15 juillet 2013

Les innocents

Lorsqu'un enquêteur me confie un scellé, celui-ci est bien entendu accompagné d'une mission, comme par exemple : "fournir tous les éléments en rapport avec les faits". Ce type de mission présente une particularité redoutable : il est impossible de prévoir le temps que l'on va mettre pour analyser le contenu du scellé...

Prenons un exemple. Je suis contacté par téléphone par un enquêteur, en général un gendarme ou un policier. Celui-ci évoque quelques éléments de son dossier en rapport avec la mission qu'il compte me confier. Souvent l'enquêteur me demande conseil sur la rédaction exacte de la mission, pour ne pas faire de bourde (exemple de bourde : "imprimer sur papier toutes les images retrouvées". Je DOIS effectuer la mission, même s'il y a 20 000 images !).

L'enquêteur aime également être précis sur les termes techniques qu'il va utiliser pour décrire la mission, surtout dans un domaine qu'il ne maîtrise pas forcément. Encore que dans le domaine de l'informatique, gendarmes, policiers et magistrats ont énormément progressé ces dernières années. Je trouve de moins en moins de scellés sans disque dur... Et de plus en plus de scellés avec leurs périphériques USB !

Mais je n'arrive quasiment jamais à avoir une réponse à cette question simple : quelle est la taille du ou des disques durs.

Prenons un exemple plus précis : l'enquêteur m'explique que le propriétaire de l'ordinateur est soupçonné d'échanger des images pédopornographiques. Son ordinateur a été placé sous scellé et ma mission, si je l'accepte, est la suivante (vous remarquerez qu'en fait, il y a plusieurs missions):
- réceptionner le scellé et le briser
- faire une copie des données numériques présentes sur les disques durs présents dans le scellé
- rechercher toutes traces d'images pédopornographiques
- rechercher tous les échanges effectués en rapport avec ces images (emails, sites internet, chat, etc.)
- fournir tous les éléments en rapport avec les faits
- placer sur cédérom ou dvd tous les éléments trouvés, en deux exemplaires
- reconstituer le scellé et rédiger un rapport.
En général, l'enquêteur arrive assez vite sur ce qu'il a en tête depuis le début de la conversation : "acceptez-vous la mission ?".

A ce stade, j'essaye d'en savoir un peu plus : système d'exploitation, taille des disques durs... En général sans succès. J'essaye aussi de négocier la livraison du scellé à mon domicile (souvent possible, mais de moins en moins).

Mais avant tout cela, il me faut accepter la mission et établir un devis, qui doit aussi être accepté par le magistrat qui supervise l'enquête pour que l'expertise démarre. Autant vous dire que le devis est parfaitement pifométrique au nez doigt mouillé. Dans l'affaire qui m'intéresse, j'ai estimé l'analyse à environ 20 heures de travail, parce que je suis un grand naïf et que je me refuse à établir des devis plus réalistes...

Après prise de rendez-vous et dépôt d'une demi-journée de congés payés, le jour J, à l'heure H prévue, l'enquêteur est à ma porte, avec le scellé. Il vérifie mon identité avec un lecteur d'empreinte rétinienne en me demandant mon nom, et je signe les papiers d'acceptation de mission et de réception du scellé.

Il ne me reste plus qu'à jeter le scellé sur un mur pour le briser, et ma première mission est terminée. Je plaisante. J'ouvre le scellé en coupant le cordon de l'étiquette jaunie par le temps (ce type d'étique date probablement du milieu du siècle dernier) attachée subtilement autour de l'ordinateur. Sache, jeune padawan enquêteur, que je m'amuse beaucoup à essayer d'accéder à l'ordinateur SANS briser le scellé. Seul un Chevalier Jedi sait emmailloter correctement un scellé pour que PERSONNE ne puisse l'ouvrir sans le briser.

On s'amuse comme on peut.

C'est à ce moment-là, dans l'affaire en question, que je me suis rendu compte que le scellé contenait un disque dur de 3 To...

Bien bien bien. Je m'équipe comme il faut d'un nouveau NAS pour absorber l'image du disque dur, plus toutes les données extraites. Soit environ 6 To. Rien que ce travail là m'a pris un mois. Entre réglages, tests divers, hésitations, mesures de performances, le temps s'écoule très vite le soir et les week-ends (n'oubliez pas que le reste du temps j'ai un vrai métier).

Je procède, la main tremblante, à la copie du disque dur. Tout est fait pour qu'il ne tombe pas en panne à ce moment là : ventilateur, onduleur, encens et divers rites liés à ma foi. La copie a duré 48h pendant lesquelles j'ai très mal dormi.

Voici venu le temps de l'exploration préalable de la copie du disque dur. C'est un moment que j'aime bien : en effet, au cœur des ténèbres, j'aime l'odeur du napalm au petit matin... Je me promène l'air de rien sur le disque dur pour regarder à qui j'ai affaire.

Ce disque dur avait l'air d'appartenir à quelqu'un de normal.
Mince.

Je procède alors à la récupération de toutes les images présentes sur le disque dur, effacées ou non. Me voici à la tête de dizaine de milliers d'images. Pendant des jours (en fait des nuits), je trie, je regarde, je cherche des images pédopornographiques: rien !

Je vérifie la présence de logiciels de chiffrage, de stéganographie. J'étudie en profondeur la base de registre qui garde trace de... tout en fait: clefs et disques durs USB installées et branchés, logiciels installés, supprimés, etc. Rien d'intéressant !

Je lis tous les documents doc, pdf, txt, cvs, odt, le contenu des zip, 7z, rar, etc. Nenio !

Je cherche tous les fichiers de grandes tailles, je vérifie la présence de containers TrueCrypt ou équivalent. Niente !

Je dresse la liste de tous les logiciels de communication présents (il y en a beaucoup) : Skype, Windows Live, Outlook, Firefox, Chrome, Internet Explorer... Pour chacun, je dis bien POUR CHACUN, il me faut étudier leurs traces, les messages échangés, leurs bases de données, souvent chiffrées d'une manière propriétaire.

Je commence par les outils de messagerie : déchiffrage des bases, analyse des échanges. Patiemment, outils après outils, avec l'aide des sites spécialisés en inforensique, avec les outils développés par la communauté, je cherche des échanges entre pédopornographes, des éléments en rapport avec les faits. Nichts !

L'enquêteur m'appelle de temps en temps pour me presser connaître l'état d'avancement de mes investigations. Je le tiens au courant. Si je trouve quelque chose, j'ai sa ligne directe et un forfait illimité.

J'attaque ensuite les historiques de navigation. Entre les différents comptes des utilisateurs de l'ordinateur, et les fichiers effacés, je me suis retrouvé avec 800 000 fichiers à analyser ! Cookies, URL, données des caches... Un confrère m'a orienté vers un logiciel que je ne connaissais pas : NetAnalysis. Test de la version d'essai, achat à mes frais de la licence, attente de la réception du dongle. Une fois le dongle reçu, j'analyse les données, je reconstitue les pages consultées à partir des données en cache, y compris les caches effacés. Un mois passe. Nada !

L'utilisation de l'ordinateur semble normale : du surf sur des sites pornographiques (internet, c'est pour le porno), des photos de famille, des films d'amateur, de la musique, des accès Youtube, le bon coin, Meetic. Rien d'anormal. Dim !

Je suis dans le cas de figure où l'on creuse partout sans savoir ce que l'on cherche réellement comme cadavre, dans une affaire où il n'y a pas de corps... Il faut me rendre à l'évidence, j'ai affaire à un innocent !

Mince.
Enfin.

300 heures de travail, à la recherche de preuves ignobles, la peur au ventre de tomber sur des images immondes, pour finalement me dire que l'ordinateur semble normal. Que son propriétaire est normal. Que ses utilisateurs sont normaux.

Soulagement.

Je n'ai pas pu m'empêcher néanmoins d'avoir un petit pincement au cœur quand j'ai rédigé ma note de frais et honoraires dans laquelle je mentionne 20 heures de travail. Mais j'ai travaillé pour la France, j'ai blanchi un innocent, je dispose de deux NAS performants et d'une clim pour mon bureau, j'ai appris à me servir d'un logiciel efficace acheté à mes frais. J'ai occupé mes soirées et mes week-ends.

Je suis heureux.
Mais ce sont quand même les innocents qui demandent le plus d'efforts.

------------------------------------
Source image MegaPortail.

20 commentaires:

  1. Je peux vous aider, pour les disques durs. À moins de tomber sur un vieil ordinateur, il est fort probable que la taille soit de 2.5 ou 3.5 pouces.

    Pas la peine de me remercier, je suis déjà dehors.

    RépondreSupprimer
    Réponses
    1. Attention, il y a maintenant des disques SSD...

      Supprimer
    2. par curiosité il vous arrive de tomber sur des téléphones portables a analyser aussi ?

      pour les impressions, ca me surprend quand même de voir qu'on pourrai imprimer 20 000 pages plutôt que de les copier sur un autre hdd (voir sur dvd) ^^

      Supprimer
    3. Pour l'instant, je n'ai pas souhaité élargir mes compétences en analysant les téléphones mobiles: trop spécifique, trop cher, trop loin de mon quotidien.

      Concernant les termes de la mission, je dois m'y plier. Mais il y a toujours une marge de manœuvre pour que cela reste intelligent ;-)

      Supprimer
  2. C'est toujours le même principe : pour dire qu'un mot se trouve dans un livre, on peut l'ouvrir au hasard et avoir la chance de le trouver du premier coup, ou évaluer la probabilité de trouver ce mot plutôt au début ou à la fin, histoire d'optimiser la recherche...

    Mais pour affirmer que tel mot ne s'y trouve pas, on est obligé de tout lire... (et souvent plusieurs fois, si on se laisse distraire par l'intrigue...)

    Bien à vous,
    L'Ankoù

    RépondreSupprimer
  3. En cas de présence d'un container TrueCrypt, que feriez-vous ?
    Est-ce déjà arrivé ?

    RépondreSupprimer
    Réponses
    1. Dans ce cas, j'essaye tous les mots de passe que j'ai pu récupérer sur l'ordinateur, et parfois ça fonctionne (lire ce billet).

      Sinon à l'impossible nul n'est tenu.

      Supprimer
  4. Pourquoi mentionnez-vous 20h de travail sur votre note de frais alors que vous en avez passé 300 ?

    RépondreSupprimer
    Réponses
    1. C'est le principe du devis préalable: je me suis engagé à faire le travail en 20h, pas 15 fois plus.

      Supprimer
    2. C'est un peu bizzar comme system. Si ils vous avez donne toutes les informations necessaires pour votre devis, je dirais pas, mais bon, si on ne vous dit pas les bases, il me semble peu honnete de vous tenir a votre devis pifometrique.

      Sinon, pas moyen de changer la mission au milieu si elle devient trop honereuse?

      Supprimer
    3. Il y a toujours moyen de contacter le magistrat en cour de mission. Mais quand on connait le budget de la justice...

      Supprimer
  5. A la lecture de votre poste et la gloire qu'il peut y avoir a blanchir un innocent, n’étant pas DU TOUT partisant d'un etat policier je me permet de mettre en cause l'enquete ou la perquisition !

    Pourquoi un mec accusé de pedoporno n'aurait il pas plusieurs pc, peut être caché dans un autre lieu, ou dissimulé en autre chose qu'un PC (meuble ou autre...)

    N'étant pas mauvais en informatique si j'avais envie de faire des choses reprehensibles je n'utiliserai pas mon pc personnel, mais un truc dedié, destructible voir autodestructible !

    RépondreSupprimer
    Réponses
    1. Dans ce dossier, je ne suis en charge que de l'analyse du matériel qui m'est confié. Je n'ai pas participé à la perquisition.

      Mais les enquêteurs sont très perspicaces et de plus en plus formés aux nouveaux supports de mémorisation.

      Maintenant, vous avez raison, une personne motivée peut cacher de manière efficace ses traces. Mais il faut être très motivée et très compétent. C'est plus rare que vous ne semblez le pensez.

      Supprimer
  6. 20h de prévu parce que c'est le temps que ça vous prend quand tout se passe bien, parce que c'est un temps moyen, ou simplement parce que trop modeste, vous pensez que vous seriez meilleurs (vous auriez déjà toutes les compétences et tout le matériel adéquats) ca ne vous prendrez trop de temps ?
    Je pose la question parce que la remarque de fin laisse apparaitre en filigramme la dernière hypothèse (et le fait de suivre depuis un moment le blog me donne l'impression que c'est toujours plus long que prévu les expertises judiciaires) et que dans ce cas, il ne me semblerait pas absurde de légèrement surestimer la durée de toutes les expertises pour la prise en compte du maintiens et du renouvellement des compétences.

    Ensuite, je regrette mais avec les données au "début du contrat" il n'est pas possible de faire un devis raisonnable. C'est un peu comme si j'appel mon garagiste pour lui dire que je dois changer les pneus de mon véhicule, il ne va pas me faire le devis sans savoir exactement le type de pneu que j'ai. J'imagine bien le garagiste qui fait systématiquement un devis pour une 107 et qui change quand même au même prix les tracteurs lorsque le gars ne l'a pas prévenu.

    RépondreSupprimer
    Réponses
    1. Ce qui me désabuse un peu, c'est de constater la misère du budget de la justice: la France est un des derniers pays d'Europe en matière de budget de la justice.

      Je ne suis pas devenu expert judiciaire pour l'argent, mais parce que j'aime réellement travailler pour les magistrats et les enquêteurs. C'est pour cela que j'ai du mal à établir un devis plus réaliste.

      Et objectivement, quelle part de ces 300 heures aurais-je du estimer? Comment pouvais-je savoir qu'il n'y aurait rien sur le disque dur, et que c'est cela qui allait impliquer un temps si long d'analyse?

      Supprimer
  7. Pourquoi ne pas indiquer dans le devis d'une nouvelle affaire, le temps passé sur la précédente affaire ?

    Ca ne serait qu'un décalage de trésorerie, et non plus une perte nette (voire un gain ... si l'affaire ne vous avait pas pris que de 2h au lien de 20h prévues!). Le budget de la justice étant probablement globalisé à l'échelle de votre zone géographie d'intevention, ce ne serait que ... justice ?

    Amicalement

    RépondreSupprimer
    Réponses
    1. Chaque devis est vérifié par le magistrat en charge de l'affaire. Ce magistrat ne connait pas l'affaire précédente sur laquelle j'ai travaillé et ne verrait pas d'un bon œil une surévaluation.

      Supprimer
  8. Merci pour ce partage. C'est bon parfois de savoir que certaines expertises se terminent ainsi. Et même si le temps passé est conséquent, finalement je suis sûr que tu préfère ainsi.

    RépondreSupprimer
  9. Très intéressant billet.

    Celà dit, si ce gars était vraiment innocent, il a peut-être encore plus souffert du temps long passé privé de son ordinateur (l'utilisait-il professionellement?) et tout ça... pour rien, alors qu'il n'a rien fait.

    N 'y a t-il pas un moment, quand vous commencez sérieusement à vous dire que vous ne trouverez rien, où vous avez envie d'accélerer les choses et de devenir moins précis sur les dernières vérifications? Quand le gars est innocent, j'imagine que ça arrangerait tout le monde que l'affaire se termine au plus vite: le gars lui même en premier lieu, vous, mais également les policiers et magistrats qui doivent perdre du temps sur une affaire inexistante.


    RépondreSupprimer
  10. « ce sont quand même les innocents qui demandent le plus d'efforts »

    et ce sont ceux qui se défendent le plus mal...

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.