26 juillet 2015

Redif : Au nom de la commune

Dans le cadre des rediffusions estivales, je vous propose ce billet publié en septembre 2010, et qui m'a valu un des plus beau moments de mon activité de conseiller municipal.

------------------------------------------------------------------------------------------------

20h30, c'est le début du conseil municipal. Comme d'habitude, tous les conseillers sont là ou presque. Le pompier arrivera en retard, à cause de son métier. L'infirmière aussi.

La liste des sujets à débattre est longue, et le conseil municipal risque fort de se terminer tard dans la nuit. Mais nous sommes là, tous les 26, assis dans cette grande salle avec les tables en carré.

Parmi les sujets du jour du soir, un point qui fait débat dans la commune depuis plusieurs années: la construction d'une aire d'accueil de gens du voyage.

La commune où j'habite vient juste de franchir la barre des 5000 habitants. C'est un seuil important, et parmi les nouvelles obligations de la commune, il y a celle de mettre à la disposition des gens du voyage un endroit où pouvoir séjourner. Le conseil municipal précédent avait déjà débattu de la question, mais sans pouvoir trouver un endroit adéquat.

Le maire, conscient des difficultés à fédérer les conseillers sur un projet particulier, a choisi d'inviter au conseil municipal le spécialiste de l'accueil des gens du voyage de la communauté d'agglomération à laquelle la commune appartient.

Cette personne nous a présenté pendant une heure les différents aspects de la communauté des gens du voyage, bien loin des clichés que pouvaient avoir certains conseillers. Il nous a parlé des difficultés rencontrées par cette communauté, de sa richesse culturelle mais aussi de sa pauvreté, de son illettrisme parfois. Il nous a montré les contradictions de notre société qui souhaite sédentariser ces populations pour permettre la scolarisation réussie des jeunes, et qui considère les aires d'accueil comme des lieux de passage.

Il nous a expliqué leur mode de vie, leur travail et leurs aspirations. Par exemple, il nous a montré que beaucoup d'aires d'accueil de notre communauté d'agglomération étaient construites sur un modèle architectural identique, avec des défauts (blocs sanitaires utilisés pour le stockage de nourriture, pas d'emplacement prévu pour un lave linge, pas de rangements...)

Il s'est dit étonné et particulièrement heureux d'avoir appris que notre conseil municipal avait décidé de passer par un bureau d'étude auquel nous avions demandé l'établissement de plans pour notre future aire d'accueil. Il était surtout content d'avoir pu participer à la critique du projet avant sa réalisation, afin de nous faire profiter de son expérience de plus de dix années à son poste.

Enfin, il était content de l'emplacement choisi par le conseil municipal lors d'une délibération précédente: près du centre culturel et sportif de la commune, près d'un arrêt de bus pour l'école et près des commerces.

Le conseil municipal étudie alors avec soin les travaux de la commission voirie qui avait en charge le suivi du travail du bureau d'étude. L'aménagement de l'aire d'accueil retenu par la commission est voté par le conseil municipal à l'unanimité. Celle-ci sera végétalisée et permettra l'accueil de 16 familles.

Le maire nous lit alors la pétition qui circule dans la commune et demandant le déplacement de la future aire d'accueil à un endroit "moins visible", près de la 2x2 voies qui traverse la commune. Le maire explique que l'endroit choisi par les organisateur de cette pétition se trouve dans la zone des 100m inconstructibles de la voie rapide et répond point par point à tous les arguments de la pétition.

Le maire a conclu sa présentation en ces termes: "nous travaillons sur ce projet depuis des mois, voire des années. Il se termine alors que le gouvernement de la France est en pleine polémique sur une catégorie de gens du voyage. C'est triste, mais c'est comme cela. Je vous propose une chose simple: lorsque l'aire sera terminée, nous irons tous accueillir en personne, ensemble et au nom de la commune les premières familles qui viendront s'y installer." Sa proposition a été acceptée par tous.

Dommage qu'il n'y avait personne dans le public, car ce soir là, nous avons appris beaucoup sur les autres.

Fin du conseil municipal: 2h du matin.

23 juillet 2015

Redif : Perquisition

Dans le cadre des rediffusions estivales, je vous propose ce billet publié en juin 2010, et qui aborde un des aspects les plus intrusifs de l'expertise judiciaire.

------------------------------------------------------------------------------------------------

 Il est huit heures du matin. Les policiers frappent à la porte d'un pavillon. Je les accompagne.

J'ai prêté serment d'apporter mon concours à la Justice. Mais je suis dans mes petits souliers: je participe à une perquisition chez un particulier, et je dois dire que je n'aime pas ça.

Une femme nous ouvre la porte en peignoir. Un policier lui explique la procédure pendant que ses collègues entrent en silence. L'action est calme et nous sommes loin des clichés des séries TV. Une fois la maison explorée, les policiers m'invitent à entrer pour effectuer ma mission: le juge m'a demandé d'analyser les différents appareils informatiques présents dans la maison.

Il s'agit d'une affaire de trafic portant sur plusieurs centaines de milliers d'euros.

Depuis une semaine, je me prépare tous les soirs en essayant d'imaginer tous les cas techniques devant lesquels je peux tomber. J'ai un sac contenant un boot cd DEFT, des tournevis de toutes tailles et de toutes formes, stylos et bloc notes, un dictaphone numérique, un ordinateur portable avec carte réseau gigabit et disque de grosse capacité pour la prise d'image en direct, une lampe électrique, un bouchon 50 ohms et un connecteur en T, le live CD d'Ophcrack, un câble réseau, un prolongateur et un câble croisé, une boite de DVD à graver (et quelques disquettes formatées, cela sert encore...), une bouteille d'eau et un paquet de biscuits. Grâce aux lecteurs de ce blog, j'ai ajouté un appareil photo, un GPS, du ruban adhésif toilé et résistant, des élastiques de toutes tailles, des trombones, un clavier souple ne craignant pas l'humidité avec la connectique qui va bien, un tabouret en toile, des vis, patafix et colliers, une tour sur roulette avec carte SATA et quelques disques vierges de rechange, un ventilateur pour les disques, une petite imprimante, toute la connectique pour les organiseurs (Palms, Blackberry, iphone, etc.), des étiquettes/pastilles de couleur, des stylos et des feutres, un petit switch 10/100/1000, un câble série, un câble USB, une nappe IDE, une nappe SATA et des adaptateurs USB, SATA, IDE...

Pour l'instant, je tiens à la main une petite mallette avec mes principaux outils: bloc note, stylo et boot cd. Le reste est dans ma voiture. La maîtresse de maison nous explique que son mari est en voyage d'affaire et ses enfants chez leur grand-mère. Elle est seule chez elle. J'ai un sentiment de malaise face au viol de sa vie privée. Décidément, je ne suis pas fait pour ce type d'intervention. L'OPJ sent mon désarroi et le met sur le compte de l'inexpérience. Il m'emmène au bureau de la maison où trône un ordinateur au milieu d'un paquet de disques durs extractibles. Mon travail commence.

J'explique à l'OPJ ma procédure de prise d'images. Il tique un peu quand je lui annonce mon estimation des durées. Bien sur, si j'avais été invité au briefing de la veille, j'aurais pu expliquer tout cela...

J'installe tout mon petit matériel dans un coin de la pièce, à même le sol. Je démonte les différents disques durs et les place dans ma "tour infernale" (mon PC d'investigation). J'ai l'impression que les policiers me regardent en pensant au professeur Tournesol.

Pendant les deux heures qui vont suivre, je vais étudier tous les papiers découverts par les policiers pour voir s'ils peuvent contenir des éléments de nature à me faciliter l'analyse inforensique des disques durs. Mais je ne trouve rien. La corbeille à papier est également vide IRL. Le monde moderne.

Les policiers s'ennuient un peu, quand finalement j'arrive à booter la première image dans une machine virtuelle VMware. L'un d'entre eux me dit en souriant: "finalement, deux heures pour démarrer un PC, c'est un peu comme chez moi". Je ne me laisse pas déconcentrer et pars à la recherche de tous les indices possibles.

Les mots de passe Windows sont vite découverts avec Ophcrack. L'historique internet me fournit une liste de sites visités, ainsi que plusieurs pseudos (en clair dans les url). Les historiques MSN me donnent plusieurs emails et identités numériques. J'explore les différents outils de messagerie installés: Outlook Express, Thunderbird, surtout les emails de création de comptes avec envoi de mots de passe. Je conserve tout cela précieusement car tout ceci me donne l'impression que le propriétaire du PC change régulièrement de pseudo.

La liste des mots de passe utilisés me donne une petite idée de la stratégie de choix de l'utilisateur: un mélange avec les prénoms de ses enfants et des dates qui s'avèreront être les dates du jour de création des comptes.

J'effectue une petite recherche des fichiers de grosses tailles qui met en évidence trois fichiers de 4 Go sans extension. Je tente le coup avec l'application TrueCrypt contenue dans ma clef USB "LiberKey". J'essaye les différents mots de passe trouvés précédemment et l'un d'entre eux marche sur un fichier, deux autres sur l'un des fichiers restants. Cela signifie donc qu'un utilisateur du PC connait TrueCrypt et l'utilise pour chiffrer des données dans un fichier protégé par le système à double détente de TrueCrypt. Mais il me manque encore quelques mots de passe.

Parmi les outils de mémorisation des mots de passe, le navigateur est le plus utilisé. Je lance le navigateur installé et vérifie dans les options appropriées la liste des mots de passe mémorisés en association avec différents comptes internet.

Je note tous les login/mot de passe des comptes. Je vérifie avec l'OPJ que mon ordre de mission m'autorise à me connecter sur les comptes internets. Un coup de fil au magistrat lève les doutes. Je fais consigner la démarche sur le PV. Je choisis en premier lieu le webmail le plus fréquemment utilisé. J'y découvre une quantité d'emails que je récupère avec le Thunderbird de ma clef USB. Et bien entendu, parmi ces emails, un certain nombre d'emails contenant des mots de passe.

Ce travail s'effectue en parallèle de la prise d'image des autres disques qui sont montés au fur et à mesure sous forme de machines virtuelles. Mais le travail initial permet d'accéder plus rapidement aux espaces DATA intéressant les OPJ. Une fois franchis l'obstacle du chiffrage et des mots de passe, l'outil essentiel est une recherche Windows avec les mots clefs fournis par les OPJ. J'ai une certaine préférence pour SearchMyFiles de chez NirSoft.

La perquisition se termine en fin d'après-midi. J'imprime tous les documents découverts. Je range mon matériel. Je rappelle à l'OPJ que ma mission se poursuivra le week-end suivant avec des analyses plus longues, en particulier des zones non allouées des disques durs. Suivra ensuite la rédaction du rapport et l'impression des annexes. Comme pour une fois, ce dossier ne contient pas d'images pédopornographiques, je vais pouvoir externaliser l'impression pour faire baisser les coûts.

En sortant de la maison, je présente mes excuses à la propriétaire.
Elle est en colère et me répond durement.
Je revois encore aujourd'hui la rage de son regard.
Je la comprend.

19 juillet 2015

Redif : Intimité

Dans le cadre des rediffusions estivales, je vous propose ce billet très court publié en mai 2010, et qui raconte, maladroitement sans doute, mon mal être dans certaines expertises. La chute tient dans les trois dernier mots.

------------------------------------------------------------------------------------------------

Fouiller le contenu d'un ordinateur, c'est se plonger dans l'intimité d'une personne. Je suppose que chaque expert judiciaire vit cela d'une manière différente qu'on imagine toujours très professionnelle, avec juste la distance qu'il faut, en quelque sorte une analyse froidement médicale.

Seulement voilà, la réalité est toute autre. La réalité, c'est la lecture de lettres intimes à son conjoint, ce sont des photos d'anniversaires où toute la famille et les amis sont réunis. La réalité, ce sont des vieilles factures, des courriers d'explications à la banque, des réponses à des emails de copains rigolos qui font suivre des powerpoints humoristiques.

Puis à partir d'une certaine date, le lien avec internet s'arrête. L'ordinateur n'est plus utilisé pendant plusieurs mois, pendant quelques années. Lorsqu'il reprend du service, l'utilisation n'est plus la même. Les données proviennent d'une clef USB, plutôt que de la carte réseau.

Des dessins scannés. Des fichiers txt avec des mots d'encouragement maladroits. Des mots d'enfants. Des mots d'adultes.

Et bien sur, il y a des photos. Beaucoup de photos de la famille. Des films aussi. Les visages sont plus tristes, les paroles plus sérieuses. Ils ont vieillis.

Et puis, il y a des photos pornographiques. Des films aussi. Et la dedans, quelques photos de jeunes filles. Trop jeunes. Beaucoup trop jeunes. C'est pour ça qu'il a été dénoncé par un codétenu.

C'est cela l'analyse inforensique du disque dur d'un ordinateur saisi en prison.

16 juillet 2015

Bonnes vacances

Je souhaite, à tous ceux qui ont la chance de pouvoir en prendre, de bonnes vacances.

Cette année a été très mouvementée et riche en événements, pas toujours très gais (et dont je n'ai pas trop parlé sur ce blog). J'ai besoin de ce break salutaire. Le temps arrive enfin où les efforts d'une partie de l'année servent à un plaisir extraordinaire : le partage de moments privilégiés avec ma petite tribu ! Cette année, nous partons en famille pour trois semaines de randonnées dans les montagnes canadiennes. Quatre adultes et six enfants qui vont crapahuter toute la journée, cuisiner au feu de bois et dormir sous la tente devant des paysages de rêve.

Je suppose que, même dans les coins les plus reculés, j'arriverai parfois à capter un réseau et à rester un peu connecté à mon univers numérique, mais je n'en suis pas sur. Que les clients qui suivent mon blog me pardonnent, ainsi que mes lecteurs, mais je ne lirai sans doute pas mes emails tous les jours.

Pour que le blog vive un peu pendant mon absence, j'ai programmé quelques rediffusions de billets qui me tiennent à cœur, et qui débuteront tous par cette même phrase : "Dans le cadre des rediffusions estivales..." Les habitués apprécieront la sélection et j'espère que cela donnera envie aux nouveaux lecteurs de télécharger les différentes compilations de billets.

Je vous laisse, je dois embarquer dans mon char pour aller magasiner avec ma blonde, et on n'est pas rendu ;-)

19 juin 2015

L'apprentissage douloureux du freelance débutant

Je me suis lancé depuis quelques temps dans une activité freelance, dont je parle un peu sur mon blog dans cette rubrique, et aujourd'hui j'ai envie de vous faire partager mes erreurs de débutant...

Je suis avant tout un passionné de la technique. J'aime la bidouille et je suis toujours curieux du fonctionnement d'un ordinateur, d'un système d'exploitation, d'un système de virtualisation, ou d'une paire de lunettes de visualisation 3D.

Je suis depuis 1999, prestataire de service auprès de ma cour d'appel, inscrit à la rubrique qui va bien sur la liste des experts judiciaires. J'attends qu'un magistrat ait besoin de moi et je réponds en mon honneur et conscience aux missions qu'il souhaite me confier.

Quand on se lance dans une activité freelance, il y a une dimension supplémentaire à prendre en compte : le marketing. Je vous laisse lire cette merveilleuse page Wikipédia qui relève pour moi plus du chinois que d'une passion première. J'ai beaucoup simplifié la méthodologie pour l'adapter à mon niveau : j'ai une gamme de services, je dois les faire connaître auprès de mes clients potentiels, puis amorcer le cercle vertueux de la satisfaction client.

La gamme de service est simple, j'en ai déjà parlé dans ce billet (je ne vais pas y revenir, il y a des lecteurs que ça agace ;-). La satisfaction client est simple également : il suffit d'accepter des missions pour lesquelles je suis compétent, puis de bien travailler. C'est la partie identique aux missions judiciaires. Mais entre les deux, il y a une petite difficulté : il faut se faire connaître auprès de ses clients potentiels...

Tout d'abord, il faut définir ses prospects : qui sont mes clients potentiels ? Dans mon cas, j'ai décidé de me limiter aux seuls avocats. Mon marché est donc une niche très petite : les avocats souhaitant se faire assister (eux ou leurs clients) par un expert informatique (cf gamme de service).

Les objectifs de ma campagne de prospection sont donc simples : je dois contacter les 56 000 avocats de France pour leur proposer mes services. Bien. Mais comment ? J'organise une réunion de brain storming avec moi-même et en dix secondes j'ai trouvé la solution parfaite :

"Bah, je vais leur écrire un email."

C'est ainsi qu'avec la foi du jeune débutant, je me suis lancé dans une magnifique campagne de promotion basée sur l'envoi massif d'emails. Si, si. Même pas peur. Sans penser une seconde aux conséquences. Sans tenir compte d'une longue expérience dans la lutte permanente contre ce fléau de l'email non sollicité. J'ai même écrit sur ce blog deux billets consacrés à ce passionnant sujet (sur une bourde en 2006 et sur postgrey en 2007).

C'est donc avec cette foi inébranlable en ma bonne étoile que j'ai commencé à collecter à la main tous les emails des avocats de France, de Navarre et d'Outre-Mer (on dit maintenant DROM-COM). Pendant six mois, à raison d'une heure par jour tous les soirs après le repas, j'ai écumé A LA MAIN tous les sites des barreaux, j'ai copié A LA MAIN toutes les adresses emails de tous les sites d'avocats que j'ai pu trouver. Bref, je me suis constitué un fichier prospect (déclaré à la CNIL) grâce à ce travail de romain...

Au bout de six mois, j'étais à la tête d'un fichier de 45000 adresses emails !

Et là, j'ai commis ma première grosse erreur technique : fidèle au principe du DIY (Do It Yourself, ou FLVM dans la langue de Jean-Baptiste Poquelin) , muni du logiciel qui va bien (dont je tairai le nom, à cause du réchauffement climatique), j'ai envoyé le plus gros emailing de toute ma vie : 45000 emails personnalisés.

Là, je pense que mes lecteurs vont se séparer en deux groupes : ceux qui vont éclater de rire, et ceux qui vont pleurer toutes les larmes de leur corps (les deux groupes ayant une intersection non vide).

Cher lecteur clairvoyant, pourquoi cette tentative était-elle vouée à l'échec ?
Il y a plusieurs raisons que j'expose ci-après, uniquement dans un esprit de partage destiné aux jeunes freelances "ayant trop la foi", et pas du tout pour (plus) me ridiculiser :
- qui, de nos jours, accepte de lire avec sérieux un email publicitaire, et prend note des coordonnées pour une prise de contact ultérieure ?
- les fins techniciens que vous êtes ont parfaitement perçu qu'au bout de quelques heures, le nom de domaine que j'ai acheté pour réaliser mon emailing était durablement blacklisté par tous les gros opérateurs de messagerie, malgré la déclaration en règle de mon serveur smtp.

Résultats de cet énorme emailing :
- 45000 emails envoyés
- 1500 retours "user unknown" sur des adresses emails pourtant affichées sur les sites des barreaux
- 2000 systèmes antiSPAM me demandant de cliquer pour prouver que je suis un humain et pour que mon email puisse être distribué
- 50 réponses m'informant avoir pris bonne note de mes coordonnées
- 5 engueulades par email
- 1 plainte auprès du président du Conseil National des Compagnies d'Expert de Justice (qui a contacté aussitôt le président de ma compagnie d'expert de justice pour me demander d'arrêter immédiatement, ce qui a entraîné rapidement la décision décrite dans ce billet).

Conclusion à destination des freelances débutants : ne faites pas comme moi, et évitez à tout prix la prise de contact par email. Il faut privilégier une méthode plus douce, plus agréable pour le prospect. Pour ma part, j'ai choisi les réseaux sociaux professionnels. J'utilise donc maintenant LinkedIn et Viadéo pour proposer aux avocats d'être en contact avec moi (avec une forte préférence pour LinkedIn). J'ai un taux d'acceptation assez élevé, preuve que mon profil intéresse quand même les avocats. Ensuite, je les contacte par le biais de la messagerie interne du réseau social pour préciser ma démarche de service.

C'est plus long, mais c'est plus respectueux des usages.

Ne me lancez pas la pierre et souvenez vous de vos premiers pas.
On peut débuter, même après 50 ans.
Soyez indulgents, il y a des erreurs plus graves...


10 juin 2015

Le matériel et les logiciels d'un informaticien expert judiciaire

S'il est bien un sujet délicat à aborder,c'est celui des choix que j'ai pu faire en matière de matériels et de logiciels, à titre personnel. Délicat, car chaque lecteur dispose sur le sujet d'un avis très arrêté, documenté et affirmé, qui supporte assez peu la discussion.

Bref, un vrai appeau à Trolls ;-) Mais je suis prêt à relever le défi.

Tout d'abord, je ferai quelques réflexions liminaires, destinées principalement au lecteur peu habitué à ce blog :
- Je suis un informaticien comme les autres, passionné d'informatique comme beaucoup, et qui exerce, à côté de sa profession d'informaticien, l'activité d'expert judiciaire en informatique.
- Je me considère comme un informaticien généraliste : je connais des choses, mais je ne suis spécialiste de rien. En particulier, je ne suis pas un spécialiste de la sécurité, de GNU/Linux, de FreeBSD, de Mac, etc. J'en suis un utilisateur curieux.

Les choix matériels :
Il y a à la maison quatorze ordinateurs : un pour chaque enfants (3), plus la tablette du fiston (servant principalement exclusivement aux jeux), un pour le cabinet d'avocat de mon épouse situé dans la maison, et quatre pour moi (un ordinateur de travail, une station d'analyse inforensique, un Raspberry Pi et une tablette). Plus cinq smartphones... Je ne compte pas comme ordinateurs les deux consoles de jeux (Xbox 360 et Wii) bien qu'elles disposent chacune d'une adresse IP.

A cela, il faut ajouter deux serveurs de stockage NAS (Synology) et un PC démonté qui me sert pour des tests divers (par exemple pour monter un GROS serveur de stockage FreeNAS en cas de besoin ponctuel).

J'ai aussi un stock d'une dizaine de disques durs de diverses tailles et capacités (de 200 Go à 4 To).

Mon ordinateur est une machine achetée sur Amazon chez un assembleur allemand. Il a quatre ans et suffit toujours aux besoins que j'ai : 16 Go de RAM, trois écrans, un disque SSD de boot et deux disques durs de 3 To. Les données confidentielles sont stockées dans des containers TrueCrypt sur un NAS individuel monté en iSCSI, les données familiales sur le NAS collectif (photos, vidéos familiales, musiques, etc.) avec sauvegarde externe branchée directement sur le NAS en USB3. Les deux NAS sont des Synology avec deux disques durs de 3 To en miroir.

L'aîné a demandé un ordinateur portable pour ses études de médecine, la puînée et le petit dernier ont des machines fixes classiques, ainsi que mon épouse (avec comme contrainte une machine silencieuse).

Ma politique de gestion de parc est d'acheter environ une machine par an et de récupérer les pièces des machines anciennes. J'ai BEAUCOUP de pièces détachées et de connecteurs, ce qui est pratique pour les expertises et les expériences...

La structure du réseau :
J'ai passé à la maison des câbles catégorie 6 dans toutes les pièces, sauf à l'étage où règne le Wifi (si c'était à refaire, je câblerai vraiment toutes les pièces, les enfants étant très consommateurs de bande passante vers le NAS familial).
Le cœur de réseau est un petit switch giga huit ports, en complément des 4 ports de la FreeBox. J'ai également cascadé un switch huit ports dans mon bureau pour toutes mes bidouilles.

Pour l'adressage IP des machines du réseau, j'utilise le serveur DHCP de la Freebox, mais le DNS principal est autohébergé sur le NAS familial depuis la décision de l’État français d'obliger les FAI à censurer la navigation de leurs abonnés.

Le Raspberry Pi est sous Debian (Raspbian) avec comme seul objectif de gérer mon VPN (sous OpenVPN) et de router le trafic de certaines de mes VM vers FreedomIP. Je n'ai pas imposé le routage du trafic de toute la maison (pour l'instant) en raison des facilités de géolocalisation "offertes" par un grand nombre de sites. Si certains objets connectés n'ont pas vocation à être reliés à internet par un VPN (la Xbox et la Wii par exemple), je prévois sous peu de migrer toute la famille derrière ce VPN. Il me reste à vérifier le fonctionnement de RPVA.

Les logiciels :
Tous mes enfants ont fait leurs premiers pas en informatique à l'âge de deux ans, avec un vieux PowerMac toujours fonctionnel sur lequel tourne un seul logiciel : "Beuleu-beuleu" qui permet l'apprentissage de la souris de manière ludique avec une grosse gomme qui efface l'écran avec sa langue, ce qui déclenche hilarité des petits (et des grands). Il est maintenant rangé dans son carton et attend l'arrivée des petits enfants...

Ensuite, j'ai rapidement opté pour les logiciels éducatifs de la gamme Adiboudchou, puis Adibou et enfin Adi.
Tous les ordinateurs de mes enfants sont donc sous Windows.
Ils ont donc rapidement appris le fonctionnement d'un ordinateur sous Windows, avec les logiciels classiques de type MSN messenger (en son temps), Photofiltre et Skype. Je leur ai installé Firefox+AdBlock et OpenOffice (ou LibreOffice) pour leurs travaux scolaires. J'ai un peu abordé l'utilisation de GNU/Linux, mais je n'ai pas rencontré d'écho particulier, donc je n'ai pas insisté.

Le cabinet de mon épouse est sous Windows, pour garantir le plus possible (et avec le moins de soucis possible) le fonctionnement de ses outils professionnels, en particulier RPVA. Je sais que certains avocats se battent pour faire fonctionner leurs outils sous GNU/Linux, mais bon.

De mon côté, les lecteurs assidus de mon blog le savent bien, je suis un gros fainéant : je cherche toujours les outils permettant de faire le moins d'effort possible. J'ai longtemps été administrateur informatique sur mon lieu de travail, ce n'était pas forcément pour faire la même chose à la maison. C'est en suivant cette ligne de conduite que j'ai choisi comme hébergeur pour mon blog blogger.com (racheté depuis par Google) et Gmail comme service de messagerie. De temps en temps, je change le blog de look (en quelques clics), c'est résistant aux attaques DDOS (surtout si Me Eolas fait un tweet avec un lien vers mon blog ;-), je ne m'occupe pas d'admin, de migration, de stockage, etc. Lors du piratage de mon blog, les équipes de Google ont été très réactives et le retour à la normale très simple. Les sauvegardes sont très faciles à faire, l'entretien des serveurs transparent. Le blog dispose nativement d'une version adaptée aux smartphones et aux tablettes. Quand je disparaîtrai, mes proches n'auront rien à faire (juste lire l'email qui leur sera envoyé par blogger après deux mois d'inactivité). Bref, je n'autohéberge pas mon blog, uniquement par flemme.

Côté navigateurs, j'utilise Firefox avec les extensions AdblockPlus, HTTPS EveryWhere et Ghostery. Parfois Chromium, Chrome, QtWeb ou Opera. Parfois aussi Tor Browser ;-)

Je loue le nom de domaine familial chez Gandi, et héberge les boites aux lettres chez Gmail (avec un Google Apps familial) en mode webmail. C'est sans doute ce point qu'il va falloir que je travaille, si je veux un peu sortir de la toile d'araignée de Google. Mais pour l'instant, tout le monde est content. J'ai quand même veillé à séparer FAI / nom de domaine - emails / boites aux lettres pour pouvoir gérer tout cela de manière indépendante. Je continue de trouver Google très pratique et puissant, sans publicité intrusive. Je reste un Google fan.

J'utilise beaucoup de machines virtuelles sous VirtualBox : une machine Ubuntu pour mes activités de blogueur, des machine sous Debian, des machines sous Windows XP/7/8/10, des distributions de test). Le système d'exploitation hôte est Windows 7 parce que... je suis fainéant (c'est pratique comme excuse). C'est aussi le système d'exploitation que j'ai imposé au boulot pour harmoniser les postes clients et les coûts. Tout est question d'habitude.

Concernant les expertises, j'ai déjà beaucoup parlé des outils sur ce blog, mais je peux citer la distribution DEFT, Ultimate Boot CD, le groupe d'outils "The Sleuth kit" et son interface graphique Autopsy, TestDisk et PhotoRec, et le logiciel DFF.

Concernant les utilitaires toujours très pratiques et dont on a toujours besoin, j'utilise la LiberKey et ses 300 logiciels. Pas d'installation à faire, positionné sur le NAS donc accessible depuis tous les postes, mises à jour régulière... Bravo à cette communauté !

Les deux tablettes fonctionnent sous Androïd avec un compte Google créé pour chaque tablette. Elles ne sont pas encore rootées mais cela ne saurait tarder.

Les projets / envies :
- J'aime bien mes deux NAS Synology, mais je voudrais les remplacer par un NAS fait maison ("Do It Yourself"). Cela me permettrait de regrouper dans une seule machine toutes les fonctionnalités dont j'ai besoin, aussi bien en terme de stockage, que de VPN, serveur DNS, DHCP, sauvegarde, etc. Ce qui m'a fait hésiter pour l'instant est l'extrême simplicité des mises à jour de Synology. Cela ne m'empêche pas de regarder les différents blogs qui propose des NAS DIY autour de cartes mères mini ITX et de FreeNAS (comme ici par exemple). Le but est d'avoir une maîtrise plus grande (en terme de surveillance cachée) de la couche logicielle, mes NAS propriétaires actuels pouvant facilement être recyclés en systèmes dédiés à la sauvegarde.

- Mon activité d'expert privé fonctionnant plutôt bien, je rêve d'acquérir des logiciels d'investigation du type d'Encase Forensic. Il ne reste plus qu'à casser la tirelire, et à trouver un fournisseur qui fait les prix les plus bas (si vous en connaissez, contactez moi).

- Je caresse régulièrement l'idée d'abandonner Blogger, malgré tout le confort que j'y trouve. Je regarde avec intérêt les solutions proposées par les uns et les autres, mais pour l'instant je ne fais pas le grand saut.

- Côté messagerie, je teste depuis quelques mois ProtonMail qui propose un service sécurisé qui me semble très prometteur. Pour l'instant, je continue à utiliser Gmail et à chiffrer certains emails avec GPG.

- Je n'aime pas l'idée d'être surveillé par les "algorithmes" des boites noires qui vont être imposées aux FAI par l’État. Je teste donc depuis un mois le routage de mon trafic vers un VPN par un Raspberry Pi. Pour l'instant, tout semble bien fonctionner et je m'apprête à prendre un abonnement VPN "pro" (de type Toonux VPN) pour y faire passer tout le trafic de la maison. J'avance tranquillement sur ce projet et j'en suis à sniffer mon réseau avec WireShark pour voir ce qui passe encore hors VPN. C'est là que l'on voit que je ne suis pas un spécialiste.

Conclusion :
Je vous avais prévenu qu'aucune originalité ne ressortirait de ce billet. Mes choix reflètent mes habitudes, mes préférences et ma nonchalance. J'aime bien toucher à tout, et j'essaye de prendre le meilleur de tous les outils que je rencontre. J'aime bien voir ce que les autres informaticiens font chez eux car cela me donne souvent des idées, des envies de tester autre chose.

Et vous, quels choix avez-vous faits ?

03 juin 2015

Les choses ne sont pas toujours ce qu'elles paraissent

Cette expertise est délicate : je dois accompagner un huissier de justice pour faire un constat sur un ordinateur d'entreprise.

Encore une fois, je connais peu le contexte technique avant l'intervention. Vais-je trouver un terminal relié à un AS/400, un magnifique Macintosh, un classique ordinateur sous Windows, un surprenant poste sous GNU/Linux ou un client léger très tendance ?

Je me rapproche de l'huissier à qui j'explique mes interrogations et qui me renvoie vers le chef d'entreprise. Je contacte icelui, qui m'informe que le poste du salarié ciblé est un classique poste sous Windows XP (nous sommes dans les années 2000), même pas virtualisé.

Je m'équipe pour l'intervention et nous voilà dans l'entreprise devant le poste de travail. Le constat est rapide, précis. L'huissier est efficace et notre couple fonctionne bien. En fin d'intervention, il m'est demandé de faire une copie du disque dur à fin d'analyse et de remettre le disque dur original à l'huissier qui le met sous scellé.

Me voilà chez moi, sur mon ordinateur personnel, à analyser le contenu du disque dur du salarié à la recherche des éléments constitutifs de la faute lourde. Je lance l'analyse du disque dur et mes scripts d'extraction de données. Je jette un coup d’œil aux résultats avant d'aller me coucher, l'affaire semble entendue...

Le lendemain, je commence la rédaction de mon rapport en annexant tous les documents gênants retrouvés sur l'ordinateur. Je les classe dans les catégories suivantes :
- les fichiers non effacés présents sur le compte informatique du salarié
- les fichiers non effacés présents hors du compte informatique du salarié
- les fichiers effacés toujours présents dans la corbeille du compte informatique
- les fichiers effacés toujours présents sur le disque dur (hors compte).

Les données "intéressantes" sont, dans cette affaire là, dans la dernière catégorie, en particulier dans la zone "non allouée" du disque dur.

Suivant les précautions d'usage, je rédige le rapport en précisant que les données retrouvées ne disposant plus des métadonnées du système d'exploitation, il n'est pas possible de les dater ni d'en connaître l'origine. Concentré sur ma rédaction, j'explique que les bribes de données retrouvées sont regroupées par mon logiciel de récupération dans des fichiers, mais que l'histoire du (nom du) fichier d'origine a disparu.

Ces données sont pourtant bien présentes sur le disque dur de l'ordinateur que l'entreprise a attribué à son salarié mis en cause.

Soudain, un doute m'assaille...
Je contacte le service informatique de l'entreprise, et avec l'autorisation du chef d'entreprise, je leur pose quelques questions concernant la gestion du parc informatique. Je découvre alors que l'entreprise fait tourner son parc, en affectant les ordinateurs puissants et neufs au service R&D, puis les "recycle" un an après aux salariés des bureaux, et enfin dans les ateliers.

Le disque dur que j'analyse a donc eu plusieurs vies, le service informatique procédant à chaque fois à un formatage rapide du disque avant d'installer la nouvelle configuration adaptée au salarié.

Les données traînant dans la zone non allouée du disque dur n'appartiennent à personne et il m'est impossible de retracer leur historique de transfert. Ces données peuvent tout aussi bien avoir été introduites sur le disque dur par le dernier salarié auquel l'entreprise a affecté l'ordinateur, que par le premier.

J'ai travaillé ma rédaction en insistant pédagogiquement sur ces points et j'ai rendu mon rapport.

Quelques mois plus tard, j'apprenais qu'un collègue de ce salarié avait reconnu la faute grave, pris sur le fait en train de manipuler les données confidentielles interdites. J'ai appelé le service informatique de l'entreprise qui m'a confirmé que l'ordinateur avait été affecté un temps à ce salarié, et que mon rapport les avait forcé à tracer l'historique de l'affectation du poste de travail.

Rétrospectivement, j'ai félicité mon moi antérieur pour les précautions qu'il avait prises, évitant ainsi d'incriminer un innocent. Jeunes experts en informatique, pesez avec prudence les affirmations que vous écrivez dans vos rapports. N'oubliez pas que derrière un compte informatique nominatif peut se cacher une autre personne (connaissant le mot de passe du compte qui n'est pas le sien). N'oubliez pas qu'un logiciel malveillant peut simuler une action délictuelle à l'insu de l'utilisateur de l'ordinateur. Et n'oubliez pas qu'une donnée égarée sur un disque dur peut avoir été introduite par un utilisateur antérieur. N'oubliez pas non plus les logiciels de prise de contrôle à distance et autres produits de déploiement applicatifs...

Bref, beaucoup des informations qui peuvent être extraites d'un ordinateur sont à prendre avec des pincettes.

29 mai 2015

L'âge du retrait

Quand j'ai été inscrit sur la liste des experts judiciaires de ma cour d'appel, j'avais 35 ans. J'étais alors le plus jeune expert judiciaire en informatique de France. Dans ma cour d'appel, l'expert qui me suivait en âge avait 20 ans de plus que moi... et vient qu'être atteint par la limite d'âge pour l'inscription sur la liste (70 ans) des experts judiciaires.

A l'époque, cette situation me sidérait, tant les évolutions informatiques étaient fortes et rapides. Internet se répandait dans les foyers (je vous parle de 1999), l'informatique sortait de l'univers réservé aux geeks, les entreprises s'équipaient en masse de matériels individuels et vivaient leurs révolutions numériques dans l'analyse de leurs processus (on parlait alors beaucoup de "l'objectif zéro papier", et bien sur du "bug de l'an 2000").

Comment des vieux de plus de 55 ans pouvaient-ils encore être dans la course et répondre correctement aux sollicitations des magistrats ?

(oui, à 35 ans, je considérais comme vieux tous ceux qui avaient plus de 55 ans, de la même manière que je considérais comme vieux tous les plus de 20 ans quand j'étais au lycée, les plus de 30 ans quand j'avais 20 ans, etc.)

J'ai aujourd'hui 51 ans, je me souviens de mes 35 ans irrespectueux, et je me pose la question : n'est-il pas temps d'arrêter de proposer mes services aux magistrats ? Le temps du retrait n'est-il pas venu ?

Pour un tas de bonnes raisons, je n'ai pas pris le virage de la téléphonie mobile, en refusant d'acquérir les compétences (dont je n'avais pas besoin professionnellement) et les équipements nécessaires à l'analyse inforensique des téléphones de plus en plus intelligents.

Avec l'âge, je prends de plus en plus de responsabilités dans mon métier de directeur informatique et technique, et de ce fait, je suis moins souvent à gérer directement des tâches d'administrations des systèmes informatiques, pris par mes fonctions de management et de gestions administratives stratégiques.

Bien sur, je suis plus à l'aise maintenant qu'il y a 16 ans, dans l'animation souvent difficile des réunions d'expertise judiciaire. Je suis moins sensible aux images et films que j'ai à observer lors des analyses de scellés. Je suis plus rodé aux procédures, aux logiciels, à la rédaction de rapports... C'est ce que l'on appelle l'expérience.

Et j'ai encore beaucoup de choses à apprendre : l'analyse des "gros systèmes", l'analyse à chaud de systèmes, la médiation... avec, et c'est important, l'ENVIE d'apprendre.

Mais je suis de plus en plus conscient des changements permanents qui concernent le monde technique dans lequel je suis "expert" : les objets connectés, les nouveaux systèmes d'exploitation qui se profilent (les différents Windows, les différents iOS, les différents Android, les différents GNU/Linux, et tous les autres).

N'y a-t-il pas une contradiction entre se prétendre "expert généraliste de l'informatique" et être capable d'intervenir de manière très pointue dans tous les domaines de l'informatique ? Bien sur que oui. Et cette contradiction se gère très bien quand l'on dispose de l'énergie suffisante pour suivre les évolutions techniques, se former en permanence, être en veille sur toutes les nouveautés et être capable d'acquérir rapidement les connaissances d'un spécialiste, à la demande.

Je croise d'excellents experts judiciaires de plus de 50 ans...

Mais je me demande à quel moment j'aurai la lucidité de demander mon retrait de la liste des experts judiciaires de ma cour d'appel. A quel moment faut-il laisser la place aux jeunes, aux forces vives, aux suivants ? A 55 ans ? A 60 ans ? A 65 ans ?

Mes parents ont pris leur retraite d'instituteurs au moment où l'informatique entrait en force dans l'éducation nationale (avec les MO5/TO5). Pendant des années, ils sont désintéressés de ce qui allait appeler la révolution numérique. Ils ont vu disparaître les cassettes vidéos, les cassettes audio, les appareils photos argentiques, les caméscopes à cassettes, la télévision hertzienne analogique. Ils ont arrêté de prendre des photos, parce que c'était devenu trop compliqué. Heureusement, ils ont eu la force de suivre des cours d'informatique organisés par la mairie de leur commune, et se faire offrir un ordinateur "tout en un" par leur grand fils chéri. Ils ont maintenant une adresse email, naviguent sur internet à la découverte du monde, et participent avec leurs enfants et petits enfants à des visioconférences Skype toutes les semaines (j'ai des parents fantastiques).

Mais quid de ceux qui n'ont pas eu la force de s'adapter au monde numérique ? Ils subissent les évolutions technologiques. Ils regardent passer le train.

Je connais beaucoup de gens de mon âge qui se moquent des réseaux sociaux, qui regardent avec un air dégoûté les outils utilisés par leurs enfants. Ils ont raison, parfois, surtout face aux excès. Et puis chacun est libre de ses choix.

De mon côté, je me demande à quel moment je vais rater le train et rester sur le côté. J'essaye d'imaginer ma vie dans 30 ans. J'essaye de deviner quelles évolutions technologiques vont me dépasser, parce que je me serai dit "ce n'est pas pour moi" ou "ça ne m'intéresse pas". Ou encore "ça ne marchera jamais".

A quel moment est-on dépassé dans son cœur d'expertise ?
A quel moment l'énergie, l'envie, la curiosité diminuent-elles irrémédiablement ?

A quel moment vais-je baisser les bras ?


13 mai 2015

Histoire de drone

Ce blog devient un peu trop sérieux à mon goût, et trop axé sur les expertises. Aussi, je vais vous narrer une petite histoire qui m'est arrivé au travail.

Un matin, alors que je traversais l'école où je travaille, le gardien me tombe dessus : "Zythom, j'ai entendu un gros bruit cette nuit sur le toit de l'école ! J'y suis allé ce matin et j'ai trouvé ça" (ouvrant un sac de supermarché) :


Mince, un drone s'est écrasé sur le toit !

Comme si je n'avais que ça à faire... Du coup, je suis allé inspecter le toit de l'école pour voir les dégâts (insignifiants), et je me suis retrouvé avec un nouveau problème sur les bras : comment me débarrasser de cet appareil ?

Je regarde d'un peu plus près les composants, et je repère une petite caméra GoPro avec une carte mémoire 16Go.

J'emmène tout ça chez moi, où je dispose des adaptateurs microSD pour analyser le contenu de cette carte : nada. Rien. Aucune donnée visible sur la carte.

Je lance alors l'excellent logiciel PhotoRec pour extraire rapidement toutes les données encore présentes sur la carte, malgré leur effacement. Je laisse le logiciel faire son boulot et, au bout de quelques heures, me voici avec 400 photos sur les bras.

Des images de survol, des images d'atterrissage, encore des images de survol. Et quatre selfies du propriétaire posant avec ses camarades dans une salle de cours (tenant la GoPro à bout de bras). Je tiens donc l'image du propriétaire, je vais pouvoir le retrouver.

Oui, mais.

J'ai la tête du propriétaire sur des photos, je peux les imprimer pour les montrer ou les envoyer par email aux différents DSI des établissements d'enseignement du coin. Oui, mais ça m'embête de divulguer autour de moi des photos dont je perçois parfaitement le caractère privé. Donc non.

Je décide d'attendre que le propriétaire vienne à moi. L'information concernant le crash du drone sur le toit de mon établissement va vite lui parvenir aux oreilles, et, s'il cherche son appareil, il viendra le réclamer à l'accueil. Je passe la consigne à l'accueil de me l'envoyer dès qu'il se présentera. Je saurai le reconnaître, puisque je connais déjà son visage.

Oui, mais. Une semaine s'écoule, et pas de nouvelles. Au bout de dix jours, je décide de libérer mon bureau de cet encombrant engin : je l'apporte aux objets trouvés de ma ville. C'est l'occasion pour moi de découvrir ce service mythique. Le préposé m'accueille chaleureusement, mais semble débordé. "J'occupe deux postes car mon collègue est malade", me dit-il entre deux appels téléphoniques. "Posez votre objet sur le comptoir et donnez moi votre nom et un numéro de téléphone" ajoute-t-il en prenant un post-it. "Je l'enregistrerai dans quelques jours".

Je ressors de là sans récépissé un peu dépité.

Le plus amusant, dans cette histoire, c'est qu'en revenant sur mon lieu de travail après avoir amené les restes du drone aux objets trouvés, le propriétaire s'est présenté à mon bureau...

J'ai donc pu connaître toute l'histoire : c'est un drone fabriqué dans le cadre de ses études à l'université voisine, ce qui explique son GPS embarqué, il effectue beaucoup de vols (avec autorisation) pour faire des relevés. Le jour de la chute, il y avait beaucoup de vent, il faisait nuit, la caméra est tombé en panne, il a perdu de vue le drone, puis l'a perdu tout court... Il le croyait tombé dans le lac voisin, jusqu'à ce que la rumeur lui parvienne que le drone était tombé sur le toit de mon établissement.

Je lui ai donné l'adresse du service des objets trouvés. Il a pu récupérer son appareil. Il semblait heureux d'être tombé sur quelqu'un d'honnête. Je lui ai parlé de la récupération d'images que j'avais effectuée sur la carte de sa caméra et semblait surpris que j'ai pu récupérer les selfies. "J'ai saturé la carte mémoire plusieurs fois avec des films de survol, je suis surpris qu'il reste des photos exploitables sur la carte !"

Impossible n'est pas expert judiciaire!
Merci surtout à PhotoRec ;-)

05 mai 2015

La loi de la honte

Pour mémoire, voici les votes des députés sur le projet de loi relatif au renseignement, en première lecture, ce mardi 5 mai 2015 (source) :

Ils ont votés CONTRE :

    Pouria Amirshahi
    Fanélie Carrey-Conte
    Aurélie Filippetti
    Jean-Patrick Gille
    Linda Gourjade
    Philippe Noguès
    Michel Pouzol
    Barbara Romagnan
    Gérard Sebaoun
    Suzanne Tallard
    Yves Albarello
    Patrick Balkany
    Étienne Blanc
    Xavier Breton
    Philippe Cochet
    Bernard Debré
    Jean-Pierre Decool
    Patrick Devedjian
    Nicolas Dhuicq
    Sophie Dion
    Virginie Duby-Muller
    Hervé Gaymard
    Claude Goasguen
    Jean-Pierre Gorges
    Henri Guaino
    Jean-Jacques Guillet
    Patrick Hetzel
    Laure de La Raudière
    Pierre Lellouche
    Dominique Le Mèner
    Laurent Marcangeli
    Hervé Mariton
    Franck Marlin
    Philippe Meunier
    Jean-Claude Mignon
    Yannick Moreau
    Édouard Philippe
    Jean-Frédéric Poisson
    Bérengère Poletti
    Franck Riester
    Thierry Solère
    Alain Suguenot
    Lionel Tardy
    Jean-Charles Taugourdeau
    Michel Voisin
    Charles de Courson
    Yannick Favennec
    Jean-Christophe Fromantin
    Philippe Gomès
    Yves Jégo
    Maurice Leroy
    Hervé Morin
    Bertrand Pancher
    Arnaud Richard
    Jonas Tahuaitu
    Francis Vercamer
    Laurence Abeille
    Brigitte Allain
    Isabelle Attard
    Danielle Auroi
    Michèle Bonneton
    Sergio Coronado
    Cécile Duflot
    Noël Mamère
    Paul Molac
    Jean-Louis Roumégas
    Eva Sas
    François Asensi
    Huguette Bello
    Alain Bocquet
    Marie-George Buffet
    Jean-Jacques Candelier
    Patrice Carvalho
    Gaby Charroux
    André Chassaigne
    Jacqueline Fraysse
    Alfred Marie-Jeanne
    Jean-Philippe Nilor
    Nicolas Sansu
    Véronique Besse
    Jacques Bompard
    Gilbert Collard
    Nicolas Dupont-Aignan
    Jean Lassalle
    Marion Maréchal-Le Pen
    Thomas Thévenoud
    Laurent Grandguillaume (a fait savoir qu'il avait voulu voté contre)


Ils ont voté POUR :

    Ibrahim Aboubacar
    Patricia Adam
    Sylviane Alaux
    Jean-Pierre Allossery
    François André
    Nathalie Appéré
    Kader Arif
    Christian Assaf
    Joël Aviragnet
    Pierre Aylagas
    Jean-Marc Ayrault
    Alexis Bachelay
    Guillaume Bachelay
    Jean-Paul Bacquet
    Dominique Baert
    Gérard Bapt
    Frédéric Barbier
    Serge Bardy
    Ericka Bareigts
    Christian Bataille
    Delphine Batho
    Marie-Noëlle Battistel
    Philippe Baumel
    Catherine Beaubatie
    Marie-Françoise Bechtel
    Jean-Marie Beffara
    Luc Belot
    Karine Berger
    Chantal Berthelot
    Gisèle Biémouret
    Philippe Bies
    Erwann Binet
    Yves Blein
    Daniel Boisserie
    Christophe Borgel
    Florent Boudié
    Marie-Odile Bouillé
    Christophe Bouillon
    Brigitte Bourguignon
    Malek Boutih
    Émeric Bréhier
    Jean-Louis Bricout
    Jean-Jacques Bridey
    François Brottes
    Isabelle Bruneau
    Gwenegan Bui
    Sabine Buis
    Jean-Claude Buisine
    Sylviane Bulteau
    Vincent Burroni
    Alain Calmette
    Jean-Christophe Cambadélis
    Colette Capdevielle
    Yann Capet
    Christophe Caresche
    Marie-Arlette Carlotti
    Martine Carrillon-Couvreur
    Christophe Castaner
    Laurent Cathala
    Jean-Yves Caullet
    Guy Chambefort
    Jean-Paul Chanteguet
    Marie-Anne Chapdelaine
    Guy-Michel Chauveau
    Jean-David Ciot
    Alain Claeys
    Jean-Michel Clément
    Marie-Françoise Clergeau
    Romain Colas
    Philip Cordery
    Valérie Corre
    Jean-Jacques Cottel
    Catherine Coutelle
    Jacques Cresta
    Pascale Crozon
    Frédéric Cuvillier
    Seybah Dagoma
    Yves Daniel
    Carlos Da Silva
    Pascal Deguilhem
    Florence Delaunay
    Michèle Delaunay
    Guy Delcourt
    Pascal Demarthe
    Sébastien Denaja
    Françoise Descamps-Crosnier
    Sophie Dessus
    Jean-Louis Destans
    Michel Destot
    Fanny Dombre-Coste
    René Dosière
    Sandrine Doucet
    Philippe Doucet
    Françoise Dubois
    Jean-Pierre Dufau
    Anne-Lise Dufour-Tonini
    Françoise Dumas
    William Dumas
    Jean-Louis Dumont
    Jean-Paul Dupré
    Yves Durand
    Philippe Duron
    Olivier Dussopt
    Henri Emmanuelli
    Corinne Erhel
    Sophie Errante
    Marie-Hélène Fabre
    Olivier Faure
    Alain Fauré
    Hervé Féron
    Richard Ferrand
    Geneviève Fioraso
    Hugues Fourage
    Jean-Marc Fournel
    Valérie Fourneyron
    Michèle Fournier-Armand
    Michel Françaix
    Christian Franqueville
    Jean-Claude Fruteau
    Jean-Louis Gagnaire
    Yann Galut
    Guillaume Garot
    Hélène Geoffroy
    Jean-Marc Germain
    Jean Glavany
    Yves Goasdoué
    Geneviève Gosselin-Fleury
    Pascale Got
    Marc Goua
    Estelle Grelier
    Jean Grellier
    Edith Gueugneau
    Élisabeth Guigou
    Chantal Guittet
    David Habib
    Razzy Hammadi
    Benoît Hamon
    Joëlle Huillier
    Sandrine Hurel
    Christian Hutin
    Monique Iborra
    Françoise Imbert
    Michel Issindou
    Éric Jalton
    Serge Janquin
    Henri Jibrayel
    Régis Juanico
    Armand Jung
    Laurent Kalinowski
    Marietta Karamanli
    Philippe Kemel
    Chaynesse Khirouni
    Bernadette Laclais
    Conchita Lacuey
    François Lamy
    Anne-Christine Lang
    Colette Langlade
    Jean Launay
    Jean-Luc Laurent
    Jean-Yves Le Bouillonnec
    Gilbert Le Bris
    Anne-Yvonne Le Dain
    Jean-Yves Le Déaut
    Viviane Le Dissez
    Michel Lefait
    Dominique Lefebvre
    Annie Le Houerou
    Annick Le Loch
    Patrick Lemasle
    Catherine Lemorton
    Christophe Léonard
    Annick Lepetit
    Jean-Pierre Le Roch
    Bruno Le Roux
    Arnaud Leroy
    Michel Lesage
    Bernard Lesterlin
    Serge Letchimy
    Michel Liebgott
    Martine Lignières-Cassou
    Audrey Linkenheld
    François Loncle
    Gabrielle Louis-Carabin
    Lucette Lousteau
    Victorin Lurel
    Jacqueline Maquet
    Marie-Lou Marcel
    Jean-René Marsac
    Philippe Martin
    Frédérique Massat
    Sandrine Mazetier
    Michel Ménard
    Patrick Mennucci
    Kléber Mesquida
    Philippe Nauche
    Nathalie Nieson
    Robert Olive
    Maud Olivier
    Monique Orphé
    Michel Pajon
    Luce Pane
    Rémi Pauvros
    Germinal Peiro
    Hervé Pellois
    Jean-Claude Perez
    Sébastien Pietrasanta
    Martine Pinville
    Christine Pires Beaune
    Philippe Plisson
    Élisabeth Pochon
    Napole Polutélé
    Pascal Popelin
    Dominique Potier
    Régine Povéda
    Christophe Premat
    Joaquim Pueyo
    François Pupponi
    Catherine Quéré
    Valérie Rabault
    Monique Rabin
    Dominique Raimbourg
    Marie Récalde
    Eduardo Rihan Cypel
    Alain Rodet
    Frédéric Roig
    Bernard Roman
    Gwendal Rouillard
    René Rouquet
    Alain Rousset
    Boinali Said
    Béatrice Santais
    Odile Saugues
    Gilbert Sauvan
    Christophe Sirugue
    Julie Sommaruga
    Pascal Terrasse
    Sylvie Tolmont
    Jean-Louis Touraine
    Stéphane Travert
    Catherine Troallic
    Cécile Untermaier
    Jean-Jacques Urvoas
    Daniel Vaillant
    Jacques Valax
    Clotilde Valter
    Michel Vauzelle
    Fabrice Verdier
    Michel Vergnier
    Patrick Vignal
    Jean-Michel Villaumé
    Jean Jacques Vlody
    Paola Zanetti
    Damien Abad
    Elie Aboud
    Bernard Accoyer
    Nicole Ameline
    Benoist Apparu
    Laurence Arribagé
    Julien Aubert
    Olivier Audibert-Troin
    Jean-Pierre Barbier
    Jacques Alain Bénisti
    Xavier Bertrand
    Marcel Bonnot
    Jean-Claude Bouchet
    Valérie Boyer
    Philippe Briand
    Bernard Brochand
    Dominique Bussereau
    Olivier Carré
    Gilles Carrez
    Yves Censi
    Jérôme Chartier
    Luc Chatel
    Gérard Cherpion
    Guillaume Chevrollier
    Alain Chrétien
    Jean-Louis Christ
    Dino Cinieri
    Éric Ciotti
    Jean-François Copé
    François Cornut-Gentille
    Jean-Louis Costes
    Édouard Courtial
    Jean-Michel Couve
    Marie-Christine Dalloz
    Gérald Darmanin
    Olivier Dassault
    Bernard Deflesselles
    Lucien Degauchy
    Rémi Delatte
    Jean-Pierre Door
    Dominique Dord
    David Douillet
    Marianne Dubois
    Christian Estrosi
    Daniel Fasquelle
    Georges Fenech
    François Fillon
    Marie-Louise Fort
    Yves Foulon
    Marc Francina
    Yves Fromion
    Laurent Furst
    Sauveur Gandolfi-Scheit
    Annie Genevard
    Guy Geoffroy
    Bernard Gérard
    Alain Gest
    Daniel Gibbes
    Franck Gilard
    Georges Ginesta
    Charles-Ange Ginesy
    Jean-Pierre Giran
    Philippe Gosselin
    Philippe Goujon
    Claude Greff
    Arlette Grosskost
    Serge Grouard
    Jean-Claude Guibal
    Christophe Guilloteau
    Michel Heinrich
    Michel Herbillon
    Antoine Herth
    Guénhaël Huet
    Sébastien Huyghe
    Christian Jacob
    Denis Jacquat
    Christian Kert
    Nathalie Kosciusko-Morizet
    Jacques Kossowski
    Patrick Labaune
    Valérie Lacroute
    Marc Laffineur
    Jacques Lamblin
    Jean-François Lamour
    Guillaume Larrivé
    Charles de La Verpillière
    Thierry Lazaro
    Alain Leboeuf
    Isabelle Le Callennec
    Marc Le Fur
    Bruno Le Maire
    Jean Leonetti
    Pierre Lequiller
    Philippe Le Ray
    Geneviève Levy
    Gilles Lurton
    Jean-François Mancel
    Alain Marleix
    Philippe Armand Martin
    Patrice Martin-Lalande
    Alain Marty
    Jean-Claude Mathis
    François de Mazières
    Gérard Menuel
    Damien Meslot
    Pierre Morange
    Alain Moyne-Bressand
    Jacques Myard
    Dominique Nachury
    Yves Nicolin
    Patrick Ollier
    Valérie Pécresse
    Jacques Pélissard
    Axel Poniatowski
    Josette Pons
    Didier Quentin
    Frédéric Reiss
    Jean-Luc Reitzer
    Bernard Reynès
    Camille de Rocca Serra
    Sophie Rohfritsch
    Martial Saddier
    Paul Salen
    François Scellier
    Claudine Schmid
    André Schneider
    Jean-Marie Sermier
    Michel Sordi
    Éric Straumann
    Claude Sturni
    Michèle Tabarot
    Guy Teissier
    Michel Terrot
    Jean-Marie Tetart
    Dominique Tian
    François Vannson
    Catherine Vautrin
    Patrice Verchère
    Jean-Pierre Vigier
    Philippe Vitel
    Laurent Wauquiez
    Éric Woerth
    Marie-Jo Zimmermann
    Stéphane Demilly
    Philippe Folliot
    Meyer Habib
    Francis Hillmeyer
    Sonia Lagarde
    Jean-Christophe Lagarde
    Michel Piron
    Franck Reynier
    François Rochebloine
    Maina Sage
    Rudy Salles
    André Santini
    François Sauvadet
    Jean-Paul Tuaiva
    Philippe Vigier
    François-Xavier Villain
    Michel Zumkeller
    Éric Alauzet
    Denis Baupin
    Christophe Cavard
    François-Michel Lambert
    François de Rugy
    Jean-Noël Carpentier
    Ary Chalus
    Gérard Charasse
    Jeanine Dubié
    Olivier Falorni
    Paul Giacobbi
    Joël Giraud
    Gilda Hobert
    Jacques Krabal
    Jérôme Lambert
    Jean-Pierre Maggi
    Jacques Moignard
    Dominique Orliac
    Thierry Robert
    Stéphane Saint-André
    Roger-Gérard Schwartzenberg
    Alain Tourret
    Bruno Nestor Azérot
    Marc Dolez
    Gabriel Serville
    Sylvie Andrieux
    Gilles Savary (a fait savoir qu'il avait voulu voté pour)


Ils se sont ABSTENUS :

    Laurent Baumel
    Nicolas Bays
    Jean-Luc Bleunven
    Kheira Bouziane-Laroussi
    Nathalie Chabanne
    Dominique Chauvel
    Pascal Cherki
    Laurence Dumont
    Geneviève Gaillard
    Daniel Goldberg
    Mathieu Hanotin
    Pierre-Yves Le Borgn'
    Pierre-Alain Muet
    Christian Paul
    Patrice Prat
    Marie-Line Reynaud
    Denys Robiliard
    Sylvain Berrios
    Marc-Philippe Daubresse
    Claude de Ganay
    Anne Grommerch
    Françoise Guégot
    Philippe Houillon
    Frédéric Lefebvre
    Céleste Lett
    Véronique Louwagie
    Lionnel Luca
    Thierry Mariani
    Olivier Marleix
    Alain Marsaud
    Pierre Morel-A-L'Huissier
    Bernard Perrut
    Christophe Priou
    Arnaud Robinet
    Fernand Siré
    Jean-Sébastien Vialatte
    Jean-Luc Warsmann
    Thierry Benoit
    Laurent Degallaix
    Véronique Massonneau
    Barbara Pompili
    Gilles Bourdouleix


Il n'a PAS VOTE :

    M. Claude Bartolone (Président de l'Assemblée nationale).

27 avril 2015

Dites leur que vous les aimez

Chaque année, le 27 avril, j'ai une pensée émue pour l'un de mes étudiants qui s'est donné la mort l'année de ses 20 ans. Il venait de finir son stage avec moi et laissait à ses parents une lettre d'adieu dans laquelle il expliquait son mal de vivre. Dans cette lettre, il mentionnait mon nom et son stage comme étant l'un des rares moments où il avait cru en lui.

Je n'ai pas su voir son mal être.

Vous qui me lisez aujourd'hui, pensez à vos amis et proches qui sont toujours à vos côtés et dites leur que vous les aimez.

Stéphane, tu auras toujours 20 ans dans mon cœur.

23 avril 2015

Le chant des sirènes

Je suis responsable de tous les problèmes informatiques et techniques de l'école d'ingénieurs où je travaille (bon, en vrai, je suis soutenu par six techniciens qui font un boulot formidable). Cela inclut l'entretien des espaces verts, l'accessibilité, les parkings, le chauffage, la ventilation, l'hygiène, le nettoyage, la téléphonie, la reprographie, les serveurs, le réseau, la sécurité incendie, la sécurité des biens, etc.

Et donc, alors que je travaillais tranquillement dans mon bureau, j'entends soudainement le bruit des sirènes d'alarme des pompiers... Je regarde ma montre : il est 15h13, et nous ne sommes pas le 1er mercredi du mois !

J'écoute attentivement le signal d'alarme : cinq hululements sinistres d'environ sept secondes. Le tout répété plusieurs fois...

Il se passe quelque chose.
Il se passe quelque chose, mais je ne sais pas quoi !

Parmi la multitude des casquettes de responsabilité que je porte, j'enfile celle de responsable de la sécurité des personnes. Je jette un œil à la page Wikipédia consacré aux alertes à la population. Et je prends une décision : il faut confiner l'ensemble des étudiants et du personnel dans les bâtiments de l'école.

Me voici en train de faire le tour des bureaux en demandant la fermeture immédiate des fenêtres. J'explique rapidement la situation : sirènes d'alerte à la population = confinement. Tout le personnel obtempère sans broncher.

Je me saisis du mégaphone qui me sert pour communiquer lors des exercices incendies et me précipite à l'extérieur pour demander aux étudiants (en pause) de rentrer rapidement dans les locaux de l'école. Les étudiants obéissent, en traînant les pieds et en rigolant. Les fumeurs râlent.

Je demande ensuite à mon équipe technique d'arrêter toutes les ventilations du bâtiment. En quelques minutes, toutes les climatisations et tout le système de circulation d'air est arrêté.

Je souffle un peu.

Il faut que j'écoute la radio. Zut, je n'ai pas de radio, encore moins en grandes ondes... Je cherche sur internet. France Inter et France Info sont en grèves. Pas de bol. Je zappe sur des radios locales : il n'y a que de la musique et des animateurs anormalement normaux.

Les sirènes se sont tues. J'attends le signal de fin d'alerte qui ne vient pas. Je vérifie sur internet : nous avons plusieurs usines de type "Sévezo" dans le coin. Un incident est toujours possible.

J'appelle la préfecture. Le planton me dit qu'il n'est pas au courant. En désespoir de cause, je me résous à appeler le 18, ce qu'il ne faut bien entendu jamais faire pour ne pas surcharger les liaisons.

Bingo : il s'agit d'un simple essai de sirènes suite à un remplacement à neuf. Sauf que nous n'étions pas prévenus...

Je me suis fendu d'un email d'explications à toute la communauté, dans lequel j'ai rappelé les consignes de bases dans ce type d'exercice. J'en profite pour le rappeler ici, si cela peut servir un jour à quelqu'un :

Si vous entendez les sirènes d'alerte à la population, et qu'il n'est pas midi le premier mercredi du mois, il faut vous abriter rapidement à l'intérieur d'un bâtiment.

Extrait de Wikipédia :

Lorsque le signal d'alerte retentit, les personnes sont invitées

  • à se confiner dans l'endroit clos le plus proche (domicile, lieu public, entreprise, école...) en colmatant les ouvertures, en coupant les ventilations, climatiseurs et chauffages, et en restant loin des fenêtres ;
  • à s'abstenir de faire des flammes, de fumer, d'ouvrir les fenêtres ;
  • à s'abstenir de téléphoner (ni téléphone fixe, ni téléphone mobile) sauf détresse vitale, afin de laisser les lignes libres pour les secours ;
  • et à écouter la radio : France Inter sur grandes ondes (1 852 m, 162 kHz) : il s'agit de la radio de service public, et en cas de destruction de l'émetteur en modulation de fréquence (FM) le plus proches, l'émission en grandes ondes peut toujours être captée ; à défaut, écouter France Info ou les radios locales. La station répétera en boucle la situation et les consignes à suivre.
Les enfants scolarisés sont pris en charge par l'école, c'est le lieu où ils sont le plus en sécurité. Il est donc dangereux et inutile d'aller les chercher.

La fin de l'alerte est indiquée par un signal continu de trente secondes.

Extrait de interieur.gouv.fr :

Ce qu'il faut faire

La mise à l'abri est la protection immédiate la plus efficace. Elle permet d'attendre dans les meilleures conditions possibles l'arrivée des secours.
Au signal, il faut :
  • rejoindre sans délai un local clos, de préférence sans fenêtre, en bouchant si possible soigneusement les ouvertures (fentes, portes, aérations, cheminées…).
  • Arrêter climatisation, chauffage et ventilation.
  • Se mettre à l'écoute de la radio : France Inter, France Info ou des radios locales.

Ce qu'il ne faut pas faire

  • rester dans un véhicule.
  • Aller chercher ses enfants à l'école (les enseignants se chargent de leur sécurité).
  • Téléphoner (les réseaux doivent rester disponibles pour les secours).
  • Rester près des vitres.
  • Ouvrir les fenêtres pour savoir ce qui se passe dehors.
  • Allumer une quelconque flamme (risque d'explosion).
  • Quitter l'abri sans consigne des autorités.
La sécurité est l'affaire de chacun, il est normal de s'y préparer.
L'alerte est destinée à prévenir de l'imminence d'une situation mettant en jeu la sécurité de la population et permet de prendre immédiatement les mesures de protection.
Elle peut être donnée pour signaler un nuage toxique ou explosif, un risque radioactif, une menace d'agression aérienne, certains risques naturels.


-----------------------------------------------------

Et évidemment, si vous êtes responsable de la sécurité, attendez-vous à être ridicule quand vous agissez alors qu'il s'agit d'un test anodin et que vous n'avez pas été prévenu...


Ce qui m'a fait plaisir, c'est que plusieurs personnes ont répondu à mon email pour me féliciter et me dire qu'elles se sentaient en sécurité de savoir que quelqu'un veillait sur eux.

Et ça, ça efface bien le sentiment d'être ridicule :-)


14 avril 2015

GNU/Linux et la vente liée

J'ai découvert GNU/Linux en 1993, avec une distribution qui s'appelait Yggdrasil. Il s'agissait pour moi de trouver un remplacement à l'HP-UX que j'avais connu dans ma vie professionnelle précédente. Puis, toujours pour des raisons professionnelles, j'ai adopté pendant plusieurs années la distribution Slackware, pour migrer ensuite vers le Chapeau Rouge et enfin vers la distribution Debian qui équipe maintenant tous mes serveurs GNU/Linux pro.

En parallèle, j'ai joué avec Nextstep, FreeBSD, Solaris et NetBSD, pour différentes raisons, mais c'est surtout l'univers des différentes distributions GNU/Linux qui m'a attiré : j'aime bien de temps en temps installer une distribution pour voir comment elle fonctionne. Je teste un peu de tout, mais pas tout, car vous trouverez une liste impressionnante des différentes distributions sur cette page Wikipédia.

Certaines distributions sont spécialisées dans l'inforensique, comme DEFT. D'autres dans la protection de la vie privée, comme Tails. Enfin, certaines sont adaptées à un usage grand public, comme Ubuntu, que j'ai choisie pour mon ordinateur personnel.

Tout est affaire de choix, et chaque distribution a sa communauté et ses passionnés. Mais, si je suis un utilisateur converti depuis longtemps, je n'ai jamais fait parti des contributeurs, c'est-à-dire que je n'ai jamais participé au développement, aux tests, à la documentation, aux traductions, etc. Peut-être puis-je me targuer d'en avoir parlé autour de moi, et d'avoir incité mes étudiants à s'en servir. Mais le fait de ne pas contribuer me rend un peu mal à l'aise...

C'est pourquoi, le jour où un avocat m'a contacté pour me demander de faire une analyse technique en tant qu'expert, avec comme objectif de lutter contre la vente forcée du système d'exploitation lors d'un achat de matériel informatique, j'ai tout de suite répondu présent.

C'était la chance de ma vie pour apporter ma pierre à l'édifice.
C'était le projet qui allait marquer ma vie d'expert de justice.
C'était le moyen de détrôner Windows de son hégémonie et rendant le choix possible pour le consommateur.

J'étais chaud bouillant.

Hélas, le problème est plus complexe qu'il n'y paraît. Comment évaluer la simplicité d'installation d'une distribution sur un ordinateur ? Quelle distribution faut-il tester ? Sur quels ordinateurs faut-il faire les tests pour prétendre être exhaustif ? Combien d'ordinateurs, quelles marques ? Etc.

Est-il possible d'écrire un rapport technique objectif prouvant la vente liée ?

Il est beaucoup plus simple de trouver un ordinateur récent et d'installer plusieurs distributions pour en trouver quelques unes qui ne s'installent pas correctement... Il y a souvent un "truc" propriétaire sur l'ordinateur (par exemple des boutons sur un portable) qui ne sera pas reconnu par le système d'exploitation si le constructeur ne fournit pas le bout de programme ad-hoc. Et le temps que la communauté développe le pilote manquant, un certain nombre de consommateurs peuvent s'estimer floués...

En 2008, Darty avait été poursuivi par l'association UFC-Que Choisir pour vente liée PC et logiciels, mais le tribunal l'avait déboutée (lire ici). La société Darty avait quand même été condamnée à détailler le prix des logiciels installés sur un PC. Cette obligation avait été retirée en appel.

Le jugement d'appel peut être lu ici (pdf).

J'en reproduit ici un extrait qui me semble intéressant :
Darty justifie d'ailleurs que ces ordinateurs, ainsi équipés, lui sont facturés globalement, sans distinction entre le prix de l'ordinateur et celui des logiciels, et que ses demandes pressantes adressées le 26 juin 2008 à ses fournisseurs (Toshiba, Asus, Apple, Packard Bell, Sony, Hewlett Packard, Fujitsu-Siemens et Acer), dans le but de satisfaire à l'injonction du tribunal, sont demeurées vaines, Apple ayant répondu que ses logiciels, conçus par elle, ne sont pas vendus séparément, Hewlett Packard ayant fait valoir que "les logiciels qu'(elle) se procure en très grandes quantités pour en équiper ses ordinateurs doivent être distingués de ceux disponibles dans le commerce et que ces composants ne font pas l'objet d'une commercialisation séparée" et qu'elle estimait en conséquence que "le prix des logiciels dont elle équipe ses machines et dont elle n'est pas par ailleurs revendeur est un élément de la structure du coût de ses ordinateurs et relève du secret des affaires", et les autres n'ayant tout simplement pas accédé à sa requête;
Où en est-on en 2015 ? Je ne suis pas juriste, donc, je ne peux pas vous dire dans quel sens les textes de loi ont évolué. J'espère que le moment est venu de se reposer la question de la vente liée.

Il faudrait sans doute définir dans la loi plusieurs sortes de consommateurs : celui qui souhaite une machine "clef en main" et celui qui peut accepter une machine nue, avec une réduction de prix, même modique. Il faudrait que les constructeurs fournissent les pilotes de leur matériel propriétaire. Il faudrait que les constructeurs acceptent d'installer plusieurs systèmes d'exploitation en OEM pour assurer la pleine exploitation de leurs machines et l'égalité des armes.

La gratuité annoncée de Windows 10 va peut-être débloquer cette situation, développer les parts d'utilisation des OS alternatifs et permettre au consommateur d'avoir le choix. La guerre des OS n'est pas prête de s'arrêter.

Pour l'instant, ce projet d'expertise est en attente, et je me contente de contribuer au point n°10 de cette liste, et d'acheter mes ordinateurs nus sur les sites qui le proposent.

En attendant mieux.
Désolé.

-------------------------------------------------
Source dessin : Bruno Bellamy