie dans mon ordinateur de travail. L’analyse peut commencer.

Je ne dispose pas (encore) de logiciel spécialisé dans l’analyse de disque et la recherche de preuve. Je débute en informatique légale et je suis seul. Aucune aide à attendre de l’extérieur: je ne connais aucun autre expert judiciaire, ni en informatique ni dans une autre spécialité. J’ai pour seul bagage mes connaissances, des livres et internet. Il faut que j’y arrive.

J’explore le disque dur d’une façon informelle, à l’aide de l’explorateur de fichiers. Rien ne semble anormal.

J’entreprends l’exploration complète et systématique de l’arborescence de fichiers. Rien. Le contenu du disque est parfaitement banal.

Je dégote sur internet un programme de récupération des fichiers effacés. Je le teste sur mon poste avant de l’employer sur le disque cible. Bingo, sur le disque cible se trouvent un petit millier de fichiers effacés dont plusieurs images à caractère pornographiques.

Je continue la recherche en dressant la liste de tous les programmes installés. Certains me sont inconnus. Internet n’étant accessible qu’au travail (nous sommes à la fin du 20e siècle, à une période où le web n’existe pas encore, internet est en mode texte et est réservé aux seuls chercheurs), j’emmène cette liste au travail et en discute avec mon équipe technique. Après identification de la plupart des programmes, il en reste deux qui sont inconnus au bataillon.

Après une rapide recherche de deux heures sur les sites gopher, je découvre qu’il s’agit de deux programmes de stéganographie.

Le mot même me fait peur, nous sommes en pleine période Jurassic Park.

Je me rappelle alors que lors de mon analyse informelle préalable, j’avais aperçu de nombreuses images haute définition (pour l’époque) de type « fond d’écran pour station de travail » (certains se rappelleront d’une image de guépard à couper le souffle).

Il se trouve que j’avais dans ma propre collection de fonds d’écran certaines des images en question. Je procède alors à une comparaison des tailles de fichiers, puis des contenus binaires. Bingo.

Le logiciel demandait un mot de passe pour chaque image. L’imagination humaine étant ce qu’elle est, je tentais tous les mots de passe « habituels ». Niet. J’essaye alors une adaptation du logiciel « crack », père des logiciels de cassage moderne. Et là, quelques heures plus tard, LE mot de passe.

Sésame ouvre toi, et toutes les images « fond d’écran » se sont avérées être réceptacles d’images cachées par stéganographie. D’images abominables bien entendu… C’est une des raisons du fond noir de ce blog.

J’ai appris beaucoup de choses sur la technique ce jour là, mais aussi beaucoup sur l’espèce humaine. Et à plusieurs niveaux, sur le sens caché des choses.

De l’utilisation des commentaires dans un document informatique

Publié le par

Trouvé sur le blog de precisement.org un exemple de commentaire de président de chambre sur le travail des avocats:
https://www.precisement.org/blog/breve.php3?id_breve=338

Personnellement, je me suis déjà beaucoup amusé à la lecture de commentaires trouvés dans un document word ayant été distribué via une liste de diffusion…

Parfois, l’historique des modifications d’un tel document est également très instructive.

Attention donc.