30 septembre 2013

Nettoyage d'automne et backstage

Cela faisait longtemps que je n'avais pas changé l'habillage de ce blog. Après avoir hésité à mettre en place le même thème que le blog version américano-anglaise, j'ai finalement opté pour quelque chose de plus léger et toujours dans l'esprit "blog".

J'espère que ce nouvel habit d'automne vous plait.

PS: Il y a deux thèmes pour le blog, un pour la version ordinateur classique, l'autre pour mobiles. N'hésitez pas à me remonter les anomalies que vous constaterez pour l'un comme pour l'autre thème (en précisant).

Pour les curieux des coulisses d'un blog:

Bien que très concerné et intéressé par les technologies internet, je n'ai jamais souhaité m'occuper de l'hébergement de ce blog, ni de son développement. J'ai donc cherché une plateforme d'hébergement offrant de bonnes infrastructures et des outils simples de configuration et d'administration. En 2006, mon choix s'est tourné vers Blogger (racheté depuis par Google) qui présente de plus la particularité d'être entièrement gratuit.

La création d'un blog se fait en quelques minutes, si possible en suivant la procédure suivante:
- se choisir un pseudonyme disponible sur internet
- créer le compte Google correspondant à ce pseudonyme (adresse Gmail, etc.)
- ouvrir le blog sur Blogger
- choisir le modèle de présentation parmi les différents proposés dans l'interface d'administration et découvrir les différents paramétrages
- écrire des billets ;-)

Personnellement, j'ai choisi le tout gratuit, sachant que je serai le produit. Je n'ai pas réservé de nom de domaine, je n'ai pas de mise à jour de système d'exploitation à faire, je ne gère pas de base de données, je n'ai pas de connaissance particulièrement prononcée des langages de mise en forme, je ne m'occupe pas de la bande passante nécessaire ni des attaques DDOS. Bref, c'est cool.

J'ai juste acheté une casquette Google pour faire mes conférences (et pour troller un peu ;-).

Bien sur, je sauvegarde régulièrement le blog par un export XML (avec la console d'administration Blogger) qui m'a été bien utile lors du piratage du blog l'année dernière.

Je n'ai pas accès aux logs du serveur qui m'héberge, et je dois dire que ça ne me manque pas beaucoup. Côté statistiques, j'utilise Google Analytics, paramétrable très facilement dans Blogger, et cela me suffit pour combler mon égo de blogueur. Quand un internaute m'insulte par email, je supprime simplement l'information et l'oublie aussitôt. J'ai gardé quelques remarques déplaisantes de confrères pour mon mur des cons personnel, mais je dois dire que c'est plutôt rare.

Côté référencement, je n'ai fait aucun effort particulier: pas de mot clef acheté, pas de truc ou astuce dans les méta balises... Je compte simplement sur le référencement des blogueurs qui aiment bien mon blog et sur la pertinence des moteurs de recherche.

A ce propos, je vous invite à aller regarder ma blogroll située sur le côté droit du blog. Elle contient tous les sites que je dévore dès que leurs auteurs publient quelques choses. Je place sur Google+ les billets qui m'ont particulièrement intéressé. Elle est organisée selon les rubriques suivantes:
- Le meilleur de la Justice (Me Eolas...)
- Les chapeaux blancs (Sid...)
- Le 4e pouvoir (Aliocha...)
- Les soigneurs (Boule de Fourrure...)
- Cerveau gauche (Dr. Goulu...)
- Cerveau droit (Embruns...)
- Blogs BD (BouletCorp...)
- L'Empire des sens (pardon maman...).

Si vous avez des liens à me conseiller, n'hésitez pas à me le envoyer par email ou en commentaire! Ou alors, ouvrez un blog et mettez les dans votre blogroll ;-)

Sol lucet omnibus
("le soleil luit pour tout le monde", Olibrius dans Astérix et les Normands)

24 septembre 2013

Cracker les mots de passe

Quand j'étais jeune responsable informatique, dans les années 1990, il existait une "tradition" chez les administrateurs réseaux de l'époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l'on gérait.

C'est ainsi que j'ai découvert le logiciel "crack", librement distribué et partagé sur internet par les administrateurs réseaux.

C'est aussi à cette époque que j'ai compris l'intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer.

Voici donc un billet sur les outils que j'utilise aujourd'hui dans les analyses que j'ai à mener, soit dans le cadre judiciaire, soit dans le cadre professionnel (quel admin n'a pas déjà eu à contourner un mot de passe root, ou un mot de passe BIOS). J'espère qu'il pourra être utile aux experts judiciaires débutants en la matière, ou à tout ceux qui veulent tester leur réseau informatique personnel ou professionnel.

Dernier point: il n’est pas inutile de rappeler que toute utilisation illégale de ce type d'outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l'approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s'en servir à leur insu est réprimandée par la loi.

Bref, ce qui est mal est mal, ce qui est illégal est illégal...

Note à mes lecteurs issus ou nageant déjà dans l'univers de la sécurité informatique, ne vous attendez pas à des découvertes techniques incroyables dans ce qui va suivre, considérez ce billet comme une initiation au B.A.BA pour mes lecteurs "mékeskidis" (© Maître Eolas) ou les simples curieux.

---------------------------------------
0) L'outil magique, celui qui impressionne les amis : Ophcrack

Rendez-vous sur le site de téléchargement d'Ophcrack, récupérez le liveCD qui va bien (Vista/7 par exemple), gravez le et bootez votre machine Windows 7. Regardez et admirez, c'est plug and play.

Ophcrack fonctionne très bien également sur des machines virtuelles, par exemples des images disques créées par la commande "dd" et transformées en VM par liveView.

Pour les plus motivés d'entre vous, il existe des "tables arc en ciel" en téléchargement plus ou moins libre sur internet, permettant d'améliorer les performances de récupération des mots de passe. Attention, ces tables peuvent faire plusieurs gigaoctets. Vous pouvez également les faire vous même (par exemple avec RainbowCrack): prévoir un ordinateur TRES puissant et plusieurs mois de calculs...

Ophcrack est un outil précieux lors des perquisitions, où l'on rencontre souvent du matériel sous Windows XP ou Windows 7.

Conseil aux administrateurs réseaux débutants: bloquez très vite le mode "boot sur CD" de tous les postes que vous administrez...


---------------------------------------
1) L'ancêtre, celui qui fera de vous un barbu : crack

Crack est un logiciel de recherche de mot de passe par création de combinaisons de mots courants stockés dans des fichiers. Je dois à ce logiciel ma plus belle collection de "dictionnaires", le mot étant à prendre ici au sens de "liste de mots" (sans définition). J'ai des dictionnaires de mots dans un grand nombre de langues, des dictionnaires de mots écrits en phonétique, des règles de codage/décodage en langage SMS (t1t1 pour tintin), etc. J'ai également récupéré, quand ils ont été disponibles sur internet, tous les fichiers de mots de passe (parfois plusieurs millions) d'utilisateurs...

Comme indiqué en préambule, c'est le premier programme que j'ai utilisé dans le contexte d'analyse de la sécurité de mon réseau, pour tester la validité des mots de passe choisis par les étudiants. Je précise que je suis barbu avec modération. 20% des mots de passe utilisés par les étudiants ont été trouvés en moins de 5 mn, 80% en moins d'une heure. J'ai affiché dans le couloir du laboratoire informatique la liste des mots de passe par ordre de découverte (sans le nom du compte associé), avec obligation pour chaque étudiant de changer leur mot de passe... Toute une époque ;-)

Crack est un programme conçu pour UNIX et fonctionnant sous UNIX. La rubrique "Troll" de la FAQ est instructive à ce sujet. Ceux qui ont un peu plus de temps, liront avec délice les emails les plus curieux envoyés au développeur de crack.

C'est un programme pédagogique, qui peut encore être utile, même si je dois avouer ne pas m'en être servi depuis longtemps.


---------------------------------------
2) La référence : John l'éventreur

John The Ripper, ou JTR, est l'une des références dans l'univers des briseurs de mots de passe. Bien qu'un peu ancien maintenant, ce logiciel a su évoluer pour utiliser différentes méthodes d'approche.

Il a surtout l'avantage de fonctionner dans beaucoup d'environnements: Windows, Linux, Mac OS, etc. C'est encore un logiciel basé sur des dictionnaires.

Je raconte dans ce billet, une petite anecdote liée à la présence de ce logiciel sur le poste de travail d'un salarié avec le mot de passe du patron dans un fichier texte...


---------------------------------------
3) L'attaque à distance multi-protocoles : Hydra

Si vous devez auditer un ensemble de postes, de serveurs, de protocoles, de services, de trucs à distance, ou tout simplement un ordinateur allumé ciblé, le tout sans bouger de votre poste d'analyse, voici le produit qu'il vous faut: THC-Hydra.

Je reporte ici la description du produit extraite de ce manuel en français: THC Hydra est un crackeur de mot de passe réseau supportant les protocoles suivants: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET, HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA, REXEC, SOCKS5, VNC, POP3, VMware-Auth, NCP, Firebird.

Le logiciel possède deux modes de fonctionnement: l'attaque par dictionnaires ou par force brute. A ce propos, ne pas oublier les fonctionnalités moins connues du couteau suisse des réseaux: nmap et ses possibilités d'attaque par force brute.


---------------------------------------
4) Le mot de passe BIOS oublié : PC CMOS Cleaner

Toute la description est dans le titre. La encore, un liveCD à télécharger pour booter ensuite dessus. Rapide, efficace, mais modifie le scellé ce qui est interdit.

Sinon, la vieille méthode dite de "la pile BIOS à enlever" marche toujours, mais il faut savoir la trouver, surtout sur les ordinateurs portables. Encore une fois, interdit dans le cas d'un scellé.


---------------------------------------
5) Efficace mais long : les emails

La meilleure de toutes les solutions est un constat simple que je fais souvent: la grande majorité des gens n'utilisent qu'un ou deux mots de passe, pour tous les systèmes d'authentification qu'ils rencontrent.

Il est donc très probable que l'utilisateur de l'ordinateur analysé ait choisi son mot de passe "habituel" pour s'enregistrer sur un site quelconque de téléchargement de démos, d'achats en ligne ou de webmail. Parmi tous les sites en question, il n'est pas rare que le mot de passe utilisé lors de la procédure d'inscription soit envoyé EN CLAIR dans l'email de confirmation de création du compte.

Il suffit donc d'analyser les correspondances emails (Outlook, Thunderbird, traces logs des différents navigateurs, etc) pour retrouver un ensemble d'emails du type "votre mot de passe est bien ZorroDu69, merci de conserver cet email" (oui, merci). Quand vous listez ensuite tous les mots de passe ainsi trouvés, le nombre dépasse rarement 3 ou 4. Il ne reste plus qu'à les tester sur le compte ciblé pour trouver le bon.

C'est l'application d'une des bases de l'ingénierie sociale...


---------------------------------------
Conclusion

L'amoureux de la vie privée que je suis commencera par un conseil sur les mots de passe: choisissez les de manière à ce qu'ils ne puissent pas apparaître dans une liste de mots de passe, et suffisamment longs pour qu'ils résistent à une attaque par force brute. Je donne souvent l'exemple des premières lettres des mots d'une chanson ou d'un poème, en mélangeant majuscules et minuscules, ex: LsLdvdLBmCdULm, auxquelles vous ajoutez quelques chiffres (en majuscule, non, je plaisante), ex: LsLdvdL1844BmCdULm1896. C'est beau, c'est long, c'est bon, c'est difficile à deviner quand on vous regarde taper sur le clavier (sauf si vous chantonnez).

Mais attention, ce n'est pas inviolable (cf point n°0 sur Ophcrack et le boot sur cédérom).

Ensuite, un conseil encore plus pénible: choisissez un mot de passe très différent pour chaque compte informatique. Dix comptes, dix mots de passe. 50 comptes, 50 mots de passe. Un mot de passe pour Twitter, un autre pour Facebook, un autre pour Gmail, etc. Évidemment, la nature humaine est ainsi faite que la mémorisation parfaite de tous ces mots de passe devient un tantinet compliquée. Je vous recommande donc le logiciel KeePass pour stocker de façon sécurisé tous vos mots de passe. Ce logiciel est même certifié par l'ANSSI, c'est dire. Il peut également générer des mots de passe très long aléatoirement, avec la possibilité de faire des copier/coller, ce qui revient à ne même pas connaître le mot de passe que vous utilisez.

Du coup, vous n'avez à retenir vraiment qu'un seul mot de passe, jamais mis par écrit: celui de l'accès à KeePass. De plus, ce logiciel est à double authentification (présence d'un fichier à choisir + mot de passe). Vous pouvez même placer KeePass sur le Cloud pour pouvoir y accéder de partout !

Cracker des mots de passe est une activité assez amusante, un petit défi technique accessible à tous. Il est par contre plus difficile pour certains étudiants de garder à l'esprit que tout ce savoir technique doit servir du bon côté de la Force. Quoi qu'il en soit: sit vis vobiscum !


19 septembre 2013

En vrac

#0
C'est la première année où je vais effectuer plus d'expertises privées dans le cadre de mon activité free-lance (lire ce billet) que d'expertises judiciaires. Un signe de l'âge des temps ?

#1
J'ai une sœur formidable qui a repris le flambeau de mes parents (tous les deux instituteurs) : elle est professeur des écoles en maternelle dans une ZEP. Comme ce billet décrit exactement son travail, je vous en recommande la lecture.

#2
Je suis toujours en train de passer des entretiens pour voir ce que je vaux sur le marché du travail. Négatif côté ANSSI (dommage, j'aurais aimé travailler avec des roxors), négatif côté Google, négatif pour l'instant côté EADS... Je continue ma crise de la cinquantaine en cherchant tranquillement. Mais je ne me fais pas trop d'illusion: beaucoup de structures préfèrent investir dans la jeunesse pas trop chère. Alors, je réfléchis de plus en plus à développer mon activité d'indépendant pour voir si je peux sauter le pas (voir point #0). Encore faut-il en avoir le courage !

#3
Mon utilisation de Twitter a sensiblement évolué : je poste de moins en moins de tweets et devient de plus en plus un lecteur passif des conversations des autres. C'est assez frustrant. Mais j'ai de moins en moins de choses à dire et toujours autant de choses à apprendre. C'est ainsi. N'hésitez pas à me suivre (@Zythom), vous êtes sur de ne pas voir votre TL floodée... Par contre, je vous préviens, je RT des tweets qui peuvent être vieux de la veille, voire de plusieurs jours ;-)

#4
Le blog en version anglaise/américaine se développe. Je remercie tous les traducteurs bénévoles pour leur travail. Il y a au moins cinq billets dans les tuyaux à paraître bientôt. Il ne me reste plus qu'à trouver un Maître Eolas américain qui me prendrait dans sa blogroll sous son aile...

#5
Le billet précédent, intitulé "je suis trop faible", a fait réagir beaucoup de monde, en commentaire ou par email. Je vous remercie tous ! J'espère ne pas avoir inconsciemment abusé du procédé rhétorique qu'on appelle chleuasme, mais vos messages d'encouragement m'ont fait du bien: vous êtes mon groupe de soutien :-)

#6
Côté "défis des potes", le prochain est une participation au marathon de Jersey dans 16 jours. Je cours un relais de 7,5 km dans une équipe de 5... Je déteste courir, j'ai mal partout depuis une semaine que je m’entraîne. Mais c'est toujours pour la bonne cause, pour lutter contre le crabe.

#7
Dans six mois se dérouleront les élections municipales. J'en parlerai peu sur ce blog, mais je postule pour repartir pour une nouvelle mandature de conseiller municipal. Et peut-être comme adjoint au maire cette fois. On verra bien, car contrairement à la dernière fois, il y aura une ou plusieurs listes face à nous. En tout cas, les coups bas ont déjà commencé avec des accusations mensongères dans la presse o_O. Welcome IRL.

#8
Côté pro, la rentrée des étudiants s'est bien passée. Les dégâts liés à l'incendie de la mi-août ont été réparés. J'ai fini mes cours et TD de présentation des systèmes informatiques et techniques. J'aime bien remettre pendant une semaine ou deux ma vieille casquette de professeur, mais je préfère quand même me concentrer sur la maintenance et le développement des systèmes de l'école.

#9
Les enfants grandissent et m'apportent joie, fierté et amour. J'en parlerai de moins en moins sur ce blog pour les laisser développer leur propre vie numérique et respecter leur vie privée. Un pseudo ne cache pas grand chose. Je verse quand même une petite larme en pensant à l'un de mes premiers billets, écrit en 2006, et qui expliquait pourquoi j'ouvrais ce blog. La petite fille de 12 ans dont je parlais alors est en étude de médecine maintenant...

#A
Je n'ai pas encore pu faire le saut en parachute que mes amis m'ont offert cet été pour mes 50 ans. J'ai dépensé tout l'argent pour profiter des vacances avec ma femme et mes enfants. On ne vit qu'une fois et maintenant la cigale mange des pâtes... Mais je ne désespère pas le faire en 2013. J'ai choisi de faire au moins le premier saut des six sauts prévus dans une PAC. Pour l'instant, je regarde les autres le faire en vidéo. Vivement que je puisse m'élancer, tenu à bout de bras par un instructeur !

#B
J'avance très doucement sur mon retour dans les réseaux de neurones. Je passe trop de temps avec mon fils sur Xbox360 sur les différents Call of Duty... Il me reste deux enfants à la maison, j'essaye d'en profiter au maximum sans les envahir. Après, il sera trop tard ! Et je pourrai toujours revenir sur mes rêves de chercheur dans cinq ans. Stay tuned.

Si vous avez cliqué sur tous les liens de ce billet, vous avez ma considération distinguée ;-)

--------------------------------------
Source photo JSBG : les animaux sautent aussi en parachute...


12 septembre 2013

Je suis trop faible

Je suis fasciné par son regard d'une infinie tristesse, malgré son sourire forcé. Le visage de cette petite fille est rempli, dévoré par ses deux grands yeux marrons. J'ai son visage sur des dizaines de photos, prises sous des angles différents. Elle regarde parfois l'objectif, parfois dans le vide. Le plus dur, c'est quand ses yeux plongent dans les miens.

Sur chaque photo d'elle, un sexe d'homme. Près de son visage, dans sa bouche ou dans ses mains. Sans être médecin, je lui donne cinq ou six ans. Je suis en pleine expertise judiciaire sur des photos pédopornographiques.

Je suis seul dans mon bureau, chez moi, porte fermée, avec interdiction donnée à mes enfants de me déranger. Je les entends passer près de ma fenêtre en riant. Il fait beau, c'est un beau week-end de printemps.

Nouvelle photo, toujours d'elle. Ses grand yeux m'obsèdent. Son petit corps nu semble si fragile qu'on a envie de la protéger, de traverser l'écran pour empêcher cet homme de l'approcher, de lui faire du mal, de la violer. Mais je suis impuissant à agir, je ne peux que regarder et prendre des notes pour mon rapport.

J'ai honte de ma faiblesse, de mes réactions, de ma sensiblerie. Tant de personnes travaillent dans des conditions difficiles: médecins, pompiers, gendarmes, policiers... Mais ils se soutiennent, se parlent, échangent, évacuent par des mots les horreurs qu'ils cotoient.

Moi, je suis seul. Je n'ai pas de formation pour gérer ce que je ressens, ce que je vois. Je suis un simple informaticien qui aide la justice. Je n'ai que ce blog.

Photo suivante. Cela fait maintenant trois heures que mon cerveau absorbe ces images, que je les inventorie. Je fais une pause, je ferme les yeux. Pourquoi est-ce que je n'arrive pas à contenir mes larmes ? Je suis un homme, je dois savoir gérer mes émotions. Je laisse la crise passer. Je suis un homme, rien de ce qui est humain, je crois, ne m'est étranger (Térence).   
Je suis un faible.

Je reprends mes investigations, un peu apathique. Rien ne m'oblige à passer autant de temps sur chaque photo. J'accélère la visualisation. D'autres filles, d'autres visages, d'autres âges, d'autres hommes, tant de positions.

Il est tard, la nuit est avancée. Je termine mon rapport, je rédige les annexes, grave les DVD. Pour faciliter la lecture du rapport papier par les OPJ, greffiers et magistrats, j'évite les illustrations, je les repousse en fin de rapport, en annexe.

J'ai choisi quelques photos parmi les plus marquantes.
J'ai choisi celles où cette enfant regarde l'appareil photo avec ses grands yeux tristes, avec dans la bouche ce sexe aussi grand que sa tête.

J'ai encore cette image dans la tête.
Il faut que j'arrive à gérer mes émotions.
Les autres experts y arrivent bien.
Je suis trop faible.

---------------------------------------
Source photo: chilloutpoint.com

03 septembre 2013

L'incendie

Samedi 17 août. C'est mon avant dernier jour de vacances et je suis en train de me faire un tour de rein déménager ma fille aînée à 200 km de chez moi. Il est midi et demi, je reçois un coup de fil du gardien de l'école: un incendie s'est déclaré dans les locaux...

Le téléphone a cette faculté de pouvoir vous faire voyager instantanément d'un point à un autre du globe. Me voici donc d'un seul coup au travail en train de gérer un cas d'urgence, avec dans les mains une boite de rangement d'étudiante en médecine pleine d'os de tailles diverses...

J'arrive à établir rapidement la chronologie: à 11h55 le disjoncteur général de l'établissement s'est enflammé, dans un local technique hors des locaux, ce qui a déclenché l'alarme incendie. La centrale du système de sécurité incendie a aussitôt envoyé un message au gardien de l'école et à la société de gardiennage. 11h56, le gardien constate un dégagement de fumée dans le local technique désigné par le système de sécurité incendie et appelle aussitôt les pompiers.

Quelques minutes plus tard, ceux-ci sont sur place et appellent les agents d'ERDF pour qu'ils sécurisent le local Très Haute Tension (15 000 v). L'incendie s'est entre temps éteint de lui-même. L'ensemble du quartier est privé d'électricité.

C'est à ce moment-là, vers 12h30, que le gardien m'appelle sur mon lieu de vacances pour rendre compte de l'incident. Nous sommes samedi, l'école doit ouvrir lundi ses portes aux étudiants, aux chercheurs et au personnel. Plus précisément, nous sommes samedi 17 août, c'est-à-dire en plein pont de la semaine du 15 août... La semaine où le moins de gens travaillent dans les entreprises en France. Bien bien bien.

Je suis responsable informatique ET technique, c'est-à-dire que j'ai en charge le bon fonctionnement technique des locaux et des appareils de l'établissement. Le bon fonctionnement, aujourd'hui, cela signifie également son alimentation correcte en électricité: pour les ordinateurs, pour les serveurs, pour les actifs réseaux, pour les imprimantes, pour les téléphones, pour la centrale de sécurité incendie, pour les portes coulissantes, pour les systèmes d'ouverture par badge... Bref, pour tout.

Mais à distance, je ne peux pas faire grand chose. Je demande donc au gardien de me tenir au courant de l'évolution des événements. Je raccroche. Une demi-heure se passe, il me rappelle: les agents d'ERDF ont isolé l'école dont les équipements électriques Très Haute Tension sont hors service et rétabli le courant pour le reste du quartier. A charge pour moi de les recontacter dès que les réparations seront effectuées, puisque le matériel incendié appartient à l'école qui bénéficie d'un tarif vert. Les pompiers sont partis, les agents d'ERDF également, l'école est sans électricité, le gardien est tout seul... Bien bien bien.

Premier bilan: il n'y a pas de blessé, l'incendie a fait des dégâts très localisés, l'école n'a pas d'électricité, le Plan de Continuité d'Activité de la salle serveurs a bien fonctionné: notre groupe électrogène a démarré dès la coupure de courant, alimentant ainsi les onduleurs qui maintiennent la salle serveurs et les accès internet sous tension. Le temps que la cuve de gazole se vide...

L'école a des liens très fort avec les collectivités locales: ville, communauté d’agglomération, conseil général, région... J'ai dans mon téléphone mobile plusieurs numéros de cellules d'urgence de ces entités. J'appelle un premier numéro, pas de réponse, un deuxième, pas de réponse, un troisième qui sonne, sonne, sonne dans le vide, et miracle, une personne décroche. Je suis à la cellule d'urgence du conseil général. J'explique mon cas à la personne, qui visiblement utilise un talkie-walkie (!). Là, très calmement, il m'explique qu'il dispose d'une liste de personnes à contacter et qu'il va les appeler. Je laisse mes coordonnées et je raccroche.

J'ai le coeur qui bat très fort.

Peu de gens s'en rendent compte, mais on demande souvent l'impossible aux services supports. Ma mission est de faire fonctionner l'école, quelles que soient les difficultés. Les étudiants comptent sur moi, les chercheurs comptent sur moi, les enseignants comptent sur moi, les personnels administratifs comptent sur moi... Mais pour l'instant, tout le monde est en vacances, et personne ne se doute du problème qui se pose à moi: comment alimenter l'école en électricité au plus vite, en cette fin de semaine du 15 août!

Quelques minutes après, le téléphone sonne. Un technicien du conseil général est sur place, avec son chef de service et constate les dégâts et le problème. Il me propose de contacter une entreprise qui dispose de GROS groupes électrogènes et de voir s'ils peuvent être disponibles pour lundi matin. Il me donne leurs coordonnées, ainsi que celles d'une entreprise de transport susceptible de pouvoir les livrer. Le cœur battant (et les mains dans les cartons de déménagement), j'appelle l'entreprise, qui répond, qui dispose de deux groupes électrogènes de fortes puissances et qui me les réserve. J'appelle l'entreprise de transport, qui répond et qui accepte de livrer les deux groupes. J'apprendrai ensuite que c'est le patron en personne et son fils qui se sont chargés de la livraison lundi 19 août, en pleine quinzaine de fermeture de l'entreprise...

J'envoie alors un SMS à mon chef pour lui résumer la situation et le tenir au courant des problèmes et des solutions mises en œuvre. J'ai conscience d'avoir de la chance.

J'ai passé un mauvais dimanche (mais meilleur que celui du gardien dans l'école sans électricité).

Lundi, le personnel et les étudiants découvraient une école sans électricité, et les vertus du rangement de bureau au retour de vacances. La salle serveurs fonctionnait toujours, alimenté par notre groupe électrogène de secours. Lundi, les deux groupes électrogènes étaient livrés, installés, raccordés et démarrés. Lundi soir, l'école disposait d'un des bienfaits du XXe siècle: l'électricité.

Tout le monde poussait un ouf de soulagement.
Sauf moi.

Combien de temps cela allait tenir?
Quelle est l'autonomie des cuves des groupes électrogènes?
Combien de temps pour effectuer les réparations du disjoncteur THT?
A quel prix?
Bref, la reprise était compliquée.

Le constructeur a été contacté pour savoir s'il disposait de pièces de rechange sur du matériel vieux de 20 ans. Réponse: non, mais j'ai du neuf si vous changez tout. Après avis d'ERDF qui impose une remise aux normes de tout le matériel en cas d'incident de ce type, la décision de tout changer a été prise. Rendez-vous a été pris avec le constructeur pour obtenir à prix raisonnable le matériel miraculeusement en stock (sinon temps d'attente = 12 semaines, usine fermée en août), et rendez-vous a été pris avec les différentes entreprises (livraison, démontage, installation, raccordement), dont ERDF qui a été exemplaire sur ce problème.

Deux jours et demi plus tard, l'un des deux groupes tombait en panne d'essence (à 2h30 du matin) suite à la panne d'une pompe de transfert du gazole. 1000 litres consommés en 2,5 jours, soit 400 litres par jour et par groupe, soit 800 litres de gazole par jour pour les deux groupes... Mon cœur et mon plan RSE en étaient malades.

Le dimanche 25 août, un imbécile stoppait l'un des groupes en appuyant sur l'arrêt "coup de poing", à 8h du matin...

Le lundi 26 août, un représentant des habitants du quartier venait me faire part du mécontentement du voisinage suite aux nuisances sonores des groupes électrogènes. Je rédige alors une lettre d'explication que je suis allé placarder dans les halls des immeubles alentour.

Lundi après-midi les travaux de démontage commençaient.

Le mercredi 28 août, toutes les entreprises devant intervenir sur les réparations du local technique THT avaient terminé. Le courant garanti EDF était rétabli, 11 jours après l'incendie.

Je profite de ce blog, même si j'écris ici sous pseudonyme, pour féliciter toutes les personnes d'astreinte, dans tous les services de France et de Navarre, dans les collectivités comme dans les entreprises privées, pour leur dévouement et leur efficacité. Et bravo aussi aux services supports en général!

Il reste maintenant aux assurances à intervenir, mais cela, c'est un autre problème.

Je me souviendrai de mon retour de vacances 2013.