24 février 2010

La confiance

Nous vivons dans un monde cruel, terrible, où l'on sent que la couche de civilisation est parfois mince. Mais tout est fait autour de nous pour que l'on se sente en sécurité, pour que l'on se sente soutenu, aidé, encouragé, assisté.

Au point qu'il me semble que l'on oublie qu'il faut parfois se battre pour démontrer son honnêteté, pour garder son honneur, ou pour recouvrer sa santé. Et que c'est normal.

J'ai effectué, il y a quelques années, un séjour de plusieurs jours à l'hôpital pour une opération douloureuse. Etant particulièrement douillet de nature, je garde un souvenir particulièrement atroce de cet épisode. J'étais sous morphine pour calmer la douleur, mais au bout de quelques heures, celle-ci revenait insidieusement et, sans vraiment lutter, j'appelais rapidement l'infirmière pour qu'elle la stoppe par une nouvelle injection. Fatalement, est arrivé ce qui devait arriver: en pleine nuit, alors que je demandais encore à calmer la douleur, l'infirmière, constatant que la dose reçue dans la journée avait dépassé la prescription du médecin, m'a administré un placebo pour calmer mon angoisse d'avoir mal. Et bien sur, j'ai dormi comme un bébé (de 4h à 6h30 du matin, heure à laquelle les *$#% d'aides soignantes venaient me réveiller en ouvrant les rideaux parce que c'était "l'heure du réveil").

Tout le monde a entendu parler de l'effet placebo, mais le vivre, c'est autre chose. Surtout quand on se vante d'avoir travaillé dans les sciences cognitives et que l'on connait le biais éponyme.

Mais outre l'expérimentation pratique sur moi-même de l'effet "je plairai", j'ai découvert à mes dépens une facette particulièrement négative de ma personnalité: dès mon entrée dans l'hôpital, je me suis confié aveuglément au système, dans un réflexe d'infantilisation absolue. Parfaitement ignorant de l'univers qui m'entourait et m'impressionnait, j'ai écarté tout sens critique, tout esprit analytique, toute logique scientifique pour me recroqueviller à la recherche de mon petit moi douillet.

Et j'ai fait confiance au système. J'ai fait confiance en ma bonne étoile: le chirurgien opèrerait correctement, nulle infection nosocomiale ne s'aviserait de m'agresser, les repas seraient succulents, etc. Le malheur ne pouvait pas être pour moi.

J'ai eu beaucoup de mal à sortir de l'hôpital. J'ai du faire un effort pour me reprendre en main, pour de nouveau avoir le choix de mes actes.

Maintenant, et malgré ma propension à voir toutes les catastrophes possibles, je me sens prêt à garder la main.

La prochaine fois que j'irai à l'hôpital, j'essayerai de lutter et d'avoir envie de sortir au plus vite. Quand le système judiciaire m'a inquiété, j'ai pris attache avec un avocat pour me défendre. Je n'ai pas fait confiance "dans le système" pour que tout le monde me comprenne. J'ai choisi de demander de l'aide, et j'ai accepté de financer cela, on ne peut pas avoir une assurance sur tout. Il faut savoir se battre, avoir envie d'y mettre les moyens et accepter que tout cela ne soit pas "remboursé".

"Le trop de confiance attire le danger" écrivait Corneille dans Le Cid.
Mais le trop d'inconfiance aussi.

16 février 2010

Filtrage d'internet

Après les débats sur Hadopi, puis sur LOPPSI et maintenant sur LOPPSI 2, se pose le problème du filtrage d'internet.

Sans avoir l'ambition de faire une synthèse des arguments que je lis ici et là, je vais essayer d'organiser ici un peu ma propre opinion.

Je travaille depuis 1999 comme expert judiciaire en informatique, avec une grande majorité des missions dans la recherche d'images ou de films pédopornographiques. J'en ai souvent parlé sur ce blog, par exemple dans ce billet.

Je dis souvent en plaisantant que les personnes en France qui ont vu le plus grand nombre d'images pédopornographiques sont sans doute les experts judiciaires et les OPJ qui mènent ce type d'enquêtes. En même temps, il n'est pas facile de plaisanter sur ce thème, tant tout le monde en France est d'accord pour condamner ce sujet.

Mais il est évident qu'en matière de filtrage d'internet, la lutte contre la pédopornographie est un prétexte facile. Néanmoins, le filtrage va se mettre en place, quand ce n'est pas déjà fait.

Dans les affaires que j'ai traitées, quels ont été les outils les plus utilisés pour effectuer un téléchargement de données?

- la messagerie (email et pièces jointes de toute nature)
- les messageries instantanées (chat et échanges de fichiers)
- les navigateurs (textes, images, sons et vidéos)
- les outils des réseaux pair à pair (emule, shareaza, azureus, etc)
- les outils de téléchargement FTP (FileZilla, etc)
- et les scripts IRC (Panzer, etc)

Dans chaque univers, il y a un nombre plus ou moins grand de protocoles internets gérés par chaque outils. Et bien entendu, dans chaque cas, il y a des données dont le téléchargement est interdit par la loi.

Faut-il empêcher ce téléchargement et si oui, comment faire?

La réponse à la première question est assez simple: si la loi indique qu'une chose est interdite, il faut essayer de l'empêcher. Mais que faire si la loi est mauvaise? Il faut apprendre à vivre en société, et faire modifier les mauvaises lois par des actions citoyennes (la plus simple étant de voter pour des personnes qui pensent comme vous, donc de lire les programmes et de veiller à leur application).

Un gouvernement normalement responsable va s'intéresser au fonctionnement d'internet, et va chercher à y faire appliquer les lois de la République. Rappelez-vous l'affaire Yahoo et la demande de prendre toutes les mesures de nature à dissuader et à rendre impossible toute consultation de service de ventes aux enchères d’objets nazis et de tout autre site ou service qui constitue une apologie du nazisme et une contestation de crimes nazis. Nous étions en 2000...

En France, la complaisance envers les crimes contre l'humanité est un délit, mais pas aux Etats-Unis, où le premier amendement de la Constitution garantit la liberté d'expression à tous.

Il faut donc, du point de vue du gouvernement, opérer un contrôle d'internet, mais comment?

J'ai l'impression que jusqu'à présent, tous les gouvernements opéraient un contrôle, soit en direct en participant sous pseudonyme aux échanges électroniques (articles 706-35-1 et 706-47-3 du code de procédure pénale), soit "a postériori", par exemple en saisissant du matériel et en demandant une expertise judiciaire (lire à ce sujet, l'arrêté du 30 mars 2009 relatif à la répression de certaines formes de criminalité informatique et à la lutte contre la pédopornographie).

Le filtrage d'internet correspondrait donc plutôt à un souhait de passer à un contrôle "a priori" d'internet.

Un groupe de travail européen a créé le projet CIRCAMP en 2006 avec trois objectifs majeurs:
- le blocage de l’accès à des images d’exploitation d’enfants en tant que mesure préventive et en fonction de la législation nationale, par l’introduction du Child Sexual Abuse Anti Distribution Filter (CSAADF)
- l’identification et la fermeture, après enquête, des systèmes de paiement utilisés/détournés par les criminels propageant du matériel pédopornographique sur Internet à des fins commerciales
- l’identification et l’arrestation, après enquête, des responsables de la distribution, à des fins commerciales, de matériel pédopornographique sur le web.

Certains pays (Royaume-Uni, la Norvège, le Danemark, la Suède ou les Pays-Bas) ont donc mis en place, par concertation avec les FAI, une liste de filtrage des "pires sites web".

Extrait:
Les critères d’ajout à cette liste sont très stricts et la fiabilité de ladite liste est de la plus haute importance. Les critères seront encore affinés, mais les considérations suivantes seront prises en compte:
* L’enfant doit être un enfant réel. Les images générées par ordinateur, par morphing, dessinées et pseudo-images ne seront pas incluses.
* L’enfant doit être âgé de moins de 13 ans ou doit donner cette impression.
* Les fichiers doivent représenter des abus graves.
* Le site doit avoir été mis en ligne dans les trois derniers mois.


Le problème de ces listes de filtrage est qu'elles sont basées sur les adresses IP des sites webs. Elles bloquent donc parfois des groupes de sites entiers partageant la même adresse IP (pour un seul illicite).

Ce système me pose plusieurs questions:
- le contrôle de la liste exclusivement par les services de police: qui s'assure de la légalité du filtrage? La police des police?
- sur la mise en place de filtres par les FAI: n'y a-t-il pas possibilité pour un FAI de filtrer le service d'un FAI concurrent? Qui va vérifier?
- sur la mesure de l'efficacité de ce système: la pédophilie est-elle en recul dans ces pays?

La France a choisi quant à elle la voie législative, avec les lois Hadopi et LOPPSI. Mais sans trancher sur le fonctionnement du filtrage, ni les coûts associés, ni les mesures objectives d'efficacité. Sans garantie sur la liberté d'expression.

Pour ma part, je suis plutôt pour des logiciels de contrôle individuel sur le mode des antivirus ou antispyware, ou encore "adblock", mon extension fétiche de Firefox. Avec des listes chiffrées de sites bloqués, des listes blanches, etc.

Je suis pour la responsabilisation des moteurs de recherche (par exemple, le filtrage SafeSearch de Google dans la recherche d'image, débrayable au choix de l'internaute).

Et je suis pour l'utilisation des moyens actuels de lutte, sans ajouter de filtre ou de loi supplémentaires. Mais en leur donnant des moyens financiers décents.

Je finirai ce billet par une citation de Philippe Bilger extraite de ce billet (et de son contexte):
Dans quelle époque vit-on où apparemment il faut tout mâcher pour le confort du citoyen : la pensée, l'opinion, la mémoire et l'indignation? [...] on prend tellement de précautions, pour notre bénéfice paraît-il, qu'on a vraiment l'impression que notre communauté n'est composée que d'imbéciles et de pervers. Par peur de nous voir tomber dans tous les pièges possibles, on serait prêt à nous dispenser de tout.

-------------------------
Dessin de Martin Vidberg

05 février 2010

A moi les pentes enneigées

Ce blog va rester en sommeil une semaine à cause d'une pause "vacances en famille" aux sports d'hiver, histoire de voir si mes muscles résistent encore à une activité sportive intensive.

Ne soyez pas surpris si vos commentaires restent un peu en souffrance. Par avance, je vous présente toutes mes excuses.

Si vous êtes aussi un adepte des pentes enneigées, et que vous croisez un pratiquant du monoski, c'est peut-être moi (nous sommes encore quelques dinosaures, si peu nombreux que l'on se salue de la main quand on se croise). Criez très fort "Zythom!" (prononcez zi-tomme) et si je me retourne, on ira boire un vin chaud ensemble et discuter.

Pour les plus jeunes d'entre vous, sachez que le monoski est LE sport pour les informaticiens: c'est la pratique du ski la plus simple qui donne le sentiment de savoir bien skier dès le premier jour et avec style, le tout en sécurité, sans se fouler ni bugs trop apparents! Si vous êtes célibataire, c'est un moyen très classe pour emballer les filles, et si, comme moi, vous êtes mariés, c'est un moyen très classe pour... skier avec votre épouse.

La dernière fois (il y a deux ans), j'étais le seul pratiquant sur le domaine skiable, et dans les œufs, les jeunes surfeurs, habillés free style hype, me posaient pleins de questions avec des étoiles dans les yeux pour savoir où l'on pouvait essayer ce truc bizarre...

A dans une semaine, donc, pour un billet sur les fractures des (deux) jambes. Surtout que je me suis déjà tranché l'oreille en monoski avec mon carre. C'était il y a... 25 ans. Mince, je vieillis!

Je vous laisse, je dois aller réviser mon "pas des patineurs" et mon "chasse-neige" :-)
J'espère quand même qu'il y a du wifi la haut...

EDIT du 14/02/2010
De retour après six jours de bonheur. Pas de casse, neige à gogo, un seul jour de galère (froid intense -15°C + vent = température ressentie -27°). Et de retour regonflé à bloc.

En prime, une photo du taulier :)

02 février 2010

Un peu de technique

Bon, ce n'est pas parce que je croule sous les expertises que je ne peux pas écrire un petit billet en exploitant la puissance non utilisée du processeur de mon ordinateur d'investigation pendant une prise d'image de disque dur.

Justement, j'avais envie de partager une nouvelle manière d'effectuer une prise d'image "à travers" le réseau avec mes camarades experts judiciaires qui me font l'honneur de me lire sans pester devant leurs écrans.

Il ne s'agit pas de révolutionner la technologie, mais simplement d'écrire un petit billet aide-mémoire et pourquoi pas de rendre service aux OPJ informatiquophile.

Ingrédients.
Il vous faut:
- un ordinateur "A" dans lequel vous placerez le disque dur extrait du scellé
- un réseau représenté par un switch si possible d'1Gb/s
- un ordinateur que j'appellerai "Catherine" en l'honneur de Pierre Desproges qui nous a quitté trop tôt. Cet ordinateur vous servira pour l'analyse et doit être muni d'un espace disque disponible confortable.
- un cédérom avec la distribution DEFT Linux Computer Forensics live cd la bien nommée
- et enfin, un carnet papier pour vos notes et un stylo qui marche.

Hypothèse de travail: l'ordinateur "Catherine" est équipé du système d'exploitation Windows 7, que l'on appelle également Windows Vista Final Edition, ou Windows NT 6.1.

Mode opératoire.
Après avoir branché vos câbles réseaux, après avoir désactivé le boot sur disque dur de l'ordinateur "A", après avoir testé le boot sur cédérom DEFT de l'ordinateur "A", vous pouvez commencer vos opérations:

- notez la marque, le modèle et le numéro de série du disque dur extrait du scellé

- branchez le dans l'ordinateur "A" (ordinateur éteint)

- bootez l'ordinateur "A" sur le cédérom DEFT

- à l'invite sur "A", configurez le réseau,
par exemple avec la commande
A# ifconfig -a eth0 192.168.0.10

- vérifiez la communication avec l'ordinateur "Catherine",
par exemple avec la commande
A# ping 192.168.0.20

- sur l'ordinateur "Catherine", créez un répertoire de partage "darkstream" destiné à recevoir le fichier "image.dd", par exemple, en faisant "clic droit" sur le dossier "darkstream", puis "partager avec" et choisissez un compte protégé par mot de passe, par exemple le compte "zythom". Lui donner l'autorisation lecture/écriture.

- de retour sur l'ordinateur "A", vous allez créer un répertoire d'attachement:
A# mkdir /mnt/darkstream

- puis vous allez saisir la commande magique:
A# mount -t cifs //192.168.0.20/darkstream -a username=zythom /mnt/darkstream
et répondre à la demande du mot de passe du compte zythom.

- finalement, vous pouvez commencer la copie numérique à travers le réseau en utilisant la commande suivante:
A# dd_rescue /dev/sda /mnt/darkstream/image.dd
commande qui a le mérite d'accepter la présence de blocs défectueux sur le disque dur à numériser.

Vous pouvez alors aller vous coucher en croisant les doigts pour que le disque dur extrait du scellé ne choisisse pas ce moment pour rendre l'âme et vous obliger à lire en détail l'assurance en responsabilité civile que vous avez judicieusement pensé à prendre pour couvrir vos opérations d'expertise. Il n'est pas drôle d'expliquer au magistrat qui vous a désigné que vous avez manqué de chance dans son dossier Darkstream où il vous demandait de retrouver des "listings" Excel. Personnellement, je dispose un grand ventilateur de bureau dirigé vers le disque dur pour assurer son refroidissement (mais je croise les doigts quand même).

En fois la prise d'image numérique terminée, vous pouvez éteindre l'ordinateur "A" et en retirer le disque dur que vous replacerez dans le scellé d'origine.

Il vous reste alors à supprimer le partage du répertoire darkstream sur l'ordinateur "Catherine" (le partage hein, pas le répertoire) et à imposer l'attribut "lecture seule" sur le fichier "image.dd"

Et maintenant, commence l'analyse de ce fichier, avec des outils tels que "liveview" pour un démarrage du disque dans une machine virtuelle, ou "Sleuth kit et Autopsy", ou le très onéreux EnCase® Forensic mais ça, c'est une autre histoire...