29 octobre 2008

Que faire quand vous découvrez une infraction?

En l'absence de poste effectivement dédié à la sécurité, je fais office de RSSI dans mon entreprise, c'est-à-dire que j'assure la responsabilité de la sécurité du système d'information.

En d'autre termes (dixit wikipedia), la sensibilisation des utilisateurs aux problèmes de sécurité, la sécurité des réseaux, la sécurité des systèmes, la sécurité des télécommunications, la sécurité des applications, la sécurité physique, la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur), la stratégie de sauvegarde des données et la mise en place d'un plan de continuité d'activité «disaster recovery».

Bien.

Cela tombe assez bien car en tant qu'expert judiciaire, je suis amené plutôt souvent à me prononcer sur la validité des actions menées au sein des entreprises par les responsables concernés par ces problèmes (et ils sont nombreux, les problèmes potentiels).

Seulement voilà, RSSI, c'est un métier à part entière, qui demande des connaissances techniques particulièrement élevées, et dans des domaines très divers. Un métier d'Expert.

Donc, quand on se définit comme un informaticien généraliste devant intervenir sur tous les aspects de l'informatique (i.e. responsable-informatique-dans-une-école-d'ingénieurs-et-expert-judiciaire-en-informatique), il est bon d'avoir plus que quelques bonnes notions concernant la sécurité informatique.

Et heureusement, il y a la pratique, la théorie et le partage d'expérience.

Concernant le partage d'expérience, il y a les blogs: Sid, Bruno Kerouanton, Maître Eolas, et j'en passe d'autres et des moins bons, et il y a les conférences.

A propos des conférences, s'il est parfois difficile d'y aller (temps, distance, frais...), il est souvent possible d'obtenir les actes, et parfois même gratuitement! C'est le cas pour le Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC).

Du coup, il est possible d'accéder à des documents intéressants (quand on arrive à en comprendre le sens). C'est le cas de l'excellent "Recueil et analyse de la preuve numérique dans le cadre d'une enquête pénale" de Nicolas DUVINAGE.

Résumé: Au cours de l'enquête pénale peuvent être saisies et analysées de nombreuses pièces à conviction de toutes natures: traces d'ADN, empreintes digitales, armes, etc, mais aussi disques durs, clés USB, téléphones portables... La présentation portera à la fois sur les grands principes de la criminalistique (étude scientifique des éléments de preuve), qui s'appliquent indifféremment à tous les scellés quelle que soit leur nature, mais aussi sur les particularités du traitement de la preuve numérique (saisie, conservation, exploitation, présentation des résultats). Une conduite à tenir-type sera également conseillée aux RSSI et administrateurs-réseau d'entreprise en cas de découverte d'infraction dans leur périmètre de compétences.

Et parce que nous sommes tous maintenant des RSSI en puissance (je n'ai pas dit "compétents"), et grâce à l'aimable autorisation de l'auteur, je peux retranscrire ici les conclusions de ce document (pour votre bonheur je vous encourage à les lire dans le document original).

---------- extrait -----------
QUELQUES CONSEILS

«Les RSSI qui découvrent une infraction…»
Vous découvrez ce que vous pensez/supposez être une infraction… mais vous n’êtes pas magistrat!
• …ce n’est pas forcément une infraction.
• …et même si c’en est une, le suspect n’est pas forcément celui que l’on croit (ex.: poste de travail partagé, trojan, etc).
• …et même si c’est bien lui, il n’est pas forcément coupable (ex.: comportement involontaire).
• …et même s’il l’est pour tout le monde, il ne sera pas forcément condamné (ex.: absence de preuves suffisantes, vice de procédure, etc.).
De fausses accusations (même énoncées de bonne foi et sans intention de nuire) peuvent avoir de lourdes conséquences:
– Il est plus facile de détruire une réputation en 5 minutes que de la reconstruire… même s’il est prouvé que la personne est innocente («Il n’y a pas de fumée sans feu», les accusations de pédophilie sont souvent indélébiles…).
– Pour le suspect:
• Risque de mise à pied ou de licenciement;
• Risque de rupture conjugale, de suicide (pédophilie);
• Méfiance de l’entourage, de la famille, des amis, des collègues…

Conseil n°1: PRUDENCE et DISCRETION:
• Ne pas alerter toute l’entreprise (se contenter par ex du responsable juridique et du directeur du site, faire attention aux éventuelles complicités internes…).
• Laisser faire les spécialistes du droit (signaler les faits à la gendarmerie/police…).
• Ne pas porter de jugement hâtif sur l’intéressé (lui laisser le bénéfice du doute et la présomption d’innocence).
Conseil n°2: Pour autant, il faut réagir! …tout en respectant le droit du travail et les libertés fondamentales de la personne:
• Pas d’analyse des fichiers personnels privés du PC du suspect (cf. «arrêt Nikon» de la Cour de Cassation).
• Pas de «perquisition» dans son vestiaire, dans ses tiroirs en son absence.
Conseil n°3: Pour autant, il faut réagir! …et préserver les éléments de preuve:
• Remplacer le PC suspect par un autre PC (ex.: en prétextant une maintenance, une mise à jour, un problème de sécurité, ou au pire, en prétextant une infraction moins
infamante que la pédophilie [piratage, escroquerie…]).
• Extraire/graver les fichiers issus de serveurs (ex.: logs gravés sur CD).
• Si vous avez impérativement besoin de faire des analyses: réaliser une copie bit à bit des supports mis de côté et n’analyser que ces copies.
• Conserver les supports mis de côté dans un endroit sûr (ex.: coffre-fort) en attendant de les donner à la gendarmerie/police.
------- fin d'extrait --------

Et si je peux me permettre d'ajouter un conseil: contactez un expert judiciaire. Il saura réaliser les actions techniques préconisées...

On voit des choses et on se demande pourquoi elles existent. Moi je rêve de choses qui n’ont jamais existé et je me demande pourquoi pas?
George Bernard Shaw



--------------------
Crédit images darkroastedblend.com

26 octobre 2008

Canal moins

Comme beaucoup d'internautes, je dispose de plusieurs adresses emails, essentiellement pour échapper aux spammeurs.

Certaines de ces adresses emails ne sont utilisées que pour des opérations techniques particulières et ne sont fournies à aucun organisme (autre que le site de création de l'adresse email). C'est pourquoi j'ai été surpris de recevoir un message de canal+ sur l'une de ces adresses emails dont le sujet est le suivant: "Inscription à canalplus.fr".

----------------------
CONFIRMATION DE VOTRE INSCRIPTION
VOTRE INSCRIPTION A BIEN ETE ENREGISTREE.
VOICI VOTRE MOT DE PASSE POUR VOUS CONNECTER A VOTRE
ESPACE SUR LE SITE CANALPLUS.FR
E-MAIL °°°°°@gmail.com
MOT DE PASSE °°°°°
CONSERVEZ PRECIEUSEMENT CE MESSAGE. VOS IDENTIFIANTS
SONT NECESSAIRES POUR CONSULTER VOTRE ESPACE ET GERER
VOS DONNEES.

----------------------

Ma première idée a été qu'il s'agissait d'une tentative de phishing, mais avant de supprimer le message, je me suis dit qu'il était peut-être préférable de vérifier si je n'étais pas victime d'un vol d'identité numérique et qu'une personne mal intentionnée ne m'aurait pas inscrit à l'insu de mon plein gré à cette chaine cryptée.

Je vérifie donc le contenu de l'email, le lien intégré, et m'assure que le site existe bien et correspond à ce qu'il prétend être. RAS, le site existe et est bien celui de Canal+. Pas d'hameçonnage à l'horizon...

Je cherche l'espace abonné sur le site et entre les identifiants fournis par l'email. Et paf (le chien), cela marche! Mon cœur s'accélère: j'ai un compte d'abonné sur le site de Canal+ et je n'ai rien demandé!

Je vérifie les informations du compte et m'aperçois qu'il s'agit d'une autre personne, habitant en France, abonné depuis plusieurs mois à Canal+. Et cette personne vient juste d'ouvrir un compte web chez Canal+ en fournissant une adresse email erronée: la mienne. C'est donc moi qui ait reçu le mot de passe d'accès à ce compte web...

Problème: Comment rectifier la situation?

Je décide de contacter la personne par téléphone, puisque celle-ci a indiqué un téléphone portable dans les informations de son compte. Personne ne répond. Je laisse un message sur la boite vocale.

Résumons: je viens d'appeler un inconnu qui ne me connait pas pour lui dire qu'il s'est trompé d'adresse email lors de l'ouverture de son compte web Canal+. Je n'ai pas laissé mon téléphone, je ne lui ai pas donné le mot de passe que j'ai reçu à sa place car finalement je ne sais pas si je m'adresse à la bonne personne. La situation est toujours bloquée.

Je cherche sur le site de Canal+ un numéro de téléphone pour tenter d'expliquer la situation: je trouve un numéro (surtaxé). J'ai un automate au téléphone et après avoir jonglé avec les # et options, il me demande d'entrer un numéro d'abonné. J'ai bien le numéro de l'abonné qui a donné mon adresse email, mais je ne vais quand même pas me faire passer pour lui uniquement pour avoir un opérateur au téléphone qui va croire que j'ai piraté son compte... Je raccroche. La situation est toujours bloquée.

Je décide de répondre à l'email envoyé par Canal+:

----------------------
Bonjour,
Je ne suis pas abonné à Canal+ et pourtant je viens de recevoir cet email (voir PJ)!
J'ai d'abord pensé à du phishing, mais après vérification, les informations que vous m'avez transmise permettent bien de se connecter au compte d'un abonné MAIS CE N'EST PAS MOI (je ne suis pas abonné).
Il s'agit de l'abonné "°°°° °°°°° N° Client °°°°°°"
qui a semble-t-il ouvert un accès web à son compte canal+ EN UTILISANT UNE ADRESSE EMAIL ERRONEE (la mienne).
Merci donc d'aller lui corriger cela rapidement car j'accède à toutes ses données!!!
Cordialement

----------------------

Pour assurer le coup, j'envoie une copie de cet email par facsimilé au numéro du service technique de Canal+. J'ai maintenant une trace fiable de la promptitude de ma réaction et de mon honnêteté sans faille. Je peux dormir tranquille.

Une semaine plus tard, je vérifie que les identifiant/mot de passe ont bien été désactivés: le compte est toujours ouvert, et c'est toujours moi qui ait l'accès.

Personne chez Canal+ n'a corrigé le problème. La situation est toujours la même. C'est amusant et triste à la fois: il n'est plus possible de contacter une personne techniquement capable de résoudre ce problème. Il n'est même plus possible simplement de contacter quelqu'un par téléphone. Quand je dis "simplement", je veux dire sans me prendre la tête.

Si un lecteur de ce blog connait un numéro de téléphone permettant de contacter une personne compétente de Canal+, qu'il me l'envoie à mon adresse email.

Même s'il s'agit d'une vedette de la chaine!

Parce que pour l'instant, moi, j'ai un peu le sentiment d'être dans la 4e dimension cryptée. Sur Canal moins en quelque sorte.

23 octobre 2008

Soutien aux magistrats

Il n'est pas fréquent que les magistrats soient en colère.
Plusieurs d'entre eux ont publié des billets hébergés sur le blog de Maître Eolas.

Je souhaite ici apporter ma petite lumière d'expert judiciaire.

Etre expert judiciaire, ce n'est pas une profession. Je suis un citoyen comme les autres, salarié dans une entreprise, inscrit dans la Cour d'Appel dont je dépends géographiquement sur la liste des personnes habilitées à apporter aux magistrats un éclairage sur un point technique de leurs dossiers (liste des experts judiciaires).

De ce fait, il m'arrive de rencontrer des magistrats sur leur lieu de travail, pour être entendu en audition ou pour discuter (un peu) avec eux lors d'une remise de scellés.

Etant indépendant du monde judiciaire, je peux le regarder d'un oeil relativement objectif.

Les magistrats du siège, les juges d'instruction et les greffiers que j'ai rencontrés font un travail remarquable.
Peu de moyens, un dévouement exemplaire, des locaux vétustes, des piles de dossiers incroyables dans tous les coins possibles et imaginables...

Lors de ma première rencontre avec un magistrat, je venais juste de prêter serment et souhaitais me présenter par correction. Le magistrat qui m'a reçu a commencé l'entretien par les mots suivants: "Bonjour Monsieur l'Expert, j'ai 5mn à vous consacrer, quel est le problème?"

Moi qui était déjà très impressionné par cette première rencontre avec un magistrat, je suis resté un peu "bête":
"heu, et bien, je venais me présenter par politesse puisque je viens juste de prêter serment".

Lui: "Ah, bien. Connaissez-vous le monde judiciaire, avez-vous déjà ouvert un code de procédure, quelle est votre formation juridique?"

Moi: "Je ne connais pas le monde judiciaire, je n'ai jamais ouvert un code de procédure et ma formation juridique est nulle. Mais mon épouse est avocate et j'ai souhaité mettre mes connaissances techniques d'ingénieur en informatique au service de la justice, qui est son monde à elle. Un moyen de travailler ensemble en quelque sorte."

Lui: "Bien, donc elle saura vous guider dans les procédures, notamment sur le respect du contradictoire. Soyez clair dans vos rapports, et respectez bien les délais impartis pour le dépôt de vos rapports. Maintenant, je dois vous laisser, car mon emploi du temps est très chargé. Merci et bon courage."

Cela m'avait un peu refroidi, car j'avais imaginé un accueil plus enthousiaste, je pensais qu'il allait s'intéresser de près à mes compétences pour pouvoir les exploiter au mieux. Je pensais qu'on allait discuter une petite heure de ma petite personne. J'avais tort et j'ai compris pourquoi très vite.

Je rencontre très rarement les magistrats. Ce sont des personnes très occupées pour qui chaque minute compte. Lisez leurs histoires ICI et vous comprendrez. Idem pour les greffiers qui sont les garants du respect de la procédure et que j'ai longtemps pris pour des secrétaires. Ce sont surtout des femmes et des hommes à tout faire.

Je souhaite leur apporter ici tout le soutien dont je suis capable, même si ce n'est que le point de vue d'un petit expert judiciaire.

Bravo pour tout ce dévouement.

Mais je sens bien que la coupe est pleine.

22 octobre 2008

Une grotte de cristaux

J'aime la spéléologie, même si je ne la pratique plus beaucoup.
Aussi, quand je suis tombé sur cet article du National Geographic... Je suis tombé par terre. Si vous regardez bien la photo, vous verrez des spéléos en train d'explorer la grotte.

Ce sont apparemment les plus grands cristaux découverts sur sous Terre (jusqu'à 10m de long!). Cette cavité s'appelle "Cueva de los Cristales" et s'étend jusqu'à 300m sous le désert de Chihuahua. Découverte en 2000 lors du percement d'une galerie minière, elle est extrêmement chaude et humide (45°C et 95% d'humidité), au point d'obliger les spéléologues à être équipés de respirateurs et de vêtements refroidis avec des sacs de glace.

De quoi donner envie de replonger sous terre.

Photos crédit Carsten Peter, Speleoresearch & Film

18 octobre 2008

18e congrès des experts judiciaires

Les 10, 11 et 12 octobre 2008 a eu lieu le 18e congrès des experts judiciaires. Le thème était "Justice et vérité: de l'autorité de l'expert".

Je n'ai pas pu m'y rendre, et je le regrette car il y avait de nombreux intervenants de qualité, comme par exemple le philosophe André Comte-Sponville.

D'un autre côté, il est vrai que je ne goûte guère ce type de grand-messe.

Néanmoins, pour ceux que cela intéresse, vous trouverez ici un compte-rendu qui donne plusieurs informations sur les sujets abordés.

Ce que je retiens (de ce compte-rendu):
- la Garde des Sceaux fait allusion à un éventuel code de déontologie de l’expert judiciaire,
- la suggestion d'interventions des experts au sein des sessions de formation des magistrats,
- la nécessaire humilité de l’expert.

Cela me fait vraiment regretter de ne pas avoir pu y aller...

17 octobre 2008

Live view

Il est parfois étrange de constater comment mon activité professionnelle peut être alimentée par mon activité d'expert judiciaire en informatique, et réciproquement.

J'ai déjà vanté ici les mérites des machines virtuelles pour allumer un PC virtuel copie conforme du PC sous scellé. Les outils ne manquent pas: virtualbox, virtualpc, Oracle VM, QEMU, Xen, etc.

Après avoir testé plusieurs d'entre eux et les avoir mis en place pour la réalisation de séances de travaux pratiques (TP d'études de différents systèmes d'exploitation, analyse réseaux, etc), j'utilise avec succès les produits VMware dans le service informatique: d'abord VMware workstation, puis player, server et maintenant ESXi (gratuite depuis quelques semaines).

J'ai finalement mis en place en salle serveur la solution VMware ESXi, dans sa version gratuite. Et après quelques semaines de tests, elle est entrée en production. Chaque serveur fait tourner entre deux et quatre machines virtuelles, et nous sommes en train de migrer tous nos serveurs vers cette solution.

En quoi cette solution peut-elle être utilisée dans le cadre d'une expertise judiciaire informatique? Tout simplement, comme je l'expliquais dans ce billet, s'il est important de disposer des logiciels permettant de procéder à l'analyse inforensique d'une image de disque dur, il est intéressant et plutôt pratique de pouvoir démarrer une copie de l'ordinateur. Et pour éviter de déployer l'image sur un ordinateur matériel, l'idée d'utiliser des machines virtuelles surgit naturellement.

Comment? Et bien il suffit par exemple de convertir l'image numérique du disque dur en une machine virtuelle VMware à l'aide du logiciel Live View.

Du point de vue ressource, Live View vous permet de travailler en lecture seule sur la copie du disque dur, les modifications inévitablement effectuées par le système d'exploitation étant conservées sur un autre disque dur virtuel (qu'il est facile d'effacer rapidement).

Vous disposez ainsi d'une machine virtuelle redémarrable et réinitilisable à l'infini, sur laquelle il est possible de mener quelques investigations simples qui pourront être vérifiées de façon probante sur la "photographie" du scellé d'origine (l'image du disque dur ou de la clef USB): organisation générale du disque dur, logiciels installés, liens présents sur le bureau, fichiers de la corbeille, fond d'écran, raccourcis vers supports externes, etc.

A noter pour les experts judiciaires fortunés, que Live View semble pouvoir travailler avec des images provenant d'EnCase® Forensic. A 5000 euros la licence, je n'ai pas le volume d'affaires pour m'offrir cet outil performant...

Un dernier truc concernant Live View: je ne l'ai utilisé que pour créer des machines virtuelles Windows. Il semble n'avoir qu'un support limité de Linux. Cela ne me gène pas car pour l'instant, je n'ai jamais eu à analyser de machines Linux de cette façon là. Du coup, pour éviter au maximum les problèmes d'activation de l'OS, il faut "coller" au plus près des caractéristiques physiques de la machine initiale (comme la taille mémoire). Si tout va bien, vous pourrez redémarrer autant de fois que vous le souhaitez, à condition de réinitialiser l'image "from scratch". Dans le cas d'un Windows XP sans service pack, il faudra passer par la procédure d'activation...

Mais dans tous les cas, comme je j'avais déjà indiqué, avec Live View, la vue, c'est la vie rtualisation:)

15 octobre 2008

Antoine et les autres

Les analyses de disques durs pour rechercher des images pédopornographiques m'amènent souvent à méditer quelques heures sur les visages de ces enfants torturés. C'est d'ailleurs une des raisons primitives de l'ouverture de ce blog.

J'ai déjà indiqué également que j'ai parfois l'espoir de reconnaître le visage d'un enfant disparu, afin de donner un indice aux enquêteurs concernés.

Je sais finalement que l'envie d'aider à la recherche des personnes disparues est partagée par la plupart des personnes que je connais, car il n'est pas nécessaire d'être expert judiciaire, ou parent, pour être sensible à la disparition d'un être humain, et en particulier d'un enfant.

Je sais également que plus un visage est connu, et plus il y a de chance qu'il soit reconnu. C'est pourquoi, je vous invite à étudier attentivement les visages de ces personnes, et en particulier celui-ci:




Si un jour vous avez des informations, même partielles, même sordides, elles pourront toujours être utiles. Contactez alors les numéros indiqués.

14 octobre 2008

18

Etre SST (Sauveteur-secouriste du Travail) dans une école d'ingénieurs, c'est gérer beaucoup de bobologie. Mais pas seulement.

Ce matin, j'ai été appelé car un étudiant avait un malaise.
Une fois sur place, j'ai découvert un étudiant allongé par terre, faisant des convulsions et ayant du mal à respirer.

C'est très impressionnant.

Il était entouré par ses amis. Comme il ne pouvait pas parler, ce sont eux qui m'ont expliqué que j'avais été dérangé inutilement car il faisait ce type de crise régulièrement, qu'il ne fallait pas s'inquiéter, qu'il suffisait d'attendre et que cela allait passer...

Mon sang n'a fait qu'un tour: attendre, ne pas s'inquiéter, ne pas faire de vague, ne pas déranger, rester discret, ne pas prendre de décision, les-secours-mais-vous-n'y-pensez-pas...

J'ai immédiatement, et pour la première fois de ma vie, appelé le 18.

J'ai eu quelqu'un de très calme qui m'a posé quelques questions. J'étais moi-même très calme, à ma grande surprise. De la théorie à la pratique, il y a parfois un gouffre. J'ai ensuite demandé à deux des étudiants présents d'aller attendre et guider les secours jusqu'à nous dans le dédale de l'école.

Je suis resté avec l'étudiant malade en essayant de le détendre par des paroles rassurantes, en l'allongeant sur le lit de l'infirmerie. Les pompiers sont arrivés quelques minutes plus tard et ont pris les choses en main. Ils ont rapidement emmené l'étudiant à l'hôpital en observation.

Ensuite, il m'a fallu rassurer les amis de l'étudiant, leur expliquer qu'on ne peut pas regarder quelqu'un qui est peut-être en train de mourir, que ni eux ni moi ne sommes médecins. Je n'ai pas du être très convainquant car ils sont partis en me reprochant mon exagération. Tous les adultes présents semblaient assez d'accord avec eux.

N'empêche.
Depuis que j'ai accepté la responsabilité du service technique, et par là la gestion de la sécurité des biens et des personnes, j'ai décidé de bousculer les habitudes: plus de médicaments à l'infirmerie (uniquement des compresses stériles et des lingettes nettoyantes), une liste à jour des pansements et désinfectants, les instruments indispensables (ciseaux à bout ronds, pince à échardes, oeillère pour laver l'oeil, gants jetables, sachets plastiques, couverture de survie...

Et appel systématique aux urgences en cas de problème médical.

Cela a beaucoup changé les petites habitudes... Mais je résiste à la pression et essaye d'être pédagogique sur ces changements, sur la sécurité, etc.

N'empêche que quand les pompiers sont partis, je suis rentré m'isoler dans mon bureau et j'ai pleuré un bon coup. Le contrecoup sans doute.

Je suis trop sensible, j'aurais fait un mauvais urgentiste.

12 octobre 2008

De Michel Eyquem de Zythom

N'ayant rien à faire ce dimanche, et constatant que ce blog a maintenant une audience internationale, je me permets de le présenter en langue anglaise et en chinois.

Having nothing to do this Sunday, and noting that this blog has an international audience, let me present it in English and Chinese. Thank you "Google beta translation."

在没有做到这一点星期日,并指出,此博客具有国际观众,让我目前它的英文和中国。谢谢你“谷歌测试翻译。”

Internet user, loe here a well-meaning Blog. It doth at the first entrance forewarne thee, that in contriving the same I have proposed unto my selfe no other than a familiar and private end: I have no respect or consideration at all, either to thy service, or to my glory: my forces are not capable of any such desseigne. I have vowed the same to the particular commodity of my kinsfolk and friends: to the end, that losing me (which they are likely to do ere long), they may therein find some lineaments of my conditions and humours, and by that meanes reserve more whole, and more lively foster the knowledge and acquaintance they have had of me. Had my intention beene to forestal and purchase the world's opinion and favour, I would surely have adorned myselfe more quaintly, or kept a more grave and solemne march. I desire thereun to be delineated in mine own genuine, simple and ordinarie fashion, without contention, art or study; for it is myselfe I pourtray. My imperfections shall thus be read to the life, and my naturall forme discerned, so farre-forth as publike reverence hath permitted me. For if my fortune had beene to have lived among those nations which yet are said to live under the sweet liberty of Nature's first and uncorrupted lawes, I assure thee, I would most willingly have pourtrayed myselfe fully and naked. Thus, gentle Surfer, myselfe am the groundworke of my blog: it is then no reason thou shouldest employ thy time about so frivolous and vaine a subject. Therefore farewell,

From Zythom,
The First of March, 1580.

Original text from Montaigne, translation by John Florio.

以下是博客诚实的球员。你无法进入,我已设定的个人目标和私营答:我不写,使你幸福,我不写我的荣耀,我的部队没有能力这样一个设计。我写信给我的父母和朋友,我将死于一天,他们可以找到所有的特质,我的性格,使他们能够记得我。如果我写信给得到支持的世界,我抹去我的错误和夸大我的素质。我想看看我的简单,自然和普通,学习和没有诡计:因为这是我说,我画画。我国断层热衷于阅读,我的不完善之处,并形成幼稚的我而言,公众尊敬的帮助了我。如果我一直在这些人说,他们仍然生活在甜蜜的自由性质,我向你们保证,我将非常高兴画一个整体,赤身裸体。所以,亲爱的旅客,我本人的主题我的博客:这是不正常的,你失去的时间来阅读。因此,再见。
从Zythom ,在1580年3月1号。

10 octobre 2008

Backstage 0810

Comme beaucoup de scientifiques, j'aime les chiffres. Et les nombres aussi.
Je sais, ce ne sont pas des choses qui se disent en société.
C'est un peu honteux.

Quand j'étais jeune, lors des réunions de famille, mes parents, très fiers, donnaient mes résultats scolaires en pâture aux oncles et tantes. Et leurs enfants (mes cousins et cousines) me regardaient par en dessous avec l'air de dire "pfff quel polard". Et pour briller dans les yeux des filles, il me fallait cacher cette passion pour les nombres, pour les maths, pour l'informatique naissante, pour l'électronique, pour la physique, pour l'astrophysique.

Sur le sac US qui me servait de cartable (nous étions des rebelles à l'époque:), là où tous mes copains inscrivaient les noms des groupes de rock en vogue, moi j'avais écrit les sigles suivants: SHRDLU, Lisp, Lovelace et Turing. Et quand on me demandait leur signification, je me taisais et baissais les yeux.

Quand on me demandait ce que je faisais (alors que je me grillais les neurones en math sup), je répondais "Bah, je fais des études en sciences" et renvoyais la question, tant il est vrai que pour intéresser quelqu'un, il faut l'écouter parler de lui (ou d'elle).

Aujourd'hui, je suis loin de toute cette misère personnelle, et je me plonge avec délice dans les ouvrages qu'il me fallait auparavant recouvrir d'une couverture de "Playboy" pour éviter les regards désapprobateurs: "The International Journal of Forensic Computer Science", "Paradoxes mathématiques" et autres MISC... Et comme je m'amuse à tenir ce blog, j'ai pu me plonger grâce à vous (et avec délice) dans les nombres des statistiques de consultation que me remonte "google analytics".

BOOM BOOM BOOM BOOM BOOM BOOM (roulements de tambours)

Voici donc, en exclusivité confidentiel défense, quelques nombres (avec des images, c'est encore plus joli) que vous avez générés en venant me rendre visite sur ce blog, entre le 1er septembre 2006 et 2008:

Le tableau de bord des visites mensuelles:

Je rougis de plaisir de savoir que 4864 personnes se sont égarées ici au mois de septembre 2008! Je sais, c'est à peine une heure de visiteurs du blog de JM Ucciani dessinateur, mais bon, je vous remercie tous, chers lecteurs et lectrices!


Vue d'ensemble des visiteurs:




Profil technique - les navigateurs:

Firefox, numéro un haut la main! Cela devrait faire plaisir à Tristant Nitot.


Profil technique - vitesses de connexion:

Tout cela me permet de voir qu'il existe des visiteurs ayant une liaison internet OC3 à 155 Mb/s (une connexion OC3 est 100 x plus rapide que T1 (1.5 Mb/s) et 3.5 x plus rapide que T3 (45Mb/s)), mais aussi quelques uns en liaison modem 56k (je sais, c'est peut-être une personne qui est venue 1479 fois)...


La synthèse géographique:
69 636 visites, provenant de 119 pays/territoires.


Pour un blog exclusivement en français, cela fait plaisir de voir qu'il y a encore des français à l'étranger:) [Edit 12/10/2008: un lecteur me fait remarquer qu'il n'y a pas que des français qui parle français hors de France... Je suis honteux, vraiment! Je corrige donc.] Pour un blog exclusivement en langue française, cela fait plaisir de voir qu'il y a autant de francophones dans le monde:)


Les mots clefs utilisés qui amènent ici:

Quelques mots clefs sont également intéressants...
image(s) pédophile(s) 284+157+137+73+53+52 = 756 visites qui amènent ici suite à la saisie de ces mots clefs dans les moteurs de recherche.

Mais n'oubliez pas la citation suivante:
"Je me suis jeté dans la boue plus d’un demi-million de fois. Cela permet-il d’en déduire quoi que ce soit sur mon état mental?"
Sepp Maier (gardien de but allemand) via Courtois.


Les sources de trafic:
LE tableau des tableaux, celui que l'on ne montre jamais, celui des sources de trafic (69 636 visites via 383 sources et supports):



Merci donc à google et à vos marques-pages.
Merci à Sid, Bertrand Lemaire, Bruno Kerouanton...

Merci surtout à Maître Eolas (attention site addictif) dont le référencement permanent montre ici l'influence (et je ne parle pas des pics de fréquentation lorsqu'il publie un lien dans un billet - heureusement que je ne paye pas la bande passante de l'hébergement...) Qu'il soit ici publiquement écrit que je lui offre une bière dans le premier endroit où je peux entrer avec un sac sur la tête (je porte très mal la serviette).

Un grand merci aussi à Paxatagore qui a été le premier blogueur à me référencer dans sa blogroll! (Paxatagore, revenez!)

Allez, je lève mon verre à la santé de tous ceux qui sont venus ici passer en moyenne 1mn 56s 31415926535. En particulier à tous les lyonnais :)

Et si un jour vous croisez quelqu'un en costume noir avec un autocollant ETAOIN sur son attaché case, alors qui sait, c'est peut-être moi?

Suum quique tribuere

08 octobre 2008

Les experts en série

Depuis mon billet sur la récupération de fichiers, où je cite plusieurs métiers de spécialistes en criminalité informatique, j'ai reçu plusieurs emails de personnes intéressées par ces professions.

On me demande également mon avis sur la meilleure formation, ou sur le choix à faire entre police ou gendarmerie, etc.

STOP. Je ne connais pas ces métiers, je ne sais pas quelle filière suivre pour y parvenir et je travaille tout aussi bien avec des professionnels de la police nationale ou de la gendarmerie (nationale également, il n'y a pas de gendarmerie municipale).

Et comme tout le monde, je regarde les séries télévisées avec leurs lots de suspense, de situations rocambolesques et d'enquêtes scientifiques. Je comprends donc l'intérêt que l'on peut porter à ces métiers, vus à travers la petite lucarne. Mais comme toujours, la réalité est plus douloureuse, et moins télégénique.

Pour autant, si l'on est en général loin des salles hypertechnologiques de la série "Les Experts", si les algorithmes de décryptage sont un peu plus long que dans la série "NCIS", la réalité du terrain est aujourd'hui loin de l'image encore présente à l'esprit du plus grand nombre (me semble-t-il). La réalité, c’est ce qui fait mal quand on éteint l’ordinateur (John Warsen).

Les policiers et les gendarmes avec lesquels j'ai pu travailler disposent d'ordinateurs et de matériels dernier cri. Pas tous, pas partout, mais beaucoup. Et pour ce que j'en ai vu, ils savent parfaitement s'en servir!

Et pourtant, il n'y a pas si longtemps, les seuls ordinateurs des brigades de gendarmerie étaient ceux qu'ils avaient bien voulus acheter à titre personnel et qu'ils utilisaient sur leur lieu de travail.

Et les experts dans tout cela?

Le mot "expert" est un mot dont le sens est multiple (dictionnaire Petit Robert 1991): en tant qu'adjectif, il signifie "qui a, par l'expérience, par la pratique, acquis une grande habileté", et en tant que nom:
1) Personne choisie pour ses connaissances techniques et chargée de faire, en vue de la solution d'un procès, des examens, constatations ou appréciations de fait (droit 1754).
2) Expert-comptable: personne faisant profession d'organiser, vérifier, apprécier ou redresser les comptabilités, en son nom propre et sous sa responsabilité.
3) Personne dont la profession consiste à reconnaître l'authenticité et à apprécier la valeur de certains objets d'art, pièces de collection.

Mon dictionnaire étant ancien, je me suis tourné vers ROME (le Répertoire Opérationnel des Métiers et des Emplois de l'ANPE) qui me fournit une liste de 28 métiers dont le nom contient le mot "expert"! Dont l'expert(e) informaticien(ne) qui négocie puis prescrit des solutions en matière d'informatique dans les domaines administratif, industriel, scientifique, technique...

Rome enfin se découvre à ses regards cruels;
Rome, jadis son temple, et l'effroi des mortels;
Rome, dont le destin dans la paix, dans la guerre,
Est d'être en tous les temps maîtresse de la terre.

Il y a donc profusion d'experts, surtout si vous utilisez le mot comme adjectif:
Technicien expert, il est expert dans cet art, dans cette science, il est expert en la matière...

Des experts en série.

Et parmi eux, il y a les experts judiciaires (il parait que l'on doit dire maintenant "experts de justice", mais j'ai beau regarder mes codes, je ne vois mention de cela nulle part...).

Et si, comme Woody Allen, vous me disiez "J’ai des questions à toutes vos réponses"...
Comme par exemple, qu'est-ce qu'un expert judiciaire? Vous trouverez la réponse par exemple ICI, mais pour répondre simplement, un expert judiciaire est une personne qui prête devant la cour d'appel le serment suivant: "Je jure, d'apporter mon concours à la Justice, d'accomplir ma mission, de faire mon rapport, et de donner mon avis en mon honneur et en ma conscience."

Et si en plus, à titre personnel, vous avez prêté le serment d'Archimède, vous aurez droit à toute ma considération...

Attention, tous les mots sont importants.
Merci de lire à voix haute.
Les gras sont de moi, vous pouvez parler plus fort.

Serment d'Archimède
Considérant la vie d'Archimède de Syracuse qui illustra dès l'Antiquité le potentiel ambivalent de la technique,
Considérant la responsabilité croissante des ingénieurs et des scientifiques à l'égard des hommes et de la nature,
Considérant l'importance des problèmes éthiques que soulèvent la technique et ses applications,
Aujourd'hui, je prends les engagements suivants et m'efforcerai de tendre vers l'idéal qu'ils représentent :
• Je pratiquerai ma profession pour le bien des personnes, dans le respect des Droits de l'Homme[1] et de l'environnement.
• Je reconnaîtrai, m’étant informé au mieux, la responsabilité de mes actes et ne m'en déchargerai en aucun cas sur autrui.
• Je m'appliquerai à parfaire mes compétences professionnelles.
• Dans le choix et la réalisation de mes projets, je resterai attentif à leur contexte et à leurs conséquences, notamment des points de vue technique, économique, social, écologique… Je porterai une attention particulière aux projets pouvant avoir des fins militaires.
• Je contribuerai, dans la mesure de mes moyens, à promouvoir des rapports équitables entre les hommes et à soutenir le développement des pays économiquement faibles.
• Je transmettrai, avec rigueur et honnêteté, à des interlocuteurs choisis avec discernement, toute information importante, si elle représente un acquis pour la société ou si sa rétention constitue un danger pour autrui. Dans ce dernier cas, je veillerai à ce que l'information débouche sur des dispositions concrètes.
Je ne me laisserai pas dominer par la défense de mes intérêts ou ceux de ma profession.
• Je m'efforcerai, dans la mesure de mes moyens, d'amener mon entreprise à prendre en compte les préoccupations du présent Serment.
• Je pratiquerai ma profession en toute honnêteté intellectuelle, avec conscience et dignité.
Je le promets solennellement, librement et sur mon honneur.


-------------------------
PS: En relisant le billet, je me rends compte que je suis parti dans tous les sens... Mais c'est mon blog, et je vous dis Merci d'être venu :)

To do is to be (Platon)
To be is to do (Marx)
Doo be doo be doo (Frank Sinatra)

-------------------------
[1] Selon la déclaration universelle de l'ONU (10 décembre 1948)

05 octobre 2008

Autosatisfaction

Il n'est pas si fréquent que je reçoive des emails d'encouragement en provenance des acteurs majeurs du monde judiciaire que sont les enquêteurs. Aussi, ai-je été particulièrement touché lorsque j'ai reçu l'email suivant (publié avec l'aimable autorisation de son auteur):

----------------------------------------------
Cher Monsieur Zythom,

C'est en me "promenant sur le réseau international de communication entre ordinateurs" que je suis tombé (presque par hasard) sur votre blog.

Et d'articles, en articles, en articles... j'ai apprécié, puis aimé, puis respecté son contenu, sa forme, son style...

Et l'idée m'est venue de vous féliciter de vif mail...

Enquêteur Spécialisé en Criminalité Informatique, en fonction à la Police Judiciaire de [bip], j'effectue régulièrement des exploitations de systèmes informatiques lesquelles concernent en grande majorité des affaires de pédophilie, incitations à la haine raciale, escroquerie, abus de confiance,... ainsi que plus rarement, en matière d'homicides...

J'ai trouvé sur votre blog une mine de conseils, j'ai souri en vous lisant, faisant alors le parallèle avec mes affaires, m'étant retrouvé dans des situations similaires...

J'ai appris aussi, car c'est ce qui arrive lorsque l'on a l'habitude de faire comme on fait... et que l'on voit quelqu'un faire autrement, on se dit alors : "et!! mais c'est pas con ça!"

Alors voilà cher Monsieur Zythom, je ne vous connais pas mais à travers votre blog, j'ai pu voir un homme, féru et passionné d'informatique, expert judiciaire, qui aime son travail et qui le fait bien.

Dommage qu'ils ne soient pas tous comme vous...

Bravo !

Au plaisir de vous lire

----------------------------------------------

J'ai longtemps hésité avant de publier cet email, non par modestie (j'ai un égo très développé), mais parce qu'il égratigne un peu sur la fin la communauté des experts judiciaires. Mais il fait gris et il pleut. Et j'ai besoin de montrer qu'on m'apprécie un peu.

C'est aujourd'hui dimanche, tiens ma jolie maman
Voici des roses blanches, toi qui les aime tant...
Berthe Sylva

--------
Photo crédit Dark Roasted Blend

03 octobre 2008

Récupération d'images et plus encore

Vous êtes un particulier, vous avez perdu dix années de photographies numériques parce que votre petit dernier a malencontreusement effacé deux ou trois répertoires de votre disque dur en faisant le ménage (mais bon, ils étaient gros, et ça fait de la place maintenant...).

Vous êtes un jeune expert et vous hésitez à dépenser 5000 euros dans un logiciel d'analyse inforensique parce que, heu, deux expertises par an, c'est pas beaucoup...

Vous êtes N-TECH (gendarme spécialisé issu du CNFPJ Centre National de Formation de Police Judiciaire de Fontainebleau), et vous avez égaré votre «lot enquêteur».

Vous êtes ESCI (Enquêteur Spécialisé en Criminalité Informatique - Police National), mais vous ne retrouvez plus la clef d'activation de votre logiciel Marina (Moyen Automatique de Recherche d'Images Non Autorisées).

Vous êtes journaliste et vous ne retrouvez pas l'image que vous avez prise et merde-c'est-le-bouclage/j'ai-pas-de-sauvegarde/qui-a-touché-mon-portable...

Ou tout simplement curieux de voir toutes les images cachées au fil du temps dans les recoins de votre ordinateur.

Alors, ce billet est pour vous.

Je suppose que nous sommes dans le cas d'une analyse d'une copie du disque dur. Pour réaliser une telle copie, vous pouvez déjà lire ce billet toujours d'actualité.

En tout cas, votre disque dur doit encore fonctionner et ne pas être crypté (avec bitlocker par exemple) car je n'aborde pas ici l'analyse post-mortem, ni l'analyse de la mémoire vive...

Enfin, il ne s'agit pas d'effectuer une analyse complète des données du disque dur comme vous pouvez vous entrainer à le faire ICI.

Hypothèse: vous avez une image ISO (ou dd) de votre disque dur et vous aimeriez bien en analyser les images.

Il vous faut cet outil: PhotoRec qui est capable de mener à bien cette analyse avec un nombre incroyable de formats d'images.

Il s'agit d'un billet du vendredi, alors ne comptez pas sur moi pour vous écrire un mode d'emploi, surtout que le site de PhotoRec est très complet.

Et vous savez quoi, ce logiciel permet également de récupérer toutes sortes de fichiers: des fichiers cachés sur cédérom, des fichiers GPG et leur clef effacés, et au total plus d'une centaine de format de fichiers!

Ce logiciel travaille bien sur filesystem FAT, NTFS, ext2/ext3, HSF+.

Il fonctionne avec des disques durs, CD-ROM, CompactFlash, Memory Stick, SecureDigital, SmartMedia, Microdrive, MMC, USB Memory Drives...

Bravo à Christophe GRENIER pour ce travail exemplaire!

D'ailleurs, si vous avez quelques pièces anciennes à lui faire passer...

Felix qui potuit rerum cognoscere causas (ou pas)

----------------------
Image crédit Dark Roasted Blend

01 octobre 2008

Voie Z

Lors d'une correspondance ferroviaire, dans une gare dont je tairai le nom afin de ne pas faire de publicité au risque de voir ce billet tomber sous le couperet de l'extension adblockPlus de mon navigateur favori, lors d'une correspondance donc, je remarque une incongruité: les voies de la gare sont numérotées 1, Z, 2, 4, 6 et 8...

Vous l'aurez remarqué comme moi, les nombres impairs sont absents sauf le premier d'entre eux, et une voie porte le doux nom de "voie Z".

Sur le quai, j'étais semble-t-il le seul à m'être rendu compte de cette double anomalie, ou plutôt le seul à me poser la question, ou encore plus vraisemblablement le seul à ne pas avoir la réponse...

Afin d'en avoir le cœur net, et puisque j'avais 37mn à tuer, je me suis approché d'un homme en "bleu SNCF" qui officiait sur le quai. Après lui avoir expliqué ma surprise et mes interrogations, l'homme eut l'air interloqué et m'a répondu que "c'est la première fois qu'on me pose cette question" et qu'il faut le laisser tranquille car il a beaucoup de chose à faire, mentant ainsi effrontément...

Je repère alors deux femmes, élégamment vêtues du costume SNCF, auxquelles je soumet mon problème.

Les deux femmes sourient (montrant ainsi leur immense supériorité sur l'homme) et me répondent la chose suivante:
"concernant les numéros impairs, les voies impaires sont réservées au tri et à la préparation des trains. Elles sont donc plus loin, en dehors de la zone accessible au public."

Zythom: "Mais pourquoi une voie n°1?"

"Heu, ben, heu, c'est pour les trains de marchandises..." me répondent-elles (un peu au hasard me semble-t-il)."

Zythom: "Et la voie Z?"

"Et bien, nous nous sommes déjà posées la question, mais vous voyez, tous les anciens sont partis à la retraite, et la réponse à nos questions est partie avec eux..."

Voici donc comment une entreprise perd son savoir et sa mémoire...

Alors ce matin, avec l'aide d'internet, j'ai un début de réponse à cette question à deux euros: "C'est juste une voie "zone" d'attente ou de garage. Toute[s] les gares n'en on[t] pas mais sur les grande[s] ligne[s] c'est une obligation car ça empêche [permet à] un train qui a des problèmes de se mettre sur cette voie en attendant qu'une solution soit trouvé[e] donc [de] laissé[er] le champs libre au[x] autres. Salut"
Source Yahoo

Mais dans mon esprit, la réponse secrète restera "voie Z, comme Zythom..."

---------------------------
Photo crédit Dark Roasted Blend