24 juillet 2011

Attention Haute Autorité

J'ai beaucoup de retard dans mes flux RSS d'information, et c'est donc avec deux semaines de retard que je suis tombé sur cet article de Numérama: "Une Haute Autorité du Net pour le blocage des sites en France?".

J'ai bien entendu lu avec attention le texte proposé par les quatre signataires
- Jean-Pierre BIGOT, créateur de l'entreprise ESALAB et expert judiciaire près la Cour d’Appel de Versailles;
- Jacques GODFRAIN, ancien ministre de la coopération (1995-1997) et auteur de la loi n° 88-19 du 5 Janvier 1988 relative à la fraude informatique;
- Carole VUJASINOVIC, Magistrate, Juge d’instruction au pôle financier du TGI de Paris ayant enquêté sur le piratage du film "Bienvenue chez les Ch'tis"; et
- Maître Gérard HAAS, avocat, défenseur et protecteur des acteurs de l'e-commerce (slogan trouvé sur son site), cofondateur de l’association Cyberlex.

Je suis également allé sur le blog ouvert pour l'occasion, j'ai lu attentivement les commentaires (un seul à l'heure où j'écris ce billet).

Je retiendrai pour ma part un passage que je vous livre (les soulignés sont de moi):
"Considérant qu’une régulation «proportionnée» aux cybermenaces est nécessaire, mais que la voie judiciaire est difficilement praticable, nous préconisons la création d'une autorité indépendante, spécialisée pour être efficace, et garante du respect des libertés publiques sur le net et de sa neutralité, dont les décisions de contrôle seraient astreintes aux mêmes exigences que celles du juge, respect du contradictoire, droit de défense, droit de recours, etc..."

Tout d'abord incrédule (le texte est quand même signé par quatre acteurs de l'univers de la justice), j'ai ensuite pensé à ce billet d'Authueil sur les réflexions menées par des groupes de travail plus ou moins opportunistes: Débat de fond et présidentielle dont je vous livre ici un extrait qui illustre mon propos:
"Les débats de fond sont un processus en général lent, éclaté, collectif et médiatiquement peu visibles. Cela se déroule par le biais de colloques, d'articles confidentiels dans des revues spécialisées, de rencontres informelles et de discussions de couloirs. Cela concerne un nombre finalement assez réduit de personnes, mais souvent, sur des thèmes et des questions assez précises. Quand un sujet est technique, il faut déjà savoir de quoi on parle, ce qui constitue parfois une barrière à l'entrée, même s'il y a plusieurs cercles. On peut avoir ceux qui maitrisent parfaitement, sont reconnus dans le milieu concerné et ont réfléchi au sujet. Ils sont au cœur du processus, comme éléments moteurs, mais pas forcement comme décideurs. Il y a ensuite ceux qui comprennent ce qui se dit, sans pour autant avoir une maitrise technique complète. Ce qu'ils comprennent, ce sont les enjeux, et c'est dans cette catégorie que l'on retrouve, entre autres, les politiques (qui sont rarement des experts pointus, même si ça arrive)."

Alors, lorsque même des personnes ayant de très hautes qualités morales en arrivent à proposer une censure échappant au pouvoir judiciaire, lorsque se profilent des discussions de couloirs et des colloques de spécialistes sur ces thèmes, il me semble important de soutenir les organisations de défense des droits et libertés des citoyens sur Internet.

Et donc, pour la première fois de ma vie, j'ai fait un don à la Quadrature du Net... Je vous invite à réfléchir à faire de même.

Je préfère choisir ma propre Haute Autorité du Net, ou au moins essayer.

17 juillet 2011

Une histoire simple et banale

Il y a des affaires qui nécessitent des moyens techniques importants, ou des connaissances pointues en matière d'analyses inforensiques. Il y a des dossiers qui dépassent mes compétences, soit par leur complexité, soit par les enjeux associés, et qui nécessitent l'intervention de confrères bien plus armés et aguerris que moi. L'intervention de spécialistes de la sécurité, du chiffrage, des télécommunications, du grand banditisme, du terrorisme s'avère parfois nécessaire, et je ne suis alors qu'une petite pièce dans le dossier, vite mise de côté quand elle ne comprend pas qu'elle doit se déporter d'elle-même.

Il y a les séries américaines et françaises, où l'on voit des personnages toujours compétents réagir avec précision et discernement dans toutes les situations extrêmement subtiles. Il y a donc dans l'esprit du public une image des experts judiciaires dont l'intervention dénoue une situation nécessairement complexe et incompréhensible par le commun des mortels.

Et pourtant, mes dossiers sont pour la plupart des histoires techniquement simples et banales.

Une société de vente en gros de matériaux de construction, que j'appellerai "ARRAKIS", dispose d'un service informatique très compétent. Le directeur informatique, Monsieur Léto, souhaite améliorer la productivité de son entreprise et monte le projet d'intégrer l'ensemble des fonctions de l'entreprise dans un système informatique centralisé qui permettra à tous les utilisateurs de collaborer plus efficacement et d'augmenter leur efficacité. J'appellerai ce logiciel "ERP".

Monsieur Léto souhaite se faire accompagner pour l'installation d'ERP par une société de service spécialiste de ce logiciel. En effet, Monsieur Léto ne souhaite pas que son service sache déployer ERP dans la société ARRAKIS (le déploiement n'aura lieu qu'une seule fois), mais que celui-ci se concentre sur le soutien aux utilisateurs une fois le logiciel déployé.

Après appel d'offres et étude des différentes réponses, Monsieur Léto retient la société de service CORRINO qui a déjà déployé ERP auprès de plusieurs sociétés de même taille qu'ARRAKIS, à chaque fois avec succès.

La société de service CORRINO désigne un chef de projet et celui-ci établit avec Monsieur Léto un planning de projet pour le déploiement d'ERP. Le planning s'étale sur 10 mois, temps jugé normal par les deux parties pour l'installation, le paramétrage, les tests, les formations et le passage en production d'ERP.

ARRAKIS et CORRINO travaillent ensembles de manière satisfaisante pendant toute la durée du projet.

A ce stade de mon récit, je me dois de préciser que le logiciel ERP est conçu par un important éditeur américain et appartient à une gamme de produits permettant d'équiper aussi bien des TPE que des grosses entreprises multinationales. Par le jeu incessant de rachats/fusions, la gamme de produits vient d'être étendue et le nom harmonisé par les équipes marketings de l'éditeur.

Pendant les 10 mois de déploiement du logiciel ERP chez ARRAKIS par la société CORRINO, le logiciel a changé de nom et s'appelle désormais PGI. Pour être plus précis, le logiciel ERP version 11.2 devient le logiciel PGI version 7.5 avec quelques modules supplémentaires (fournis gratuitement) et un périmètre fonctionnel un peu plus important.

Monsieur Léto (directeur informatique chez ARRAKIS) prend bonne note des changements, s'assure que le projet n'est pas impacté de manière importante du fait que les modifications sont essentiellement marketings et poursuit le déploiement de "PGI" avec la société de service CORRINO.

Le projet se termine correctement, l'informatisation est réussie, la productivité des utilisateurs augmente, tout va bien.

Deux années s'écoulent tranquillement.

L'entreprise ARRAKIS paye une maintenance annuelle auprès de l'éditeur de PGI à travers la société de service CORRINO qui garde un oeil sur le bon fonctionnement de PGI.

Et justement, dans le cadre d'une intervention de maintenance concernant la mise à jour du logiciel PGI vers une version supérieure, l'éditeur du logiciel demande à la société de service CORRINO de lui envoyer le contenu d'une table de la base de données intégrée au logiciel PGI installé chez ARRAKIS.

Et là patatra. La société américaine éditrice du logiciel PGI déclare que celui-ci est installé d'une manière non conforme au contrat de licence. Ce constat s'appuie sur le contenu de la table envoyée par la société CORRINO. Cette table contient les droits des différents utilisateurs du logiciel et l'éditeur constate que tous les utilisateurs sont "niveau 1" alors que le contrat de vente précise que seuls deux d'entre eux peuvent posséder ce droit, tous les autres étant "niveau 2".

L'éditeur de "PGI" demande à la société ARRAKIS de régulariser sa situation et réclame 100 000 euros au titre des licences indument utilisées.

La société ARRAKIS se tourne vers sa société de service CORRINO qui a procédé à l'installation et à la configuration des licences.

La société de service CORRINO explique aux deux autres sociétés qu'elle a configuré le logiciel ERP conformément aux licences achetées alors, que le passage à PGI en cours de projet l'a obligé à étendre les droits des utilisateurs pendant les phases de tests, et que le paramétrage final ne permet pas aux utilisateurs d'exploiter les droits supplémentaires qu'ils possèdent.

L'éditeur américain, par l'intermédiaire de son service juridique, maintient sa demande de régularisation de 100 000 euros.

La société ARRAKIS prend attache avec un avocat et se tourne vers la justice française. Les avocats des sociétés ARRAKIS et CORRINO exposent leurs conclusions et demandent au magistrat la désignation d'un expert judiciaire en informatique.
Je reçois un courrier avec comme missions de:
1) convoquer les parties et entendre tous sachants
2) dire si le logiciel PGI était installé par la société de service CORRINO en conformité avec les licences concédées par l'éditeur de PGI
3) si non, établir les responsabilités des sociétés ARRAKIS et CORRINO
4) estimer les préjudices
5) donner tout élément utile à la manifestation de la vérité.

Cette affaire est d'une affligeante banalité technique. Elle montre que pour être expert judiciaire, il ne faut pas nécessairement être un hacker white hat, un pentester de haute volée ou un développeur Occam.

Je vous laisse réfléchir sur les actions à mener en tant qu'expert judiciaire stagiaire.

La suite de ce billet est à lire ici.

-------------------------------
Les noms des sociétés évoquées dans cette série de billets sont empruntés à l'univers du Cycle de Dune de Frank Herbert. Toute ressemblance avec des sociétés existantes serait fortuite.

Cette série de billet s'appuie sur l'ensemble des très nombreuses expertises que j'ai pu mener dans ce domaine particulier des conflits au Commerce. Je ne dévoile aucun secret ni ne brise la confidentialité d'une affaire particulière. Je "romance" au sens de la décision de la chambre de discipline de ma compagnie des experts judiciaires rendue dans l'"affaire Zythom".