23 avril 2010

Chain of custody

Un commentateur de ce blog (sam280), sous le billet "Un peu de technique", m'a posé une question sur la "chain of custody":

sam280 a dit…
Outre la copie sous windows, je m'étonne de ne trouver aucune mention de la fameuse "chain of custody".
Par exemple, à Enclave Forensics ils utilisent md5 (pas terrible, mais bon) afin de prouver que la copie est identique à l'original (quand c'est possible): http://www.youtube.com/user/DHAtEnclaveForensics#p/u/2/6SEnVNUAe0s
Pourriez-vous nous éclairer sur l'équivalent dans le droit français de la "chain of custody" et la façon dont vous la maintenez ?


Avant de faire part de mon sentiment sur ce problème, je voudrais planter le décor en définissant la "chain of custody":

Extrait de Wikipedia au 27/02/2010 (Informatique légale):
Rapport de garde
Terme adapté de l'anglais « chain of custody », l'expression « rapport de garde » représente un rapport ou procès-verbal établi lors de la saisie ou de la réception d'une information numérique et de son support, comportant toute information sur le détenteur antérieur (propriétaire, usager, gardien), les lieux et conditions d'acquisition (saisie, transmission), la nature du support d'information (description physique avec photographie, numéro de série), la description éventuelle de l'information numérique (méta-données, structure des données, empreinte numérique), la situation d'accès aux données (accessibles ou non), la présence de sceau (avec identification), le libellé de l'étiquette d'accompagnement, les dates d'ouverture et de fermeture du support, la mention des modifications éventuelles (suppression de mot de passe) et l'état de restitution du support (scellé, accessibilité aux données, étiquette) avec photographie.


Personnellement, je préfère l'expression "chaîne de responsabilité" (traduction plus littérale de chain of custody) plutôt que "rapport de garde". C'est donc cette expression que je vais utiliser par la suite.
Intérêt de la chaîne de responsabilité? S'assurer que la pièce à conviction présentée au procès est bien celle qui a été saisie sur le lieu du crime. Que c'est bien celle-ci qui a été analysée lors de l'enquête, et qu'elle n'a pas été altérée, ou si oui, dans quelles conditions et pour quelles raisons.

Comment cette chaîne de responsabilité est-elle organisée en France? Et bien, c'est très simple, de mon point de vue, elle n'est pas organisée... Ah si, le scellé m'est livré avec une étiquette marron sur laquelle est indiquée diverses mentions, mais rien n'est prévue pour l'expert judiciaire (les étiquettes indiquent une année à compléter commençant par "19.." et ont du être fabriquées en grande quantité dans les années 1950). Le scellé est plus ou moins bien constitué (son ouverture est souvent possible sans briser le sceau de cire). Je ne connais pas les nom et qualité de la personne qui me l'apporte. Il n'y a pas de vérification sérieuse de l'identité de la personne qui le réceptionne (et en général il s'agit de mon épouse dont le cabinet est sur place). Enfin, à ma connaissance, aucune obligation n'est expliquée à l'expert judiciaire, à part "la reconstitution du scellé". En tout cas, les différentes formations proposées aux (futurs) experts ne semblent pas mentionner pas cet aspect.

Chaque expert met donc en place sa propre procédure, suite à son expérience, son domaine d'expertise, ses lectures et ses échanges de bonnes pratiques. "A la française" donc.

Je voudrais citer un commentaire trouvé sous l'article Ces as de l'informatique au secours des juges et que je reproduis ici car il me semble intéressant:
Je ne suis pas expert judiciaire mais expert scientifique qui en connait un rayon en termes de bonnes pratiques. Sachez que dans notre domaine, le pharmaceutique, tout ce qui n'a pas été réalisé selon une procédure documentée et validée n'existe pas. Une validation d'un logiciel chez nous prend de 6 mois à un an. Un "expert" dont la formation n'est pas documentée et qui à ouvert un DD sans procédure validée et qui a copier tout ça sur son ordi sans validation de sa procédure... n'a en fait rien fait de valable juridiquement parlant. Tout avocat peut facilement contester le travail de cet "expert" si la documentation aussi bien du travail que des procédures est défaillante, même si lui a la réputation d'être un crac. Et chaque fois qu'il change de matos, il peut recommencer sa validation. Mettre en place ces procédures est, en fait, bien plus complexe que d'ouvrir le DD. C'est ça la réalité judiciaire. Les expertises de coin de table et rien c'est du pareil au même.

Nous n'en sommes qu'au début des contestations. Le juge de l'article n'est même pas encore au courant. Bientôt, ces expertises ce sera en fait beaucoup de temps perdu pour rien. Du balai, toutes ces "expertises" de soi-disant experts. Et avec "les bonnes pratiques d'expertise informatique" qu'il va falloir mettre en place, les prix vont monter, monter et du coup les expertise vont se faire rares, très rares.

Je pense que, malheureusement, ce commentateur a parfaitement raison et qu'il manque en France la mise en place d'une chaîne de responsabilité stricte en matière d'investigation.

Pour autant, il en faut pas attendre que quelqu'un pense à mettre en place un système global et la plupart des experts judiciaires ont mis en œuvre de bonnes pratiques en la matière. A défaut d'avoir une chaîne complète, il faut donc essayer d'être un bon maillon, et voici en résumé ma chaîne à un maillon:

Le scellé arrive à la maison: mettez en place un cahier de réception avec date, nom et qualité du livreur et signature.

Ouverture du scellé: utilisez un cahier de prises de notes (papier ou numérique). Notez l'état général du scellé, les rayures, les éléments endommagés, la quantité de poussière visible, les traces de moisi (si, si!), etc. Prenez quelques photos (avec les appareils numériques, ne pas hésiter à mitrailler). Si l'ouverture du scellé nécessite une procédure particulière, notez sur ce cahier les sites internets utilisés ou la documentation technique ad hoc. Ce cahier est la clef de voute de votre mémoire. Pensez aux chercheurs du siècle précédent qui notaient tout pendant leurs expériences. Si votre expertise se déroule sur plusieurs jours, notez bien la date à chaque fois.

Extraction du disque dur: C'est toujours un moment émouvant lorsqu'il s'agit de sortir le (ou les) disque dur. En effet, c'est seulement à ce moment là que vous allez comprendre que le devis adressé au magistrat, et dans lequel vous indiquez 10h de travail, risque d'être un peu sous évalué avec les trois disques de 1000 Go que vous êtes en train d'extraire. N'oubliez pas de prendre des photos, de noter les positions des disques (surtout en cas de RAID logiciel) et des cavaliers pour pouvoir tout remonter correctement. Et ne croyez pas que ce soit la phase la plus facile de l'expertise...

Mise sous tension de l'unité centrale sans disque dur: Cette étape est nécessaire pour vous permettre d'entrer dans le BIOS afin de noter tous les éléments concernant l'horloge de la machine. Souvent, le système d'exploitation s'appuie sur le temps fourni par le BIOS. En tout cas, si la pile du BIOS est épuisée, ce sont des informations perdues, et il faut l'écrire dans son rapport d'expertise.

Prise d'image: Tout ce processus est décrit dans ce (récent) billet. Je le complète ici en parlant du calcul du hash du disque dur. Non, il ne s'agit pas d'un dérivé du chènevis utilisé par nos pécheurs, mais du résultat d'une fonction de hachage. Personnellement, j'utilise MD5 avant ET après la prise d'image. Normalement, le résultat doit être le même, ce qui prouve que vous n'avez en rien modifié les données écrites sur le disque dur (attention, les données S.M.A.R.T. ont été modifiées). Si les hashs calculés avant et après la prise d'image sont différents, alors cela signifie, soit que vous êtes nul, soit que des secteurs défectueux sont apparus sur le disque pendant la prise d'image, soit que vous travaillez avec un disque dur SSD. En effet, dans ce dernier cas, les fabricants ont chacun mis en place une technique dite "d'étalement de l’usure" (en anglais "wear levelling") qui a pour objectif d’éviter de toujours utiliser pour le stockage les mêmes cellules mémoires, car ces dernières perdent (après quelques millions de cycles de lecture et écriture) leurs capacités nominales de mémorisation. Pour plus d'informations, lire l'excellent article dans la revue Experts de mes confrères Jean-Louis Courteaud et Jean-François Tyrode.

Remontage du scellé: Paradoxalement, ce n'est pas forcément l'étape la plus simple. Si l'expertise a duré plusieurs jours, voire plusieurs semaines (cas du salarié qui n'effectue ses expertises que le week-end ;), le cahier de notes et les photos prennent toute leur importance. Il faut être précis, surtout que vous ne pourrez pas brancher l'ordinateur pour voir s'il démarre correctement.

Reconstitution du scellé: J'ai déjà écrit plusieurs billets sur ce thème. En résumé: cachet de cire (billet de 2007 toujours valable) si vous voulez impressionner, ou sac poubelle transparent fermé avec un solide adhésif d'emballage.

Restitution du scellé: Notez bien les heure et date de reprise, ainsi que les nom et fonction (avec signature) sur votre cahier de suivi.

A défaut d'être une bonne chaîne de responsabilité, cela m'a permis d'être un maillon suffisamment fort, surtout lorsque j'ai reçu un coup de fil d'un magistrat qui avait perdu la trace d'un scellé.

Et là, avec ma chain of custody, je crie "Kudos"!

16 avril 2010

Fan art

Aujourd'hui, je souhaite rendre un petit hommage à un bloggeur peu connu qui mérite quand même de l'être tant il a du mérite.

Je vous laisse découvrir le montage vidéo que j'ai réalisé:



Et joyeux blog anniversaire !

13 avril 2010

Le combat à mort

La plupart des expertises judiciaires sont très éprouvantes. Parce qu'elles m'obligent à regarder des films qui me secouent, parce que je suis papa de trois enfants pré-adolescents, parce que beaucoup de mes expertises concernent des images pédopornographiques et parce que souvent je touche de près le malheur des gens.

Sans compter qu'avec le temps qui passe, l'avancée de la technique peut me faire découvrir d'éventuelles erreurs judiciaires.

Mais l'anecdote que je vais raconter ici se situe dans un autre registre. L'expert judiciaire se retrouve souvent dans une désagréable posture, coincé entre l'enclume et le marteau.

Une entreprise se retrouve au bord du gouffre à cause d'une défaillance de son système informatique et réclame à son fournisseur une somme d'argent colossale à titre de réparation. Le fournisseur se défend d'être la cause de la quasi-faillite de l'entreprise et indique que les montants réclamés le ferait fermer boutique.

Le magistrat demande l'avis d'un expert judiciaire, à la fois sur le problème informatique et s'il est avéré sur le chiffrage des dégâts.

Me voici sur les lieux.

Comme d'habitude, je suis le premier sur place. Je me fais conduire à la salle de réunion, je vérifie qu'il y a de la place pour que tout le monde puisse travailler à son aise. Je m'assoie à une place stratégique pour voir tout le monde. Je sors les pièces que les parties m'ont adressées, mes stylos, la liste des participants prévus à la réunion avec leurs titre et fonction.

Je me concentre en relisant les missions que le magistrat m'a confiées.

Les parties arrivent: d'un côté le patron de l'entreprise, son informaticien, son avocat et son expert privé, de l'autre le gérant de la SSII, son chef de projet et son avocat.

Les deux groupes s'échangent quelques banalités par politesse, mais restent bien séparés. Je salue tout le monde, et j'apprécie à sa juste valeur la formule "bonjour monsieur l'expert" utilisée par les avocats. J'essaye d'être à la hauteur des convenances avec mes "bonjour Maitre", "bonjour cher confrère" et "bonjour monsieur".

Les débats commencent après la lecture de mes missions.

Le ton monte assez vite entre les deux dirigeants.

Je demande aux avocats d'expliquer à leur client qu'ils doivent s'adresser à moi pour me faire part de leurs arguments. Les avocats font leur travail, mais les deux dirigeants n'arrivent pas à s'empêcher de couper l'autre dans ses explications.

Je sors mon arme ultime: un enregistreur de poche que je pose en évidence sur la table devant moi. "Messieurs, si vous êtes d'accord, afin de me permettre d'éviter de prendre des notes manuscrites et pour faciliter la réunion, je vais utiliser ce dictaphone."

Je vois bien que les deux avocats ne sont pas trop d'accord, mais personne ne prend l'initiative de me refuser cette faveur. La réunion redémarre sur un ton plus audible, mais après une demi-heure, le dictaphone est oublié par tout le monde, et les noms d'oiseau volent.

Je n'ai pas d'autre choix que de regarder ces deux dirigeants lutter, en constatant au fond de moi que chacun lutte pour sa survie.

Après deux heures de réunion, j'ai maintenant compris l'enchainement des faits et j'ai une petite idée de ce qui a amené les deux parties en justice. Il me faut maintenant passer à la partie plus technique du dossier et interroger les hommes de l'art. La discussion passe donc entre les mains des informaticiens. La tension est palpable, et chacun sait qu'il joue son poste et sa carrière.

J'emmène tout mon petit monde jusqu'à 13h, où, après 4h de débats houleux, je propose de faire une pause. Le patron me propose de déjeuner avec eux, mais je décline poliment, au grand soulagement de son avocat, qui lui, sait bien que c'est parfaitement interdit par la jurisprudence à peine de nullité de mon rapport.

A 14h, l'épreuve de force reprend. Je m'accroche à la table et subis les assauts des parties. En effet, c'est à ce moment que je fais part de la position que je suis en train de prendre sur le dossier. Et dans le cas présent, mon avis ne satisfait personne. Je focalise sur moi la fureur des deux dirigeants.

Il s'agit dans ce cas de conserver son calme, de ne pas réagir aux mots blessants ou aux sous-entendus et de se concentrer sur la partie technique. Je rappelle que je ne suis pas là pour juger, que mon avis n'est pas forcément suivi par le juge (les deux avocats froncent un peu les sourcils) et que l'après-midi est fait pour éclaircir encore certains points techniques un peu obscurs.

Les deux hommes restent combatifs et bataillent sur chaque aspect du dossier, parfois sur un point de détail. Je dois faire le tri entre toutes les données qui m'arrivent, j'insiste sur les pièces devant étayer tel point de vue, je demande qu'on me fournisse des traces complémentaires. Le combat à mort entre les deux entreprises me touche, me vise, me secoue.

Il est 18h, tout le monde est lessivé. Je clos la réunion. Je rentre chez moi et en chemin je revois les moments forts de la réunion. J'ai assisté à une lutte pour la survie. J'en suis un élément clef, mais je dois en faire abstraction: même si l'un des dirigeants m'a paru antipathique et caricatural, même si des apriori tentent de perturber mon opinion, je dois établir un avis "en mon honneur et en ma conscience" le plus scientifiquement possible et malgré les enjeux.

J'ai travaillé dur sur le rapport. J'ai réécouté quelques passages de la réunion (8h d'enregistrements!). J'ai étudié en détail les dires adressés par les parties après le pré-rapport. J'y ai répondu scrupuleusement dans le rapport final que j'ai déposé.

Et comme je suis déchargé du dossier une fois le rapport déposé, personne ne m'a contacté pour me faire part des suites données à cette affaire. Je vous laisse donc avec la même frustration que moi: je ne sais pas qui est mort et qui a survécu.

Mais quel combat!

02 avril 2010

FIC 2010 bis

Bon, vous l'avez compris, mon billet précédent était écrit un 1er avril... Nulle menace n'a été proférée à l'issu d'un Forum International sur la Super Hypercriminalité (FISH).

Ceci dit, j'étais bien aux deux jours du 4ème Forum International sur la Cybercriminalité (FIC) qui se tenait en mes terres natales du Nord de la France.

Une occasion pour moi de rencontrer un certain nombre d'acteurs intéressants.

J'ai ainsi pu serrer la main de Damien Bancal, LE journaliste de Zataz et discuter IRL avec quelques N-TECH de la Gendarmerie.

Les discours introductifs ont été fidèles à ce que j'en attendais: politique. Le discours du ministre français de l'intérieur Brice Hortefeux, lu par le Préfet du Nord, a vanté le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure, dite Loppsi 2 en soulignant la légitimité du blocage de sites Web sur la base de listes établies par les forces de l’ordre. Pour Brice Hortefeux, la question de la capacité des forces de l’ordre à identifier des contenus illégaux sur Internet «sans porter atteinte aux libertés fondamentales» ou encore celle portant sur l’efficacité des mesures proposées n’ont pas lieu d’être: «il est urgent d’agir […] l’efficacité est dans le pragmatisme, il ne faut pas renoncer parce que la solution n’est pas absolument parfaite.» (source LeMagIT)

Mais bon, je connaissais déjà le style, sauf que là, il n'est pas possible de zapper, il faut patienter poliment.

J'ai suivi ensuite les ateliers suivants:
- "La révélation des failles de sécurité, risques et enjeux"
Intéressant, mais j'ai trouvé les différents intervenants un peu hors sujet, sauf Damien Bancal dont c'est le cœur de métier.

- "Haine et intolérance sur le Net, quelle réponse?"
Passionnant, tant par la qualité des intervenants que par les exemples montrés. Et cela fait plaisir d'entendre un juriste dire haut et fort qu'internet n'est pas une zone de non droit et que les lois actuelles peuvent y être très bien appliquées si l'on s'en donne les moyens. J'ai en particulier très apprécié l'intervention de Mme Véronique FIMA-FROMAGER, Directrice d'Action Innocence France.

- "Lutte contre les téléchargements illégaux."
Atelier assez triste, où l'on sentait les intervenants dans les starting-blocks en attente des décrets Hadopi. J'ai pu y entendre tous les poncifs du genre: "copier une œuvre numérisée est identique à voler un DVD dans un magasin", "les artistes inconnus vont disparaître à cause d'internet", etc. Tous les systèmes présentés vont coûter très chers au contribuable et sont contournables très facilement.
Bon, en même temps, je ne m'attendais pas à ce qu'un intervenant libertaire soit invité, mais j'aurais apprécié plus de respect des personnes qui pensent différemment, par exemple qu'une loi n'est pas faite pour défendre les intérêts d'une profession. J'ai appris quand même qu'en Espagne, la loi permet le téléchargement d'une copie numérique pour un usage privée. Ce qui est illégal ici et pourchassé à grand frais, peut être légal chez nos voisins.

Les stands étaient intéressants, avec du matériel performant pour l'analyse des disques durs, des systèmes de prévention d'intrusion réseau (par exemple SNORT, merci pour le cochon en mousse:) et des logiciels de marquage d'ordinateurs portables. Mais tous ces beaux outils ne sont pas donnés financièrement, alors j'ai simplement fais du lèche vitrine.

J'ai également pris des contacts avec l'association francophone des spécialistes de l’investigation numérique (AFSIN) et je me demande si je ne vais pas lutter contre mon isolement en adhérant à cette structure.

Enfin, il m'est arrivé une petite anecdote qui montre que je peux parfois être pris au piège...

Je me suis installé dans une salle avec mon ordinateur portable pour me détendre sur internet et écrire le billet précédent (et plusieurs autres billets toujours en mode brouillon). Bien entendu, en allumant ma carte wifi, j'ai regardé si une borne n'était pas disponible pour le salon, en mode gratuit si possible. Bingo, j'aperçois dans ma liste de points d'accès, un SID "FreeWifi". Cela tombe bien, je dispose d'un abonnement Free, ce qui me permet d'utiliser toutes les freebox autorisant ce mode (activé par défaut) d'accès à internet.

Oui, mais cette borne était un piège mis en place pour une démonstration de l'atelier "La révélation des failles de sécurité, risques et enjeux", auquel j'assistais un peu plus tard...

Toutes les personnes ayant utilisé cette borne voyaient leur trafic intercepté, avant d'être chiffré le cas échéant par ssl.

Coup de chance, je sors toujours couvert quand je navigue en Wifi! Et j'utilise le VPN gratuit Hotspot Shield, dont j'ai ainsi pu tester une certaine robustesse. De plus, l'après-midi j'utilisais une autre borne wifi qui était incapable de me fournir un accès internet, sauf lorsque ce VPN était activé! Curieux.

En tout cas, l'organisation du FIC 2010 était très bonne et je voudrais féliciter ici tous les gendarmes qui y ont participé. Reste maintenant à leur donner les moyens de la lutte contre les (vrais) cybercriminels.

01 avril 2010

FIC 2010

Je suis actuellement au 4ème Forum International sur la Super Hypercriminalité qui se déroule à Lille, et où je découvre avec effarement les nouveaux dispositifs de surveillance mis en place pour le contrôle d'internet: filtrage au niveau des FAI des sites pédopornographiques, surveillance des flux de streaming, écoute automatique des forums et commentaires à la recherche de propos racistes.

Les discussions des différents groupes de travail auxquels j'ai assisté abordent l'avenir immédiat avec la constitution de liste d'abonnés auprès des FAI pour historiser les infractions et constituer des preuves autour des délits mineurs non encore explicitement poursuivis dans le monde numérique: contestation non circonstanciée des textes de loi votés par un parlement démocratiquement élu, incitation à la haine numérique, falsification de pseudonyme et usurpation d'identité analogique.

La plupart des intervenants ne connaissent pas bien internet et y voient un repère de terroristes à l'assaut de hordes de naïfs internautes adolescents.

Je suis entouré de militaires en uniforme qui me regardent d'un air condescendant à cause de ma tenue civile.

Plus d'informations demain, si possible. Je ne peux pas en dire plus depuis cette borne wifi peu sure.

[EDIT] Forum International sur la Super Hypercriminalité = FISH
Le (vrai) Forum International sur la Cybercriminalité était très bien, avec une organisation très rigoureuse. Je ferai un petit compte rendu demain avec quelques anecdotes.