Archives par mot-clé : Tome4

Le combat aérien

Publié le par

Nous marchions déjà depuis plusieurs heures. Nos sacs à dos semblaient peser des tonnes: ils contenaient tout le nécessaire du parfait soldat en campagne. J’avais remarqué que les sacs à dos des sous officiers rebondissaient sur leurs dos au rythme de leurs pas, preuve qu’ils étaient remplis d’objets en mousse ou en duvet, alors que les nôtres avaient été complétés par des pierres pour « faire le poids ».

A l’époque j’étais un sportif accompli. Mais je peinais pourtant à suivre le rythme car le caporal qui m’avait en grippe m’avait confié le fusil mitrailleur (un vieux MAC 24/29 de presque 10 kg). Je serrais les dents pour ne rien montrer de ma colère. J’avais décidé d’obéir et je m’y tenais.

Je vous parle d’une époque se situant à la fin des années 80, à une période où la France disposait encore de bases militaires en Allemagne. Tous les appelés du nord de la France effectuaient ainsi leur service militaire (ou au moins comme moi leurs classes) en Allemagne. Je peux témoigner de l’accueil chaleureux des allemands qui nous voyaient entassés dans les camions militaires et nous faisaient souvent un petit coucou d’encouragement de la main.

Nous étions donc en train de marcher en rase campagne allemande, isolés de tout, quand tout à coup un vacarme assourdissant nous a tous fait nous jeter à terre: un avion de chasse venait de passer juste au dessus de nos têtes, à quelques centaines de mètres d’altitude.

Hébétés, nous étions tous allongés dans l’herbe, profitant (et l’encadrement aussi) de cette excuse pour nous reposer un peu. La tête en l’air, les yeux dans les nuages, nous avons admiré un spectacle que je n’ai plus jamais revu depuis: un combat aérien grandeur nature entre deux avions de chasse modernes.

Je ne connais pas avec certitude le modèle de chasseur que j’ai aperçu, mais je dirais aujourd’hui qu’il s’agissait de deux F15 américains. Simulant probablement un combat au canon, les deux pilotes faisaient des figures extraordinaires pour se positionner derrière l’adversaire. Parfois, l’un des avions entamait un piqué vertigineux vers le sol pour se redresser au dernière moment, passant au dessus de nous dans un vrombissement assourdissant, à une hauteur assez peu réglementaire. Le temps du sergent Frantz et du caporal Quénault était déjà très loin.

Nous, valetaille de biffins, nous admirions avec envie l’élégance des volutes de condensation des deux chasseurs, tout en essayant d’imaginer l’écrasement des corps des pilotes encaissant plusieurs « G ». Et moi, écrasé dans l’herbe par le poids de mon équipement et de mon MAC 24/29, j’arrivais assez bien à me faire une idée.

J’éprouvais une envie terrible d’échanger ma place avec la leur. J’aurais rêvé sentir dans ma chair ce que les petits simulateurs de vol commençaient à reproduire en graphismes fil de fer. Je dévorais des yeux ses monstres volants jusqu’à m’assécher les iris de ne plus cligner des paupières.

Ce combat aérien n’a duré que quelques minutes, mais restera gravé dans ma mémoire.

—————————

Cliquez sur l’image pour l’agrandir. Source fighter

Merci

Publié le par

Ce samedi je me trouvais debout à l’entrée d’un petit supermarché en train de distribuer des sacs plastiques. Pour comprendre ce qui m’a arraché à ma grasse matinée sacrée du samedi matin, il faut remonter quelques semaines en arrière. Plus précisément, lors du dernier conseil municipal.

Lors du compte rendu de l’adjoint en charge de la commission sociale, appel est fait aux conseillers municipaux de participer à la collecte de la banque alimentaire, la bien nommée BA. L’adjoint nous rappelle l’importance de cette collecte et que si tout le monde participe, chacun n’aura à consacrer qu’une petite partie de son week-end. Me voici donc inscrit sur le registre pour le créneau du samedi 10h30-12h.

Poli comme un miroir astronomique, j’arrive sur place à 10h25. J’y retrouve l’équipe précédente que je dois relever. Ils me passent les consignes, j’enfile un superbe gilet de signalisation couleur rouge fluo marqué en grosse lettre (dans le dos) « Banque alimentaire », je serre la main de mon acolyte qui vient juste d’arriver, et nous voilà tous les deux à accueillir les clients de ce petit supermarché discount.

Il paraît que ce supermarché discount est fréquenté par les personnes les plus modestes. En fait, pendant une heure et demi, je vais voir défiler toutes les catégories de personnes de la société française:

Il y a les souriantes: les personnes qui vous renvoient votre sourire franchement. Elles s’arrêtent pour prendre le sac plastique que vous leur tendez et vous écoutent dire « c’est pour la banque alimentaire ». Elles hochent la tête et vous glissent un petit mot gentil: « je n’ai pas beaucoup d’argent, mais je donne toujours », « je vais donner du chocolat et des bonbons, parce que vous savez, les plus démunis ont besoin aussi de friandises », « Je suis au RSA, mais je vais donner quand même ». Merci. Merci. Merci.

Il y a les stressées: elles nous ont repéré de loin (grâce à nos gilets rouges fluos) et ne s’arrêtent pas à notre hauteur, sauf après nous avoir entendu dire « c’est pour la banque alimentaire ». Là, elles marquent un temps d’arrêt, se tournent vers nous et grommèlent quelque chose comme « ah oui, c’est bien ». Merci . Merci. Merci.

Il y a les jeunes: ils/elles nous regardent avec une interrogation dans les yeux « keskecé? ». Nous leur expliquons rapidement que nous collectons des aliments non périssables pour les plus démunis et que s’ils souhaitent donner quelque chose, ils peuvent nous le remettre après la caisse dans ce sac plastique. Je ne suis pas sur qu’ils comprennent toujours car j’ai eu droit à un « mais qui c’est qui paye alors? »… Merci. Merci. Merci.

Il y a les vieux: ceux qui viennent faire leurs courses le samedi avec la foule parce qu’ils sont seuls le reste de la semaine. En général, ils s’arrêtent et discutent avec nous. Ils nous racontent une tranche de vie que l’on écoute en silence. Merci. Merci. Merci.

Il y a les fatigués de la vie, les blessés de l’âme, les corps malades: Ils avancent doucement avec leurs sacs à la main car ils n’ont pas de pièce pour le caddy. Ils prennent toujours un sac en plastique qu’ils rendront toujours avec quelques choses dedans. Même si parfois on voudrait qu’il le garde pour eux. Merci. Merci. Merci.

Il y a cette personne qui m’a dit avoir dormi dans la rue pendant plusieurs années et qui m’a demandé plusieurs sacs plastiques. Elle nous a donné plus que ce qu’elle a emporté. Merci. Merci. Merci.

Il y a tout ceux qui se sont excusés car ils avaient déjà donné la veille, dans le magasin concurrent, à l’école. Merci. Merci. Merci.

Et il y a ceux qui ne nous voient pas: leur regard glisse sur nous et ils n’entendent pas notre « c’est pour la banque alimentaire ». Ils n’écoutent plus le reste du monde. Ils ont le regard absent des parisiens devant le mendiant qui tend la main. Indifférents.

Il y a eu une seule personne aigrie ce matin là: elle s’est arrêté devant moi et m’a regardé droit dans les yeux. « J’ai une mère paralysée. Personne ne m’a aidé, alors je ne donne rien ». Je n’ai rien su répondre, mais j’ai immédiatement pensé à Carmen Cru.

Pendant une heure et demi, j’ai vu défiler beaucoup de monde: des chômeurs, des avocats, des ouvriers, des noirs, des blancs, des jeunes, des vieux, des couples, des familles nombreuses… Beaucoup de parents nous envoyaient leur enfant avec le sac plastique contenant leurs dons. A leur regard timide, nous avons offert nos plus beaux sourires.

Merci. Merci. Merci.

Informatique embarquée

Publié le par

Il est 9h ce samedi là, je suis au commissariat de Police à la demande d’un magistrat. Je ne sais rien de l’affaire qui me concerne à part qu’il y aura des ordinateurs à inspecter chez un particulier, j’ai donc rempli le coffre de ma voiture avec l’indispensable.

J’appréhende toujours ce type de mission. Débarquer chez les gens avec la police ou la gendarmerie n’est pas quelque chose d’agréable. Pourtant, quand j’y réfléchis, j’ai prêté serment d’apporter mon concours à la Justice, et cela quelles que soient les circonstances.

L’opération a lieu un samedi à cause de moi car j’ai des difficultés à me libérer les jours de la semaine. Le dossier est assez simple en apparence: il s’agit d’un travailleur indépendant qui aurait fait des malversations informatiques. Le policier gradé m’explique le dossier en détail et je l’écoute attentivement. Une fois ses explications effectuées, je lui pose quelques question sans illusions: quel type d’ordinateurs allons nous inspecter, quel volume de données, quel est le niveau technique du propriétaire… Aucune de ces question n’a de réponse. Je lui explique l’importance de ce type d’informations, il comprend et compatit. Nous partons pour la perquisition.

Je suis la voiture de police banalisée. Le policier a souri à la vue de ma vieille Peugeot 205 en disant « c’est solide ces voitures là » d’un air entendu. Il semble s’y connaître en automobile, aussi je coupe court à la conversation d’un « oh vous savez, moi, du moment qu’elle démarre et qu’elle m’amène là où je veux aller… »

Nous sortons de la ville. La circulation est dense et j’ai perdu de vue la voiture de police. Le policier qui est monté avec moi m’indique le chemin jusqu’au bord d’une rivière où je découvre que la perquisition va avoir lieu sur un bateau!

Le ponton est désert, et parmi les quatre bateaux arrimés, un seul semble habité. A défaut d’huis, les policiers frappent sur un panneau du ponton près du bateau. Le propriétaire sort de la cabine et nous regarde surpris: face à lui nous sommes quatre, trois policiers en uniforme et moi (en costume).

Le gradé se présente et explique la raison de la perquisition. Les épaules de l’homme s’affaissent et il nous laisse le passage. Nous voilà à cinq sur un bateau de 6 mètres. Je reste sur le pont du bateau pendant que les policiers pénètrent dans la cabine avec le propriétaire. Le bateau bouge au gré des masses humaines qui s’agitent à l’intérieur. Je m’assois et observe la scène. Les policiers font un inventaire rapide des lieux sans mettre de désordre. Ils ouvrent les rangements (et sur un bateau, il y en a beaucoup), ils soulèvent des trappes, poussent des battants et ouvrent des tiroirs. Pendant ce temps là, je regarde l’extérieur du bateau et le paysage avec ma mallette d’intervention sur les genoux.

Au bout d’un quart d’heure, les policiers m’appellent et je pénètre dans la cabine. J’entre dans l’intimité d’un homme seul. L’intérieur est propre malgré l’age apparemment avancé du bateau. Tout ce qui ressemble à du matériel informatique a été rassemblé sur la table à cartes qui sert de table à manger et de bureau. Les hommes sortent pour nous laisser de la place car l’espace est exigu.

Je passe les deux heures suivantes à ausculter les disques durs, cédéroms et autres supports de stockage. Je fournis en direct les éléments pouvant intéresser l’enquêteur. Le propriétaire commente les données et donne ses explications. Je me concentre sur la partie technique, effectue les copies de données pour investigations ultérieures et fouille les recoins des disques avec quelques outils de recherche de chaines de caractères.

Avec le recul des années, je perçois les avancées (à venir) des droits de la défense. Cet homme était seul face à nous. Le policier a été parfaitement correct dans son interrogatoire et ma présence « neutre » peut en témoigner. Mais je n’aurais pas aimé être à sa place: il était sous pression, sa voix dévoilait une tension certaine et il était visiblement mal à l’aise.

En fin de perquisition, alors que l’enquêteur mettait de l’ordre dans sa procédure, je me suis permis de discuter avec le propriétaire. La naïveté de mes questions a réussi à le faire sourire: « mais comment faites vous pour recharger votre ordinateur? », « comment accédez-vous à internet? », « et pour le courrier postal, vous le recevez comment, vous avez une adresse fixe? », « vous faites comment pour le nettoyage de la coque? », « vous n’avez pas peur d’être agressé quand vous êtes tout seul sur la rivière? »… Il me montre les astuces techniques, les aménagements du bateau qu’il a réalisé. Il me parle de barrots et de barrotins. Il reprend vie.

Il aurait parfaitement pu être accompagné par un avocat. Mes investigations techniques auraient été les mêmes, les questions du policier probablement aussi. La tension aurait sans doute aussi été présente, mais partagée avec une personne de confiance, avec un soutien.

Je ne vois vraiment que des avantages à la possibilité de se faire assister par un avocat, à tout moment de quelques procédures que ce soit. Pour ce que j’en sais, aucun élément n’a été découvert contre lui.

Ce soir là, je suis rentré moins sûr de moi.

La mort du hotspot wifi gratuit ouvert

Publié le par

En tant que responsable informatique, je n’ai pas d’autre souhait que le confort des utilisateurs. Pour cela, parmi toutes les actions entreprises, j’ai mis en place un réseau Wifi permettant à tout un chacun de se connecter en toute simplicité.

Pour les plus techniciens d’entre vous, j’ai choisi un VLAN dédié wifi dont la passerelle/parefeu est une machine basée sur l’excellent logiciel pfsense. Ce produit permet de mettre en place très facilement un portail captif interrogeant un serveur Radius (par exemple freeradius ou dans mon cas maintenant Windows 2008 R2).

Tout fonctionne très bien, je place des bornes wifi premier prix partout, je rappelle aux utilisateurs que rien n’est chiffré et de faire attention (mais tout le monde s’en fout). Globalement, tout va bien.

Oui mais voilà, mon entreprise reçoit des visiteurs, des conférenciers, des consultants, organise des colloques, des symposium, des conférences, prête ses locaux pour des assemblées générales, des séminaires, des sapins de Noël… Et tout ce petit monde souhaite maintenant accéder à internet de la manière la plus simple possible.

Pour les universitaires, pas de problème particulier, il y a Eduroam. Mais pour l’industriel lambda ou le participant étranger à un colloque, avec mon système, il faut lui créer un compte personnel.

Bien qu’étant responsable informatique (et donc « chef »), je n’aime pas mettre en place un système avec des MonEquipeVaCréerUnCompteAChaqueFois ou des OnAKAFaireFaireçaParLaKeuil. Donc, après avoir discuté avec plusieurs responsables informatiques dans d’autres écoles, j’ai bien vu et compris qu’il y a deux grandes catégories de systèmes:

1) Une délégation technique permettant à plusieurs personnes (en général des secrétariats) de créer un compte provisoire à la demande, avec génération d’un ticket contenant un identifiant et un mot de passe compliqué.

2) Un hotspot wifi open, autrement un accès libre à tous les vents.

La solution n°1 est mise en place dans toutes les écoles ou universités que j’ai contactées, ou dans les hôtels que je fréquente. La solution n°2 est celle retenue par les restaurants (McDonald’s par exemple) ou les cafés de ma ville.

A priori, pour moi, la solution n°1 est la plus sérieuse, mais c’est celle où l’informatique est vécue comme pénible et les informaticiens comme des emmerdeurs personnes agaçantes. Dans un cas, quand vous allumez votre ultraportable, toutes vos mises à jour vont échouer tant que vous n’avez pas lancé le navigateur pour vous authentifier. Dans l’autre, vous surfez en toute liberté et c’est votre administrateur préféré, adoré, adulé, qui va en prison.

Diable, la prison, le déshonneur, l’infamie.

C’est que dans « responsable informatique » il y a le mot « responsable ». Et dans une petite structure comme la mienne (bien que grande par la notoriété la qualité des étudiants formés) il ne s’agit pas de badiner avec ce type de concept. Inutile d’enseigner la responsabilité aux étudiants-futurs-ingénieurs s’il s’agit de se cacher derrière le chef du chef de son chef, fut-il ministre.

Mon côté « responsable » penche donc pour la première solution.

Mon côté « pratique » penche pour la seconde solution.

Première phase: je-vais-me-débrouiller-tout-seul

Me voici donc sur internet à la recherche de réponses juridiques. La meilleure technique est de nos jours plutôt basée sur l’utilisation du web et du moteur phare du moment Google (que je remercie au passage pour l’hébergement du présent blog), ce qui m’amène assez vite aux textes de loi concernés, et surtout à des commentaires explicatifs. En particulier celui-ci: « Conservation des données de trafic: hot-spots wi-fi, cybercafés, employeurs, quelles obligations? »

Cet article m’a estomaqué stupéfait ébahi éberlué ébaubi:

Le propriétaire d’un cybercafé est-il tenu de conserver les données de trafic de ses clients?

OUI. Les cybercafés, les restaurants, les hôtels, les aéroports ou tout autre endroit qui propose un accès au réseau internet au public, à titre payant ou gratuit, sont concernés par ces dispositions. Ils doivent conserver les données techniques pendant un an à compter de leur enregistrement.

Existe-t-il une obligation d’identifier l’utilisateur de l’ordinateur?

Non. Le cybercafé en question n’est pas obligé de relever et de conserver l’identité de ses clients pour fournir une connexion (ex : accès wifi ouvert). Il doit uniquement conserver les données techniques de connexion.

En revanche, s’il fait le choix de procéder à l’identification préalable des utilisateurs, en leur faisant remplir une fiche d’inscription par exemple, il a l’obligation de conserver ces données pendant un an.

Les «données techniques de connexion», qu’est-ce que c’est? L’article définit en son début les «données de trafic» dont je suppose, malgré l’habituelle précision des termes juridiques qu’il s’agit également des données techniques de connexion.

[Ce] sont les informations techniques générées par l’utilisation des réseaux de communications tels qu’internet. Il s’agit par exemple de l’adresse IP de l’ordinateur (n° identifiant chaque ordinateur connecté à internet) utilisé, de la date, de l’heure et de la durée de chaque connexion ou encore des informations permettant d’identifier le destinataire d’une communication (par exemple le numéro de téléphone appelé).

Deuxième phase: j’affronte un automate téléphonique

Sur le site de la CNIL figure un numéro de téléphone pour celui qui souhaite poser une question juridique. Aussitôt, j’appelle le numéro. Trop tôt: il faut appeler après 10h mais avant 12h, ou après 14h mais avant 16h. J’appelle alors à 10h02. Après l’automate et grâce à *11 (« tapez 1 si vous êtes un professionnel », puis « tapez 1 si vous avez une question juridique »), j’obtiens une personne vivante à qui j’explique brièvement mon problème et qui me répond: « je vous passe une personne compétente » puis me bascule sur une boite vocale… Je rappelle, me farcit l’automate téléphonique et son *11 (connaissent pas les cookies dans la téléphonie). Une voie électronique (mais humaine) m’annonce une attente de 5 minutes. J’attends, et au bout de 5mn, la musique/conseils/informations s’arrête et j’ai un magnifique silence au bout du fil. Trou noir… Je laisse passer 2mn puis raccroche. Je rappelle. Il est 10h22, le standard de la CNIL ne répond plus, il sonne occupé… Je tente le coup 5 fois dans la matinée: occupé.

Troisième phase: je demande de l’aide

Internet est un monde magique: je lance une bouteille sur twitter: « Question pour la CNIL: accès wifi, l’identité d’une personne fait-elle partie des données techniques de connexion à conserver pour une école? ». Plusieurs personnes me répondent: @Skhaen @MathieuAnard @el_suisse @PierreCol @v_yaya @dascritch @Duncane_Idaho @FredLB @mariedePVV @Maitre_Eolas @frinnock @jkbockstael @ookook @MattGNU @okhin @Paul_Da_Silva @bortzmeyer @e_sanjuro @ph_lhiaubet @xavieragnes @akbarworld @whizzkidfr @fersingb @MasterLudo @_jbd entrent dans la danse de ma Time Line. J’espère ne vexer personne si j’écris que la meilleure réponse juridique vient de @Maitre_Eolas: « Les données techniques doivent être fixées par un décret attendu depuis + de 6 ans. À défaut, je dis : aucune obligation. » Suivi d’un inquiétant: « Les avocats. Pour avancer dans un monde de droit. » Faudra que j’en parle à Mme Zythom…

Quatrième phase: j’appelle les autorités

Je retente l’appel téléphonique vers la CNIL et là, miracle: automate, *11, attente 2mn, voix humaine non électronique qui me passe une autre voix humaine compétente. Quelques minutes de discussion et le verdict tombe, confirmant les propos de Maître Eolas: les décrets d’application définissant précisément les données techniques de connexion ne sont pas encore sortis, d’où l’article sibyllin du site de la CNIL.

Et comme l’article en question mentionne la HADOPI:

Qui peut demander la communication de ces données de trafic?

Uniquement des personnes habilitées par la loi à les obtenir, notamment les autorités judiciaires dans le cadre d’une procédure pénale, ou la HADOPI.

J’appelle la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet à ce numéro, pour savoir si mes droits de responsable informatique sont protégés sur internet.

Je dois dire que l’accès téléphonique à un être humain est beaucoup plus facile, sans doute une question de budget. J’ai eu très vite au téléphone une personne à qui j’ai pu expliquer mon problème. Voici sa réponse: « Peu importe la manière d’accéder à internet (ici un réseau wifi ouvert). En cas de téléchargement illégal, le titulaire de la ligne recevra les messages de la réponse graduée. Il doit sécuriser sa ligne ».

A ma remarque indiquant que dans le cas d’un accès wifi ouvert la sécurisation de la ligne pour savoir si un téléchargement est légal ou pas nécessite de mettre en place une écoute active des données en transit, ce qui me semble illégal, sa réponse fut tout aussi simple: « je vous donne une réponse juridique claire: le titulaire de la ligne doit sécuriser son utilisation. Si un téléchargement illégal est effectué depuis sa ligne, il recevra les messages de la riposte graduée ».

Lorsque je lui fais remarquer que la CNIL indique sur son site qu’un cybercafé n’a pas l’obligation légale de demander à ses clients leurs identités, sa réponse est identique.

Idem quand je lui parle des hotspots municipaux parisiens, des accès publics des bibliothèques œuvrant pour l’accès à la culture pour tous.

Je lui indique qu’il me semble que c’est l’arrêt de mort des accès wifi gratuits et ouverts, elle m’indique que dans la procédure de riposte graduée, j’aurais la possibilité de présenter mes arguments devant un tribunal et de dire que j’ai appelé la HADOPI pour obtenir ses informations. Quand je lui ai demandé son nom pour pouvoir établir la preuve de mon appel, elle a refusé (mais j’ai son prénom;).

Dernière phase: conclusion provisoire

Pour satisfaire mes obligations légales et pouvoir prouver ma bonne foi en cas d’attaque HADOPI, je réfléchis à ajouter l’adresse MAC de la machine dans les données techniques de connexion à conserver un an. Et cela même si je sais qu’il est très simple de modifier l’adresse MAC de sa machine ou d’en simuler une.

Il me faut également soupeser tout le mal que pourrait faire la publicité d’une poursuite HADOPI contre mon entreprise. En particulier l’impact sur la notoriété du diplôme durement acquis par les étudiants.

Je sens que c’est mal parti pour la mise en place d’un accès wifi ouvert et que le service informatique va devoir plancher sa communication interne pour expliquer la création de compte sur présentation d’une carte d’identité. Déjà qu’on a du mal à expliquer qu’on refuse de communiquer par email les mots de passe oubliés… VDM.

L’affairisme de certains experts

Publié le par

Il m’arrive parfois de participer à des réunions organisées par des compagnies d’experts judiciaires, quand le sujet du colloque m’intéresse particulièrement.

Provincial et peu enclin par nature aux mondanités, je suis souvent un peu seul dans un coin de la pièce, à regarder mes confrères se parler. J’écoute et j’observe.

Un homme d’une cinquantaine d’année s’approche de moi et me salue d’un cordial:

« Bonjour, je m’appelle Alan Bradley[1], je suis DSI de [très grosse entreprise très connue]. Je viens juste d’être inscrit sur la liste des experts judiciaires. »

Bien entendu, j’ai répondu d’un tout aussi cordial:

« Euh, bonjour. Je m’appelle Zythom, et je suis un petit expert judiciaire de province. »

Puis il m’a demandé dans quelle belle région je vivais, quel métier j’exerçais et quel genre d’expertises je menais à bien. Enfin, il m’a posé la question qui tue:

« Bon, j’espère qu’ils ne vont pas me confier des affaires trop techniques. Moi, les disques durs, ça fait bien longtemps que je n’en ai pas vu. Hahaha. Mais rassurez moi, votre chiffre d’affaire, il dépasse au moins les 50K€, parce que sinon, c’est pas la peine. Hahaha »

Devant ma mine déconfite, il a du se douter que nous ne partagions pas la même vision du monde. Je lui explique que je pratique peu les expertises privées par manque de temps et que la Justice, du fait de son budget inique, rembourse les frais et paye les honoraires avec parfois deux années de retard.

Comprenant que notre rencontre n’offrait aucun intérêt, il s’est approché d’une autre proie qui regardait avec envie le buffet devenu inaccessible[2].

Je me suis néanmoins débrouillé pour être assis à la même table que lui. Tout le repas a été pour moi une pièce de théâtre dont je me suis délecté. La table était suspendue aux lèvres du personnage qui vantait les mérites de sa société et la solidité de son infrastructure informatique (dont bien évidemment il était à l’origine). Les cartes de visite s’échangeaient avec soin et des rendez-vous étaient pris pour poursuivre des débuts de conversation. L’homme se sentait comme dans un club. Lorsque sa carte de visite m’est passée entre les mains (pour mon voisin), j’ai jeté un œil dessus. Parmi les différentes mentions figurait celle « d’expert judiciaire ». A peine inscrit sur la liste…

J’ai bien observé toutes les personnes présentes. Nous étions tous en costume cravate. Tout le monde se connaissait ou cherchait à se faire connaitre, à s’introduire dans les petits cercles. Comme souvent dans ce genre de situation, je me sentais mal à l’aise. Je cherchais quelqu’un avec qui parler des derniers outils techniques, des derniers problèmes que je rencontrais. Je cherchais quelqu’un avec qui parler de ma solitude devant certaines images et de ma douleur devant certains films. Je cherchais quelqu’un avec qui échanger sur les bonnes pratiques.

Ce jour là[3], je n’ai trouvé personne. Je n’ai vu que des experts affairés, fiers de côtoyer des magistrats connus, de se réunir dans des salles historiques…

Alors je suis rentré chez moi sur la pointe des pieds (en train) et j’ai ouvert ce blog. Finalement, même s’il se peut que dans quelques semaines ma Cour d’Appel m’annonce une mauvaise nouvelle, ce blog est encore ce que j’aurai fait de mieux en la matière.

——————–

[1] Alan-One pour les intimes.

[2] Le coin d’une pièce le plus tranquille est en général celui opposé au buffet. Le monde est mal fait.

[3] Je vous rassure, j’ai depuis rencontré des experts judiciaires fantastiques, plus tournés vers leur sens du service et leurs besoins de progression… technique.

——————–

Crédit images darkroastedblend.com

Pour ceux qui ont peur de se faire voler leur ordinateur

Publié le par

Je lis ici ou là que des journalistes se sont faits voler leurs ordinateurs sur lesquels se trouvaient des données confidentielles en rapport avec leurs enquêtes. Un doute soudain me fait croire (à tord sans doute) que ces données confidentielles n’auraient pas fait l’objet d’une protection suffisante, concernant leur accès (chiffrement) et/ou concernant leur récupération (sauvegarde).

Je me rends compte (aidé par un fidèle twitterer) que je n’ai jamais abordé ici cet aspect du problème. J’ai bien évoqué les difficultés rencontrées lors des expertises judiciaires (d’aujourd’hui ou de demain) face au chiffrement, mais je n’ai jamais indiqué la méthode que je recommande à ceux qui souhaitent protéger leurs données. Je vais essayer de corriger cela maintenant, modestement et à mon niveau.

Toute d’abord, évacuons le problème de terminologie: on entend souvent parler de cryptage, voire de chiffrage, mais ces mots sont incorrects. Le seul terme admis en français est celui de chiffrement. Par ailleurs, l’opération inverse du chiffrement est le déchiffrement. Il est cependant admis de désigner par décryptage, ou décryptement, un déchiffrement effectué de manière illicite par un attaquant, typiquement sans disposer de la clé secrète mais après avoir trouvé une faille dans l’algorithme de chiffrement (source). Joie et richesse de la langue française.

Enfin, il ne s’agit pas d’un cours sur le chiffrement, ni d’une présentation se prétendant universelle, mais de la solution que j’utilise pour protéger les données du cabinet d’avocat de mon épouse, ainsi que les données que je conserve suite à mes différentes expertises judiciaire (en général les rapports et leurs annexes).

J’utilise pour cela un outil opensource gratuit très simple d’usage et très puissant: TrueCrypt.

Constatant que le volume de données à protéger par chiffrement est relativement limité (je ne chiffre pas mes photos de vacances, même celles où je suis déguisé d’une façon ridicule – mais drôle), j’ai mis en place le chiffrement d’un GROS fichier d’environ 2Go, fichier destiné à contenir toutes les données que je souhaite protéger.

Je n’ai pas choisi de chiffrer tout un disque dur ou toute une partition, je n’ai pas choisi de chiffrer mes clefs USB, je n’ai pas choisi de chiffrer la partition où se trouve mon système d’exploitation, même si tout cela est possible avec TrueCrypt.

Toute l’astuce d’utilisation (et toute la contrainte) tient dans le fait que le GROS fichier va être manipulé par TrueCrypt afin de faire croire au système d’exploitation (Windows 7, Vista, XP, 2000, Mac OS X, GNU/Linux) que vous avez accès à un nouveau (petit) disque dur de 2Go.

Ce disque dur (virtuel) s’appelle un « volume TrueCrypt ».

Le site officiel décrit parfaitement (en anglais) la manière de créer et d’utiliser un tel volume: cela se trouve ici.

Une fois le volume TrueCrypt créé, la seule vraie contrainte est de l’associer (à la main) à une lettre[1] pour qu’il soit vu et utilisable comme une clef USB. Il ne faut pas non plus oublier de le désassocier AVANT d’éteindre l’ordinateur ou de déplacer le GROS fichier.

Cette solution a de nombreux avantages:

– TrueCrypt est un logiciel opensource et gratuit.

– TrueCrypt existe en version installable localement ou en version portable sur clef USB (par exemple dans le package LiberKey).

– La copie du GROS fichier de 2Go ne pose aucune difficulté, par exemple pour un transfert d’un pc à un autre, un transfert vers une clef USB ou un transfert par internet.

– La sauvegarde des données est aussi simple que d’habitude, puisque le GROS fichier est considéré par tous les logiciels ou procédures de sauvegarde comme un fichier normal. Vous pouvez d’ailleurs le copier dans un répertoire partagé sur le réseau sans craindre pour l’accès aux données. Vous pouvez en graver une copie sur DVD.

– Une taille de 2Go permet au GROS fichier d’être manipulé simplement par tous les systèmes d’exploitation (un conseil quand même: donnez au GROS fichier un nom simple, sans accent, sans espaces et pas trop long, par exemple « perso »).

Attention quand même, la protection tient grâce à votre mémorisation d’un mot de passe suffisamment robuste pour ne pas être deviné. Un mot de passe très long est conseillé. Astuce: prenez les 1er caractères de chaque mot de votre chanson favorite et insérez-y quelques chiffres. Exemple avec la Marseillaise: Aedlp1789Ljdgea1889Cndlt1989Lesel. Utilisez de préférence le couplet 7, dit couplet des enfants… Et bien sur, évitez de chanter en tapant votre mot de passe.

Pour les plus exposés d’entre vous, ceux qui risquent d’être menacés par leur cambrioleur pour obtenir leur mot de passe, TrueCrypt propose un mécanisme de double protection: votre GROS fichier contient alors deux parties, chacune protégée par un mot de passe. Le 1er mot de passe donne accès à des données sans importance (mais confidentielle quand même, ne prenez pas les gangsters pour des imbéciles), alors que le 2e mot de passe donne accès aux vraies données que vous souhaitez protéger. En cas de menace, vous ne donnerez sous la torture que le 1er mot de passe en jurant que c’est le seul. Il n’y a aucun moyen (même pour un expert judiciaire:) de vérifier l’existence d’un 2e mot de passe pour accéder à une 2e partie éventuelle. Ce mécanisme doit être prévu lors de la création du GROS fichier, et s’appelle « Hidden TrueCrypt volume« .

N’oubliez pas que cette méthode ne protège pas vos emails. Il faut plutôt lire ce billet.

Si avec cela vous n’arrivez pas à protéger vos données, plus personne ne peut rien pour vous.

[Edit du 03/11/2010] Je vous invite à tester TrueCrypt en suivant le mode opératoire décrit par la blogueuse Kozlika dans une série de billet qu’elle a écrite. Bonne lecture 🙂

——————–

[1] Dans le cas d’un OS Windows.

——————–

Cliquez sur l’image pour l’agrandir. Crédit darkroastedblend.com

Cave ne ante ullas catapultas ambules

Publié le par

Je suis en train de terminer une expertise informatique particulièrement éprouvante qui m’a pris presque tout mon temps libre depuis quatre semaines.

Être expert judiciaire, c’est en général une activité parallèle à une activité principale, les magistrats voyant dans cette activité principale la garantie d’un certain niveau de compétence et d’une mise à niveau permanente.

Dans mon cas, je suis salarié dans une école d’ingénieurs. Cela occupe mon temps de 9h à 19h, coupé par une pause d’une demi heure pour avaler une saladette devant mon ordinateur.

Depuis quatre semaines, donc, de 21h à 23h, et les quatre dimanches concernés, j’ai consacré toutes mes forces à analyser le contenu de plusieurs scellés qui m’ont été confiés pour en retirer 60 Go de films et photographies pornographiques et pédopornographiques.

Lors du devis initial adressé au Procureur de la République, j’avais indiqué qu’il me faudrait sans doute 30 heures de travail, ce qui dans mon cas représente une « grosse » expertise. A 90 euros de l’heure (tarif spécial service public), le devis me paraît toujours élevé. Mais, quand on sait que l’on sera (peut-être) payé deux ans plus tard

Mais si vous comptez bien, j’ai déjà passé plus de 60 heures dans la gadoue… et je n’ai pas encore terminé. Que se passe-t-il donc? Je suis tombé sur un PC infecté par de nombreux virus, vers et autres chevaux de Troie…

Et bien quoi, me direz-vous, ne suffit-il pas de passer un bon coup d’antivirus pour nettoyer tout cela? Certes, mais alors, quid de la volonté de l’utilisateur de télécharger tous les fichiers trouvés sur l’ordinateur?

Si vous lisez le serment prêté par l’expert judiciaire, et que j’ai modestement placé en sous-titre de ce blog, j’ai juré de donner mon avis en mon honneur et en ma conscience. Un avis, cela se donne quand on le demande: c’est le but des missions confiées par le magistrat. L’honneur, concept relativement complexe, a à voir avec l’éthique personnelle et le sentiment du devoir. Et enfin, j’ai déjà parlé ici de la conscience et de ses difficultés.

Ma vision personnelle des missions est qu’il faut savoir y lire « l’esprit de la mission ». Personne ne m’a demandé dans cette expertise de savoir si oui ou non l’ordinateur qui m’a été confié appartient sans le savoir à un réseau de stockage distribué. Une sorte d’Amazone S3 version bad boys. Mais imaginez un peu la scène si c’était vrai, si un ordinateur contaminé, non content d’être dans un botnet pour spammer le monde entier, était utilisé pour stocker des données forcément compromettantes, comme par exemples des images pédopornographiques.

Dois-je, en ma conscience, dire au magistrat: « mais je n’ai pas regardé car vous ne me l’avez pas demandé »? Non. Mais dans ce cas, le travail est gigantesque: il faut analyser le code de chaque virus, de chaque ver, de chaque cheval de Troie pour savoir ce qu’il cherche à faire en s’étant implanté sur cet ordinateur… Et cela prend du temps, beaucoup de temps…

Alors, pour rester dans une fourchette de temps raisonnable (j’ai également une date limite pour réaliser une expertise judiciaire), je procède de la façon suivante: j’utilise plusieurs antivirus, je note toutes les détections faites lors des analyses (nom du programme malveillant, nom du fichier infecté), et je me renseigne sur les sites des éditeurs d’antivirus sur l’activité de chaque programme malveillant détecté. Et comme chaque éditeur utilise une terminologie différente, cela prend encore plus de temps.

Je compile tout cela pour le magistrat, afin de donner mon avis à cette question qu’il ne m’a pas posée: l’utilisateur est-il responsable de l’arrivée sur cette machine des fichiers illégaux que j’y ai trouvés.

Et parfois, ce n’est pas facile d’y répondre.

Un conseil: installez un bon antivirus.

Recrutement des jeunes

Publié le par

Je suis parfois sidéré de la manière que peuvent avoir les étudiants de chercher du travail (stage ou emploi). Beaucoup d’entre eux préparent consciencieusement leur CV et leur lettre de motivation, plus ou moins sur le même modèle, puis adressent tout cela aux entreprises, par email ou par courrier papier, à l’adresse trouvée dans les annuaires spécialisés.

Certains viennent s’ouvrir à moi de leurs difficultés: « J’ai envoyé 200 lettres, et je n’ai encore aucune réponse positive ».

J’écris donc ce billet pour tous les étudiants (ou pas) qui cherchent leur premier emploi. Je souhaite me concentrer sur un point rarement abordé (il me semble): l’obtention de l’entretien. Vous avez donc déjà digéré 2000 sites web et manuels vous expliquant comment rédiger votre CV et/ou lettre de motivation.

La méthode que je vais vous présenter est simple, universelle, et a été testé par un grand nombre de mes étudiants. Elle a pour base l’idée qu’il faut se prendre en main et OSER.

—————————————–

Tout d’abord, chercher du travail, c’est DIFFICILE. On ne peut pas généralement se contenter de faire fonctionner une photocopieuse et la machine à poster. Il faut CIBLER.

Bon, alors là, j’ai droit en général à la remarque suivante: « Oui, mais moi, je ne connais personne… »

Cela tombe bien, moi non plus.

1) Vos critères:

Pour trouver l’entreprise qui a besoin de vous, il faut commencer par faire une recherche dans un annuaire spécialisé. Il y a les pages jaunes, mais aussi beaucoup d’outils tels que le Kompass. Vous y chercherez les entreprises selon vos propres critères: taille (TPE, PME, grands groupes…), situation géographique, secteurs d’activité, etc. La plupart des centres documentaires de vos écoles sont abonnés à ce type d’annuaires.

2) La liste:

Vous obtenez enfin une liste d’entreprises qui vous semblent pouvoir correspondre à vos aspirations. Classez cette liste par ordre de préférence. Ne commencez pas forcément par celle qui vous plait le plus, afin de roder votre méthode d’approche. Pour chaque entreprise de la liste, créez un dossier (papier ou électronique selon vos goûts) dans lequel vous allez stocker toutes les informations que vous allez obtenir sur cette entreprise, ET celles que vous allez lui envoyer.

3) Le phoning:

C’est l’étape la plus importante. Vous ne connaissez personne dans l’entreprise ciblée? Normal, tout le monde n’a pas un papa Président de la République. Par contre, vous avez le numéro du standard, ou celui des ressources humaines. Notez les dans vos fiches, mais inutile de vous y frotter: ces personnes sont aguerries aux techniques de rembarrage téléphonique.

Par contre, ajoutez votre chiffre fétiche aux derniers numéros du numéro de téléphone du standard, et tentez votre coup. Par exemple, un numéro de standard qui se termine par 00? Et bien remplacez le double zéro par 12 (ou 07, 13, etc).

4) Mais qui êtes-vous?

Bien sur, vous n’avez aucune idée de sur qui vous allez tomber: un ingénieur, une secrétaire, un stagiaire, une personne de l’entretien… Tant pis: présentez-vous poliment et demandez si vous êtes bien chez l’entreprise TRUC. Il n’y a aucune raison que la personne qui a décroché le téléphone vous rentre dedans. Par contre, elle va très vite vous demander qui vous êtes et ce que vous voulez. Là, il faut avoir préparé une petite explication. Personnellement, je suis plutôt pour l’explication « recherche de stage », même si vous êtes en recherche d’emploi. Cela fait moins peur.

5) L’accroche:

Il vous faut absolument garder le contact avec la personne que vous avez au bout du fil. Dites lui par exemple: « Me permettez-vous de vous poser quelques questions sur l’entreprise pour me faciliter ma recherche de stage? ». Rares seront les sans-cœur qui se débarrasseront de vous immédiatement. Posez alors quelques questions judicieusement choisies, comme par exemple: « Y a-t-il souvent des stagiaires dans l’entreprise? » etc. Après quelques questions innocentes, demandez « Y a-t-il un gros projet en cours actuellement dans l’entreprise? ». Si la personne vous parle plutôt « plan de licenciement », inutile de perdre votre temps (et le sien). Abrégez la conversation poliment.

6) Le chef de projet:

Si par contre, la personne vous dit fièrement que l’entreprise vient de décrocher le contrat du siècle, posez lui des questions autour de ce projet et en particulier: « Pensez-vous que le chef de projet va avoir besoin de stagiaires? ». Quelle que soit la réponse, demandez lui dans quel service travaille le chef de projet concerné par le gros contrat et en particulier le nom de cette personne. Faites parler votre interlocuteur de ce qu’il connait le mieux, son service, son travail. Vous verrez, c’est fou ce que l’on obtient comme information sur une entreprise par ce biais, comme par exemple sur la (bonne) ambiance de travail.

7) La recommandation:

Avant de raccrocher, demandez à votre interlocuteur s’il peut vous passer les coordonnées du chef de projet (téléphone direct), et – cerise sur le gâteau – demandez lui si vous pouvez l’appeler de sa part (et prenez le nom de votre interlocuteur). Là encore, vous verrez que votre culot sera en général payant, la personne vous donnera les informations demandées.

8) Le coup de grâce:

A ce stade, vous disposez d’un vrai point d’entrée dans l’entreprise: le nom d’un responsable d’un projet prometteur qui risque d’avoir besoin d’embaucher du personnel, avec en plus la recommandation d’une autre personne de l’entreprise. Appelez cette personne et proposez lui vos services (stage ou emploi). Il faut être prêt à se présenter oralement de manière simple et brève. Vous devez faire bonne impression. L’objectif étant d’envoyer un CV qui sera lu attentivement, demander lui (ou faite confirmer) ses coordonnées (service, bâtiment…). Dites lui que vous lui adressez un CV dès aujourd’hui, et remerciez la pour le temps consacré au téléphone.

9) Le suivi:

Vous pouvez donc ajuster votre CV pour qu’il colle parfaitement aux besoins de l’entreprise (sans mentir ni inventer). Vous pouvez rédiger une lettre de motivation commençant par « Suite à notre conversation téléphonique de ce jour, je me permets de vous adresser comme convenu ». Il reste à envoyer le tout par la poste. Enfin, n’oubliez pas de conserver précieusement une copie des CV et courriers pour vous y retrouver lors d’un entretien que vous ne manquerez pas d’avoir avec cette personne (rien n’est plus catastrophique que d’avoir à la main un CV différent de celui que l’on a envoyé).

10) Le suivi bis:

Tout le monde est débordé, ou prétend l’être. Votre CV est peut-être sous une pile de dossiers encore non traités. N’hésitez pas à rappeler votre correspondant une semaine après lui avoir envoyé votre CV. Demandez lui poliment s’il a bien reçu votre courrier, s’il a eu le temps de le traiter. Demandez lui s’il peut vous accorder un rendez-vous afin que vous puissiez vous présenter.

—————————————–

Les étudiants à qui je fais ce discours réagissent de manière variée. Certains trouvent que cela dépasse leur capacité d’improvisation. D’autres ont du mal à comprendre qu’il soit si difficile de trouver du travail (ceux là n’ont en général pas encore commencé à chercher). Cette présentation leur aide à comprendre que la recherche d’emploi est avant tout une affaire de contacts humains et qu’il ne faut pas hésiter à sortir un peu des sentiers battus.

Et tous les étudiants qui l’ont appliquée travaillent actuellement.

Et de cela, je suis fier.

—————–

Source image: « La vie est trop courte pour se tromper d’emploi » jobsintown.de

Cliquez sur l’image pour l’agrandir.

Extinction

Publié le par

Il y a, dans l’école d’ingénieurs où je travaille, 150 extincteurs près desquels les étudiants et le personnel passent tous les jours. En tant que responsable informatique et technique, j’ai la charge de leur entretien et la responsabilité de leur bon fonctionnement aukazou.

Depuis toujours, le bon entretien de ces matériels est sous-traité auprès du fabricant qui s’assure, moyennant finance, que les appareils sont bien remplis, en bon état de fonctionnement, etc.

Un jour, alors que j’intervenais sur un feu de poubelle extérieure avec un seau d’eau, je me suis demandé pourquoi je n’avais pas eu le réflexe de prendre un extincteur. En fait, je me suis rendu compte que je n’avais jamais appris à m’en servir, autrement que lors d’une démonstration fictive faite par un pioupiou devant 140 personnes pendant mon service militaire.

Alors j’ai proposé au service RH d’organiser une formation à toute l’équipe de sécurité de l’établissement (vous savez, ceux qui viennent voir dans chaque bureau et chaque salle si tout le monde est sorti lorsque le signal d’alarme incendie s’est déclenché par accident). (Bonne) idée acceptée, et donc, nous voilà dehors, face à une cuve enflammée, à étudier le fonctionnement pratique des extincteurs.

Conclusions:

– Vous devez savoir qu’un extincteur normal se vide en 15s… et un extincteur de voiture en 5s (!) et qu’il faut donc appuyer sur la poignée uniquement quand vous êtes très près du feu.

– Que si vous n’êtes pas très costaud, l’extincteur fonctionne très bien posé par terre.

– Que les extincteurs à CO2 deviennent très très froids, et qu’il faut donc les manipuler avec précaution (si vous voulez garder la peau de vos mains).

– Que les extincteurs à poudre envoient une poudre bleue dans un nuage de poudre qui fait tousser.

– Qu’il n’y a pas de recul (avec les extincteurs traditionnellement accessibles au public).

– Que la manipulation est toujours la même: on tire un coup sec sur la goupille pour la retirer, on appuie sur un bouton pour percuter ou simplement sur la poignée.

– Qu’il est bon de procéder à un essai (un petit pschittt) avant de se trouver à 30 cm du feu.

– Qu’il ne faut pas crier « au feu! », sauf si vous êtes militaire ou si vous êtes agressé dans la rue…

Pensez également, la prochaine fois que vous serez sur votre lieu de travail, à prendre quelques minutes pour lire le mode d’emploi de l’extincteur le plus proche. On ne sait jamais…

5 milliards de petits euros, et moi et moi et moi

Publié le par

*** Allo? Bonjour, je suis bien au cabinet de Monsieur l’Expert Zythom?

+++ Oui, bonjour, c’est lui-même à l’appareil, à qui ai-je l’honneur?

*** C’est le juge d’instruction Renaud Van Janus, j’ai besoin d’un expert judiciaire dans une procédure contre un salarié d’une grande banque. Est-ce que vous êtes disponible?

+++ Heu, c’est-à-dire que… Est-ce que vous pourriez m’en dire un peu plus?

*** Bon alors voilà, le salarié de cette banque intervenait essentiellement sur deux types de produits dérivés: les warrant à barrière désactivante et les

contrats à terme, futures et forwards. Ces produits étaient le plus souvent établis sur le Dax, l’Eurostoxx ou Footsie utilisés comme sous-jacents.

+++ […]

*** Vous me suivez là?

+++ Pas du tout.

*** Bon, c’est normal, je suis dans mon dossier. Voilà, ce salarié semble avoir détourné les programmes de vigilance pour engager des sommes colossales mettant en danger la banque elle-même. C’est la banque qui a déposé plainte, enfin un actionnaire aussi, bref, je suis saisi du dossier avec le pôle financier. J’ai besoin d’au moins deux experts pour faire une perquisition à la banque pour vérifier les dires des uns et des autres et mettre au clair tout cela.

+++ C’est que, pour vous répondre, il me faudrait plus d’éléments techniques: combien d’ordinateurs, de serveurs, la nature des systèmes d’exploitation, la taille des disques durs, le hardware présent: raid, SAN, etc. Vous comprenez ce que je dis?

*** Ben oui bien sur. Bon, d’après le dossier, la banque dispose de 160 000 postes de travail, 25 000 serveurs, mais sur le site que l’on cible, il n’y aurait que 25 serveurs et 200 postes de travail. C’est bon?

+++ J’ai un bon duplicateur de disque dur et un magasin pas trop loin qui peut me fournir une centaine de disques durs d’1To pour la copie. A deux, on devrait faire le nombre et engranger les données. Par contre, j’aurais besoin d ‘aide pour les logiciels spécifiques.

*** Ne vous inquiétez pas, mes équipes connaissent Proxigen et Risk Console. Rendez-vous demain à 9h30 cours Valmy à La Défense.

Ainsi, j’imagine, aurait pu commencer une affaire à laquelle j’aurais rêvé participer…