20 novembre 2012

Assistance à Huissier

La tension est palpable dans la pièce trop petite pour tout ce monde. Je suis assis devant l'ordinateur en train de regarder son contenu. A côté de moi, l'huissier prend des notes sur toutes les manipulations que j'effectue. En face de moi, le salarié, assisté d'un délégué du personnel. Dans un coin de la pièce, le directeur de l'usine, très remonté. A ses côtés, un informaticien bien embêté.

Je suis en pleine mission d'assistance à huissier.
Tout le monde attend beaucoup de moi.


Je préviens tout de suite les personnes présentes que je ne suis pas Dieu, que je vais avoir besoin d'un certain nombre d'informations pour pouvoir faire mes recherches sur le poste de travail... Le responsable informatique hoche la tête.

Je demande si le PC ne peut pas être mis sous scellé pour une analyse inforensique différée. Non, l'ordinateur contient des données importantes pour la production de l'entreprise, des clefs matérielles permettant de faire fonctionner des logiciels vitaux. Il faut faire une analyse in situ, là maintenant.

J'allume le PC. Le système d'exploitation est un classique Windows XP en mode domaine. Je demande les mots de passe des comptes utilisateur et administrateur concernés. L'huissier prend des notes, me demande d'aller doucement. Je me connecte en tant qu'administrateur local de la machine.

L'huissier note tout ce que je fais. Il me demande d'expliquer en termes simples la manipulation que j'effectue et pourquoi je la fais. On n'est pas sorti de l'auberge. Surtout que je ne sais pas vraiment ce que je dois chercher.

"Cela fait deux fois que le fichier des clients est modifié alors que je suis absent et que je suis le seul à pouvoir y accéder !" Tonne le directeur de l'usine. L'informaticien m'explique que les fichiers de log du serveur montrent des accès en provenance de cet ordinateur, sur lequel le directeur affirme n'avoir jamais travaillé.

Tout le monde parle en même temps, le salarié accusé, le délégué du personnel, le directeur de l'usine... Je ne suis pas là pour animer la réunion, ni l'huissier d'ailleurs. Je regarde tout le monde s'énerver. Je suis l'observateur privilégié d'un drame interne de l'entreprise.

Je n'ai aucune idée de la méthode que je dois suivre pour prouver l'utilisation frauduleuse d'un compte sur l'ordinateur. Pourtant on attend de moi une tâche impossible: dire qui a piraté le compte du directeur et comment. Je demande les logs d'accès au serveur Windows 2003. L'informaticien est un peu embêté. Il m'explique que du fait d'une panne de disque dur et d'un remplacement à la va vite par un disque plus petit, il a fallu faire de la place, que la réinstallation du serveur a été faite très vite, que les logs d'accès sont minimalistes. Bref, une sécurité bâclée. Mais je sais que le compte informatique a été utilisé sur le poste devant lequel je me trouve. En tout cas, semble l'avoir été. En fait, je sais très peu de chose, mais qu'un salarié est accusé.

J'ai été appelé la veille, par l'huissier de justice, qui voulait savoir si j'étais disponible pour une intervention en entreprise prévue le lendemain matin.
Z : "Mais une intervention sur quel type de matériel et pour y rechercher quoi ?"
H : "Un salarié est accusé d'avoir modifié des données sur le serveur."
Z : "Ah bon ? Mais quel type de serveur, quel système informatique ?"
H : "Ah ça, je ne sais pas. Mais il faut qu'on y soit à 8h demain matin."
Z : "Gmblmblmbl. Je vérifie mon agenda et j'appelle mon patron pour voir si je peux me libérer et je vous rappelle."

Me voilà donc à 8h dans un bureau où tout le monde me regarde. Je regarde les logiciels installés sur l'ordinateur. Je demande des explications pour certains d'entre eux. L'informaticien me renseigne. L'huissier prend des notes. Rien ne semble anormal.

Je demande au directeur de l'usine de me donner son mot de passe: "Vlehd233" me répond-il. Je note scrupuleusement, en faisant répéter. Il me précise qu'il a changé le mot de passe depuis, mais que c'est celui-là qu'il utilisait depuis longtemps.

Je lance une recherche de cette chaîne de caractères sur tous les fichiers du disque dur. J'explique à l'huissier qui prend bonne note. Rien. Je procède à la récupération de tous les fichiers effacés de l'ordinateur et regarde la liste des fichiers.

Un exécutable attire mon attention: unshadow.exe
A partir de mon ordinateur portable, j'effectue une petite recherche sur internet... John The Ripper. Ce bon vieux JTR, que j'utilisais il y a des années pour tester la fiabilité des mots de passe de mes étudiants. Je note la date du fichier. Je trie par ordre des dates la liste des fichiers récupérables. Je repère tout un groupe de fichiers ayant la même date. Je restaure le répertoire parent. Dans le dossier, je retrouve des fichiers textes, dont un contenant la chaîne de caractères "Vlehd233".

Je lève les yeux sur le salarié et lui demande pourquoi je trouve trace du logiciel "John The Riper" sur son poste de travail, ainsi que la présence du mot de passe du directeur de l'usine dans le même répertoire.

L'huissier prend note de ses explications.

J'ai fini mon intervention. Je range mon matériel en mesurant le bol que j'ai eu. Depuis, je refuse de travailler ainsi au petit bonheur la chance. Chacun son métier.

Je ne suis pas spécialiste en sécurité informatique.

11 commentaires:

  1. Pas facile de tirer des conclusions sur de tels résultats ! Je me demande quels ont été les suites de cette affaire.

    En tout cas merci pour ce bon moment !

    RépondreSupprimer
    Réponses
    1. Je ne sais pas trop quoi dire, le billet était accès sur ce que j'ai ressenti, c'est-à-dire un certain désarroi. Quant aux suites de cette affaire, le salarié a reconnu les faits et a été licencié, apportant ainsi de l'eau au conseil d'Avinain.

      Supprimer
  2. Cela ne prouve rien. Un fichier texte/binaire ne prouve rien cela va dépendre de qui peut accéder au poste, quand, de comment l'authentification se fait etc. Le fichier peut re manipuler, on peut changer la date, le contenu etc.
    En tant qu'admin on peut très bien installer jhon the riper à distance craquer le mot de passe et supprimer le tout puis accèder par cette machine au serveur. on peut échange les ip etc. C'est peu probable mais le doute suffit. Mais ce n'est bien sur pas le rôle de l'expert de déterminer les torts.

    RépondreSupprimer
    Réponses
    1. C'est pour cela que je n'aborde pas cette question dans le billet, ou alors très succinctement. En l'espèce, le salarié a reconnu ses torts, mais cela me semblait secondaire dans ce récit.

      Supprimer
  3. "on est pas sortie de l'auberge." il n'y avait que des filles dans l'histoire ?

    => je sors

    merci pour ce récit :)

    RépondreSupprimer
  4. le billet était accès

    ou taxé ?
    voire axé ?? ;-)

    bye
    (ce message est effaçable !)

    RépondreSupprimer
  5. "le billet était accès" ?
    N'était-il pas plutôt "axé" ?

    RépondreSupprimer
  6. Merci pour ce récit ! Du coup, je continue de me demander ce qu'il faisait avec John The Ripper sur son poste !
    La question nous hantera tous (mais que faisait-il avec JTR... ;-)

    RépondreSupprimer
    Réponses
    1. Il a réussi à récupérer les hashs des passwords et il a fait de la brute-force dessus ?!

      Supprimer
    2. Récupérer le fichier des hash, c'est pas ce qu'il y a de plus compliqué..
      Après, soit il a attendu looongtemps, soit il avait quelques infos sur le mot de passe à rechercher..
      D'où une autre règle de sécurité à respecter : avoir un mot de passe compliqué, non devinable, et surtout qu'on change souvent !

      Supprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.