Plus gros, plus fort

Je suis souvent contacté par des personnes passionnées par les enquêtes et investigations numériques et qui aimeraient en faire leur métier.

Il y a dans le PEF (Paysage de l’Expertise Française) de nombreux organismes de police ou de gendarmerie qui peuvent répondre à leurs attentes : par exemple, les BPJ (Bureaux de la Police Judiciaire), le SITT (service de l’informatique et des traces technologiques), l’INPS (Institut National de Police Scientifique), la PTS (Police Technique Scientifique), l’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale), la toute jeune ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)…

Tous ces organismes forment et emploient des experts informatiques qui travaillent à l’élucidation des crimes et délits en France.

A côté et avec eux, travaillent les experts judiciaires en informatique.

Les moyens financiers mis à la disposition de la Justice par le gouvernement de la France étant très réduits, les magistrats sont très regardant sur les dépenses nécessaires aux investigations qu’il leur faut mener dans les enquêtes. Ils s’appuient sur les organismes publics en priorité, et seulement en dernier recours font appel au secteur privé.

Et je me permets de mettre sous l’appellation « secteur privé » les experts judiciaires informatiques, en ce sens qu’ils sont des auxiliaires de justice occasionnels d’un magistrat.

De mon point de vue, les experts judiciaires sont un peu les artisans de l’univers de l’expertise technique. Le mot « artisan » désigne en effet à l’origine « celui qui met son art au service d’autrui » et à longtemps été synonyme du mot « artiste » (source). Et puis, j’assiste parfois à des scènes comme celle-là 😉

Un moyen efficace de réduire les coûts des expertises judiciaires, tout en maintenant un niveau technique très élevé dans des matières de plus en plus ardues, consiste pour certains experts à se regrouper pour former une structure d’expertise.

C’est la cas du LERTI, Laboratoire d’Expertise et de Recherche de Traces Numériques, que j’ai pu visiter il y a quelques temps, à l’occasion de la 2e journée d’échanges et de formation qu’il co-organisait avec l’INRIA de Grenoble.

Le LERTI a fait couler beaucoup d’encre dans le landerneau de l’expertise judiciaire. C’est en effet le premier laboratoire à avoir prêté le serment des experts judiciaires en tant que personne morale. J’en parlais d’ailleurs ici en 2007.

D’après Wikipédia, en droit, une personne morale est une entité juridique abstraite, généralement un groupement, dotée de la personnalité juridique, à l’instar d’une personne physique (un être humain). Or, en France, lorsqu’un juge désigne un seul expert (il peut désigner un collège d’experts mais c’est rare), celui-ci doit procéder lui-même aux opérations d’expertise. Il ne peut pas se faire remplacer par un tiers. Évidement, pour certaines opérations matérielles, il peut se faire assister par des collaborateurs, mais ceux-ci doivent opérer en sa présence et sous son contrôle, sauf nécessité technique et accord préalable des parties.

  • Art. 278 – L’expert peut prendre l’initiative de recueillir l’avis d’un autre technicien, mais seulement dans une spécialité distincte de la sienne.
  • Art. 278-1 (inséré par décret n° 2005-1678 du 28 décembre 2005 art. 39 Journal Officiel du 29 décembre 2005, en vigueur le 1er mars 2006) – L’expert peut se faire assister dans l’accomplissement de sa mission par la personne de son choix qui intervient sous son contrôle et sa responsabilité.
  • Art. 282 (modifié par décret n° 2005-1678 du 28 décembre 2005 art. 41 Journal Officiel du 29 décembre 2005 en vigueur le 1er mars 2006) – … Si l’expert a recueilli l’avis d’un autre technicien dans une spécialité distincte de la sienne, cet avis est joint, selon le cas, au rapport, au procès-verbal d’audience ou au dossier. Lorsque l’expert s’est fait assister dans l’accomplissement de sa mission en application de l’article 278-1, le rapport mentionne les nom et qualités des personnes qui ont prêté leur concours.

Le fait qu’un laboratoire comme le LERTI puisse prêter serment, et apparaître ainsi sur la liste des experts judiciaires (de la Cour d’Appel de Grenoble) permet, de fait, aux personnes qui le composent, de mettre leurs connaissances et leurs moyens en commun et d’être plus efficients que l’artisan isolé que je suis.

Cela me semble une évolution naturelle et normale de l’expertise judiciaire à la française, où l’on trouverait sur les listes d’experts judiciaires des personnes morales solides et fiables, qui seraient auditées régulièrement sur des bases normalisées et publiques. Un peu comme les établissements d’enseignement supérieur.

Cela peut permettre également de recruter des personnes passionnées par l’investigation numérique, et à moi de conclure ce billet par un retour au sujet initialement abordé 😉

Finalement, je suis un dinosaure qui sait que sa fin est proche.

Mais si cela peut améliorer le fonctionnement de la justice, c’est tant mieux : j’irai cultiver mon jardin, qui en a bien besoin.

Je cherche la vérité

Je fouille le contenu d’un ordinateur à la recherche de la vérité. La femme à qui appartient le PC semble pour l’instant mener une vie normale.

Les analyses de sa navigation internet montrent différents centres d’intérêt : des forums de discussion sur la politique, sur la cuisine, sur les enfants, et sur ses activités sportives. Les sites d’achat sur internet se mélangent aux sites sur les actualités nationales et internationales… Quelques sites de rencontres aussi, qui peuvent laisser penser qu’elle n’était pas pleinement satisfaite dans son couple, ou tout simplement qu’elle s’amusait avec ses fantasmes érotiques. Je ne suis pas expert psychologue.

La lecture de ses emails me semble plus pertinente : elle possède plusieurs comptes webmails, en plus de l’email fourni par son fournisseur d’accès à internet. Trois comptes plus précisément. L’un lui sert à discuter avec sa famille et ses amis, le 2e semble être son email réservé aux achats sur internet et le dernier correspond à son pseudonyme sur internet.

Elle semble mener une existence normale et heureuse, avec les joies et les peines qui touchent ou douchent tout un chacun.

Il y a aussi les photos numériques, bien classées, par année et par événement. J’y découvre les mariages, les enfants, les amis, les vacances.

Ma mission m’oblige à regarder tous les documents, à lire tous les emails, à ouvrir tous les documents. Ma mission m’impose de chercher tous les fichiers effacés, de reconstituer toute l’activité récente de cette femme.

Dans le couple, elle seule utilisait l’ordinateur « familial » d’après les explications de son conjoint. Elle y passait une heure par jour, pas plus, sauf le dimanche où elle pouvait rester plusieurs heures à surfer sur le net pendant que Monsieur bricolait dans le garage, dans le jardin, dans la maison ou dans la voiture. Elle était geek avant que le mot ne devienne à la mode.

Les conversations des messageries instantanées sont souvent très personnelles, avec la concision propre à ce type d’outil. Le temps, le quotidien, le travail, les impressions du moment…

Comme à chaque fois, je me sens mal à l’aise. Je n’aime pas pénétrer l’intimité d’une personne sans qu’elle ne me l’ait autorisé. C’est quelque chose de pénible pour moi. J’aime la vie privée, j’aime qu’on la respecte.

Mais la mission que l’on m’a donnée m’oblige à chercher la vérité.

Alors je fouille le disque dur, j’en extrais des quantités incroyables de données, empilées, alignées, entassées, effacées…

Des courriers administratifs, des déclarations, des comptes bancaires.

Des emails de toutes sortes, des spams, des chaines de messages, des blagues, des invitations pour Noel, des confidences entre amis, entre amies.

Il est tard, je travaille sur ce dossier depuis plusieurs semaines, un peu plus tous les soirs. Je commence à bien connaître cette femme, ses habitudes, ses tics de langage, ses émotions, ses phobies, ses passions, ses manies… Je suis fatigué, je commence à mélanger les commandes internets, les messages d’accroche sur les sites de rencontre, les spams pour des pilules magiques, les invitations à une fête et les factures en retard.

Cela fait plus de 100 heures que je passe à chercher la vérité en fouillant dans son ordinateur.

Pour savoir pourquoi, deux heures après l’extinction de son PC, elle est morte pendue dans la pièce.

Pour que son mari puisse savoir, pour que le juge d’instruction puisse savoir, pour que ses enfants puissent savoir.

Pour que je puisse savoir s’il s’agit d’un suicide ou d’un crime.

Je n’ai jamais su.

————————————-

PS : J’ai déjà raconté cette histoire ici, mais je voulais la reprendre d’une manière différente. Vous pouvez comparer les deux textes et me dire lequel vous préférez. La vie de cette femme me hante encore aujourd’hui.

————————————-

Source image Koscum

Mon SSTIC 2012

J’ai enfin pu assister au Symposium sur la Sécurité des Technologies de l’Information et de la Communication (SSTIC) qui se déroule chaque année à Rennes.

Si parmi mes lecteurs, il y a des personnes intéressées par des comptes rendus sur les conférences, elles peuvent aller directement sur les blogs suivants :

n0secure

Ma petite parcelle d’Internet

Mon premier blog

Le blog perso d’Ozwald

Vous trouverez également de très belles photos ici. Pour m’y reconnaître, c’est très simple: j’ai un badge autour du cou 😉

J’ai découvert le SSTIC il y a quelques années seulement, grâce à la lecture du blog de Sid. Chaque billet sur le sujet me donnait envie d’y aller pour découvrir l’univers de la sécurité informatique (un rêve d’enfant). Depuis deux ans, j’essaye d’avoir une place pour y assister, mais j’arrive toujours quelques heures après l’ouverture de la vente, et comme beaucoup de monde s’arrache les places, l’affaire est pliée.

C’est pourquoi, quand j’ai reçu un email de Benjamin Morin, membre du comité d’organisation du SSTIC 2012, me demandant si j’acceptais de venir faire une conférence invitée sur le thème de l’expertise judiciaire, après quelques hésitations liées à mon pseudonymat et au fait que je prenais fatalement la place d’un conférencier plus spécialisé sécurité, mon envie d’y assister l’a emporté, et j’ai accepté.

J’arrive donc le mardi soir dans un hôtel du centre ville et le symposium commence pour moi par un repas au restaurant « Léon Le Cochon » avec tous les conférenciers et le comité d’organisation. J’y arrive relativement intimidé, mais mes voisins de table de table me mettent à l’aise et les discussions vont bon train autour de l’univers de la sécurité. Mon apprentissage peut commencer.

Le soir, je me couche sagement à une heure raisonnable, mais je comprends alors pourquoi l’hôtel fournit des boules quies avec les savons et autres lustrants chaussures : ma chambre se trouve côté rue à 50m de la rue de la soif…

Jour 1.

Je suis à l’heure à la première conférence relatant les 20 ans de PaX. Je suis l’un des seuls de l’amphithéâtre de 500 places à ne pas connaître ce produit. La conférence est très technique, en anglais et l’orateur est en costard avec une cravate. Je commence à flipper pour ma conférence du lendemain… Je lis en direct les commentaires sur Twitter et n0secure me sauve avec son résumé de la conférence en live.

Je reste concentré toute la matinée sur les concepts présentés par les différents conférenciers SSL/TLS, Netzob, RDP : je me sens clairement comme à l’école, en train d’apprendre, et j’aime ça.

Je prends seul mon premier repas car personne ne me connait et je suis trop réservé pour m’imposer avec mon plateau auprès des visages que je reconnais. Le SSTIC est un lieu où beaucoup de personnes prennent plaisir à se rencontrer, à se remémorer des souvenirs et des anecdotes, et le temps est court entre les présentations. Les discussions sont donc joyeusement animées.

Le campus de Rennes-Beaulieu est assez terne avec son béton défraichi, mais il est magnifiquement arboré. Je m’y promène sous une petite pluie que j’aime et qui ajoute à ma mélancolie.

L’après-midi s’écoule comme la matinée, studieuse : WinRT, « l’information, capital immatériel de l’entreprise » et « audit des permissions en environnement Active Directory », Windows 8…

La journée s’achève par une conférence effectuée par les créateurs du SSTIC, Nicolas Fischbach, Frédéric Raynal et Philippe Biondi, SSTIC dont nous fêtions les 10 ans cette année. La présentation était truffée d’anecdotes et de clins d’œil, j’ai adoré. Au passage, c’est très intéressant de découvrir l’histoire du SSTIC et comment les pouvoirs publics ont pu s’intéresser de près à cette conférence. A lire ici.

De mon côté, je souhaite faire une répétition de mon intervention du lendemain, donc je rentre tôt, je mange un sandwich dans ma chambre et je bosse mes enchainements.

Jour 2.

Je passe une matinée mémorable, que je détaille dans ce billet, mais qui m’empêche d’assister aux conférences, et en particulier aux résultats du challenge du SSTIC. Ce sera mon plus grand regret de cette édition du SSTIC.

A 14h45, je suis cramponné à mon micro et je reçois un accueil chaleureux des participants. Ce sera mon meilleur souvenir du SSTIC 2012 !

A 16h45 démarre quelque chose à laquelle il faut avoir assisté une fois dans sa vie : la « Rump session ». Il s’agit, pour qui le souhaite (et ils étaient 20), de faire une présentation en 3 mn maximum ! La salle écoute silencieusement pendant qu’un chronomètre affiche le temps à la vue de tous. Si le conférencier tient le public en haleine, la consigne est de ne pas applaudir à la fin des 3 mn, ce qui laisse encore 30s au conférencier pour terminer. Si le conférencier ne passionne pas la foule, il est interrompu sans pitié à 3’00 » par un tonnerre d’applaudissements. C’est très cruel, mais très efficace. J’aimerais parfois utiliser ce système pour certaines présentations de nos hommes et femmes politiques…

Certaines présentations étaient vraiment bien, d’autres, disons, un peu commerciale…

19h, Guinness time. Mes jambes retrouvent un peu de leur solidité. Discussions avec Erwan de n0secure et Jean-Philippe Gaulier de l’OSSIR.

A 20h, autre moment fort du SSTIC, le « Social Event ». Un cocktail dinatoire où tout le monde peut discuter avec tout le monde. C’est un moment que j’ai vraiment apprécié, d’autant plus que cette fois tout le monde avait vu ma bobine et pouvait venir discuter avec moi. J’ai aussi enfin pu approcher Sid, Fred Raynal, Nicolas Fischbach et plein d’autres.

1h du matin, me voici rue de la soif, à boire une bière offerte par Sid, puis dans un bar à boire du champagne jusqu’à 3h du matin en refaisant le monde. C’est ce que j’appelle la belle vie. Couché 4h.

Jour 3.

Petite nuit mais je suis à l’heure pour la première conférence. Curieusement, j’ai un peu mal aux cheveux. Je reste concentré jusqu’au repas que je prends entouré de cracks de l’ANSSI. Je me tiens au courant des évolutions de la sécurité au sein des structures de l’Etat. Pas facile, car ces personnes sont entrainées pour résister aux interrogatoires sous la torture 😉

Les conférences de l’après-midi sont intéressantes, mais la petite nuit pèse un peu sur ma concentration.

16h30, fin du SSTIC, je m’éclipse doucement.

Ce que j’ai apprécié :

Une ambiance studieuse mais décontractée, des conférences pointues, une organisation impeccable.

Les regrets :

– Ne pas avoir pu retenir toutes les associations visage/pseudo des personnes que j’ai réussi à rencontrer. C’est très étrange de rencontrer IRL des personnes dont on suit les écrits sur leurs blogs.

– Ne pas avoir su consacrer du temps à toutes les personnes qui souhaitaient me rencontrer. J’ai appris par la suite que certains n’avaient pas osé venir vers moi, soit parce que j’étais déjà en train de discuter, soit parce que j’étais seul aux pauses…

– Ne pas avoir pris le temps de discuter avec Benjamin Morin et ses collègues de l’organisation, mais c’est toujours difficile de monopoliser le temps de ces personnes pendant le symposium.

– Enfin, ne pas avoir eu le temps de conclure mon exposé par la lecture d’un passage que j’avais repéré dans les actes du SSTIC 2012. Cela me semblait une excellente conclusion pour faire un pont entre la
sécurité informatique et l’expertise judiciaire informatique. Je vous la livre maintenant :

Tout le monde a soif de liberté et de Justice. Maintenant, je vais vous lire un passage de la préface des actes du symposium (livre à la main) :

« Mais nous devons surtout lutter contre la grande délinquance, dont la faille DuQu est le meilleur exemple. Nous allons devoir être fort, regarder en face DuQu, retrousser nos manches et bouger DuQu pour que ce fléau ne se reproduise plus jamais. S’il le faut, nous utiliserons l’appareil législatif et nous sortirons les lois DuQu. »

Je vous remercie.

😉

PS : Je vous mets ici en téléchargement les visuels utilisés pour ma conférence, y compris les quatre derniers que je n’ai pas eu le temps de projeter parce que je suis un grand bavard.

Back on line

Suite à l’avalanche de messages de sympathie et, pour tenir compte des demandes formulées dans le billet précédent, j’ai remis en ligne tous les billets et commentaires du blog avant piratage.

Effectivement, il semble que cela peut intéresser les nouveaux lecteurs d’aller se plonger dans les anciens billets (j’espère autant que les anciens lecteurs dans les nouveaux billets ;-).

J’en ai profité pour donner un coup de balai sur le look du blog, et décidé d’abandonner le fond noir qui faisait si mal aux yeux de beaucoup d’entre vous, mais auquel je tenais tant. Nouvelle époque pour ce blog, nouveau design.

Je relisais le billet que j’avais publié juste avant de venir au SSTIC et je me suis demandé si je n’avais pas un 6e sens…

Il me reste quelques réparations à faire, en particulier le plugin de lecture pour les malvoyants, mais le plus gros du chantier est derrière moi. Je tiens d’ailleurs à remercier encore les équipes de Google pour leur réactivité et leur efficacité. Sans elles, je serai encore en train d’adapter les outils de conversion Json vers Xml à mes besoins propres, faute d’avoir procédé à des tests de restaurations de mes sauvegardes sur un blog de secours… Le B.A.BA. Mais comme je l’indiquais sur Twitter, le dieu des sauvegardes devait veiller sur moi.

Il parait que les chats ont neuf vies. Si ce blog est comme eux, il lui reste huit piratages à subir avant que je n’aille en enfer. Vous n’avez pas fini de rigoler, ni mon égo d’en prendre un coup.

Merci à vous tous.

Pwned

Jeudi 7 juin 2012, 7h00.

Mon réveil sonne. Comme d’habitude, je mets un peu de temps à émerger.

La veille, j’ai assisté aux conférences du premier jour du SSTIC. Le niveau est élevé pour un simple informaticien comme moi, mais l’ambiance est excellente, et plusieurs personnes viennent me saluer puisque je suis facilement reconnaissable, avec mon badge « Zythom » autour du cou et ma casquette Google. Le soir, après les conférences, j’ai travaillé tard dans ma chambre d’hôtel sur les visuels de la présentation que je dois faire aujourd’hui. Pour donner l’impression d’être à l’aise, il faut répéter, répéter et répéter.

7h15.

Je reçois un SMS de Maître Eolas:

« Vous avez vu votre blog (et votre compte Twitter)? ».

Mon sang se glace. J’essaye aussitôt de me connecter sur mon blog, sur la messagerie de mon compte Google et sur mon compte Twitter: impossible, mots de passe incorrects…

Je consulte mon blog: il a été vandalisé, cracké, defaced. Je suis pwned.

Je suis surtout effondré, blessé.

Je me sens humilié.

J’ai du mal à taper sur les touches de mon smartphone car mes doigts tremblent.

Je suis en colère.

7h30.

J’appelle par téléphone Benjamin Morin, l’un des organisateurs du SSTIC qui s’occupe de moi.

Je lui annonce le piratage de mon compte Google, de mon blog et de mon compte Twitter.

Je lui annonce que je vais déposer plainte.

Je lui annonce que je ne suis pas en état de faire ma présentation prévue à 14h45.

Il encaisse ces différentes annonces et me demande de le retrouver dans le hall de l’hôtel.

7h35.

Nous faisons le point des différents problèmes que je rencontre.

Benjamin me prête son ordinateur car le mien est peut-être compromis.

Je contacte le service support en ligne Google pour essayer de récupérer la main sur mon compte.

J’arrive à faire suspendre mon compte, mais le service en ligne m’informe que le traitement de mon dossier prendra 3 à 5 jours ouvrés.

8h.

J’appelle mon épouse pour lui annoncer la nouvelle et lui faire part de mon désarroi.

Elle me soutient et, malgré les centaines de km qui nous séparent, sa présence me réconforte.

9h.

Les substances sécrétées par mon organisme lorsque j’ai découvert le piratage commencent à se diluer. Je retrouve la terre ferme et un peu de lucidité. Je me rends compte que ce qui m’arrive n’est pas très grave.

Benjamin me contacte pour me demander comment je souhaite que soit annoncée ma défection aux participants du SSTIC. Je lui explique que j’ai retrouvé mes esprits, que le mieux est de maintenir mon intervention et que je ne déposerai pas de plainte. Malgré sa parfaite maîtrise de la situation de crise (un organisateur de symposium est en situation de crise permanente), je sens un léger soulagement. Il n’a pas de remplaçant à me trouver, il va pouvoir passer à la gestion des problèmes suivants… Je lui demande quand même s’il est possible d’accélérer la récupération de mon compte Google.

10h.

Benjamin a contacté les personnes ad hoc parmi les organisateurs et
les participants au symposium, et me donne les coordonnées d’une
personne de Google Europe. J’arrive à contacter cette personne qui déclenche la procédure ad hoc.

Je reçois les procédures à suivre sur mon compte email de secours de mon compte Gmail. Je les suis pas à pas. Je finis par récupérer la main sur mon compte Google.

11h.

Comme l’a fait le pirate, je suis la procédure Twitter d’oubli de mot de passe. Twitter me l’envoie vers mon compte Gmail que je maîtrise à nouveau. Je peux enfin modifier mon mot de passe et accéder à mon compte Twitter que je remets en état.

J’appelle mon épouse. Elle me félicite et m’encourage à rebondir. Je suis fier d’elle. Mon moral remonte.

Je mets un message d’attente sur mon blog pour présenter mes excuses aux internautes et aux participants du SSTIC, tout en avertissant que ma présentation est maintenue.

12h.

Je ne sais pas quels sont mes outils compromis, mais je coupe toutes mes liaisons wifi et 3G.

Je m’isole du monde.

Je me concentre sur ma présentation.

14h30.

Je suis en bas de l’amphithéâtre du SSTIC, un peu penaud.

Plusieurs personnes viennent me voir et me font part des soutiens qui circulent sur Twitter et sur les blogs. L’amphi se remplit, la plupart des visages sont souriants.

14h45.

L’amphithéâtre m’offre un tonnerre d’applaudissements avant même que je n’ai pu ouvrir la bouche.

Des substances très différentes de celles du matin coulent dans mes veines.

Ces gens sont formidables.

Je commence ma présentation, mais je raconterai tout cela dans un autre billet consacré au SSTIC.


C’est la première fois que je subis une attaque de cette sorte. Sans vouloir entamer un dialogue impossible avec mon attaquant, voici son texte et mes remarques.

Zythom,

Votre pseudonymat volant en éclat, allez-vous donc enfin faire profil-bas sur notre métier ? Allez-vous donc enfin cesser de détailler méthodes et anecdotes, à ceux que l’on cherche à faire arrêter (criminels, pédopornographes, pédophiles, etc…), ou préférez-vous les aider ? De quel côté êtes-vous, très cher confrère ?!? Vous défouler mentalement, voir susciter l’intérêt du métier suffit bien assez, même dissimulé derrière un postiche ridicule…

NB : en tant que procureur, ou membre de la cour d’appel, que feriez-vous si un expert inforensique était inapte à protéger ses comptes en ligne, ses machines, et donc ses dossiers d’expertises ? Conférerait-il une qualification suffisante ?

Bonne conférence, je vous regarderai.

Tout d’abord, l’auteur de ce texte ne peut pas être expert judiciaire, c’est absolument impossible. Tout expert judiciaire sait que le code pénal punit sévèrement toute intrusion dans un système de traitement automatisé de données. D’ailleurs, tous mes lecteurs policiers, experts judiciaires et magistrats le savent bien. Extrait:

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou
partie d’un système de traitement automatisé de données est puni de deux
ans d’emprisonnement et de 30000 euros d’amende.

Circonstance aggravante, l’auteur du piratage a supprimé l’intégralité des 700 billets du blog, ce qui lui vaut d’encourir une peine alourdie. Extrait:

Lorsqu’il en est résulté soit la suppression ou la modification de
données contenues dans le système, soit une altération du fonctionnement
de ce système, la peine est de trois ans d’emprisonnement et de 45000
euros d’amende.

Bien entendu, il s’agit là de peines maximales. Personne, y compris moi-même, ne peut imaginer quelqu’un condamné à de tels niveaux de peine pour m’avoir attaqué, moi simple blogueur. A part mon égo, personne n’a été blessé.

Un expert judiciaire a prêté serment d’apporter son concours à la justice, pas de faire justice soi-même.

Mon blog n’est pas apprécié par tout le monde, c’est une évidence. Je reçois parfois des emails d’experts judiciaires fâchés contre moi et qui contestent ma démarche. Un expert a même contesté la tenue de mon blog en justice, j’ai été interrogé par un conseiller de la Cour d’Appel, j’ai été convoqué devant la commission de discipline de ma compagnie judiciaire, et celle-ci a conclu que mon blog était parfaitement conforme et légal. J’ai déjà raconté tout cela ici-même.

Depuis, les experts judiciaires qui n’aiment pas mon blog font ce que tous les internautes font dans ce cas: ils ne viennent pas le lire. Nous sommes encore dans un pays où l’expression est libre.

L’auteur de cette diatribe n’est donc pas expert judiciaire.

Concernant mon identité réelle, je suis très surpris qu’une personne puisse penser que je souhaite qu’elle soit cachée à tout prix. Je suis fier des billets que j’ai écrits, et j’en assume complètement l’écriture, aussi bien sous mon pseudonyme Zythom que sous ma véritable identité. Je voudrais rappeler encore une fois que l’association du pseudonyme Zythom à ma véritable identité est connue de mon hébergeur, de la justice, de la police, de ma compagnie d’experts judiciaires, des journalistes qui m’ont interviewé, des blogueurs et twittos avec qui j’ai établi des liens de confiance, des organisateurs de conférences qui me font l’honneur de m’inviter, de mes amis et de ma famille. Bref, de beaucoup de monde.

Les autres internautes se moquent complètement de ma véritable identité, sauf ceux qui me contactent quand j’écris un billet où je donne un peu trop de détails facilitant mon identification. Je les rassure alors: je ne cherche pas à rester anonyme à tout prix, j’écris simplement sous pseudonyme, sous un nom de plume.

Je voudrais faire remarquer que mon contradicteur me reproche d’utiliser un pseudonyme, tout en agissant lui-même de façon anonyme, où cette fois le mot anonyme est à prendre sous le sens de « corbeau », de « dénonciateur anonyme » de triste mémoire.

Concernant les détails techniques supposément dévoilés sur mon blog et qui encourageraient les criminels au point que mon contradicteur se demande de quel côté je me trouve, je pense que tous les internautes auront compris l’inanité du raisonnement. Je ne suis pas un expert en sécurité informatique, je ne suis pas un expert en crackage de systèmes, je ne suis pas un white/black hat. Je suis un simple responsable informatique et technique qui met ses connaissances au service de la justice. Les outils dont je parle ici sont accessibles à tous, disponibles et distribués légalement. Les anecdotes dont je parle sont suffisamment romancées pour qu’aucun secret ne soit trahi. C’est un bien grand pouvoir qu’il me donne, et c’est une bien grande erreur qu’il commet en pensant que les criminels, pédopornographes et pédophiles viennent trouver sur mon blog le moindre élément susceptible de les aider. C’est d’ailleurs au contraire l’attaque qu’il a mené contre mon blog qui le décrédibilise en devenant lui même coupable d’un délit.

Comment a-t-il pu obtenir le mot de passe de mon compte Google? Mystère. Et cela restera un mystère parce que j’ai décidé de ne pas déposer plainte. Je suis marié à une avocate et je vois bien avec ses dossiers qu’il y a des gens qui subissent des malheurs bien plus grands que l’attaque de mon petit site internet. Et mon travail avec la justice, la police et la gendarmerie, me montre bien les faibles moyens dont ils disposent pour des affaires toujours plus nombreuses. Alors embarrasser encore plus le système avec mon petit problème…

Je ne saurai donc pas comment il a obtenu mon mot de passe. Réseau Wifi de l’hôtel où je me suis imprudemment connecté sans mon VPN ?  Réseau Wifi de l’amphithéâtre en plein SSTIC, alors que les ondes étaient analysées en permanence par 200 Wiresharks ? Probablement pas.

J’avoue que cela m’intrigue, mais c’est la vie. J’ai depuis mis en place la double authentification proposée par Google et que je recommande (maintenant 😉 à tous ceux qui ont un téléphone et un compte Google.

J’ai toujours segmenté mes activités, chacune avec un compte dédié, et chaque compte avec un mot de passe différent des autres. Mes comptes Twitter et Gmail n’ont pas le même mot de passe, mais l’adresse email de récupération du compte Twitter est celle du compte Gmail, puisque le cœur de mon activité de blogueur est mon compte Google. Une fois mon compte Google déchiré, il était facile de récupérer le contrôle du compte Twitter.

J’ai une sauvegarde complète des billets de mon blog, et des commentaires, mais je me demande si ce n’est pas l’occasion aussi de repartir sur une base vide, puisque la grande partie des billets sont lus dans les quelques jours qui suivent leur publication, pour tomber ensuite dans un trou noir. J’hésite encore et déciderai la semaine prochaine. Ce week-end, je joue avec mes enfants.

Je pense bien sur utiliser cette sauvegarde pour démarrer la rédaction du tome 3 des billets de mon blog, pour mes amis et ma famille. Je remettrai d’ailleurs bientôt en ligne l’accès aux tomes 1 et 2.

Le site sera donc en chantier plusieurs jours.

Pendant quelques heures, les seuls billets de Zythom qui apparaissaient sur Internet étaient ceux acceptés et publiés par Sid (lien WebArchive) et par Maître Eolas sur leurs blogs (Edit du 12/06: également par justice2012 (lien WebArchive) par Genma (lien WebArchive) et par le Village de la Justice, ici, ici et ). Grâce à eux, je n’avais pas complètement disparu. Qu’ils en soient remerciés 😉

Mes remerciements vont également à toutes les personnes qui m’ont aidé à reprendre le contrôle du site et du compte Twitter: les équipes de Google, les organisateurs et les participants du SSTIC, avec aux premières loges Benjamin Morin.

Et je remercie chaudement tous ceux qui m’ont adressé un signe de soutien, par email, par SMS, par tweet, par téléphone: experts judiciaires, magistrats, avocats, policiers et bien sur tous les « anonymes ».

C’est dans les moments pénibles que tous ces petits signes sont précieux.

Et cela, ça ne s’efface pas.

<3

Piratage du blog

Merci à tous pour vos messages de soutien.

Et merci à Google pour sa réactivité (et à l’équipe du SSTIC).

Je suis en conférence au SSTIC cet après-midi (pour aller mourir sur scène).

Je réparerai le blog ensuite.

PS: les participants au SSTIC n’ont rien à voir avec le piratage du site, j’en suis seul responsable.

SSTIC 2012

Je suis invité à faire une conférence au Symposium sur la Sécurité des Technologies de l’Information et des Communications (SSTIC) qui se déroulera les 6, 7 et 8 juin 2012 à Rennes.

C’est pour moi une nouveauté d’être invité sous mon pseudonyme de blogueur, mais c’est surtout un challenge de venir parler devant une assemblée d’experts spécialistes de la sécurité informatique. Imaginez un peu le stress d’un médecin généraliste venant s’exprimer devant des neurochirurgiens…

Cela faisait plusieurs années que j’avais repéré ces trois journées de symposium, mais je n’ai jamais réussi à avoir une place pour pouvoir y assister, car les places partent en quelques minutes. Je suis donc très honoré (et très stressé!) d’y être invité pour m’exprimer 45mn sur l’activité d’expert judiciaire en informatique.

Une des difficultés que j’appréhende va être d’allumer mon ordinateur (ou mon téléphone) sans que tous mes mots de passe et données privées ne soient capturés par l’assemblée de spécialistes, moi qui me considère vraiment comme un nain juché sur les épaules de ces géants. C’est d’ailleurs un des angles d’attaque de ma présentation (le nain, pas les mots de passe ;-). Je sais qu’il ne faut pas se connecter sur une éventuelle borne « WifiGratuit » ouverte à tous les vents sans protection. Ni tremper les doigts dans les pots de miel qui pourraient trainer…

Je crains un peu également que mon pseudonymat ne soit mis à mal par quelques indélicats, mais j’ai toujours expliqué ici que le choix de bloguer sous pseudonyme était un confort d’écriture et de liberté de parole, plus qu’une protection permettant de tout dire de manière irresponsable. J’assume sans problème chaque texte écrit ici, même de mauvaise qualité, même sur ma vie privée.

Une autre difficulté va être de résister jusqu’à jeudi soir à l’appel de la rue de la soif…

La difficulté principale va quand même être d’intéresser pendant 45mn, juste après le repas, un auditoire de spécialistes.

A la semaine prochaine, sur le campus de Rennes Beaulieu Sud, pour les chanceux qui ont réussi à avoir des places! Si vous me voyez sur l’estrade le 7 juin, soyez indulgent :-S

Vous ne pourrez pas vérifier

Je suis informaticien, je suis expert judiciaire en informatique, alors l’informatique, je connais bien. Vous qui me lisez ici, vous êtes peut-être aussi informaticien, peut-être pas. Vous connaissez sans doute un collègue informaticien, un ami, un petit-fils informaticien, ou même quelqu’un qui ressemble à un informaticien, quelqu’un qui sait y faire avec les ordinateurs.

Est-ce que pour autant, vous me donneriez une procuration pour aller voter à votre place? Est-ce que vous donneriez cette procuration à un collègue ou à quelqu’un que vous connaissez parce qu’il sait y faire avec les ordinateurs? Feriez-vous confiance à quelqu’un, pour qu’il vote « comme vous allez lui dire », simplement parce qu’il vous dépanne quand votre ordinateur déraille?

Sans pouvoir vraiment vérifier.

Moi, je pense que vous ne devriez pas.

Plutôt que d’essayer de vous montrer les dysfonctionnements possibles d’un vote informatique (avec une machine à voter ou par internet), je vais vous décrire ce qu’il se passe aujourd’hui dans un bureau de vote, au moment du dépouillement des bulletins de vote, tout au moins dans le bureau de vote auquel je participe depuis plusieurs années.

Tout d’abord, à l’heure de fermeture du bureau de vote (18h ou 20h), et bien les portes doivent rester ouvertes, pour permettre aux citoyens qui le souhaitent de venir assister aux opérations. Tout le monde peut venir s’il le souhaite, et il n’est pas rare que le responsable du bureau de vote propose à une ou plusieurs personnes du public de participer aux opérations de dépouillement.

La première opération est l’ouverture de l’urne. Celle-ci est transparente, pour qu’on puisse voir pendant que l’on vote, son enveloppe tomber et pour permettre de surveiller le niveau de remplissage pendant toute la journée. L’urne de vote possède deux clefs, comme pour le lancement de missiles dans tout bon film sur la question, et une fois ouverte, son contenu est doucement renversé sur une grande table.

Toutes les enveloppes qui étaient dans l’urne sont immédiatement comptées. Pendant ce temps, toutes les signatures du cahier d’émargement (que chaque électeur a signé lorsqu’il a voté) sont également comptées. Les deux nombres doivent être identiques.

Nous séparons alors les bulletins de vote (toujours dans leurs petites enveloppes) par paquets de 100 que nous mettons dans de grandes enveloppes qui sont aussitôt scellées. Puis nous ouvrons la première grande enveloppe de 100 bulletins pour commencer le dépouillement.

Une personne prend chaque enveloppe de vote, l’ouvre, en sort le bulletin contenu à l’intérieur et le passe déplié à une deuxième personne qui annonce à voix haute le nom indiqué sur le bulletin. Si l’enveloppe est vide, ou comporte un bulletin blanc, ou comporte plusieurs bulletins avec des noms différents, ou comporte un bulletin portant des inscriptions, ou comporte un bulletin fabriqué par l’électeur, le processus s’arrête et le bulletin (et son enveloppe) est mis de côté pour être annexé au rapport du bureau de vote.

Si l’enveloppe contient plusieurs bulletins tous identiques, un seul sera pris en compte.

Lorsque le nom inscrit sur le bulletin est énoncé à voix haute, deux personnes incrémentent un compteur pour chaque candidat sur une feuille de comptage (il y a donc deux feuilles de comptage), tout en énonçant, chacune à voix haute, le dernier chiffre du compteur du candidat concerné par le bulletin. Si les deux chiffres correspondent, le bulletin est posé sur la table, et l’on recommence.

A la fin de cette étape, le total dans tous les cas (nul, blanc, candidats) doit faire 100. Sinon, il faut recompter et trouver où est l’erreur (en général un blanc ou un nul non compté ou compté deux fois). Une fois tous d’accord sur la validité de dépouillement d’un lot de 100 bulletins, on recommence alors en ouvrant la grande enveloppe de 100 bulletins suivante. On a fini le dépouillement quand la dernière grande enveloppe est ouverte (elle contient presque toujours moins de 100 bulletins).

Les résultats du bureau de vote sont alors définitifs et peuvent être transmis à la mairie, où est en général réuni un public nombreux qui assiste aux additions des chiffres des différents bureaux de la commune. La mairie  transmet ensuite à la préfecture qui transmet ensuite au ministère de l’intérieur qui publie les résultats provisoires, validés ensuite par le Conseil constitutionnel. Mon bureau de vote est de temps en temps contrôlé par un magistrat représentant le Conseil constitutionnel. Chacun peut vérifier les chiffres détaillés sur le site internet du ministère de l’intérieur.

Il me semble très difficile d’organiser une fraude à grande échelle: il faudrait corrompre toutes les personnes présentes dans le bureau de vote, il faudrait corrompre plusieurs bureaux de vote pour que la fraude puisse avoir un impact significatif.

Par contre, la fraude de grande ampleur est très facile si l’on informatise le vote. Je ne vais pas vous le prouver en expliquant les différentes techniques pouvant permettre cette fraude. Je vais simplement affirmer que c’est possible (et facile) pour un informaticien. Très facile même, s’il s’agit de l’informaticien qui a conçu le système.

Et surtout, vous ne pourrez pas vérifier l’absence de fraude. Vous ne pourrez pas vérifier l’authenticité des votes dépouillés. Vous ne pourrez pas vérifier, quelque soit votre niveau de connaissance technique. Vous ne pourrez pas vérifier, même si vous avez un ami qui s’y connait bien en informatique. Vous ne pourrez pas vérifier parce qu’il vous faudra faire confiance dans les informaticiens qui auront mis au point le système. Vous ne pourrez pas vérifier parce qu’il vous faudra leur donner une procuration et leur dire pour qui vous voulez voter.

Personnellement, je souhaite pouvoir vérifier.

Si vous êtes comme moi et que vous préférez le système actuel, lent et long, mais facilement vérifiable, alors pensez à en parler (avec courtoisie mais fermeté) à vos élus quand ils envisagent de mettre en place des machines informatisées pour faciliter les opérations de dépouillement. Dites leur que vous n’en voulez pas. Dites leur que vous voulez garder le contrôle. Dites leur que vous voulez pouvoir vérifier.Si vous ne dites rien à vos élus, ou si vos élus ne vous écoutent pas, ils décideront d’informatiser la procédure de vote, en expliquant que c’est plus simple et plus rapide.

Si vos élus ont déjà informatisé votre bureau de vote, dites leur que vous voulez revenir au système manuel, que vous voulez pouvoir vérifier vous-même les opérations de dépouillement.

 

Si l’informatisation des bureaux de vote continue, si le vote par internet se généralise, ce jour là, quelqu’un pourra voter à votre place sans que vous le sachiez et truquer les résultats. Facilement.

Vous ne pourrez pas vérifier.

—————————

Crédit photo Spacedust Humor

Watching you

On me demande souvent ce que je ferais si je devais analyser un disque dur entièrement chiffré, ou un disque effacé en profondeur. Je réponds toujours qu’un expert judiciaire n’est pas un magicien et que « Ad impossibilia nemo tenetur« [1].

Il arrive parfois qu’on puisse surmonter l’impossible.

Jaime Lannister est commercial dans l’entreprise CASTRALROC. Enfin, « était », car Jaime s’est fait licencier pour faute grave. Faute qu’il conteste devant le conseil de prud’hommes. Ceux-ci, étant étymologiquement sages et avisés, font appel à un autre homme sage, avisé, d’expérience, reconnu compétent dans un domaine et pouvant être considéré comme un expert à ce titre, c’est-à-dire un expert judiciaire. Me voici dans la place forte.

J’ai déjà décrit plusieurs fois sur ce blog le déroulement d’une expertise judiciaire contradictoire. Je suis donc assis à une grande table ronde, avec à ma droite les représentants de l’entreprise CASTRALROC et leur avocat, et à ma gauche Jaime et son avocat. Bien qu’ayant lu mon ordonnance de désignation, je demande aux deux parties de me présenter le problème.

CASTRALROC est une entreprise spécialisée dans la fabrication d’armes blanches à double tranchant, connue pour ses modèles Aiguille, Glace, Grande-Griffe et Longclaw. Entreprise de taille modeste, elle n’en dispose pas moins d’un poste de commercial, occupé par Jaime, avec des clauses de confidentialité et de non concurrence.

Il est reproché à Jaime d’avoir contacté à plusieurs reprises, par courrier postal, des entreprises concurrentes et proposé ses services, en mettant en avance son savoir-faire et sa connaissance des techniques utilisées par CASTRALROC. En particulier l’entreprise RINGS fabricant les modèles Andúril, Anglachel, Anguirel, Aranrúth, Dard, Glamdring, Gurthang, Gúthwinë, Hadhafang, Herugrim, Narsil, Orcrist et Ringil.

Jaime nie avoir rédigé de tels courriers, tout en reconnaissance des contacts avec la concurrence, contacts qu’il estime normal dans l’hypothèse d’un changement d’employeur.

Me voici donc, en présence des deux parties, devant l’ordinateur portable utilisé par Jaime dans le cadre de son travail chez CASTRALROC. Ne souhaitant pas prolonger la réunion outre mesure en effectuant devant tout le monde de longues analyses techniques, je propose aux parties de m’autoriser à les effectuer dans mon laboratoire et de revenir présenter les résultats de mes investigations lors d’une deuxième réunion.

De retour chez moi, j’effectue une copie numérique du disque dur et commence son analyse inforensique. Après quelques heures d’investigations, je constate l’absence de courriers coupables. Par contre, je trouve sur le disque dur un logiciel d’effacement de traces: Eraser. Impossible, dans ce cas, de remonter de plus de quelques jours dans la liste des fichiers effacés.

Me voici de nouveau devant les parties, lors de la deuxième réunion d’expertise. Je présente les faits. Jaime explique qu’en raison de la confidentialité des données qu’il manipule, il a pris l’habitude d’effacer efficacement les traces laissées sur son ordinateur. Je prends acte de ses explications, l’utilisation du logiciel Eraser étant parfaitement licite et logique pour qui veut se préserver d’une récupération des fichiers effacés.

Avant de clore la réunion, je demande à visiter le système informatique de l’entreprise. Un classique serveur de fichiers contrôleur de domaine, des postes vassaux clients pour chaque salarié et un photocopieur multifonction dans le couloir. L’entreprise n’a pas de système de sauvegarde centralisé, chacun copiant sur support externe ses propres données. Je ne fais aucune remarque sur la viabilité de la solution.

Dans l’entreprise où je travaille, les photocopieurs multifonctions sont loués à une société qui en assure l’entretien et la maintenance. Il se trouve que, chez nous, la configuration de certains photocopieurs multifonctions doit être faite de manière approfondie, car ils sont utilisés à la fois par le personnel de l’école et par les étudiants. J’ai donc dû me plonger, avec la société de maintenance, dans le paramétrage avancé de plusieurs modèles. C’est très bavard, un photocopieur multifonction. Cela garde trace de beaucoup d’informations: date d’impression, nom du document, nom du compte ayant demandé l’impression, nombre d’exemplaires…

Je demande donc à voir le photocopieur multifonction du couloir. Je parcours quelques menus dans la configuration et découvre le paramétrage suivant: tous les documents imprimés sont disponibles sur le disque dur du photocopieur multifonction. Il est possible de les parcourir et de demander leur réimpression… C’est ainsi que devant les yeux médusés des parties, j’ai pu retrouver tous les documents imprimés par Jaime, et en particulier les courriers adressés à l’entreprise RINGS. Après quelques manipulations, ils étaient de nouveau imprimés. J’ai eu une petite pensée pour mon moi d’il y a quelques années.

Vous qui imprimez les 200 exemplaires du carnet de chant de la chorale de vos enfants, le pdf érotique que vous avez téléchargé chez vous, ou vos cinq exemplaires du rapport d’expertise et ses annexes, sur l’imprimante du boulot, je suis sûr que vous allez y réfléchir à deux fois maintenant.

Jaime s’est alors tourné vers moi, et m’a dit: « valar morghulis », ce qui, dans langue de l’antique Valyria, signifie « Tout homme doit mourir« .

Je lui ai répondu: « Big printer is watching you ».

———————————–

[1] A l’impossible nul n’est tenu

Dans mon coeur

Au début des années 1990, j’étais jeune Maître de Conférences fraichement diplômé d’un doctorat en intelligence artificielle. Je poursuivais mes travaux de recherches dans le domaine des réseaux de neurones, tout en encadrant des étudiants ingénieurs et des stagiaires.

Stéphane était étudiant en IUT et devait effectuer un stage pour obtenir son diplôme. Nous passions des heures à discuter des problèmes informatiques liés à son sujet de stage et à mes travaux de recherche. Il a découvert dans mon laboratoire que l’informatique pouvait être pour lui un sujet passionnant. Son stage a été un succès car il y avait mis du cœur et s’était impliqué sans compter les heures. A la fin de son stage, nous avons fait un petit pot pour lui montrer que nous avions su apprécier sa gentillesse et son implication.

Je n’ai pas pu assister à sa soutenance de stage, car il s’était donné la mort.

De son suicide, il laissait à ses parents une lettre d’explication où il faisait part de son dégout de la vie. Ses parents m’ont contacté car un passage de cette lettre m’était adressé: il disait que les meilleurs moments de sa courte vie avait été son stage avec moi. J’en ai encore des larmes aux yeux en écrivant ce billet à sa mémoire.

Il aurait fêté aujourd’hui son anniversaire.

Bon anniversaire Stéphane, tu es toujours dans mon cœur et tu as toujours vingt ans.