17 juillet 2018

25 ans dans une startup - billet n.10

Introduction - billet précédent

"La pédagogie désigne l'art de l'éducation. Le terme rassemble les méthodes et pratiques d'enseignement requises pour transmettre des compétences, c'est-à-dire un savoir (connaissances), un savoir-faire (capacités) ou un savoir-être (attitudes)." (source Wikipédia)

Je ne voudrais pas généraliser à partir de ma seule expérience, mais il me semble que les enseignants du supérieur sont quasiment tous lancés dans le grand bain sans une once de formation à la pédagogie. On appelle cela "l'enseignement par la recherche"... L'intervenant vient essayer de transmettre tant bien que mal son savoir, un peu de son savoir-faire, plus rarement de son savoir-être. Il n'a pas été formé à cela.

Je voudrais citer ici un extrait du livre de Michel Serres "Petite Poucette" :
Jusqu'à ce matin compris, un enseignant, dans sa classe ou son amphi, délivrait un savoir qui, en partie, gisait déjà dans les livres. Il oralisait de l'écrit, une page-source. S'il invente, chose rare, il écrira demain une page-recueil. Sa chaire faisait entendre ce porte-voix. Pour cette émission orale, il demandait le silence. Il ne l'obtient plus.
Formé dès l'enfance, aux classes élémentaires et préparatoires, la vague de ce que l'on nomme le bavardage, levée en tsunami dans le secondaire, vient d'atteindre le supérieur où les amphis, débordés par lui, se remplissent, pour la première fois de l'histoire, d'un brouhaha permanent qui rend pénible toute écoute ou rend inaudible la vieille voix du livre. Voilà un phénomène assez général pour que l'on y prête attention. Petite Poucette ne lit ni ne désire ouïr l'écrit dit. Celui qu'une ancienne publicité dessinait comme un chien n'entend plus la voix de son maître. Réduits au silence depuis trois millénaires, Petite Poucette, ses sœurs et ses frères produisent en chœur, désormais, un bruit de fond qui assourdit le porte-voix de l'écriture.
Pourquoi bavarde-t-elle, parmi le brouhaha de ses bavards camarades ? Parce que, ce savoir annoncé, tout le monde l'a déjà. En entier. À disposition. Sous la main. Accessible par le Web, Wikipédia, portable, par n'importe quel portail. Expliqué, documenté, illustré, sans plus d'erreurs que dans les meilleures encyclopédies. Nul n'a plus besoin des porte-voix d'antan, sauf si l'un, original et rare, invente.
Fin de l'ère du savoir.
Me voilà donc à la fois en train de découvrir la pédagogie, mais aussi les effets de la révolution numérique : les étudiants n'écoutent plus aussi facilement.

Problème : ma hiérarchie me demande d'enseigner à l'ensemble de l'amphithéâtre... Pas uniquement aux deux premiers rangs occupés, mais à l'ensemble des étudiants de la promotion. Pas uniquement aux étudiants souhaitant assister à mon cours, mais faire en sorte que tous les étudiants soient présents, y compris ceux ayant pensant avoir mieux à faire ailleurs...

Il faut donc faire l'appel (en amphi!), rendre le cours intéressant, maintenir l'intérêt des étudiants pendant 2h de suite, faire en sorte qu'ils soient présents, attentifs, concentrés, prêts à écouter, comprendre, apprendre, retenir l'ensemble des informations que je vais leur transmettre...

Bref, il faut que j'essaye d'être un bon pédagogue, un bon policier, un bon juge, un bon animateur, un bon psychologue. Ferme mais juste.

Après moult essais et erreurs, voici ce que j'ai mis en place.

A suivre...

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

12 juillet 2018

25 ans dans une startup - billet n.9

Introduction - billet précédent

Je n'ai jamais fait de cours avant. Mon poste précédent de Maître de conférences me cantonnait au suivi de travaux pratiques (TP) et à quelques cours de formation continue en effectif réduit.

Il s'agit cette fois d'assurer un cours dans un amphithéâtre, face à une promotion d'une centaine d'étudiants.

Ma seule expérience face à un auditoire aussi nombreux, je la devais à un colloque effectué à la suite de mon DEA, et que j'ai déjà racontée ici (lire le billet "tribun du troisième âge"). Autant dire que je n'en menais pas large.

Il n'y a pas si longtemps, j'étais assis à leurs places dans des amphithéâtres à regarder des professeurs inconnus démarrer leurs cours. En 10s ils étaient catalogués : prof pénible, prof inaudible, prof terne... 10s !

Mon cœur bat à 3Hz...

Me voici dans l'amphithéâtre, à regarder les étudiants s'installer. Eux-même me regardent avec curiosité. Quelques semaines auparavant, ils étaient en terminale dans une salle de classe. Ils sont intimidés par ce grand amphithéâtre.

J'attends que tout le monde soit assis. J'installe mon premier transparent sur le rétroprojecteur. Je regarde mes mains : elles tremblent un peu. Je les pose sur le rétroprojecteur en faisant face aux étudiants. Je m'éclaircis la voix.

"Bonjour à tous. Je vois que certains sont un peu intimidés. Sachez que c'est mon cas aussi, car, comme vous, il s'agit de mon premier cours en amphithéâtre."

Je vois quelques sourires sur les visages de certains étudiants qui regardent au-dessus de mon épaule. Je jette un œil derrière moi et je vois que le léger tremblement de mes mains posées sur le rétroprojecteur est amplifié sur l'immense écran derrière moi. Je retire mes mains, j'ajoute "comme vous pouvez le voir", je respire un grand coup et je me lance dans le grand bain.

2h plus tard, les étudiants sortent. J'en retrouve quelques uns dans le laboratoire informatique à déballer des cartons. Je leur demande si le cours s'est bien passé. Ils me rassurent, et me disent que si ma voix était un peu tremblante au début, ils ont aimé le "show".

Je venais de remporter la plus importante de toutes les auditions !

Il me reste maintenant à concrétiser.

Billet suivant

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Source Pexels


10 juillet 2018

25 ans dans une startup - billet n.8

Introduction - billet précédent

Rentrée de septembre 1993. Me voici assis dans mon bureau, entouré d'inconnus, dans un lieu inconnu, avec des étudiants inconnus, et un programme pédagogique inconnu...

Le directeur des études me donne un mois pour mettre sur pied mes premiers cours. Je m’attelle à la tâche. Premièrement, prendre contact avec les enseignants vacataires ayant officié l'année précédente. Les rassurer et leur présenter la feuille de route que j'ai établie (établir la feuille de route). Prendre progressivement la mesure des responsabilités qui sont les miennes et les enjeux pour les étudiants. Établir les grandes lignes d'un cours d'initiation à l'algorithmique basé sur le langage Pascal, jeter les bases des TP associés. Faire de même avec le cours d'algorithmique avancé associé au langage C. Préparer deux conférences pour les 5e années.

L'avantage d'une embauche dans une startup, le seul en fait, est de participer au lancement de quelque chose. L'école a déjà 3 ans quand je la rejoins, et donc trois (petites) promotions d'étudiants aux profils d'aventuriers. Nous sommes une dizaine d'employés à les encadrer. En fait, tout le monde entraide tout le monde : l'équipement est à déballer dans les nouveaux bâtiments construits par le département, la pédagogie est à (co)construire.

Des étudiants enthousiastes aident le technicien informatique à ouvrir les cartons des nouveaux ordinateurs, et à installer les tables et les chaises. Bien entendu, je suis avec eux, à découvrir nos nouveaux jouets : des stations de calcul sous HP-UX et des ordinateurs "compatibles IBM PC" sous Windows 3.1. Nous branchons tout cela sur le réseau Novell Netware flambant neuf.

Les rôles entre le technicien informatique et moi sont clairs : il s'occupe de tout, je m'occupe de l'enseignement. Comme il ne m'est pas hiérarchiquement rattaché, je ne suis pas son chef, je ne lui donne pas d'ordre. Ok, ça me va, j'ai suffisamment à faire de mon côté. Je crois qu'il m'aime bien, parce qu'il voit bien que je le respecte, malgré tous mes diplômes. Et que je le laisse tranquille.

Non seulement je le respecte, mais j'apprends plein de chose avec lui. Le savoir-faire concernant le réseau Apollo Token-Ring (avec des contacts en or !) que j'avais mis en place dans mon travail précédent ne m'est pas d'une grande utilité : je découvre Ethernet 10BASE-T, l'administration réseau Novell, la gestion des comptes, le brassage des prises, l'assemblage de PC...

Dans cette effervescence, je rédige les premiers chapitres de mes cours. Et fatalement, arrive le premier cours en amphithéâtre.

Je n'ai jamais fait cours avant...

Billet suivant

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Source YouTube



05 juillet 2018

25 ans dans une startup - billet n.7

Introduction - billet précédent

Qu'est-ce que j'aimerais qu'un jeune élève-ingénieur généraliste retienne de ce que je pourrais lui enseigner de l'informatique (sachant qu'il n'en retiendra qu'une partie) ?

Nous sommes alors en 1993, j'ai 30 ans, et, en tant que jeune ingénieur, l'informatique est pour moi une discipline qui est à la fois théorique et pratique : théorique en ce qu'elle est une méthode de résolution de problème (génie logiciel), et pratique car elle propose des solutions concrètes (grâce aux matériels et aux logiciels). Je jette en vrac mes idées sur le papier, je les organise et voici le résultat (soyez indulgents) à la fin des 30 mn :

1ère année (accueil des bacheliers) : Algorithmique + langage Pascal + Windows 3.1
2e année : Initiation à la gestion de projet + TP projets + réseaux IP & IPX
3e année (les taupins et DUT rejoignent l'effectif) : Algorithmique avancée + langage C + architecture PC
4e année : Génie logiciel + MERISE + bases de données + UNIX + temps réel
5e année (1/2 année) : Conférences sur les sujets à la mode (calcul des images de synthèse par lancer de rayons, calculs parallèles, réseaux de neurones, internet...)

J'explique que l'algorithmique est une méthode de résolution de problèmes qui permet de structurer la pensée, que l'approche "en mettant les mains dans le cambouis" permet de montrer des solutions concrètes qui peuvent facilement être en lien avec d'autres disciplines (asservissement, commande, identification...) et que la gestion de projet doit permettre d'apprendre à travailler en équipe en montrant l'importance des échanges, des jalons et de leurs franchissements...

C'est l'été. L'entretien se passe bien. Je fais bonne impression. La startup me fait bonne impression. Je suis pris. Je signe le CDI. Je démissionne de mon poste de Maître de conférences. Je quitte Paris. Je me marie. Je pars en voyage de noces. J'emménage en lointaine province inconnue. Ma femme tombe enceinte. L'été 1993 est un bon été.

Ma deuxième vie professionnelle vient de démarrer.

La vie est belle, mais septembre 1993 approche, et avec lui, la rentrée.

Billet suivant

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.










03 juillet 2018

25 ans dans une startup - billet n.6

Introduction - billet précédent

Une école privée... Moi qui suis le pur produit de l'enseignement public, avec deux parents instituteurs. Je me renseigne un peu plus : il s'agit d'une association loi 1901 qui gère des bâtiments et des équipements publics mis à disposition par un département désireux de développer son bassin d'emploi. Le projet a l'air sérieux, la ville sympa : j'envoie mon dossier de candidature.

Quelques jours plus tard, je reçois un coup de fil pour planifier l'entretien de recrutement, et le jour J, je prends ma petite et fidèle voiture pour traverser une partie de la France. Me voici face au directeur de l'école.

"Nous sommes une startup qui a maintenant 3 ans. Nous avons montré à nos partenaires que notre projet d'école est sérieux, et maintenant nous recrutons notre équipe d'enseignants-chercheurs-ingénieurs-chefs-de-projet. Pour le poste sur lequel vous postulez, nous cherchons une personne qualifiée pour mettre sur pied le programme d'enseignement de l'informatique et encadrer une équipe de professeurs vacataires. Nous vous proposons de préparer pendant une demi-heure un plan de vos idées sur le sujet, puis de nous faire une présentation d'une demi-heure, suivie d'un échange avec le directeur des études."

Moi: "Vous voulez que je vous prépare en une demi-heure le programme idéal d'enseignement de l'informatique d'une école d'ingénieurs ?"

Le Directeur: "Oui. Et que vous nous le présentiez en argumentant".

Il me laisse seul dans la salle de réunion, face à une page blanche, avec cette question en tête: qu'est-ce que je ferais pour former à l'informatique les élèves-ingénieurs d'une école privée généraliste en cinq ans ?

Je regarde ma montre: il me reste 29mn.

Billet suivant

--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Photo Pexels

28 juin 2018

25 ans dans une startup - billet n.5

Introduction - billet précédent

C'était sans compter sur ma détermination et sur ma chance : alors que je battais la campagne d'une université à une autre, du nord au sud en passant par l'est et l'ouest (et toujours à plus de 100 km de Paris), une amie postdoc m'a fait parvenir une offre d'emploi (papier) : une école d'ingénieurs se créait dans une jolie petite ville de province, et elle recrutait des professeurs.

Des professeurs.

Je regarde le descriptif du poste : ils recherchent plutôt des profils "ingénieur ayant un doctorat et souhaitant enseigner". Ils proposent un poste intitulé "Enseignant en informatique - chef de projet". Objectifs : définir et mettre en place l'enseignement de l'informatique d'une école d'ingénieurs en cinq ans ; encadrer des enseignants vacataires ; participer aux programmes de recherche portés par l'école...

Un poste de rêve, et je colle au profil recherché.
J'allais passer du poste de Maître de conférences à celui de Professeur !
A 30 ans !

Problème : il s'agit d'une école privée.

Billet suivant

--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Photo Pexels

26 juin 2018

25 ans dans une startup - billet n.4

Introduction - billet précédent

J'ai soutenu mes candidatures à l'oral en présentant mes travaux devant des jurys somnolents. Résultat : rien. Nada.

C'est en défendant une nième fois mon dossier de candidature "qualifié section 27" devant un jury dans mon ancienne école (celle où j'ai eu mon diplôme d'ingénieur) que j'ai eu l'explication de mes échecs. J'avais reconnu dans le jury l'un de mes anciens professeurs (qui lui aussi m'avait reconnu). Lors d'une pause entre deux candidats, j'ai discuté avec lui :

Écoute Zythom, tu es titulaire de ton poste à Paris. Les procédures de recrutement nous oblige à statuer sur ton cas, car ceux qui postulent au titre de la mutation sont prioritaires sur les autres. Mais, tu comprends, nous nous sommes battus auprès du ministère pour obtenir cette création de poste, alors qu'on a formé 4 thésards dans notre labo qui vont rester sur le carreau. Alors les jeux sont faits : l'un des 4 thésards aura la place. Et toi, tu es bien gentil, mais jamais tu ne seras pris. Ni ici, ni dans aucun labo. Quand on commence la recherche quelque part, on y reste, et si on y obtient un poste, on s'y accroche, bien content de pouvoir le garder. Alors, quitter Paris pour un laboratoire de province, n'y pense pas !

C'était sans compter sur ma détermination...

Billet suivant

--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Photo Pexels

21 juin 2018

25 ans dans une startup - billet n.3

Introduction - billet précédent

Un week-end sur deux, j'allais faire de la spéléologie ou séduire ma future femme. C'est ce dernier point qui a bouleversé ma vie.

Si j'arrive parfaitement à accepter de louer dans Paris un minuscule appartement me permettant de dormir et de rester propre, le tout pour un prix parfaitement déraisonnable, pour n'y passer que mes 9h de sommeil obligatoires, il m'est très difficile d'envisager faire cela toute ma vie, à fortiori à deux, et encore moins de fonder une (grande) famille dans ces conditions.

J'ai eu la chance de rencontrer l'Amour de ma vie, et cette passion devait passer avant toutes les autres ! Une fois ma thèse en poche, je suis devenu Maître de conférences, avec un salaire moins misérable. Cela tombait bien, parce que l'Amour de ma vie et moi, nous avons décidé de nous marier, de vivre ensemble, le tout en PROVINCE.

J'ai donc tracé un cercle de 100 km centré sur Paris et je me suis mis à chercher un travail en dehors de ce cercle. Dans l'informatique, si possible dans la recherche, avec des perspectives d'avenir et un grand jardin.

J'ai fait 40 dossiers de candidature au titre de la mutation (j'étais fonctionnaire) dans toute la France. J'ai soutenu mes candidatures à l'oral en présentant mes travaux devant des jurys somnolents.

Résultat : rien. Nada.

Billet suivant

--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Photo Pexels

19 juin 2018

25 ans dans une startup - billet n.2

Introduction - billet précédent

Sauf que pendant mon service militaire, je m'étais mis en tête de travailler dans le domaine de l'intelligence artificielle. Et en 1989, le secteur était en pleine effervescence (déjà), mais les entreprises ne recrutaient que des gens déjà expérimentés sur le sujet. N'écoutant que mon courage et ma passion, je me suis accroché et j'ai ratissé large en appliquant ma méthode de harcèlement ciblé déjà présentée sur ce blog (lire ici).

Après de nombreux coups de téléphone et CV papiers remis en main propre, j'ai fini par décrocher un stage de pré-embauche dans un laboratoire de recherche à Paris qui travaillait sur les réseaux de neurones \o/.

Deux mois après, ce laboratoire m'embauchait comme "assistant professeur", avec salaire misérable à la clé, par comparaison avec mes camarades de promotion d'école d'ingénieurs, mais avec salaire quand même : j'étais le plus heureux des Hommes !

J'apprenais tout ce qu'il y avait à apprendre sur les réseaux de neurones. J'y consacrais toute mon énergie, toutes mes journées et toutes mes nuits. Cela allait durer 5 ans. Une fois mon doctorat en poche, je suis devenu Maître de Conférences.

A la passion de la recherche en intelligence artificielle se sont ajoutées deux autres passions : un week-end sur deux, j'allais faire de la spéléologie et séduire ma future femme.

C'est ce dernier point qui a bouleversé ma vie.

Billet suivant

--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Photo Pexels

14 juin 2018

25 ans dans une startup - billet n.1

Billet précédent (introduction)

J'ai 54 ans. Aussi loin que ma mémoire me permet de remonter, j'ai toujours été guidé dans mes choix professionnels par la passion. C'est une des clés de ma personnalité et de mon bonheur.

J'ai eu la chance de me découvrir un centre d'intérêt lorsque j'étais au collège : l'électronique. Je démontais tout ce qui passait à ma portée, et je me revois encore triturer les radios à tubes qui font aujourd'hui les délices des collectionneurs ou des décorateurs d'intérieur. Je récupérais les pièces, les vis, les condensateurs variables à air, les boutons en bakélite... J'étais abonné à la toute nouvelle revue "Électronique pratique", et je dévastais, au désespoir de mes parents, la moquette de ma chambre avec mon fer à souder.

De l'électronique à la calculatrice programmable, il n'y avait qu'un pas, rapidement franchi. La suite est une chanson connue tant cela correspond aux clichés : création du club d'informatique du lycée (en 1979 !) avec du matériel prêté par un parent d'élève, bac C, TRS80, math sup, math spé x2, école d'ingénieurs option informatique, service militaire dans le service informatique des armées, et me voilà sur le marché du travail.

Sauf que...

Billet suivant

--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Photo by Skitterphoto from Pexels

12 juin 2018

25 ans dans une startup - introduction

Photo by Mircea Iancu from Pexels
J'ai fait ces derniers mois un point professionnel un peu éprouvant, dont je ne pouvais pas parler facilement en temps réel sur ce blog. Maintenant que tout cela est derrière moi, je vais tenter d'aborder ces questions sur ce blog, pour partager avec vous sur le sens de l'engagement professionnel, que vous soyez vieux ou jeune, actif ou retraité, maître Jedi ou jeune Padawan, parce que je pense que cela peut apporter quelque chose à vos propres réflexions.

Si ce n'est pas le cas, ce n'est pas grave, car j'écris essentiellement pour moi ;-)

Comme j'utilise aussi ce blog pour tester des choses en lien avec l'écriture, je vais tenter l'expérience suivante : écrire des billets très courts, qui seront programmés pour être publiés deux fois par semaine, les mardis et jeudis, avec l'idée de travailler la narration, et un rythme plus lent que celui des réseaux sociaux.

N'étant pas un écrivain professionnel, je ne sais pas encore combien de billets je vais écrire, ni si je tiendrai le rythme, mais le titre de cette histoire est choisi. Ce sera : "25 ans dans une startup".

Je préviens mes lecteurs habituels, ce projet n'a pas vraiment d'autre intérêt que de décrire un parcours qui s'est réellement déroulé. Je ne cherche pas à décrire les parcours professionnels d'aujourd'hui tels que vécus par des millions de personnes. J'écris sur une expérience personnelle, vue depuis l'angle très réduit de ma propre perception. Je ne donne aucune leçon, à personne. Ce n'est pas l'histoire d'une entreprise, c'est plutôt l'histoire d'une personne, avec ses doutes, ses choix et ses idées. Cela a toujours été l'esprit de ce blog.

Enfin, j'ai parfaitement conscience de faire partie des privilégiés qui ont un emploi, la santé, une famille en soutien, un environnement professionnel favorable et intéressant. Être privilégié n'empêche pas de faire part de ses expériences, de son histoire ou de ses états d'âme.

Voyez cela comme une expérience d'écriture, teintée d'une légère amertume sur le temps qui passe.

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Billet suivant


27 avril 2018

Les réseaux des pairs

Dans une autre vie, j'ai eu l'occasion de subir un changement de directeur général. Quand vous faites partie d'un comité de direction, c'est toujours un moment "intéressant".

Lors du premier entretien en tête à tête avec mon nouveau chef, celui-ci me demande : "Bon, Zythom, si vous me parliez un peu de votre réseau". Et me voilà parti dans une présentation détaillée et passionnée de notre réseau informatique, sa complexité, sa technicité, ses risques de sécurité, les options de connexion à internet, les coûts. Je lui parle de switchs, de routeurs, de baies de brassage, d'onduleurs, de bornes Wifi, de fibres optiques, de sous-répartiteurs, de VLAN, de VPN... Au bout de quelques minutes, je remarque le visage un peu contrarié de mon patron. Inquiet, je lui demande si je manque de clarté dans ma présentation.

Il me répond : "Zythom, quand je vous pose cette question sur votre réseau, je parle de votre réseau relationnel. Les contacts que vous avez avec vos homologues, localement, régionalement etc.".

Silence gêné.

"Ah. Mais votre prédécesseur me demandait plutôt de travailler seul pour être en avance sur nos concurrents. Donc, mes contacts avec mes homologues sont très limités".

Sa réponse a changé ma vie : "Zythom, vous allez discuter avec vos homologues, échanger, vous déplacer. Je veux que vous intégriez tous les réseaux relationnels de votre domaine, avec l'idée que l'on progresse plus vite ensemble que seul dans son coin."

Je n'ai jamais cessé depuis d'appliquer cette règle, et si j'ai un conseil à donner à toutes les personnes qui me lisent : essayez.

J'ai rencontré énormément d'experts dans ma vie : d'abord comme chercheur, puis comme enseignant, puis comme expert judiciaire, comme DSI, comme pilier de bar, et enfin comme blogueur. J'en ai vu des brillants, des fiers, des qui aiment les projecteurs, la lumière. Ceux-là sont pour la plupart des solitaires. Et il y a ceux qui arrivent à partager leurs savoirs, leurs succès comme leurs échecs.

Il a toutes sortes de réseaux d'échanges (conférences, listes de diffusion, clubs, associations, compagnies, réseaux sociaux, blogs...) mais je vais vous parler celui qui m'a fait gagner le plus de temps : le réseau des pairs.

Le réseau des pairs est plus communément appelé "communauté de pratique" en théorie de l'éducation. Voici ce qu'en dit Wikipédia :
Selon Lave et Wenger (1991), par qui le concept de communauté de pratique est apparu, et Kirschner and Wopereis (2003), une communauté de pratique est constituée de groupes d’individus engagés dans la même occupation ou dans la même carrière. Ces individus interagissent sur une base continue en vue de maîtriser et d’améliorer les savoirs et savoir-faire de leur domaine d’intérêt. Ainsi, la participation par qui l’apprentissage se déploie, demeure un élément moteur dans une communauté de pratique et revêt un double sens d’implication et d’engagement. Lave et Wenger (1991) désignent cette forme d’apprentissage par Legitimate periphiral participation, qui décrit l’investissement du membre au sein de cette communauté, du stade de noviciat jusqu’à sa pleine reconnaissance par ses pairs. L’engagement mutuel, l’entreprise conjointe et le répertoire partagé sont parmi les caractéristiques importantes des communautés. On retrouve les communautés de pratique dans les structures informelles.
Comme je n'ai pas la prétention de théoriser ce domaine, je vais simplement partager avec vous ma modeste expérience : quel que soit votre métier, je vous conseille de prendre contact avec un groupe de personnes ayant les mêmes préoccupations et qui sont d'accord pour partager leurs connaissances.

Exemple 1 : A force de fréquenter des salons informatiques dans ma région, j'ai fini par rencontrer des responsables informatiques avec qui j'ai sympathisé. D'abord par des discussions informelles, puis autour d'une table dans un bar. "Et si on se voyait plus souvent entre nous pour discuter de nos métiers ?". L'idée était lancée et a abouti à la création d'un club de DSI local où l'on échange autour de nos idées, de nos problèmes, de nos projets, de nos fournisseurs, de nos coûts, de nos utilisateurs, de nos organisations métiers... Après chaque réunion, je ressors avec plein d'idées, d'envies, de solutions. Je gagne un temps colossal sur la majorité de mes projets !

Exemple 2 : Lorsque je me retrouve face à un problème que je ne sais pas résoudre dans une expertise judiciaire, après avoir cherché de manière approfondie une solution (histoire quand même de ne pas être trop ridicule si la solution est évidente), j'ai la chance de pouvoir solliciter l'aide confraternelle d'experts judiciaires sur une liste de diffusion spécialisée. Face à un problème qui me semble insurmontable, il y a très souvent quelqu'un qui s'est trouvé face au même problème et qui a trouvé une solution qu'il accepte de partager. Bien entendu, je réponds de même si j'ai moi-même quelque chose à apporter. Nous n'avons rien inventé, ce type de forum / liste de diffusion existe depuis la création d'internet.

Par ce billet, je voudrais remercier toutes les personnes qui, à un moment ou à un autre, m'ont aidé par leurs conseils ou leurs mises en garde. Que ce soit par un commentaire sous un billet du blog, un tweet, un email ou un coup de téléphone. Et aussi toutes celles et ceux avec qui j'ai pu discuter dans le "social event" d'une conférence (SSTIC/JRES/PSES ).

Par ce billet, je voudrais encourager les nerds, les geeks un peu solitaires, à surmonter leurs égos, leurs craintes du ridicule, leurs phobies relationnelles éventuelles, et à faire l'effort de rencontrer des personnes partageant leurs passions. Après tout, ce n'est pas comme si l'on manquait d'associations, de projets communautaires, de forums, de conférences...

Plusieurs conseils encore : soyez tolérants. Tolérance aux noobs, aux autres, à celles et ceux qui sont différents ou qui pensent différemment. Écoutez les idées des autres jusqu'au bout. Ayez le courage de poser des questions, de communiquer le plus clairement possible avec les autres, afin d'éviter les malentendus, les conflits. Ne sur-réagissez pas : ce que les autres disent et font ne sont qu'une projection de leur réalité et de leurs propres rêves. Lorsque vous êtes immunisés contre les opinions et les actes d'autrui, vous n'êtes plus la victime de souffrances inutiles. C'est certainement le point le plus difficile, sur lequel j'ai le plus de progrès à faire.

Ces conseils valent pour les réunions, mais aussi pour la vie en général.

04 avril 2018

20 ans d'expertises judiciaires

Dans quelques mois, je vais fêter mes 20 ans d'inscription sur la liste des experts judiciaires de ma Cour d'Appel.

20 ans...

J'ai rapporté ici sur ce blog quelques uns de mes "rapports d'étonnement" et quelques une de mes anecdotes (romancées bien entendu ;-). Deux décennies de contacts avec la justice et les justiciables, avec les policiers et les gendarmes, avec les avocats et les huissiers, avec les greffiers et les magistrats, avec Yéléna...

J'y ai perdu le sommeil à cause de l'horreur des images et des films de pédopornographie, de guerre et de massacres, pauvre petit être sensible sans les filtres des reporters ni la préparation des hommes et femmes d'action (soignants, pompiers, urgentistes, militaires, etc.). Horresco referens...

J'étais seul dans mon bureau face aux défis techniques des missions données par les magistrats. J'ai appris à trouver la petite aiguille dans la botte de foin du disque dur, à décrypter les données cachées, à retrouver les mots de passe utilisés. J'ai réussi à surmonter mes angoisses de pannes des scellés, de modifications de preuve par inadvertance, de pertes de données, de mauvaise interprétation de ce que je voyais. J'ai apprivoisé la complexité administrative dans laquelle est jetée le collaborateur occasionnel du service public (pas toujours très claire).

Quand j'ai été admis à l'inscription sur la liste d'experts judiciaire de ma Cour d'Appel, j'avais 35 ans. J'étais alors le plus jeune expert judiciaire en informatique de France \o/. Le suivant dans la liste avait 30 ans de plus que moi... Je trouvais ça lamentable, surtout en matière informatique. J'approche maintenant des 55 ans, et je me demande s'il est bien raisonnable de continuer... Toute ma vie, j'ai assisté, et participé activement, au développement de l'informatique. J'ai travaillé comme chercheur en intelligence artificielle, j'ai enseigné, j'ai développé un système d'information, j'ai expertisé des machines, des systèmes, des organisations, j'ai contre-expertisé des rapports d'expertise...

Je refuse de considérer que je suis trop vieux. J'ai encore tant de domaines à explorer : TensorFlow, le calcul parallèle, la sécurité informatique avec ses mystérieux SOC, SIEM, CSIRT et autres joyeusetés, les outils forensics, les nouvelles règles du jeu (LPM, RGPD...).

Professionnellement, je gère à peu près la même équipe depuis 25 ans, date à laquelle j'ai rejoins la startup où je travaille encore aujourd'hui, startup qui est devenue une belle et grande école d'ingénieurs. Mais la transformation numérique qui brasse en profondeur les processus de l'entreprise s'accompagne d'une charge de travail et de responsabilités qui ne fait que s'accroître et pour laquelle je sens que mes épaules deviennent insuffisantes : choix des serveurs, des actifs réseaux, des routeurs, des plateformes de virtualisation, des clouds, des accès internet, des outils de supervision, des systèmes d'exploitation, des câbles réseaux, des fibres optiques, des ordinateurs fixes, des ordinateurs portables, des tablettes, des bornes Wifi, des systèmes d'impression, des systèmes d'affichage, de vidéoprojection, de visioconférence, des bases de données, des logiciels métiers, des portails, des parefeux... et de toute la sécurité qui va avec ! Les ingénieurs informaticiens généralistes vieillissent mal...

Mais le côté le plus dur, ce sont les expertises judiciaires. Les techniques deviennent de plus en plus complexes, et le côté artisanal de ma pratique d'expert m'interroge de plus en plus (lire ce billet sur le sujet). J'ai maintenant peur de ne plus être à la hauteur quand on me propose une mission d'assistance à huissier de justice : quel est le matériel sur lequel je vais tomber, quelle quantité de mémoire de stockage disque, quelles technologies, quels systèmes ? Quel sens cela a-t-il quand on commence à refuser des missions ? Je refuse de devenir un expert judiciaire "carte de visite" pour alimenter ma clientèle d'expertises privées. Je pense qu'il va bientôt être temps de jeter l'éponge, et de laisser la place à de jeunes experts : il est probable que je ne demanderai pas le renouvellement quinquennal de mon inscription sur la liste des experts judiciaires. Il faut savoir partir dignement, et au bon moment. Les cimetières sont remplis de personnes qui se croyaient indispensables.

Je vais me concentrer sur mon activité professionnelle, m'encadrer de forces vives, devenir un meilleur manager, et essayer de rester en contact avec la technique. Je vais continuer à grandir avec l'entreprise qui voudra bien encore de moi. A la maison, je vais remplir mes soirées de TensorFlow et de CUDA, de OpenVAS et de ELK, de Tor et de Shodan... Je compte bien tenir encore 15 ans. 70 ans, quel bel âge pour partir à la retraite ;-)

Le ton de ce blog va sans doute changer.
Mutatis mutandis.

09 mars 2018

S'amuser avec une machine virtuelle dans le cloud

Crédit image Sam Johnston (1)
Je suis un gros consommateur des outils Google : le moteur de recherche, la messagerie, le drive, le calendrier, etc. C'est donc assez naturellement que je me suis retrouvé à une présentation des services proposés par la plateforme Google Cloud : cloud.google.com

Je précise que ce billet n'est malheureusement pas sponsorisé.

J'ai découvert que l'on pouvait faire fonctionner gratuitement une (petite) machine virtuelle dans le cloud Google. Ce billet s'adresse donc aux personnes souhaitant découvrir le monde des machines virtuelles hébergées sur un datacenter situé quelque part dans le monde.

Avertissements : Philosophiquement, j'aime tout le monde : j'utilise Windows quotidiennement, ainsi que plusieurs distributions GNU/Linux Mint, j'ai un compte Facebook personnel, j'aime l'association Framasoft (y compris son initiative de dégooglisation d'internet), j'utilise Twitter, j'aime Mastodon, j'essaye de sensibiliser mon entourage et mes lecteurs à la protection de leur vie privée, tout en mettant mes connaissances au service de la justice et des enquêteurs, je mange de la viande et je roule en vélo pour mon bien être et celui de la planète. Vous l'avez compris, je suis plein de contradictions, que j'assume plus ou moins. J'évolue lentement mais sûrement. Je reste ouvert à toutes les discussions, je teste tous les environnements, les hébergeurs, les différentes solutions et outils. Et je garde ce que je trouve pratique par rapport à mes usages. Je ne suis pas sponsorisé par Google, je ne travaille pas pour Google (Larry, if you're reading me...), je ne suis pas responsable des manipulations que vous allez faire chez Google, ni du coût que cela pourrait entraîner pour votre carte bancaire. Si vous ne comprenez pas ce que je présente comme concepts ou comme commandes, il vaut mieux rester spectateur et ne toucher à rien.

Prérequis : Vous devez disposer d'un compte Google, et accepter de confier le numéro de votre carte bancaire à Google, qui s'engage à ne pas la débiter si vous restez dans les limites indiquées lors de l'essai gratuit (bien lire les conditions, pas le droit de miner des cryptomonnaies...).

Démarrage :
- Connectez-vous à votre compte Google.
- Rendez vous sur https://cloud.google.com et cliquez sur "essai gratuit".
- Remplissez les informations demandées, en lisant attentivement les conditions.

Je vous propose de suivre le didacticiel "Essayer Compute Engine", en créant une instance ayant les caractéristiques suivantes :
- Zone aux États-Unis (datacenter us-east* par exemple)
- Type de machine : micro (1 vCPU partagé) avec 0.6 Go de mémoire
- Disque de démarrage : Debian GNU/Linux 9 à 30 Go (cliquez sur Modifier pour augmenter la taille du disque).

Ces caractéristiques correspondent, au moment où j'écris ce billet, aux conditions d'une machine gratuite (cf https://cloud.google.com/free/ section Google Compute Engine) :
- 1 instance f1-micro par mois (aux États-Unis uniquement, excepté en Virginie du Nord)
- 30 Go de stockage HDD par mois, 5 Go de stockage d'instantanés par mois
- 1 Go de sorties réseau par mois, de l'Amérique du Nord vers toutes les autres régions (sauf l'Australie et la Chine)
Attention de bien rester dans ces conditions (ou de vérifier qu'elles sont toujours valables), sinon Google facturera des frais.

Le menu principal de Google Cloud Platform est situé en haut à gauche (icone avec 3 barres horizontales).

Dans le sous menu "Réseau VPC / Règles de pare-feu", vérifiez et adaptez vos règles d'accès en fonction de vos besoins.

Votre machine est accessible dans le sous menu "Compute Engine / Instances de VM". Vous pouvez ouvrir un terminal par l'onglet SSH de votre instance (par exemple "Ouvrir dans la fenêtre du navigateur"). Vous êtes alors connectés avec votre login Google à une machine virtuelle fonctionnant sous Debian. Votre compte peut utiliser la commande sudo.

Du fait des limitations mémoires de cette configuration gratuite, je vous recommande de commencer par créer un fichier de swap (surtout si vous installez ensuite un environnement graphique) :
$ free -m
$ sudo fallocate -l 4096m /file.swap
$ sudo chmod 600 /file.swap
$ sudo mkswap /file.swap
$ sudo swapon /file.swap
$ free -m

Si la dernière commande montre que le fichier swap est bien pris en compte, ajoutez la ligne suivante à la fin de votre fichier /etc/fstab :
/file.swap none swap sw 0 0
et redémarrez l'instance.

Une mise à jour des paquets Debian me semble ensuite être un bon début :
$ sudo apt-get update
$ sudo apt-get upgrade

Personnellement, j'ai choisi d'installer l'environnement graphique LXDE :
$ sudo apt-get install task-lxde-desktop
Rem : Curieusement, pour moi ça plante à chaque fois à "Setting up dbus...", ce qui m'oblige à redémarrer l'instance, m'y reconnecter en ssh, puis à lancer la commande :
$ sudo dpkg --configure -a

Puis l'accès distant xrdp :
$ sudo apt-get install xrdp
$ sudo apt-get install tigervnc-standalone-server
$ sudo adduser zythom

Ce qui permet de se connecter à distance depuis un poste Windows avec le compte "zythom" sur l'adresse IP que vous trouverez affichée dans votre interface Google Cloud Platform près de votre instance. Dans la mire xrdp, sélectionnez le choix de session Xvnc.

Gardez un œil sur la facturation, et amusez-vous bien !

Pour ma part, je vais aller regarder un peu le sous menu TPU Cloud et faire du Machine Learning avec TensorFlow... La carte bancaire va chauffer ;-)

----------------------------------------
(1) Crédit image : Sam Johnston — modification of the Wikipedia file, Cloud computing.svg, created by Sam Johnston using OmniGroup's OmniGraffle and Inkscape (includes Computer.svg by Sasa Stefanovic), CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=21576051








27 février 2018

Si vous n’avez rien à cacher, vous n’avez rien à craindre

Cette expertise s'annonce compliquée car les accusations semblent reposer sur des preuves vagues : un compte informatique a été utilisé tel jour à telle heure pour accéder à des données confidentielles de l'entreprise, alors que la personne associée au compte était en déplacement. Les données ont ensuite fuité, causant un préjudice pour l'entreprise.

Me voilà au milieu du problème, désigné comme expert informatique pour essayer d'éclairer la lanterne du magistrat saisi de ce dossier.

Mon problème est que je ne vois pas trop par quel angle commencer, alors que dans ma tête tourne un nombre incalculable de possibilités : malversation du salarié à distance, partage du compte avec un collègue, compromission du compte par vol de mot de passe, hameçonnage, fuite de données par sauvegarde non protégée, perte d'un disque dur, etc.

Toute l'enquête interne menée par l'entreprise désigne l'utilisation de ce compte informatique comme cause la plus probable de cette fuite de données. En présence de toutes les parties, j'étudie donc tous les éléments techniques soulevés par cette enquête interne.

Mais cette expertise judiciaire est également une enquête à part entière. Je dois mener des investigations, poser les bonnes questions, auditer la sécurité informatique du site, pour enfin pouvoir répondre aux questions posées par le magistrat.

Dans ce court billet, je vais laisser de côté le temps passé en investigations diverses, les différentes réunions, la somme de connaissances réunie autour de la table pour étudier ce problème. Mon objectif est de poser ici cette petite anecdote qui montre que le hasard fait parfois bien les choses, et qu'il faut lui laisser sa chance.

Le réseau de l'entreprise est un réseau Windows à contrôleur de domaine. Je demande à être autorisé à utiliser un compte local avec les droits administrateurs sur une machine du réseau, habilité à lancer quelques outils d'investigation. En attendant d'utiliser les outils plus avancés de ma panoplie, sans trop savoir où aller, je lance l'explorateur de fichiers à la découverte du réseau, en commentant ce que je vois apparaître sur l'écran de l'ordinateur, pour l'éclairage des avocats et différents responsables techniques et juridiques présents autour de moi.

Je vois apparaître différents appareils branchés sur le réseau de l'entreprise : ordinateurs, serveurs, imprimantes, photocopieurs, routeurs... Un nom attire mon attention : une marque de serveur de vidéosurveillance. Je clique sur le lien, pour voir apparaître une page web d'accueil demandant un login/mot de passe.

Je fais un petit tour sur DuckDuckGo pour obtenir les informations de connexion par défaut, et tape admin/admin comme login/mot de passe. Bingo, me voici connecté au serveur gérant les 32 caméras de vidéosurveillance de l'entreprise.

Silence gêné dans la salle.

Comme je travaille dans une école d'ingénieurs, je suis sensibilisé au problème des smartphones qui peuvent filmer les professeurs pendant les cours, en particulier quand ceux-ci tapent leur mot de passe sur le clavier de leur ordinateur. J'explore donc les différentes caméras de surveillance, et tombe sur celles de l'open space de l'entreprise. Un petit coup de zoom et nous voilà en train d'observer la frappe d'une personne sur son clavier (ainsi que son écran).

Les logs de connexion du serveur de vidéosurveillance montrent des connexions suspectes dans les semaines précédant l'incident, à partir d'une adresse MAC non connue de l'entreprise. Toutes les prises RJ45 étant brassées, n'importe qui pouvait brancher un ordinateur pour accéder au réseau de l'entreprise, y compris dans les toilettes (hors champ des caméras).

Je n'ai pas pu trouver la personne à la source de la fuite de données (cela ne faisait pas partie des missions confiées par le magistrat), mais j'ai pu prouver que n'importe qui pouvait intercepter sans difficulté un login/mot de passe. Cela a permis au moins de montrer que le titulaire du compte n'était pas nécessairement en faute (ou au moins de semer le doute). Imaginez ce qu'il se serait passé si la personne n'avait pas été en déplacement...

Même dans votre entreprise, méfiez vous des caméras. Vous pensez qu'elles vous protègent parce que vous pensez qu'elles ne filment que les méchants. Dans la rue, dans l'entreprise, dans votre propre maison, elles peuvent être piratées et détournées de leur usage initial. Pensez-y quand on vous dira que si vous n'avez rien à cacher, vous n'avez rien à craindre.

Vous avez toujours quelque chose à protéger : vos mots de passe, vos écrans, votre vie privée.
Quand vous dites "je ne me soucie pas du droit à la vie privée parce que je n'ai rien à cacher", ce n'est pas très différent que de dire "je me fiche de la liberté d'expression parce que je n'ai rien à dire" ou "de la liberté de la presse parce que je n'ai rien à écrire".
Edward Snowden

24 janvier 2018

Quand on tire sur un faible

La petite anecdote que je vais vous raconter n'a d'intérêt que parce qu'elle est parfaitement authentique, et illustre bien les frictions du monde ancien avec le nouveau monde du numérique.

J'assistais à une formation réservée aux experts judiciaires et aux avocats, formation organisée par une compagnie d'experts de justice. Organisation impeccable, objet de la formation intéressant, programme alléchant, 4G disponible, lieu agréable. Bref, la journée s'annonçait bien.

Le premier conférencier est un magistrat de haut niveau, intervenant sans note sur un sujet pointu passionnant. Je suis concentré sur les concepts difficiles avec lesquels il jongle et qui échappent pour beaucoup à mon entendement. L'auditoire est captivé. Les avocats approuvent ou désapprouvent certains passages ou certaines subtilités juridiques. La conférence est passionnante.

Je publie discrètement sur Twitter quelques impressions admiratives à mes followers.

Au bout d'un quart d'heure, le conférencier est brutalement interrompu par l'un des organisateurs de la formation. Ce dernier crie littéralement dans la salle : "Quelqu'un dans cette pièce est en train de publier sur des RÉSEAUX SOCIAUX le contenu de cette formation. C'EST UN SCANDALE. La prochaine fois, dans nos programmes sera CLAIREMENT ÉCRIT L'INTERDICTION de dévoiler nos échanges !"

Stupéfaction dans la salle.
L'organisateur me fixe d'un regard noir.
Mon cœur s'est arrêté.
Je me recroqueville sur mon siège.
Je me fais tout petit.

Quand tout à coup, depuis la scène où se trouvent installés plusieurs des conférenciers qui doivent intervenir à la table ronde à venir, tonne une voix de Stentor : "QUOI, QU'EST-CE QUE C'EST QUE CETTE FAÇON D'APOSTROPHER LES GENS ! OUI, JE TWEETE, OUI JE SUIS OUVERT SUR LE MONDE, SANS POUR AUTANT DÉVOILER OU ÊTRE DÉSOBLIGEANT AVEC LES ORGANISATEURS OU LES INTERVENANTS !"

L'un des avocats qui devait intervenir pendant la formation, prenait pour lui les remontrances (humiliantes) qui m'étaient destinées... Comme moi, il avait posté quelques tweets à sa communauté (dont je fais parti) pour le plus grand plaisir de celle-ci.

Les organisateurs, plutôt gênés des effets collatéraux non prévus de leur attaque, venaient de découvrir la puissance de feu d'un avocat habitué aux assauts et aux joutes verbales.

J'ai assisté silencieux à leur retraite piteuse en rase campagne, "non, mais ce n'est pas vous, Maître, heu, bon on reprend".

J'ai respecté poliment leur interdiction de tweeter pendant la formation.

Je trouve dommage que dans le milieux des experts judiciaires en informatique, il y ait encore des gens qui méconnaissent l'intérêt des réseaux sociaux, des gens qui soient encore enfermés dans leur univers clos du millénaire précédent, qui refusent l'ouverture vers le monde, le partage avec des "mékeskidis", la communication non contrôlée.

J'admets et je me soumets aux règles lorsqu'elles sont connues. Comme Lord Walder qui affirmait lors des Noces Rouges : "sous mon toit, ma loi", les organisateurs d'une formation peuvent imposer leurs règles.

Mais j'ai pris un certain plaisir (coupable) à voir une brillante éloquence remettre en place un sot. Étant moi-même un sot qu'on a tant de fois remis en place...

03 janvier 2018

Wishlist 2018

Vous le savez, mon père ne va pas bien (lire "le miracle du cerveau") et je suis auprès de lui le plus souvent possible. Il a une maladie neurodégénérative qui le fait décliner par à-coup, et c'est très dur, surtout pour ma mère qui est auprès de lui tous les jours, mais aussi pour ma sœur et moi. Nous découvrons la misère des EHPAD, nous subissons les incohérences des décisions des soignants, nous nageons dans les méandres administratives d'un univers étranger.

Côté boulot, la numérisation de toutes les activités de l'entreprise m'amène à basculer d'un mode "best effort" à un mode "obligation de résultats", mais sans que les moyens humains ne suivent en conséquence. Cela rend la pression très difficile à supporter, avec en plus le sentiment que tout le monde tire sur l'ambulancier. Je lance et je m'implique à fond dans beaucoup de projets informatiques importants, mais la situation est telle que je cherche également un autre poste. Si vous entendez parler d'un besoin de DSI dans une PME qui cherche un homme à tout faire, n'hésitez pas à m'en parler via ma page contact. Je suis mobile sur toute la France, y compris Paris. Je suis un service informatique et un service technique à moi tout seul...

Concernant les expertises, c'est de plus en plus difficile. Techniquement les défis sont de plus en plus ardus, et l'institution de plus en plus exigeante. Je pense qu'il va bientôt être temps de rendre le tablier. Surtout que je ne souhaite pas devenir un expert "carte de visite", comme j'en rencontre tant.

La vie municipale se déroule plutôt bien, les différents projets numériques ayant été menés en début de mandat. Je m'en sors avec les honneurs, surtout depuis que j'ai annoncé que je ne pouvais plus m'investir autant qu'auparavant. J'arrive encore à dire ce que je peux faire et à faire ce que je dis, ce qui est pour moi l'essentiel.

Quelle est donc ma wishlist 2018 dans ces conditions ?

1) Que mon père ait une fin de vie paisible
2) Que ma mère puisse l'accompagner sereinement tout au long de cette épreuve
3) Que les points 1 et 2 se réalisent, cela suffira à mon bonheur
4) Professionnellement, je souhaite retrouver l'implication de mes 20 ans et voir briller les yeux de mes collègues. Peut-être dans une nouvelle entreprise, avec un nouveau projet.
5) Publier le tome 7 des billets du blog
6) Publier à nouveau des bêtises sur ce blog
7) Renouer avec le bonheur

Chère lectrice et cher lecteur, je vous souhaite le meilleur pour 2018.

Merci également à tous ceux qui m'envoient des petits mots d'encouragements, que 1000 pétales de roses soient déposés autour de vos claviers.

2018 sera meilleure que 2017 et moins bonne que 2019.
Plus qu'hier et moins que demain.
💖

Johnny Rockfort - Zythom (NA 2018)

06 novembre 2017

Sans fil et sans filet

TL;DR : Si j'ai un conseil à donner aux professions libérales et aux indépendants, c'est de couper le réseau wifi de leur cabinet professionnel rapidement.

C'est toujours un peu casse-gueule pour moi de faire un billet sur la sécurité informatique. Alors je vais commencer par une citation :
"La sécurité est un échec car personne, quel que soit son niveau de compétences et l’énergie investie dans l’administration de ses systèmes, ne peut prétendre être invulnérable."
Newsoft La preuve que la sécurité est un échec
Même les meilleurs se font pirater. Croire être en sécurité derrière ses barrières informatiques est une illusion.

Une fois qu'on a bien compris cela, il faut minimiser l'impact d'un piratage (qui aura lieu un jour) : faire des sauvegardes, réfléchir aux conséquences d'un piratage, faire de la veille, définir un niveau de sécurité et investir suffisamment, etc. Il faut limiter autant que faire se peut l'impact d'un piratage et la surface d'attaque.

La sécurité informatique est une discipline complexe de l'informatique, car elle nécessite de connaître et comprendre un très grand nombre de mécanismes dans la plupart des branches de l'informatique. En tant qu'informaticien "généraliste", je suis toujours stupéfait par le niveau des conférences sur la sécurité auxquelles j'assiste (c'est une manière détournée de dire que je suis nul).

Alors, quand j'ai appris que les réseaux wifi sécurisés en WPA2 (meilleure sécurisation disponible au moment de l'écriture de ce billet) étaient compromis par la technique de "Key reinstallation attacks" (KRACK), j'ai tout de suite éteint toutes les bornes wifi de la maison, par précaution.

Et bien sur, je n'ai eu de cesse depuis de chercher à les rallumer. Parce que le sans fil, c'est quand même pratique...

J'ai fait un petit audit interne du réseau familial : l'étage des enfants est uniquement en wifi (pas de prises RJ45), tous nos téléphones sont souvent connectés au wifi (mauvaise couverture 3G/4G, sauf au grenier) et nos vieilles tablettes ne fonctionnent qu'en wifi. Tous les ordinateurs fixes sur rez-de-chaussée sont en filaire (bureau pro de mon épouse, mon bureau d'expertise, NAS, serveur de sauvegarde, PS4, Xbox, Zotac, Raspbery Pi, etc.)

Tout ce petit monde formait jusqu'à présent un seul réseau (wifi et filaire). Je sais, c'était une erreur. Une erreur que j'ai essayé de réparer.

Une fois le wifi éteint, j'ai tiré des câbles dans les cloisons de l'étage pour que chaque pièce puisse disposer d'un câble RJ45 haut débit. Un petit switch dans le plafond, relié à l'ancien branchement RJ45 de la borne wifi de l'étage, et hop tout le monde était de nouveau branché (travail en cours, POC en place).

Le réseau familial et le réseau professionnel de la maison sont maintenant séparés par un routeur (par le premier routeur que j'avais sous la main : j'ai utilisé les ports WAN/LAN d'une ancienne borne wifi dont le wifi est désactivé). La logique d'accès est la suivante : réseau pro -> réseau familial -> accès internet. Les NAS, imprimantes et autres ressources communes sont sur le réseau familial pour être accessibles à tous.

Comme j'ai la chance d'avoir un abonnement téléphonique professionnel qui inclut une carte SIM supplémentaire avec DATA, j'avais prévu de m'en servir d'accès de secours à internet, "au cas où". J'ai plutôt fait l'achat d'un routeur wifi 4G, et allumé un réseau wifi indépendant de la box du FAI de mon réseau filaire.

J'ai donc maintenant les deux réseaux filaires sur mon FAI principal, et un réseau wifi (indépendant des réseaux filaires) sur mon FAI de secours.

J'ai demandé aux enfants un usage "raisonnable" du wifi pour éviter d'atteindre le niveau de consommation à partir duquel le débit est bridé sur ma carte SIM de secours (donc si possible, pas de streaming vidéo sur le wifi).

Pour résumé, si vous avez une activité professionnelle "sensible" et que vous voulez quand même du wifi, je vous conseille d'investir dans un deuxième abonnement internet, pour créer un réseau séparé, dédié au wifi. Si le prix vous fait grincer des dents, dites vous que ça vous sauvera la vie quand votre FAI principal vous laissera en panne pendant un mois...

Sinon, sans fil = sans filet. Surtout si vous acceptez d'y connecter des appareils android anciens.

Enfin, c'est vous qui voyez...

PS: Ceux qui cachent leur SSID en pensant être protégés, je vous laisse regarder du côté d'airodump et scapy...

25 octobre 2017

Un peu de moi

Comme beaucoup d'entre vous, je traverse en ce moment des épreuves douloureuses dans ma vie professionnelle, comme dans ma vie personnelle. Des ascenseurs émotionnels importants...

Cela m'amène à regarder derrière moi, à faire le point sur le chemin parcouru. et je déteste ça ! J'ai une phobie un peu particulière : je n'aime pas regarder les albums photos. L'idée de me souvenir d'une période passée, même heureuse, surtout heureuse, partie à jamais, me déprime. Je suis résolument tourné vers le futur. J'aime imaginer les progrès de l'avenir, les nouveautés, les inventions, relever les défis, les problèmes à venir...

Mais parfois, il faut bien regarder en arrière.

Je m'entête à tenir ce blog, qui m'a apporté beaucoup d'ennuis et d'inimitiés, mais aussi quelques belles rencontres, et quelques fiertés. Lorsque j'ai ouvert ce blog, l'univers des blogs était déjà bien installé, mais encore plein de fougue. Depuis, beaucoup de blogs que je connaissais ont fermé, ou ont évolué vers des modèles différents. Je dois aussi reconnaître que beaucoup de blogs ont ouvert et que jamais autant de monde n'a publié, lu ou échangé grâce à internet que depuis ces dernières années.

Alors pourquoi suis-je toujours là, à bloguer sur moi-même ?

J'écris sur ma vie personnelle. Ce blog est un peu un journal intime en ligne (un journal "extime"). Ma vie personnelle, en paraphrasant un peu Desproges, est intéressante, enfin surtout pour ma famille et mes amis. Surtout pour moi. Quand je vis une situation émotionnellement forte, j'ai besoin de mettre des mots dessus pour canaliser mes émotions. Mais pour éviter de submerger mes proches (qui ont déjà bien du mérite à me supporter), j'ai choisi de mettre ces mots par écrit. Et la plupart du temps, ces mots finissent par être publiés dans un billet, pour qui voudra bien les lire.

Je n'écris pas pour convaincre. J'ai d'ailleurs peu donné mon avis ici pendant les dernières élections, alors que les sujets sociétaux abordés (ou pas) me passionnent. Bien malin celui ou celle qui sait pour qui j'ai voté. Beaucoup seraient surpris, certains déçus, d'aucuns s'en foutent...

J'écris le soir, quand les enfants (ou plutôt celui qui est encore entre nos murs ;-) sont couchés et font semblant de dormir. J'écris des "rapports d'étonnement" sur des histoires que j'aimerais que mes petits enfants lisent en se disant "woua, pépère Zythom a vécu des drôles de trucs !"... (quand j'ai dit à ma femme que ça me ferait bien rire si mes futurs petits enfants m'appelaient pépère, j'ai du la mettre en PLS...)

Quand je regarde les dernières années écoulées, voire les derniers mois, je vois un grand adolescent de 54 ans qui peine à devenir adulte. J'ai toujours les yeux qui brillent quand je commande un nouvel écran et une alim (de gamer) pour mon fils. J'aime préparer mes cours et faire le show en amphi devant les étudiants. J'ai le cœur qui s'emballe quand je reçois un scellé ou un dossier judiciaire à étudier.

Mais j'ai la nostalgie du "tout est possible" de ma jeunesse.

Quand je regarde derrière moi, je ne vois pas l'homme de 53 ans, ni celui de 52 ans ou de 51 ans. Non, je vois l'homme de 30 ans qui démarrait une nouvelle vie dans une nouvelle ville, au bras d'une jeune épousée. TOUT était possible.

Alors maintenant que j'ai bien avancé sur le chemin-dont-on-connait-la-fin, plutôt que de regarder les possibles qui ne se sont pas (encore) réalisés, ou le manque d'énergie qui m'anime pour ranger mon bureau, je préfère continuer à regarder l'avenir et imaginer des lendemains qui chantent :
- Le wifi est mort ? Vive le wifi ! Je suis en train de repenser complètement mon défunt réseau Wifi domestique (billet à venir).
- J'ai des défis professionnels à relever : faire beaucoup plus avec plus (je recrute !)
- Le deep learning revient en force ! Pourquoi ne pas essayer de comprendre et se lancer à mon niveau dans un petit coin du sujet ?
- Ce blog tourne en rond, rendons le carré ! Et si je sortais le tome 7 ?

Je m'encrasse.
J'ai besoin de faire les poussières.
De me sortir les mains des poches.
De prendre des risques.
TOUT est encore possible..
Pourvu que ça dure ;-)

Bon, je vous laisse, j'ai un bureau à ranger.

20 octobre 2017

Terminologie

J'ai été élevé dans l'amour de la langue française, et dans sa théurgie opératoire qu'est la dictée. Les années ont passé, et avec elles, ma maîtrise de l'orthographe et de la grammaire.

C'est pourquoi, lorsque j'ai publié ce blog sous forme de livres gratuits (sans DRM), j'ai demandé de l'aide auprès de ma mère institutrice.

Un jour, en installant un dictionnaire sous LibreOffice, j'ai vu apparaître une version "réforme de 1990". Je me suis renseigné (essentiellement sur cette page), et depuis le tome 2 (paru en 2012), j'essaye de tenir compte de l'évolution de la langue française.

Mais les pièges sont nombreux et il m'est souvent difficile d'éviter une cacographie, surtout en travaillant dans le domaine de l'informatique : doit-on dire "la wifi" ou "le wifi", faut-il reprendre quelqu'un qui parle de "cryptage" quand il ne parle pas de mise en crypte

Je vais prendre l'exemple qui me parle le plus : l'utilisation du mot "digital". Dans mon souvenir, la première fois où j'ai vu ce mot mal utilisé, c'était sur une affiche publicitaire "Orange - La Révolution Digitale". J'étais stupéfait de voir une énormité pareille s'étaler en 4x3.

J'écris ceci pour ma mémoire et celle de mes (petits)enfants. J'ai connu une époque où le mot "digital" était simplement un adjectif associé au substantif doigt (exemple : empreinte digitale). C'est également un mot anglais qui signifie : "Digital usually refers to something using digits, particularly binary digits."

Et comme tout le monde le sait, "digits" ce sont les chiffres. Ça vient d'ailleurs du latin "digitus", qui veut dire "doigt".

Mais alors, "révolution digitale", ça veut dire "révolution des doigts" ?
Oui.

Mais on compte bien sur les doigts ?
Oui.

D'ailleurs les anglais utilisent le même mot "digit" pour doigt et chiffre.
Oui.

Finalement, "révolution digitale", c'est la révolution des chiffres ?
Moui.

Et aujourd'hui, les chiffres, on les manipule surtout avec des ordinateurs ?
Mmmmoui

Alors, "révolution digitale" et "révolution numérique", c'est pareil, non ?
Rrrrrhaaaaaaaa

Et donc l'univers marketing s'est emparé de l'univers numérique pour en faire un univers digital, parce que, Coco, l'angliche, ça sonne mieux. Au début, ça fait un peu mal, mais après ça glisse (tiiiitre!).

Les années ont passé, et maintenant, c'est moi qui passe pour un vieux con au boulot parce que j'ai osé faire une remarque sur le sujet à quelqu'un. Ça m'a quand même fait réfléchir : est-ce un combat qui vaille la peine d'être mené ?

J'ai pesé le pour et le contre. J'ai eu un flash sur les grammar nazis, ceux qui interviennent dans une conversation pour corriger une typo... Je me suis vu en train de rager à chaque fois que quelqu'un utilise le mot digital en lieu et place de numérique. Je me suis dit que c'était de l'énervement mal placé, qu'il fallait que je sois au dessus de ça pour me concentrer sur le contenu, plus que sur la forme.

Donc, je suis en train d'apprendre à accepter l'utilisation du mot "digital" imposée par le marketing. Il me reste à accepter "au jour d'aujourd'hui", "cryptage", "darkweb", "malgré que", "autant pour moi" et tant d'autres. Il en va de ma plasticité synaptique autant que de ma tranquillité d'esprit.

Vous pouvez réviser votre goétie et me faire part de votre désapprobation en commentaire ;-)


10 octobre 2017

Tu ne seras pas un hacker mon fils !

Je suis l'heureux papa de trois enfants, qui sont maintenant grands. Il est loin le temps où j'écrivais ce billet sur l'ouverture du Skyblog de ma fille...

L’aînée est maintenant en cinquième année de médecine, la puînée en deuxième année d'école de commerce. Et le troisième entre cette année au lycée. J'ai donc encore un ado à la maison :-)

J'ai essayé d'élever mes enfants de mon mieux. Je les ai accompagné à l'école, d'abord jusque devant la grille, puis lâchés une centaine de mètres avant. Je les ai encouragé lors de leurs activités sportives et culturelles. J'ai essayé de leur transmettre des valeurs.

Enfin, pour dire la vérité, j'ai surtout été l'assistant de mon épouse qui a encaissé l'essentiel de la charge mentale de l'organisation familiale... Mais bon, au moins j'ai été présent. Je le suis toujours.

Mon rôle principal est d'être le "scientifique" de la cellule familiale, en charge plus particulièrement des outils numériques : ordinateurs, sauvegardes, réseau, accès internet, messageries, imprimante partagée, scanner, stockage partagé, protection de la vie privée, sécurité, dépannage, récupération de données, wifi, DHCP, DNS non menteurs, consoles de jeux, etc.

Concernant le suivi des leçons, je suis le mauvais flic du couple (au sens de la stratégie bon/mauvais flic), celui dont on craint le levé de sourcil en cas de mauvaise note. Curieusement, aucun de mes enfants n'aime me demander de l'aide pour expliquer un point obscur du cours de maths, ou de physique, ou d'anglais, ou de science de la vie : "En fait, tu expliques trop longtemps. Nous, on veut juste la réponse au problème, toi tu nous expliques toute la théorie en vérifiant qu'on a tout compris... C'est lourd."

Être passionné n'a pas que des avantages ;-)

C'est pourquoi je me suis fait une raison depuis longtemps sur le fait qu'aucun de mes enfants ne sera passionné par ce que j'aime : l'informatique.

Pourtant, hier soir, mon fils m'a dit à table la chose suivante :
"Papa, tu peux m'expliquer la carte mère ?"
Moi: "..."
Lui: "Parce que mon copain, il m'a dit que pour être encore meilleur en jeux vidéo, il faudrait que je passe sur ordinateur plutôt que sur console, et que je démonte mon ordinateur pour le bidouiller. Tu es d'accord pour m'aider ?"

Dans ma tête, il s'est passé une sorte d'explosion nucléaire. Mon cœur s'est arrêté de battre, puis s'est emballé à 200 bpm. Mes mains sont devenues moites. J'ai vu un de mes enfants accéder au Graal, devenir le maître du monde, et régner sur les sans-dent-bleue. Enfin, la chair de ma chair allait aider HAL et le Maître Contrôle Principal à surmonter leur inhumanité pour rejoindre Andrew, l'homme de 200 ans.

J'ai croisé le regard de mon épouse qui rayonnait de bonheur pour moi.

C'est pourquoi ma réponse a jeté un froid glacial : "Non".

Mon visage est resté fermé. Avais-je entrevu l'immensité de la tâche qui reste à accomplir pour accéder au sommet de ma discipline ? Ou le visage écrasant de l'informatique omniprésente dans nos vies plus-vraiment-privées ? Allais-je laisser mon innocent de fils participer aux débauches numériques qui s'annoncent dans tous les objets qui vont nous encercler ?

NON.

J'ai laissé quelques secondes s'écouler. Mon épouse m'a regardé avec un regard navré. Mon fils était en plein désarroi.

Je venais de réussir ma plus belle "blague de père" de la semaine.

En effet, dans ma famille, les pères ont un humour extraordinaire, mais qui ne fait rire qu'eux-même. Le coup de klaxon dévastateur devant la grille du collège. Le jeu de mots subtil devant les ami(e)s des enfants. Bref, ce qu'on appelle dans notre petit cercle, une "blague de père".

KrkrkrkrkrKRKRKRKR
hahahahaHAHAHAHA (risus sardonicus)

ÉVIDEMMENT, c'est avec une immense fierté que je vais apprendre à mon fils à démonter son ordinateur, à l'améliorer, à le bidouiller, à le hacker.

Tu seras un hacker, mon fils !

04 octobre 2017

Pour dévoiler le visage et embrasser le genou de Thémis

Je reçois régulièrement, comme beaucoup d'entre vous, des emails d'appel à l'aide, d'une veuve éplorée, cherchant en général à transférer des fonds d'un pays lointain vers la France, et demandant mon aide. Ces emails sont en général dirigés automatiquement vers mon dossier SPAM et je n'y prête pas attention. Il s'agit de fraudes dites "419", et Vidocq en parlait déjà au XVIIIe siècle dans son ouvrage "Les Voleurs" sous l'appellation de "Lettres de Jérusalem".

De temps en temps, mon filtre antispam laisse passer dans ma boite principale ce type de message, que je lis rapidement avec circonspection.

Cette fois le message que j'ai sous le yeux est différent et l'appel à l'aide à l'air sérieux. Il s'agit d'une femme désespérée pour qui je serais le dernier recours dans une affaire judiciaire.

Je suis souvent sollicité par l'intermédiaire de ce blog, mais comme je l'indique sur ma page "Contact", je n'accepte d'intervenir dans un dossier privé que par l'intermédiaire d'un avocat. Je rédige donc ma réponse type habituelle, ce qui suffit en général à clore le débat.

Quelques jours plus tard, je reçois pourtant un email issu d'un cabinet d'avocat français confirmant les propos de l'appel à l'aide de ma mystérieuse correspondante. Diantre.

Je demande plus d'informations, et que les pièces du dossier me soient envoyées. L'avocat me prévient qu'il s'agit d'un dossier pro bono, c'est-à-dire que la personne n'a pas les moyens financiers de se payer les services d'un avocat, ni d'un expert...

Je réfléchis un peu. Je me revois postuler la première fois pour devenir expert judiciaire, il y a 18 ans. Je pensais que l'activité était bénévole, que les sachants proposaient leur aide gracieusement à la justice, pour le plaisir de la recherche de la vérité, pour le plaisir d'aider à rendre le monde meilleur. Quand j'ai compris le coût d'une expertise, le prix de l'assurance en responsabilité civile, le coût des logiciels, le temps passé en formation sur les procédures... je suis vite rentré dans le rang.

Et puis, j'ai pris la décision de réaliser gratuitement toutes les expertises judiciaires pénales qui me seraient demandées par les magistrats de mon ressort, ce qui m'a valu la réprobation d'un grand nombre de confrères (le gratuit c'est mal, ça dévalorise l'activité, etc.). Pour les rassurer, je dois avouer qu'en un an, à ma grande surprise, aucun magistrat ne m'a contacté...

Parallèlement aux dossiers où je suis désigné par un magistrat, il y a les dossiers privés (c'est-à-dire où je suis sollicité par l'une des parties). J'ai dans ce cas également choisi de travailler gratuitement à hauteur environ d'un dossier privé sur dix, en ciblant plus particulièrement les clients sans moyen. C'est une question de convictions politiques et philosophiques.

Dans le cas qui se présente, la femme qui m'a contacté est dans une situation particulièrement précaire. J'accepte d'étudier le dossier. Je demande toutes les pièces à l'avocat. Je ne suis pas déçu : le cas est réellement désespéré. Une grande entreprise française a déposé plainte pour fraude informatique contre une de ses salariés. Une enquête a eu lieu, mais biaisée par des incompréhensions techniques, par des a priori malheureux, par un manque de moyens. La machine s'est pourtant mise à écraser des vies.

La Justice se doit d'être rendue objectivement, sans faveur ni parti pris, indépendamment de la puissance ou de la faiblesse des accusés. La cécité est alors la meilleure façon de garantir cette impartialité. C'est la raison du bandeau de lin que l'on met sur les yeux des statues représentant Thémis, la déesse de la Justice.

Mais la justice peut se tromper. C'est le sens des recours. Thémis a parfois le genoux dénudé, car les écrits antiques matérialisaient le genou comme l'attribut corporel de la piété, de la magnanimité et de la clémence du puissant. La Justice se veut réceptive au malheur humain, et cette clémence est alors symbolisée par ce genou dénudé.

C'est la première fois que j'ai dans les mains un dossier où les éléments techniques clament de manière diffuse l'innocence de cette personne injustement condamnée. Comme l'avocat l'a fait avant moi, je me plonge à corps perdu dans le dossier.

Les soirées passent. Les semaines. J'arrête toutes les autres activités, les réseaux sociaux et les billets de blog, tant elles me semblent dérisoires. Je lis les pièces, les notices, les rapports, les conclusions, les réquisitions. Je prend des notes, je mets en évidence les anomalies, les failles, j'essaye de rester factuel. Je me réveille la nuit. Je pense à l'enfer vécu par cette femme accusée à tort. Face à elle, je devrais dire face à nous, la puissance de l'argent, la puissance de l'administration, la puissance du prestige de l'avis des puissants. Mais nous, qu'avons-nous ? Comment prouver l'innocence alors que l'absence de preuve de culpabilité devrait suffire ? Il y a de la passion dans les discussions que j'ai avec son avocat, persuadé comme moi de l'innocence de sa cliente.

Mais la passion se doit d'être absente de la note technique que je rédige. Je rassemble tous les points que j'ai relevés depuis trois mois. Je m'isole dans mon bureau pendant plusieurs jours. Je cherche à retirer temporairement le bandeau des yeux de la Justice pour que celle-ci regarde pleinement les personnes auxquelles s'adressent les règles de droit et agisse en conséquence. Il me faut faire valoir le principe d'équité.

Pour que David puisse vaincre Goliath.
Pour dévoiler le visage et embrasser le genou de Thémis.

L'engagement de l'expert va parfois au delà de sa mission, pourvu qu'il ne s'en brûle pas les ailes.

Alea jacta est.