27 juin 2012

Plus gros, plus fort

Je suis souvent contacté par des personnes passionnées par les enquêtes et investigations numériques et qui aimeraient en faire leur métier.

Il y a dans le PEF (Paysage de l'Expertise Française) de nombreux organismes de police ou de gendarmerie qui peuvent répondre à leurs attentes : par exemple, les BPJ (Bureaux de la Police Judiciaire), le SITT (service de l'informatique et des traces technologiques), l'INPS (Institut National de Police Scientifique), la PTS (Police Technique Scientifique), l'IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale), la toute jeune ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information)...

Tous ces organismes forment et emploient des experts informatiques qui travaillent à l'élucidation des crimes et délits en France.

A côté et avec eux, travaillent les experts judiciaires en informatique.

Les moyens financiers mis à la disposition de la Justice par le gouvernement de la France étant très réduits, les magistrats sont très regardant sur les dépenses nécessaires aux investigations qu'il leur faut mener dans les enquêtes. Ils s'appuient sur les organismes publics en priorité, et seulement en dernier recours font appel au secteur privé.

Et je me permets de mettre sous l'appellation "secteur privé" les experts judiciaires informatiques, en ce sens qu'ils sont des auxiliaires de justice occasionnels d'un magistrat.

De mon point de vue, les experts judiciaires sont un peu les artisans de l'univers de l'expertise technique. Le mot "artisan" désigne en effet à l'origine "celui qui met son art au service d'autrui" et à longtemps été synonyme du mot "artiste" (source). Et puis, j'assiste parfois à des scènes comme celle-là ;-)

Un moyen efficace de réduire les coûts des expertises judiciaires, tout en maintenant un niveau technique très élevé dans des matières de plus en plus ardues, consiste pour certains experts à se regrouper pour former une structure d'expertise.

C'est la cas du LERTI, Laboratoire d'Expertise et de Recherche de Traces Numériques, que j'ai pu visiter il y a quelques temps, à l'occasion de la 2e journée d'échanges et de formation qu'il co-organisait avec l'INRIA de Grenoble.

Le LERTI a fait couler beaucoup d'encre dans le landerneau de l'expertise judiciaire. C'est en effet le premier laboratoire à avoir prêté le serment des experts judiciaires en tant que personne morale. J'en parlais d'ailleurs ici en 2007.

D'après Wikipédia, en droit, une personne morale est une entité juridique abstraite, généralement un groupement, dotée de la personnalité juridique, à l’instar d’une personne physique (un être humain). Or, en France, lorsqu'un juge désigne un seul expert (il peut désigner un collège d'experts mais c'est rare), celui-ci doit procéder lui-même aux opérations d'expertise. Il ne peut pas se faire remplacer par un tiers. Évidement, pour certaines opérations matérielles, il peut se faire assister par des collaborateurs, mais ceux-ci doivent opérer en sa présence et sous son contrôle, sauf nécessité technique et accord préalable des parties.
  • Art. 278 - L'expert peut prendre l'initiative de recueillir l'avis d'un autre technicien, mais seulement dans une spécialité distincte de la sienne.
  • Art. 278-1 (inséré par décret n° 2005-1678 du 28 décembre 2005 art. 39 Journal Officiel du 29 décembre 2005, en vigueur le 1er mars 2006) - L'expert peut se faire assister dans l'accomplissement de sa mission par la personne de son choix qui intervient sous son contrôle et sa responsabilité.
  • Art. 282 (modifié par décret n° 2005-1678 du 28 décembre 2005 art. 41 Journal Officiel du 29 décembre 2005 en vigueur le 1er mars 2006) - ... Si l'expert a recueilli l'avis d'un autre technicien dans une spécialité distincte de la sienne, cet avis est joint, selon le cas, au rapport, au procès-verbal d'audience ou au dossier. Lorsque l'expert s'est fait assister dans l'accomplissement de sa mission en application de l'article 278-1, le rapport mentionne les nom et qualités des personnes qui ont prêté leur concours.
Le fait qu'un laboratoire comme le LERTI puisse prêter serment, et apparaître ainsi sur la liste des experts judiciaires (de la Cour d'Appel de Grenoble) permet, de fait, aux personnes qui le composent, de mettre leurs connaissances et leurs moyens en commun et d'être plus efficients que l'artisan isolé que je suis.

Cela me semble une évolution naturelle et normale de l'expertise judiciaire à la française, où l'on trouverait sur les listes d'experts judiciaires des personnes morales solides et fiables, qui seraient auditées régulièrement sur des bases normalisées et publiques. Un peu comme les établissements d'enseignement supérieur.

Cela peut permettre également de recruter des personnes passionnées par l'investigation numérique, et à moi de conclure ce billet par un retour au sujet initialement abordé ;-)

Finalement, je suis un dinosaure qui sait que sa fin est proche.
Mais si cela peut améliorer le fonctionnement de la justice, c'est tant mieux : j'irai cultiver mon jardin, qui en a bien besoin.

26 juin 2012

Bilan à mi-parcours

L'année 2012 arrive à mi-parcours, il est donc temps de faire un bilan provisoire de ma wish list de janvier...
  1. Acquérir une paire de lunette vidéo 3D
  2. Arriver à faire fonctionner cette $#%µ& régulation de chauffage au boulot
  3. M'intéresser de plus près aux outils des Pentesters
  4. Assister au moins une fois à une Berryer 
  5. Postuler pour une inscription sur la liste de la Cour de Cassation
  6. Suivre plus de formations techniques, en particulier auprès des pentesters
  7. Mettre en place des enquêtes de satisfaction clients auprès des étudiants
  8. Finir l'implantation de l'aire d'accueil des gens du voyage et les accueillir
  9. Mettre à jour et étoffer l'offre de conférences sur l'expertise judiciaire que je propose aux lycées, aux universités et aux grandes écoles
  10. Passer (et rester!) sous la barre mythique des 25 pour mon IMC...
  11. Apprendre à déléguer efficacement pour mettre en valeur mes collaborateurs et les faire progresser
  12. Maintenir avec plaisir le rythme de 4 à 5 billets par mois
  13. Continuer à répondre présent aux magistrats qui me le demandent
  14. Manger un fruit par jour...
Concernant les lunettes vidéo 3D, mon anniversaire n'est pas encore passé, tout espoir n'est pas encore perdu...

Sur le point n°2, la balle n'est plus dans mon camp, mais je sais que des travaux lourds vont démarrer sur le système de régulation du chauffage/climatisation/ventilation dont j'ai la charge... Donc peut-être.

Les outils des Pentesters m'intéressent vraiment, mais je crois qu'il me manque du temps et des compétences. Je pense que ça va être dur pour cette année, mais il me reste 6 mois, et j'ai rencontré pas mal de monde lors du SSTIC qui pourraient m'aider. Donc peut-être.

Les Berryer sont annoncées avec peu de temps d'avance et il faudrait un miracle pour que je sois sur Paris au bon moment et que j'arrive à avoir une place... J'ai donc peu d'espoir de ce côté là, mais l'année n'est pas finie !

Je me demande si un petit expert judiciaire de province a une chance d'être accepté à l'inscription sur la liste des experts de la Cour de Cassation. Je ne sais pas, mais qui ne tente rien n'a rien. Je vais donc déposer un dossier et voir venir en 2013. L'intérêt pour moi est bien sur d'espérer travailler sur des affaires techniquement intéressantes à un niveau supérieur. C'est d'ailleurs amusant de voir que dans le dossier de demande d'inscription se trouve une question "avez-vous déjà travaillé sur une affaire importante au niveau national ?"... Le point n°5 sera presque certainement réussi.

Concernant les formations techniques, c'est bien parti pour 2012. J'ai déjà participé à pas mal de formations intéressantes et compte bien m'inscrire à une formation très technique sur les pentests. Si l'un de mes lecteurs a une piste à me proposer, je suis preneur de tout conseil.

Le point n°7 concerne l'enquête de satisfaction auprès des étudiants de l'école, afin de connaître les ressentis de notre travail en tant qu'équipe support. C'est plus compliqué à mettre au point que je ne pensais, mais c'est en bonne voie.

"Finir l'implantation de l'aire d'accueil des gens du voyage et les accueillir". Ce point fait suite à ce billet plein d’enthousiasme. Malheureusement, la commune voisine de la mienne a déposé un recours contre notre projet, stoppant net tous les travaux. Notre aire d'accueil des gens du voyage est jugée trop près de leur commune. C'est d'autant plus rageant que nous leur avions proposé de faire un projet commun, plus grand et plus ambitieux, mais qu'ils ont décliné. Je découvre les guerres de clochers et les égoïsmes communaux...

Le point n°9 est de mettre à jour et étoffer l'offre de conférences sur l'expertise judiciaire que je propose aux lycées, aux universités et aux grandes écoles. Je suis content d'avoir inauguré ce projet avec une invitation au SSTIC, mais j'ai essuyé un silence radio assourdissant de l'ENM à qui j'ai proposé mes services. Trop petit sans doute (mais un refus de leur part aurait été mieux accepté qu'une absence de réponse). Je ne suis définitivement pas un homme de réseaux.

Concernant l'IMC, je stagne à 25.6 depuis deux mois malgré mes efforts surhumains. Pffff.

Sur le point n°11, je pense être apprécié de mes collaborateurs, même si cela ne doit pas être drôle tous les jours pour eux d'avoir un chef passionné par son travail. Mais comme j'en ai conscience, j'essaye de faire la part des choses.

Concernant le point n°12 "Maintenir avec plaisir le rythme de 4 à 5 billets par mois", je dois reconnaître que je prends de plus en plus de plaisir à venir traîner ici pour pondre quelques bafouilles par mois. J'essaye de ne pas prendre la grosse tête et de garder l'esprit d'un blog de particulier, avec un mélange de privé/public/pro/expertise. J'ai quand même du diminuer mon temps passé sur Twitter qui envahissait doucement mais sûrement toutes mes autres activités privées.

Point 13 : "Continuer à répondre présent aux magistrats qui me le demandent". Je réponds toujours présent (sauf pour les analyses de téléphones). Par contre, je suis de moins en moins sollicité, sans savoir pourquoi. J'imagine que le budget de la justice, toujours bien en dessous du minimum raisonnable, doit y être pour quelque chose.

La résolution la moins bien tenue reste la dernière "manger un fruit par jour". Je suis plutôt 5 chocolats et bonbons par jour...Tiens, cela a peut-être un rapport avec mon IMC.

Il me reste six mois pour faire la différence et atteindre 78,57% de mes objectifs ;-)

Bon milieu d'année à tous !

---------------------------------------------
Source image Jan Kriwol

25 juin 2012

Message de service

J'ai fini le bricolage du blog :
  • J'ai modifié le thème pour satisfaire les yeux du plus grand nombre ;
  • Je publie maintenant le flux RSS complet des billets pour ceux qui aiment les lire dans leur agrégateur RSS favori ;
  • J'ai remis le plugin ReadSpeaker pour permettre la lecture des billets aux malvoyants ;
  • J'ai mis à jour la blogroll de mes sites favoris en bas à droite du blog, sous la nouvelle rubrique "billets les plus consultés" ;
  • J'ai remis en place l'onglet "Contact" avec le formulaire d'envoi d'email entièrement anonyme (j'en reçois quelques uns par mois) ;
  • J'ai mis en place un nouvel onglet "Recherche traducteurs". S'il y a des volontaires...
  • J'ai révisé mon onglet "Mentions légales" (thx to Maitre Eolas) ;
  • J'ai remis en place l'onglet "Avertissements" (A lire bien sur ;-).

J'ai découvert que l'auteur de l'intrusion avait effacé complètement mon blog du moteur de recherche de Google avec une demande explicite. Du coup, j'ai refait entièrement le référencement du site grâce aux outils Google pour les webmasters, en particulier les SiteMaps. J'en ai profité pour faire la même chose sur le moteur Bing de Microsoft qui propose un peu la même chose. Le blog apparait maintenant sur la première page du moteur Google lors d'une requête "expert judiciaire", ce qui me fait particulièrement plaisir, même si c'était le cadet de mes soucis. Il est même premier sur la requête "expert judiciaire informatique". ^^

Je recommande à tous ceux qui utilisent un compte Google d'activer la double authentification, qui m'aurait bien servi si j'en avais eu connaissance (mais avec des si...). Je vous invite également à masquer vos doigts pour ne pas vous faire filmer lors de la saisie de vos mots de passe...

Le tome 3 est en cours de rédaction, j'essayerai de faire un billet sur le long processus d'auto édition (papier et numérique).

Vive la liberté d'expression, vive l'informatique, vive la France, et merci à tous pour vos petits mots gentils.

22 juin 2012

Je cherche la vérité

Je fouille le contenu d'un ordinateur à la recherche de la vérité. La femme à qui appartient le PC semble pour l'instant mener une vie normale.

Les analyses de sa navigation internet montrent différents centres d'intérêt : des forums de discussion sur la politique, sur la cuisine, sur les enfants, et sur ses activités sportives. Les sites d'achat sur internet se mélangent aux sites sur les actualités nationales et internationales... Quelques sites de rencontres aussi, qui peuvent laisser penser qu'elle n'était pas pleinement satisfaite dans son couple, ou tout simplement qu'elle s'amusait avec ses fantasmes érotiques. Je ne suis pas expert psychologue.

La lecture de ses emails me semble plus pertinente : elle possède plusieurs comptes webmails, en plus de l'email fourni par son fournisseur d'accès à internet. Trois comptes plus précisément. L'un lui sert à discuter avec sa famille et ses amis, le 2e semble être son email réservé aux achats sur internet et le dernier correspond à son pseudonyme sur internet.

Elle semble mener une existence normale et heureuse, avec les joies et les peines qui touchent ou douchent tout un chacun.

Il y a aussi les photos numériques, bien classées, par année et par événement. J'y découvre les mariages, les enfants, les amis, les vacances.

Ma mission m'oblige à regarder tous les documents, à lire tous les emails, à ouvrir tous les documents. Ma mission m'impose de chercher tous les fichiers effacés, de reconstituer toute l'activité récente de cette femme.

Dans le couple, elle seule utilisait l'ordinateur "familial" d'après les explications de son conjoint. Elle y passait une heure par jour, pas plus, sauf le dimanche où elle pouvait rester plusieurs heures à surfer sur le net pendant que Monsieur bricolait dans le garage, dans le jardin, dans la maison ou dans la voiture. Elle était geek avant que le mot ne devienne à la mode.

Les conversations des messageries instantanées sont souvent très personnelles, avec la concision propre à ce type d'outil. Le temps, le quotidien, le travail, les impressions du moment...

Comme à chaque fois, je me sens mal à l'aise. Je n'aime pas pénétrer l'intimité d'une personne sans qu'elle ne me l'ait autorisé. C’est quelque chose de pénible pour moi. J’aime la vie privée, j’aime qu’on la respecte.

Mais la mission que l’on m’a donnée m’oblige à chercher la vérité.

Alors je fouille le disque dur, j’en extrais des quantités incroyables de données, empilées, alignées, entassées, effacées…
Des courriers administratifs, des déclarations, des comptes bancaires.
Des emails de toutes sortes, des spams, des chaines de messages, des blagues, des invitations pour Noel, des confidences entre amis, entre amies.

Il est tard, je travaille sur ce dossier depuis plusieurs semaines, un peu plus tous les soirs. Je commence à bien connaître cette femme, ses habitudes, ses tics de langage, ses émotions, ses phobies, ses passions, ses manies… Je suis fatigué, je commence à mélanger les commandes internets, les messages d’accroche sur les sites de rencontre, les spams pour des pilules magiques, les invitations à une fête et les factures en retard.

Cela fait plus de 100 heures que je passe à chercher la vérité en fouillant dans son ordinateur.

Pour savoir pourquoi, deux heures après l’extinction de son PC, elle est morte pendue dans la pièce.

Pour que son mari puisse savoir, pour que le juge d’instruction puisse savoir, pour que ses enfants puissent savoir.

Pour que je puisse savoir s’il s’agit d’un suicide ou d’un crime.

Je n’ai jamais su.

-------------------------------------
PS : J’ai déjà raconté cette histoire ici, mais je voulais la reprendre d’une manière différente. Vous pouvez comparer les deux textes et me dire lequel vous préférez. La vie de cette femme me hante encore aujourd’hui.

-------------------------------------
Source image Koscum

16 juin 2012

Mon SSTIC 2012

J'ai enfin pu assister au Symposium sur la Sécurité des Technologies de l'Information et de la Communication (SSTIC) qui se déroule chaque année à Rennes.

Si parmi mes lecteurs, il y a des personnes intéressées par des comptes rendus sur les conférences, elles peuvent aller directement sur les blogs suivants :
- n0secure
- Ma petite parcelle d'Internet
- Mon premier blog
- Le blog perso d'Ozwald
Vous trouverez également de très belles photos ici. Pour m'y reconnaître, c'est très simple: j'ai un badge autour du cou ;-)

J'ai découvert le SSTIC il y a quelques années seulement, grâce à la lecture du blog de Sid. Chaque billet sur le sujet me donnait envie d'y aller pour découvrir l'univers de la sécurité informatique (un rêve d'enfant). Depuis deux ans, j'essaye d'avoir une place pour y assister, mais j'arrive toujours quelques heures après l'ouverture de la vente, et comme beaucoup de monde s'arrache les places, l'affaire est pliée.

C'est pourquoi, quand j'ai reçu un email de Benjamin Morin, membre du comité d'organisation du SSTIC 2012, me demandant si j'acceptais de venir faire une conférence invitée sur le thème de l'expertise judiciaire, après quelques hésitations liées à mon pseudonymat et au fait que je prenais fatalement la place d'un conférencier plus spécialisé sécurité, mon envie d'y assister l'a emporté, et j'ai accepté.

J'arrive donc le mardi soir dans un hôtel du centre ville et le symposium commence pour moi par un repas au restaurant "Léon Le Cochon" avec tous les conférenciers et le comité d'organisation. J'y arrive relativement intimidé, mais mes voisins de table de table me mettent à l'aise et les discussions vont bon train autour de l'univers de la sécurité. Mon apprentissage peut commencer.

Le soir, je me couche sagement à une heure raisonnable, mais je comprends alors pourquoi l'hôtel fournit des boules quies avec les savons et autres lustrants chaussures : ma chambre se trouve côté rue à 50m de la rue de la soif...

Jour 1.
Je suis à l'heure à la première conférence relatant les 20 ans de PaX. Je suis l'un des seuls de l’amphithéâtre de 500 places à ne pas connaître ce produit. La conférence est très technique, en anglais et l'orateur est en costard avec une cravate. Je commence à flipper pour ma conférence du lendemain... Je lis en direct les commentaires sur Twitter et n0secure me sauve avec son résumé de la conférence en live.
Je reste concentré toute la matinée sur les concepts présentés par les différents conférenciers SSL/TLS, Netzob, RDP : je me sens clairement comme à l'école, en train d'apprendre, et j'aime ça.

Je prends seul mon premier repas car personne ne me connait et je suis trop réservé pour m'imposer avec mon plateau auprès des visages que je reconnais. Le SSTIC est un lieu où beaucoup de personnes prennent plaisir à se rencontrer, à se remémorer des souvenirs et des anecdotes, et le temps est court entre les présentations. Les discussions sont donc joyeusement animées.

Le campus de Rennes-Beaulieu est assez terne avec son béton défraichi, mais il est magnifiquement arboré. Je m'y promène sous une petite pluie que j'aime et qui ajoute à ma mélancolie.

L'après-midi s'écoule comme la matinée, studieuse : WinRT, "l'information, capital immatériel de l'entreprise" et "audit des permissions en environnement Active Directory", Windows 8...

La journée s'achève par une conférence effectuée par les créateurs du SSTIC, Nicolas Fischbach, Frédéric Raynal et Philippe Biondi, SSTIC dont nous fêtions les 10 ans cette année. La présentation était truffée d'anecdotes et de clins d’œil, j'ai adoré. Au passage, c'est très intéressant de découvrir l'histoire du SSTIC et comment les pouvoirs publics ont pu s'intéresser de près à cette conférence. A lire ici.

De mon côté, je souhaite faire une répétition de mon intervention du lendemain, donc je rentre tôt, je mange un sandwich dans ma chambre et je bosse mes enchainements.

Jour 2.
Je passe une matinée mémorable, que je détaille dans ce billet, mais qui m'empêche d'assister aux conférences, et en particulier aux résultats du challenge du SSTIC. Ce sera mon plus grand regret de cette édition du SSTIC.

A 14h45, je suis cramponné à mon micro et je reçois un accueil chaleureux des participants. Ce sera mon meilleur souvenir du SSTIC 2012 !

A 16h45 démarre quelque chose à laquelle il faut avoir assisté une fois dans sa vie : la "Rump session". Il s'agit, pour qui le souhaite (et ils étaient 20), de faire une présentation en 3 mn maximum ! La salle écoute silencieusement pendant qu'un chronomètre affiche le temps à la vue de tous. Si le conférencier tient le public en haleine, la consigne est de ne pas applaudir à la fin des 3 mn, ce qui laisse encore 30s au conférencier pour terminer. Si le conférencier ne passionne pas la foule, il est interrompu sans pitié à 3'00" par un tonnerre d'applaudissements. C'est très cruel, mais très efficace. J'aimerais parfois utiliser ce système pour certaines présentations de nos hommes et femmes politiques...
Certaines présentations étaient vraiment bien, d'autres, disons, un peu commerciale...

19h, Guinness time. Mes jambes retrouvent un peu de leur solidité. Discussions avec Erwan de n0secure et Jean-Philippe Gaulier de l'OSSIR.

A 20h, autre moment fort du SSTIC, le "Social Event". Un cocktail dinatoire où tout le monde peut discuter avec tout le monde. C'est un moment que j'ai vraiment apprécié, d'autant plus que cette fois tout le monde avait vu ma bobine et pouvait venir discuter avec moi. J'ai aussi enfin pu approcher Sid, Fred Raynal, Nicolas Fischbach et plein d'autres.

1h du matin, me voici rue de la soif, à boire une bière offerte par Sid, puis dans un bar à boire du champagne jusqu'à 3h du matin en refaisant le monde. C'est ce que j'appelle la belle vie. Couché 4h.

Jour 3.
Petite nuit mais je suis à l'heure pour la première conférence. Curieusement, j'ai un peu mal aux cheveux. Je reste concentré jusqu'au repas que je prends entouré de cracks de l'ANSSI. Je me tiens au courant des évolutions de la sécurité au sein des structures de l'Etat. Pas facile, car ces personnes sont entrainées pour résister aux interrogatoires sous la torture ;-)

Les conférences de l'après-midi sont intéressantes, mais la petite nuit pèse un peu sur ma concentration.

16h30, fin du SSTIC, je m'éclipse doucement.

Ce que j'ai apprécié :
Une ambiance studieuse mais décontractée, des conférences pointues, une organisation impeccable.

Les regrets :
- Ne pas avoir pu retenir toutes les associations visage/pseudo des personnes que j'ai réussi à rencontrer. C'est très étrange de rencontrer IRL des personnes dont on suit les écrits sur leurs blogs.

- Ne pas avoir su consacrer du temps à toutes les personnes qui souhaitaient me rencontrer. J'ai appris par la suite que certains n'avaient pas osé venir vers moi, soit parce que j'étais déjà en train de discuter, soit parce que j'étais seul aux pauses...

- Ne pas avoir pris le temps de discuter avec Benjamin Morin et ses collègues de l'organisation, mais c'est toujours difficile de monopoliser le temps de ces personnes pendant le symposium.

- Enfin, ne pas avoir eu le temps de conclure mon exposé par la lecture d'un passage que j'avais repéré dans les actes du SSTIC 2012. Cela me semblait une excellente conclusion pour faire un pont entre la sécurité informatique et l'expertise judiciaire informatique. Je vous la livre maintenant :
Tout le monde a soif de liberté et de Justice. Maintenant, je vais vous lire un passage de la préface des actes du symposium (livre à la main) :
"Mais nous devons surtout lutter contre la grande délinquance, dont la faille DuQu est le meilleur exemple. Nous allons devoir être fort, regarder en face DuQu, retrousser nos manches et bouger DuQu pour que ce fléau ne se reproduise plus jamais. S'il le faut, nous utiliserons l'appareil législatif et nous sortirons les lois DuQu."
Je vous remercie.
;-)

PS : Je vous mets ici en téléchargement les visuels utilisés pour ma conférence, y compris les quatre derniers que je n'ai pas eu le temps de projeter parce que je suis un grand bavard.

13 juin 2012

Back on line

Suite à l'avalanche de messages de sympathie et, pour tenir compte des demandes formulées dans le billet précédent, j'ai remis en ligne tous les billets et commentaires du blog avant piratage.

Effectivement, il semble que cela peut intéresser les nouveaux lecteurs d'aller se plonger dans les anciens billets (j'espère autant que les anciens lecteurs dans les nouveaux billets ;-).

J'en ai profité pour donner un coup de balai sur le look du blog, et décidé d'abandonner le fond noir qui faisait si mal aux yeux de beaucoup d'entre vous, mais auquel je tenais tant. Nouvelle époque pour ce blog, nouveau design.

Je relisais le billet que j'avais publié juste avant de venir au SSTIC et je me suis demandé si je n'avais pas un 6e sens...

Il me reste quelques réparations à faire, en particulier le plugin de lecture pour les malvoyants, mais le plus gros du chantier est derrière moi. Je tiens d'ailleurs à remercier encore les équipes de Google pour leur réactivité et leur efficacité. Sans elles, je serai encore en train d'adapter les outils de conversion Json vers Xml à mes besoins propres, faute d'avoir procédé à des tests de restaurations de mes sauvegardes sur un blog de secours... Le B.A.BA. Mais comme je l'indiquais sur Twitter, le dieu des sauvegardes devait veiller sur moi.

Il parait que les chats ont neuf vies. Si ce blog est comme eux, il lui reste huit piratages à subir avant que je n'aille en enfer. Vous n'avez pas fini de rigoler, ni mon égo d'en prendre un coup.

Merci à vous tous.

09 juin 2012

Pwned

Jeudi 7 juin 2012, 7h00.
Mon réveil sonne. Comme d'habitude, je mets un peu de temps à émerger.
La veille, j'ai assisté aux conférences du premier jour du SSTIC. Le niveau est élevé pour un simple informaticien comme moi, mais l'ambiance est excellente, et plusieurs personnes viennent me saluer puisque je suis facilement reconnaissable, avec mon badge "Zythom" autour du cou et ma casquette Google. Le soir, après les conférences, j'ai travaillé tard dans ma chambre d'hôtel sur les visuels de la présentation que je dois faire aujourd'hui. Pour donner l'impression d'être à l'aise, il faut répéter, répéter et répéter.

7h15.
Je reçois un SMS de Maître Eolas:
"Vous avez vu votre blog (et votre compte Twitter)?".
Mon sang se glace. J'essaye aussitôt de me connecter sur mon blog, sur la messagerie de mon compte Google et sur mon compte Twitter: impossible, mots de passe incorrects...
Je consulte mon blog: il a été vandalisé, cracké, defaced. Je suis pwned.

Je suis surtout effondré, blessé.
Je me sens humilié.
J'ai du mal à taper sur les touches de mon smartphone car mes doigts tremblent.
Je suis en colère.

7h30.
J'appelle par téléphone Benjamin Morin, l'un des organisateurs du SSTIC qui s'occupe de moi.
Je lui annonce le piratage de mon compte Google, de mon blog et de mon compte Twitter.
Je lui annonce que je vais déposer plainte.
Je lui annonce que je ne suis pas en état de faire ma présentation prévue à 14h45.
Il encaisse ces différentes annonces et me demande de le retrouver dans le hall de l'hôtel.

7h35.
Nous faisons le point des différents problèmes que je rencontre.
Benjamin me prête son ordinateur car le mien est peut-être compromis.
Je contacte le service support en ligne Google pour essayer de récupérer la main sur mon compte.
J'arrive à faire suspendre mon compte, mais le service en ligne m'informe que le traitement de mon dossier prendra 3 à 5 jours ouvrés.

8h.
J'appelle mon épouse pour lui annoncer la nouvelle et lui faire part de mon désarroi.
Elle me soutient et, malgré les centaines de km qui nous séparent, sa présence me réconforte.

9h.
Les substances sécrétées par mon organisme lorsque j'ai découvert le piratage commencent à se diluer. Je retrouve la terre ferme et un peu de lucidité. Je me rends compte que ce qui m'arrive n'est pas très grave.


Benjamin me contacte pour me demander comment je souhaite que soit annoncée ma défection aux participants du SSTIC. Je lui explique que j'ai retrouvé mes esprits, que le mieux est de maintenir mon intervention et que je ne déposerai pas de plainte. Malgré sa parfaite maîtrise de la situation de crise (un organisateur de symposium est en situation de crise permanente), je sens un léger soulagement. Il n'a pas de remplaçant à me trouver, il va pouvoir passer à la gestion des problèmes suivants... Je lui demande quand même s'il est possible d'accélérer la récupération de mon compte Google.

10h.
Benjamin a contacté les personnes ad hoc parmi les organisateurs et les participants au symposium, et me donne les coordonnées d'une personne de Google Europe. J'arrive à contacter cette personne qui déclenche la procédure ad hoc.

Je reçois les procédures à suivre sur mon compte email de secours de mon compte Gmail. Je les suis pas à pas. Je finis par récupérer la main sur mon compte Google.

11h.
Comme l'a fait le pirate, je suis la procédure Twitter d'oubli de mot de passe. Twitter me l'envoie vers mon compte Gmail que je maîtrise à nouveau. Je peux enfin modifier mon mot de passe et accéder à mon compte Twitter que je remets en état.

J'appelle mon épouse. Elle me félicite et m'encourage à rebondir. Je suis fier d'elle. Mon moral remonte.

Je mets un message d'attente sur mon blog pour présenter mes excuses aux internautes et aux participants du SSTIC, tout en avertissant que ma présentation est maintenue.

12h.
Je ne sais pas quels sont mes outils compromis, mais je coupe toutes mes liaisons wifi et 3G.
Je m'isole du monde.
Je me concentre sur ma présentation.

14h30.
Je suis en bas de l'amphithéâtre du SSTIC, un peu penaud.
Plusieurs personnes viennent me voir et me font part des soutiens qui circulent sur Twitter et sur les blogs. L'amphi se remplit, la plupart des visages sont souriants.

14h45.
L'amphithéâtre m'offre un tonnerre d’applaudissements avant même que je n'ai pu ouvrir la bouche.
Des substances très différentes de celles du matin coulent dans mes veines.
Ces gens sont formidables.
Je commence ma présentation, mais je raconterai tout cela dans un autre billet consacré au SSTIC.



C'est la première fois que je subis une attaque de cette sorte. Sans vouloir entamer un dialogue impossible avec mon attaquant, voici son texte et mes remarques.

Zythom,
Votre pseudonymat volant en éclat, allez-vous donc enfin faire profil-bas sur notre métier ? Allez-vous donc enfin cesser de détailler méthodes et anecdotes, à ceux que l’on cherche à faire arrêter (criminels, pédopornographes, pédophiles, etc…), ou préférez-vous les aider ? De quel côté êtes-vous, très cher confrère ?!? Vous défouler mentalement, voir susciter l’intérêt du métier suffit bien assez, même dissimulé derrière un postiche ridicule…
NB : en tant que procureur, ou membre de la cour d’appel, que feriez-vous si un expert inforensique était inapte à protéger ses comptes en ligne, ses machines, et donc ses dossiers d’expertises ? Conférerait-il une qualification suffisante ?
Bonne conférence, je vous regarderai.
Tout d'abord, l'auteur de ce texte ne peut pas être expert judiciaire, c'est absolument impossible. Tout expert judiciaire sait que le code pénal punit sévèrement toute intrusion dans un système de traitement automatisé de données. D'ailleurs, tous mes lecteurs policiers, experts judiciaires et magistrats le savent bien. Extrait:
Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.

Circonstance aggravante, l'auteur du piratage a supprimé l'intégralité des 700 billets du blog, ce qui lui vaut d'encourir une peine alourdie. Extrait:
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.

Bien entendu, il s'agit là de peines maximales. Personne, y compris moi-même, ne peut imaginer quelqu'un condamné à de tels niveaux de peine pour m'avoir attaqué, moi simple blogueur. A part mon égo, personne n'a été blessé.

Un expert judiciaire a prêté serment d'apporter son concours à la justice, pas de faire justice soi-même.

Mon blog n'est pas apprécié par tout le monde, c'est une évidence. Je reçois parfois des emails d'experts judiciaires fâchés contre moi et qui contestent ma démarche. Un expert a même contesté la tenue de mon blog en justice, j'ai été interrogé par un conseiller de la Cour d'Appel, j'ai été convoqué devant la commission de discipline de ma compagnie judiciaire, et celle-ci a conclu que mon blog était parfaitement conforme et légal. J'ai déjà raconté tout cela ici-même.
Depuis, les experts judiciaires qui n'aiment pas mon blog font ce que tous les internautes font dans ce cas: ils ne viennent pas le lire. Nous sommes encore dans un pays où l'expression est libre.

L'auteur de cette diatribe n'est donc pas expert judiciaire.

Concernant mon identité réelle, je suis très surpris qu'une personne puisse penser que je souhaite qu'elle soit cachée à tout prix. Je suis fier des billets que j'ai écrits, et j'en assume complètement l'écriture, aussi bien sous mon pseudonyme Zythom que sous ma véritable identité. Je voudrais rappeler encore une fois que l'association du pseudonyme Zythom à ma véritable identité est connue de mon hébergeur, de la justice, de la police, de ma compagnie d'experts judiciaires, des journalistes qui m'ont interviewé, des blogueurs et twittos avec qui j'ai établi des liens de confiance, des organisateurs de conférences qui me font l'honneur de m'inviter, de mes amis et de ma famille. Bref, de beaucoup de monde.
Les autres internautes se moquent complètement de ma véritable identité, sauf ceux qui me contactent quand j'écris un billet où je donne un peu trop de détails facilitant mon identification. Je les rassure alors: je ne cherche pas à rester anonyme à tout prix, j'écris simplement sous pseudonyme, sous un nom de plume.

Je voudrais faire remarquer que mon contradicteur me reproche d'utiliser un pseudonyme, tout en agissant lui-même de façon anonyme, où cette fois le mot anonyme est à prendre sous le sens de "corbeau", de "dénonciateur anonyme" de triste mémoire.

Concernant les détails techniques supposément dévoilés sur mon blog et qui encourageraient les criminels au point que mon contradicteur se demande de quel côté je me trouve, je pense que tous les internautes auront compris l'inanité du raisonnement. Je ne suis pas un expert en sécurité informatique, je ne suis pas un expert en crackage de systèmes, je ne suis pas un white/black hat. Je suis un simple responsable informatique et technique qui met ses connaissances au service de la justice. Les outils dont je parle ici sont accessibles à tous, disponibles et distribués légalement. Les anecdotes dont je parle sont suffisamment romancées pour qu'aucun secret ne soit trahi. C'est un bien grand pouvoir qu'il me donne, et c'est une bien grande erreur qu'il commet en pensant que les criminels, pédopornographes et pédophiles viennent trouver sur mon blog le moindre élément susceptible de les aider. C'est d'ailleurs au contraire l'attaque qu'il a mené contre mon blog qui le décrédibilise en devenant lui même coupable d'un délit.

Comment a-t-il pu obtenir le mot de passe de mon compte Google? Mystère. Et cela restera un mystère parce que j'ai décidé de ne pas déposer plainte. Je suis marié à une avocate et je vois bien avec ses dossiers qu'il y a des gens qui subissent des malheurs bien plus grands que l'attaque de mon petit site internet. Et mon travail avec la justice, la police et la gendarmerie, me montre bien les faibles moyens dont ils disposent pour des affaires toujours plus nombreuses. Alors embarrasser encore plus le système avec mon petit problème...

Je ne saurai donc pas comment il a obtenu mon mot de passe. Réseau Wifi de l'hôtel où je me suis imprudemment connecté sans mon VPN ?  Réseau Wifi de l'amphithéâtre en plein SSTIC, alors que les ondes étaient analysées en permanence par 200 Wiresharks ? Probablement pas.

J'avoue que cela m'intrigue, mais c'est la vie. J'ai depuis mis en place la double authentification proposée par Google et que je recommande (maintenant ;-) à tous ceux qui ont un téléphone et un compte Google.

J'ai toujours segmenté mes activités, chacune avec un compte dédié, et chaque compte avec un mot de passe différent des autres. Mes comptes Twitter et Gmail n'ont pas le même mot de passe, mais l'adresse email de récupération du compte Twitter est celle du compte Gmail, puisque le cœur de mon activité de blogueur est mon compte Google. Une fois mon compte Google déchiré, il était facile de récupérer le contrôle du compte Twitter.

J'ai une sauvegarde complète des billets de mon blog, et des commentaires, mais je me demande si ce n'est pas l'occasion aussi de repartir sur une base vide, puisque la grande partie des billets sont lus dans les quelques jours qui suivent leur publication, pour tomber ensuite dans un trou noir. J'hésite encore et déciderai la semaine prochaine. Ce week-end, je joue avec mes enfants.
Je pense bien sur utiliser cette sauvegarde pour démarrer la rédaction du tome 3 des billets de mon blog, pour mes amis et ma famille. Je remettrai d'ailleurs bientôt en ligne l'accès aux tomes 1 et 2.
Le site sera donc en chantier plusieurs jours.

Pendant quelques heures, les seuls billets de Zythom qui apparaissaient sur Internet étaient ceux acceptés et publiés par Sid et par Maître Eolas sur leurs blogs (Edit du 12/06: également par justice2012par Genma et par le Village de la Justice, ici, ici et ). Grâce à eux, je n'avais pas complètement disparu. Qu'ils en soient remerciés ;-)

Mes remerciements vont également à toutes les personnes qui m'ont aidé à reprendre le contrôle du site et du compte Twitter: les équipes de Google, les organisateurs et les participants du SSTIC, avec aux premières loges Benjamin Morin.

Et je remercie chaudement tous ceux qui m'ont adressé un signe de soutien, par email, par SMS, par tweet, par téléphone: experts judiciaires, magistrats, avocats, policiers et bien sur tous les "anonymes".

C'est dans les moments pénibles que tous ces petits signes sont précieux.
Et cela, ça ne s'efface pas.
<3

07 juin 2012

Piratage du blog

Merci à tous pour vos messages de soutien.
Et merci à Google pour sa réactivité (et à l'équipe du SSTIC).

Je suis en conférence au SSTIC cet après-midi (pour aller mourir sur scène).

Je réparerai le blog ensuite.

PS: les participants au SSTIC n'ont rien à voir avec le piratage du site, j'en suis seul responsable.