25 octobre 2010

Cave ne ante ullas catapultas ambules

Je suis en train de terminer une expertise informatique particulièrement éprouvante qui m'a pris presque tout mon temps libre depuis quatre semaines.

Être expert judiciaire, c'est en général une activité parallèle à une activité principale, les magistrats voyant dans cette activité principale la garantie d'un certain niveau de compétence et d'une mise à niveau permanente.

Dans mon cas, je suis salarié dans une école d'ingénieurs. Cela occupe mon temps de 9h à 19h, coupé par une pause d'une demi heure pour avaler une saladette devant mon ordinateur.

Depuis quatre semaines, donc, de 21h à 23h, et les quatre dimanches concernés, j'ai consacré toutes mes forces à analyser le contenu de plusieurs scellés qui m'ont été confiés pour en retirer 60 Go de films et photographies pornographiques et pédopornographiques.

Lors du devis initial adressé au Procureur de la République, j'avais indiqué qu'il me faudrait sans doute 30 heures de travail, ce qui dans mon cas représente une "grosse" expertise. A 90 euros de l'heure (tarif spécial service public), le devis me paraît toujours élevé. Mais, quand on sait que l'on sera (peut-être) payé deux ans plus tard...

Mais si vous comptez bien, j'ai déjà passé plus de 60 heures dans la gadoue... et je n'ai pas encore terminé. Que se passe-t-il donc? Je suis tombé sur un PC infecté par de nombreux virus, vers et autres chevaux de Troie...

Et bien quoi, me direz-vous, ne suffit-il pas de passer un bon coup d'antivirus pour nettoyer tout cela? Certes, mais alors, quid de la volonté de l'utilisateur de télécharger tous les fichiers trouvés sur l'ordinateur?

Si vous lisez le serment prêté par l'expert judiciaire, et que j'ai modestement placé en sous-titre de ce blog, j'ai juré de donner mon avis en mon honneur et en ma conscience. Un avis, cela se donne quand on le demande: c'est le but des missions confiées par le magistrat. L'honneur, concept relativement complexe, a à voir avec l'éthique personnelle et le sentiment du devoir. Et enfin, j'ai déjà parlé ici de la conscience et de ses difficultés.

Ma vision personnelle des missions est qu'il faut savoir y lire "l'esprit de la mission". Personne ne m'a demandé dans cette expertise de savoir si oui ou non l'ordinateur qui m'a été confié appartient sans le savoir à un réseau de stockage distribué. Une sorte d'Amazone S3 version bad boys. Mais imaginez un peu la scène si c'était vrai, si un ordinateur contaminé, non content d'être dans un botnet pour spammer le monde entier, était utilisé pour stocker des données forcément compromettantes, comme par exemples des images pédopornographiques.

Dois-je, en ma conscience, dire au magistrat: "mais je n'ai pas regardé car vous ne me l'avez pas demandé"? Non. Mais dans ce cas, le travail est gigantesque: il faut analyser le code de chaque virus, de chaque ver, de chaque cheval de Troie pour savoir ce qu'il cherche à faire en s'étant implanté sur cet ordinateur... Et cela prend du temps, beaucoup de temps...

Alors, pour rester dans une fourchette de temps raisonnable (j'ai également une date limite pour réaliser une expertise judiciaire), je procède de la façon suivante: j'utilise plusieurs antivirus, je note toutes les détections faites lors des analyses (nom du programme malveillant, nom du fichier infecté), et je me renseigne sur les sites des éditeurs d'antivirus sur l'activité de chaque programme malveillant détecté. Et comme chaque éditeur utilise une terminologie différente, cela prend encore plus de temps.

Je compile tout cela pour le magistrat, afin de donner mon avis à cette question qu'il ne m'a pas posée: l'utilisateur est-il responsable de l'arrivée sur cette machine des fichiers illégaux que j'y ai trouvés.

Et parfois, ce n'est pas facile d'y répondre.
Un conseil: installez un bon antivirus.

16 commentaires:

  1. Ou encore mieux : Utiliesz Gnu/Linux… Il n'y a rien de mieux pour surfer tranquille… (ainsi que se servir de ses neurones)

    RépondreSupprimer
  2. "Installez un bon antivirus" ??? Mais non, justement ! Si on utilise un PC pour faire des choses pas claires ou pas légales, on a au contraire tout intérêt à disposer d'un ordinateur bourré de chevaux de Troie susceptibles d'avoir chargé tout ça pour s'innocenter. Quitte à disposer un peu plus loin d'un PC propre et bien protégé pour les choses sérieuses.

    RépondreSupprimer
  3. Ou achetez un Mac, ou telechargez Linux, ça doit aussi l archer pas mal.
    Merci pour cet article. C'est de plus en plus inquiétant de voir des ordinateurs facilement infectés alors même qu'ils ont un antivirus et un anti-spyware à jour.

    RépondreSupprimer
  4. Contrairement à ce que vous pensez, 90 euros de l'heure n'est pas forcément un tarif trop élevé. Ce n'est certes pas non plus le plus bas du marché, mais il n'est pas étonnant. Et comme la justice semble être un client fort difficile, il est même normal de ne pas faire de cadeau. Et vous oubliez également de préciser que certes, vous pratiquez une tarification de 90 euros de l'heure, mais qu'elle n'est pas régulière. Et la base de la tarification pour un indépendant doit prendre en compte les temps d'inactivité (même si vous n'êtes pas indépendant à temps plein).

    RépondreSupprimer
  5. Bonjour,

    on ne dois pas dire "installer un antivirus", mais "installer un logiciel de sécurisation",

    conseil assez superflu dès lors que vous travaillez sur Oo, c'est bien connu.

    RépondreSupprimer
  6. @noisette: Ne confondons pas sécurisation des revenues des sociétés de production et sécurisation de l'utilisateur d'un poste de travail susceptible d'être utilisé à son insu...

    Dans mon propos, un bon logiciel antivirus et un parefeu efficace suffisent à sécuriser le poste de travail en ce qu'ils vont avertir l'utilisateur (j'ai bien dit l'utilisateur) d'un usage anormal de son poste (je n'ai pas dis usage anormal de son accès internet).

    Et bien entendu, usage anormal = usage qu'il n'a pas souhaité.

    RépondreSupprimer
  7. @LordPhoenix et Motardpd: Il existe de très bons rootkits pour GNU/linux ou Mac OS.

    @Bertrand Lemaire: On ne peut pas encourager la grande criminalité pour couvrir de petits délits (en tout cas, ce que la loi actuelle considère comme tels).

    @kujiu: Surtout que les tarifs sont parfaitement artificiels: si j'affiche 90 euros de l'heure pour 30 heures vendues, mais que j'ai besoin en réalité de 60 heures, cela fait un tarif réel de 45 euros de l'heure (et moins en général puisque je ne compte pas ce que je considère comme de l'autoformation).

    RépondreSupprimer
  8. @Zythom Hélas, non, ca ne suffit pas !

    J’ai été récemment infecté par un cheval de Troie (un rootkit) qui était inconnu de plusieurs antivirus.
    Il semble que le boulot de celui-ci était de downloader et d’installer d’autre qui parfois était détecté, parfois pas.
    J’ai choper ca en surfant sur un site avec firefox, pas a jour il est vrai.

    GMER, Rootkit relealer, Malwarebytes, Sophos, Mac affee, TDDS, j’ai pratiquement tout essayé de la machine infectée, ou d’une machine clean.
    Seul « Unhackme » à réussi a tout retirer, et au vu de l’interface de ce tools, ce n’est pas pour tout le monde !

    RépondreSupprimer
  9. @Dominique Gallot: Je n'ai pas dis que c'était une condition suffisante (sinon tous les RSSI me seraient à juste titre tombés dessus), mais que c'était une condition nécessaire.

    Reste ensuite à gérer les 0days.

    RépondreSupprimer
  10. @Zythom C'est tout le problème de la facturation au forfait ! Il est tellement difficile d'estimer le temps que va prendre une mission. C'est ce qui fait qu'une semaine de 30h de travail se transforme rapidement en une semaine de 90h de travail. On disait travailler plus pour gagner plus ?

    RépondreSupprimer
  11. Bonjour,

    Quelques remarques:

    1) Si la présence de matériel pédo-pornographique est un fait indiscutable, l'intention est difficile à établir. Comme l'a dit quelqu'un, la personne peut avoir volontairement infecté son ordinateur afin de se faire passer pour une victime. A l'inverse, l'absence de virus n'établit pas forcément la culpabilité, voir par exemple cette sombre affaire récente: http://is.gd/gz3Jo

    2) Puisque la présence de virus n'est pas concluante, afin d'établir la responsabilité je chercherais plutôt à démontrer l'utilisation ou la consultation de ces images, par exemple avec l'historique d'un outil de visualisation, des outils d'archivage, de partage etc. Autrement dit, une trace qui prouve que la personne avait connaissance de la présence de ces images sur son ordinateur.

    3) Plutôt que de recenser tous les virus en place, je me pencherais aussi plus sur l'aspect "réseau" de la machine: ports ouverts, serveurs ftp/tftp démarrés, connections sortantes, etc

    Cordialement,
    --s

    RépondreSupprimer
  12. Si j'ai bien compris, vous relevez des indices qui pourraient indiquer que la présence des fichiers (pédo)pornographiques n'étaient pas forcément voulue?

    RépondreSupprimer
  13. Mais c'est quoi un bon anti-virus ?

    RépondreSupprimer
  14. Je me pose d'ailleurs quelques questions.

    L'accusation de pédophilie est de nos jours une des pire que l'on puisse proférer. Comme le montre bien le cas d'Outreau, les suspects risquent de perdre leur famille et leurs amis — il est possible que personne ne les soutiendra au tribunal et ne financera leur défense.

    L'accusation de détention de photographies ou de films pédophiles repose, si j'ai bien compris, principalement sur la constatation de la présence de fichiers sur un ordinateur.

    Ceci semble permettre des opérations de « barbouzerie » : il suffirait de placer des fichiers compromettants, puis d'utiliser par exemple le numéro de carte bancaire ou autres coordonnées de la personne visée sur un site louche, voire sur un « honeypot », pour faire plonger quelqu'un. Avec les multiples trous de sécurité des ordinateurs personnels de la plupart particuliers, il n'y a probablement même pas besoin d'un accès physique.

    Paranoïa ? Constatons que les ordinateurs portables de divers journalistes enquêtant sur certaines affaires sensibles ont été dérobés, dernièrement...

    RépondreSupprimer
  15. @Fourrure: J'aurais du écrire: "un antivirus à jour"... Il n'y a pas de "bon" antivirus. Le minimum est d'installer un antivirus ET de s'assurer qu'il se met à jour régulièrement, si possible dès le démarrage et en tout cas avant la lecture des emails. Plusieurs de mes scellés n'ont même pas d'antivirus, ou alors celui installé à l'origine et dont les mises à jour étaient garanties 90 jours...

    RépondreSupprimer
  16. @DM: D'où l'importance du choix des missions confiées à l'expert et/ou l'assistance d'un bon avocat et/ou l'assistance d'un bon expert privé.

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.