02 avril 2008

Tempus regit actum

En l'espace d'un mois, trois expertises judiciaires m'ont été demandées sur le thème de la recherche de dates de modifications de fichiers!

C'est un domaine que je n'aime pas pour plusieurs raisons:
- très souvent, ce type de demande est lié à une supposée malversation d'un salarié
- la rédaction du rapport d'expertise est très difficile du fait de la nécessaire explication (si possible claire ET pédagogique ET concise) des différences entre date de création, date de modification, date d'accès, date du Bios, date de l'OS, heure d'été, fuseau horaire, dérive de l'horloge, etc.
- le coût de ce type de mission peut devenir très élevé si l'on procède avec précision à la recherche d'incohérences temporelles sur l'ensemble des fichiers
- il faut prendre en compte la possibilité d'un rootkit, d'un virus, d'un bogue ou de tout ce qui agit à l'insu du plein gré de l'utilisateur.

Tout cela part pourtant d'une très bonne question, simple en apparence:
quand telle personne a-t-elle [créé|effacé|accédé à|modifié] telle ou telle donnée?

Et il faut d'abord expliquer qu'en général, on ne doit pas parler d'une personne, mais d'un compte informatique (l'ordinateur du fiston a très bien pu être utilisé par une autre personne, même avec son compte nominatif).

Ensuite, pour les affaires anciennes, il faut également vérifier que la pile du Bios alimente toujours l'horloge, estimer sa dérive temporelle, supposer celle-ci constante, vérifier les changements d'heure (automatique ou non).

Enfin, certaines données horaires proviennent d'ordinateurs tiers (date d'emails par exemple), eux-même sujet à caution quant à la précision de leur horloge. En même temps, c'est vrai qu'aujourd'hui, pour établir une chronologie précise, il suffit de disposer des données FAI pour les synchroniser avec les traces liées aux connexions internet. A condition que le temps de conservation de ces données ne soit pas écoulé...

Bref, bien que ponctuel de manière presque maladive, j'ai un problème avec les heures...

Après avoir expliqué tout cela par téléphone avec mes différents interlocuteurs (gendarmes, magistrats et avocats), tous m'ont néanmoins confié les dossiers avec consigne de faire pour le mieux.

Cela m'a fait plaisir.
En même temps, une telle confiance m'a fait peur.

Peut-être parce que ce mot intervient dans ces deux concepts: la LCEN et l'informatique de confiance.

Le plus drôle, c'est qu'un avocat m'a également contacté pour "démonter" un dossier exclusivement basé sur des dates informatiques. Miam!

Le temps est un grand maître, dit-on. Le malheur est qu'il tue ses élèves.
Hector Berlioz

3 commentaires:

  1. Poilauxpattes c/o free.fr5 avril 2008 à 03:18

    Ha le temps... c'est une notion qui n'est pas la même pour tout le monde.

    Les orientaux disent de nous :
    "vous, les occidentaux vous avez tous des montres, nous, nous avons le temps".

    RépondreSupprimer
  2. Le pire étant les vieux fichiers recopiés dont les dates sont conservées ou pas selon le bon vouloir du programme de copie ou l'origine des fichiers.

    RépondreSupprimer
  3. Sur un ordinateur personnel, l'utilisateur "administrateur" de la machine peut aussi très bien éditer ces heures de modification "à la main"... et qu'il existe aussi des appels systèmes (du moins sous Linux, futimens/futimensat) pour les régler à volonté (ceci sert pour les programmes d'archivage de données) ?

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.