22 janvier 2014

L'erreur et l'expertise judiciaire

La hantise de l'expert judiciaire est de commettre une erreur. Je cite souvent l'histoire du professeur Tardieu qui a probablement fait condamner nombre d'innocents. Et pourtant il ne s'était toujours prononcé qu'à coup -qu'il croyait- sûr.

Au delà des ignorances des futures avancées de la science, toujours en mouvement, l'expert judiciaire reste humain et est donc faillible à ce titre. Il peut commettre des erreurs et celles-ci peuvent avoir un impact considérable sur la suite du processus judiciaire.

Je suis tombé par hasard sur cette page de www.kitetoa.com où se trouvent deux rapports d'experts judiciaires qui vont illustrer mon propos.

L'affaire concerne un informaticien poursuivi pour contrefaçon. Le premier expert judiciaire intervenant dans cette affaire est contacté par un magistrat qui lui demande de venir étudier le dossier au palais et de répondre à plusieurs questions. La démarche est particulière puisque le magistrat ne demande pas à l'expert judiciaire de mener des investigations techniques sur les scellés (qui existent pourtant dans cette affaire), mais d'étudier un dossier papier et de donner son avis dessus. L'expert a accepté sa mission, et à mon avis, son erreur réside dans cette acceptation.

Extrait du rapport du 1er expert judiciaire:
Page 3
I) Lecture des éléments du dossier en la présence de Madame le Juge H.
Nous , Monsieur R., avons procédé à la consultation du dossier No du Parquet [42], no d'instruction [101], afin de répondre à la mission confiée.
Ensuite, pour chacune des questions posées, l'expert judiciaire commencera sa réponse par "A la lecture des faits exposés dans les éléments de la procédure nous pouvons répondre..."

Un deuxième expert judiciaire s'est penché, en appel semble-t-il, sur le travail de son confrère. Voici son analyse:

Extraits du rapport du 2e expert judiciaire:
Page 5
Les investigations judiciaires ont été confiées à l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC).

Au cours de ses investigations, l'OCLCTIC a placé sous scellé deux éléments techniques : le scellé numéro "UN" (cote D 74), qui correspond à la copie de l'espace d'hébergement alloué au site internet de "G.", et le scellé numéro "R-UN" (cote D 60), qui correspond au fichier "VGNaked.zip", téléchargé à partir du site internet "www.g.....net".

Une mission d'expertise technique a été confiée à Monsieur R., dont le rapport précise que la mission a été réalisée sur l'unique fondement de la "lecture des éléments du dossier en la présence de Madame le Juge H.".

Ce seul et unique fondement des travaux d'expertise est confirmé par la phrase : "A la lecture des faits exposés dans les éléments de la procédure", qui introduit chacun des trois paragraphes de conclusion du rapport de Monsieur R.

Sur ce seul et unique fondement des travaux d'expertise, le rapport de Monsieur R. conclut par l'affirmative sur l'ensemble des faits reprochés à Monsieur G., c'est-à-dire sur la modification et l'adaptation du logiciel ViGuard, sur la mise à disposition, gratuite ou onéreuse, d'un logiciel ViGuard créé à partir des éléments permettant la suppression ou la neutralisation du logiciel ViGuard.
[...]

Page 16
Le scellé numéro "UN", correspondant à la copie de l'espace d'hébergement alloué au site internet de "G.3, n'a fait l'objet d'aucune expertise technique.

Il est donc techniquement impossible de caractériser et de fonder les éléments techniques d'une infraction à propos de ce scellé.

Le scellé numéro "R-UN", correspondant au fichier "VGNaked.zip", téléchargé à partir du site internet "www.g.....net", n'a fait l'objet d'aucune expertise technique.

Il est donc techniquement impossible de caractériser et de fonder les éléments techniques d'une infraction à propos de ce scellé.

Pages 17-18
[...]
Ces éléments informatiques n'ont pas été analysés par l'expert désigné.
[...]
Cela signifie que les éléments techniques placés sous scellé par l'OCLCTIC, essentiels à la compréhension du dossier et indispensables à la qualification de l'infraction éventuelle, n'ont pas été analysés au cours de l'expertise technique réalisée par Monsieur R.

Cela signifie également que Monsieur R., au mépris des règles expertales fondamentales, a émis ses conclusions sans avoir procédé à aucune analyse des éléments techniques contenus au sein des scellés.

Comment, dans ces conditions, Monsieur R. peut-il affirmer et conclure être en présence "d'un cas avéré de modification et de réassemblage de tout ou partie de logiciel", sans qu'aucune analyse des éléments informatiques que sont le logiciel original et le logiciel modifié ait été réalisé, sans que soient décrits la méthode et les outils du désassemblage et du réassemblage, et sans que soient précisées la nature et l'ampleur des modifications ?

De même, comment, dans ces conditions, Monsieur R. peut-il affirmer et conclure à "la distribution gratuite de logiciels tirés du source du logiciel ViGuard", sans avoir eu accès au code source du logiciel ViGuard, sans avoir analysé la nature et le contenu du ou des fichiers mis en cause, et sans avoir vérifié et analysé les conditions de la mise à disposition du ou des fichiers mis en cause ?

Enfin, comment, dans ces conditions, Monsieur R. peut-il affirmer et conclure que Monsieur G. "diffuse bien tous les éléments, comportements, logiciels, extraits de code et informations permettant la neutralisation du produit ViGuard", sans présenter la liste et le contenu de ces éléments, comportements, logiciels, etc., sans avoir défini, ni comment, ni en quoi, le logiciel ViGuard pouvait être neutralisé par ces éléments, et sans avoir procédé à aucun test protocolaire démontrant que l'ensemble de ces éléments permet effectivement (condition nécessaire et suffisante) de neutraliser le logiciel ViGuard ?

Dans ces conditions, les conclusions du rapport d'expertise de Monsieur R. sont donc d'un point de vue technique totalement infondées et injustifiées, et par voie de conséquence, ne peuvent en aucun cas être retenues pour caractériser ou fonder une infraction.
[...]
La charge est dure et sans appel. Qui a dit que les experts se soutiennent les uns les autres... Remarquez au passage que l'analyse du deuxième expert suit rigoureusement les règles de déontologie des experts judiciaires: "l'expert qui remet une note ou des observations écrites sur les travaux d'un confrère, doit le faire dans une forme courtoise, à l'exclusion de toute critique blessante et inutile. Son avis ne peut comporter que des appréciations techniques et scientifiques".

Ce que je cherche à mettre en avant est qu'il est toujours possible de corriger l'erreur d'un expert judiciaire, à condition de le faire le plus tôt possible. Si l'expertise judiciaire est contradictoire, faites vous accompagner de votre propre expert (un expert peut mener une expertise privée à vos côtés et s'assurer que son confrère respecte les règles de l'art en matière d'expertise judiciaire). Parlez en avec votre avocat.

Lorsqu'un expert judiciaire adresse son pré-rapport aux parties, celles-ci peuvent émettre des remarques, en général sous forme de questions à l'expert. Ce sont "les dires à expert". Faites vous aider par un expert qui saura faire préciser un point ou lever un doute. Parlez en avec votre avocat.

Lorsque le rapport est définitif, les choses sont plus compliquées, mais l'affaire n'est pas encore jugée. Il vous est possible de demander un rapport d'expertise privée qui analyse de façon critique le rapport déposé. Parlez en avec votre avocat. Même chose si vous faites appel.

L'erreur est de croire que tout s'arrange tout seul et que les magistrats verront facilement les défauts éventuels d'un rapport d'expertise, surtout sur les points très techniques. L'erreur est de croire que la dépense est inutile, ou que la justice est gratuite. L'erreur est de se laisser faire sans mettre toutes les chances de son côté.

Pour l'expert, l'erreur sera de croire qu'il faut accepter toutes les missions demandées par le magistrat, sous prétexte que ce dernier est garant de la procédure.

Pour l'avocat, l'erreur est de penser qu'il pourra seul détecter les failles techniques d'un rapport d'expertise. Il est expert en droit, rarement en technique.

Bien entendu, je prêche pour ma paroisse...

21 janvier 2014

Des calculateurs quantiques naturels ?

À un niveau plus profond de la réalité existerait donc une physique de la conscience encore inconnue, englobant la théorie quantique orthodoxe, et dont nous ne pouvons pour le moment voir que l’ombre dans le connectome et les microtubules. Ainsi que l’existence de l’espace-temps ne devient palpable que lorsqu’on est confronté à des vitesses proches de celle de la lumière et à des champs de gravitation intenses, la physique de l’esprit ne deviendrait visible que face à des objets très complexes.
Extrait de "Des calculateurs quantiques dans le cerveau ?"

Je suis persuadé que le(s) mécanisme(s) qui manque(nt) à notre compréhension du fonctionnement du cerveau humain est à chercher du côté de la physique quantique. Ensuite, la route vers la réalisation d'une IA sera grande ouverte.

J'espère voir cela de mon vivant...


19 janvier 2014

Vivre la pédophilie sans passer à l'acte

On peut vivre avec la pédophilie sans passer à l'acte. Je m'y suis laissé prendre en écrivant mes fantasmes. Ensuite, il y a eu les photos d'enfants nus, puis je suis tombé dans l'engrenage de la pédopornographie. L'étape d'après, ç'aurait pu être le passage à l'acte. Heureusement, une barrière m'en a toujours empêché. Mon exutoire pour ne pas toucher d'enfants, c'était de leur voler des objets, un slip de bain à la plage par exemple. Jamais il ne m'est venu à l'esprit de toucher mon fils. Je l'habille tous les matins, je lui donne le bain, il est nu mais ça ne m'attire pas du tout.
Selon ma nouvelle psy, je n'ai pas le profil d'un homosexuel. J'ai eu un blocage dans mon développement sexuel et je suis resté fixé sur les petits garçons. Je suis en phase de sevrage. Dès que ça va mal, c'est la première chose qui me vient en tête. Grâce à l'association L'Ange bleu, j'ai rencontré d'autres pédophiles abstinents. J'ai eu l'impression d'être moins seul, car j'ai besoin de verbaliser, surtout pas d'enfouir ce qui s'est passé. Je me suis racheté un ordi. Je ne télécharge plus aucune image d'enfant. Mon PC reste clean."


Je pense que beaucoup de mes expertises judiciaires consacrées à l'analyse de disques durs à la recherche d'images pédopornographiques concernent des "pédophiles abstinents". Cela me semble un problème délicat.


17 janvier 2014

L'admin réseau, cet enquêteur inconnu

Nous venons de terminer une migration de notre infrastructure d'accès à internet. Nous sommes passés d'un réseau de collecte à un autre, réseaux de collecte nous permettant d'avoir accès à un point d'entrée du réseau RENATER, FAI officiel des établissements d'enseignement supérieur et de recherche.

Concrètement, pour moi, il s'agit d'acheter un appareil électronique qu'on appelle un routeur, le déballer et le visser dans une armoire pleine d'appareils similaires (en fait des switchs), attendre qu'un prestataire approprié vienne configurer cet appareil, et le jour J, au top conjoint donné par un informaticien de RENATER et du réseau de collecte, déconnecter le câble branché sur A pour le mettre sur B. Voilà, voilà.

Oui, mais non.

Jeudi, quand j'ai changé le câble de prises, l'accès à internet a été coupé, mais n'est pas revenu aussitôt le câble rebranché. 1000 personnes ont vu leurs cheveux se dresser sur leurs têtes: plus d'internet (en fait, je les ai rassuré aussitôt, plus d'accès à internet, merci pour lui).

Bah, j'étais prévenu, on ne change pas un chemin d'accès d'un claquement de câble dans une prise. Les plus studieux d'entre vous iront lire cette présentation du changement de routage de manière dynamique avec BGP. Disons pour résumer qu'un expert de ces problématiques s'occupe de tout au NOC (Network Operation Center) de RENATER.

Premier problème : l'ancien réseau de collecte A annonce la route vers mon établissement avec la priorité maximale. Difficile pour le nouveau réseau de collecte de faire mieux et de devenir prioritaire. La migration s'annonce difficile, surtout que la personne en charge de BGP chez A est... en congés aujourd'hui. Je fais finir par croire que A est fâché de ne pas avoir remporté l'appel d'offre et met quelques freins à la migration vers B.

Vendredi, le problème est réglé, je bascule tout l'établissement vers le nouveau réseau de collecte B. Le trafic passe dans les deux sens. Voilà, voilà.

Oui, mais non.

Le trafic ne passe pas. Retour arrière. Sauf que le réseau de collecte A voit d'un mauvais œil les alertes sur sa plate-forme de supervision "un coup je m'en vais", "un coup je reviens", surtout en cette période où plus de 40 établissements font plus ou moins la même chose. Ces choses là se règlent au téléphone, mais ce n'est pas le meilleur moment. Pourtant, je reste calme, cela ne sert à rien d'énerver tout le monde avec mon stress. Autre réunion téléphonique, avec RENATER et le nouveau réseau de collecte B cette fois. Tout le monde me dit que tout est ok de leurs côtés et que les problèmes viennent de chez moi.

C'est là que débute une véritable enquête.

Nous mettons en place en salle serveurs un tableau de papier sur lequel nous listons tous les problèmes rencontrés: perte partiel de l'accès internet (merci le loadbalancing avec une simple LiveBox), sites webs ok mais deux serveurs DNS sur quatre injoignables, accès aux services web internes aléatoires, envois des emails intermittent, etc.

La tension est palpable mais j'avais pris les devant en prévenant tous les clients que nous allions vivre une migration importante et qu'il risquait d'y avoir des perturbations dans La Force. Nous sommes concentrés sur la résolution du problème.

Tout est remis en cause. Et quand je dis tout, je veux vraiment dire tout: câbles, prises, virtualisation des passerelles, virtualisation des switchs, les VLAN, les switchs physiques, l'apparition d'une boucle sur le réseau réel, sur les réseaux virtuels. Les admins réseaux se sont transformés en enquêteurs suspicieux de tout ce qu'ils ont mis en place. Et pour chaque idée, un test est effectué.

Le vendredi soir arrive, la nuit et l'heure tardive n'y change rien. Je rentre chez moi le cœur gros. Le samedi est consacré à mon fils et son tournoi de ping-pong. Mais mon esprit est ailleurs : qu'est-ce que j'ai pu rater pour que notre migration se soit mal passée ?

Le week-end sera court : je décide de travailler tout le dimanche sur le problème. Me voilà donc seul dans cette maudite salle serveurs à faire différents tests. Je reboote les équipements les uns après les autres, y compris les serveurs de virtualisation après avoir migré les différentes machines virtuelles. Et soudain: EUREKA! Le port du switch sur lequel est branché la passerelle n'est pas correctement tagué. Je corrige la configuration, je branche la passerelle et j'ai enfin un accès internet correct. Je suis aux anges. Je préviens mon équipe par SMS, je tweete avec allégresse et finesse, et je rentre le cœur léger.

Mais lundi matin, en arrivant à mon bureau, patatra. Mon équipe me dit que rien ne marche. Nous reprenons toute notre enquête.

Elle durera 14h.
14h à refaire toutes les hypothèses, à reprendre toutes les pannes possibles, à passer des coups de fil pour s'entendre dire "non, non, le problème vient de votre côté". A un moment, nous nous sommes retrouvés avec tout notre réseau débranché, une passerelle physique construite de bric et de broc avec un PC et deux cartes réseaux et un live cédérom pfsense, le tout branché sur un switch HP récupéré et reconfiguré avec les VLAN adhoc pour l'occasion... A 23h, je lâche le coup, exténué. Je ferme mon bureau avec le moral au plus bas. Pour la petite histoire, je monte sur mon vélo pour rentrer, et je découvre que la roue arrière est déboîtée. Je cherche dans l'école des outils pour essayer de réparer. Mon moral descend encore d'un cran. Sale journée.

Deux points positifs quand même: j'ai réussi à remettre la roue de mon vélo (j'aurai réussi au moins à réparer une chose ce jour-là). Et j'ai réussi à reproduire le problème sur commande: lorsque la passerelle est branchée seule sur le nouveau routeur du nouveau réseau de collecte, j'arrive à surfer sur internet à partir d'un poste (le seul ayant cette machine comme passerelle). MAIS si j'ouvre plusieurs pages dans plusieurs onglets, au bout d'une dizaine d'onglets, la passerelle n'accède plus à internet. Si j'attends environ une minute, elle retrouve ses esprits et accède de nouveau à internet. A n'y rien comprendre.

J'ai très peu dormi cette nuit là. Cinq jours que nous sommes quasiment coupés d'internet. Quelques personnes disposent d'un accès via la LiveBox du PRA. Nos serveurs web principaux sont sains et sauf (hébergés à l'extérieur en prévision de la migration). Mais beaucoup des outils du SI sont en temps normal accessibles aux étudiants et à leurs parents, et leur inaccessibilité commence à peser sur l'organisation.

Une part importante de mon métier est de penser à des plans B. J'ai d'ailleurs développé un sens aigu du film d'horreur permanent. Seulement voilà, dans le cas présent, j'arrive au bout du bout des idées possibles de tests à imaginer, de pannes possibles, de vérifications à effectuer...

Mais la nuit porte conseil. Je me réveille avec en tête l'hypothèse que le nouveau routeur, bien que configuré correctement (configuration plusieurs fois vérifiée), PEUT présenter un dysfonctionnement en cas de sollicitation. C'est mon dernier espoir. Problème: je ne connais pas ce nouvel équipement qui se configure en ligne de commande, et la documentation fait 300 pages. Je décide de prendre l'option "appel à un ami".

Nous sommes mardi matin. Je téléphone à un expert du nouveau réseau de collecte pour lui demander de venir m'aider en salle serveurs. Après quelques négociations, il me propose de tout faire depuis son bureau, si je lui ouvre un accès ssh à notre passerelle. Pendant une heure, nous ferons des tests avec lui. Jusqu'au moment où je l'entends dire au téléphone: "tiens, ça me donne une idée". Cela faisait 24h que je n'avais pas entendu cette phrase.

Quelques minutes après notre problème était résolu.

Rien ne clochait de notre côté. Ni sur notre réseau, ni sur notre passerelle, ni sur nos DNS, ni sur notre routeur. Le problème venait de leur côté à EUX. Le port sur lequel est branché la fibre optique venant de notre routeur était auparavant utilisé pour gérer des échanges entre une adresse IP unique et une adresse IP unique (une connexion entre serveurs proxys appairés). Il avait été configuré pour résister à une attaque DDOS, c'est-à-dire qu'il refusait de fonctionner s'il détectait un comportement anormal. Or, son branchement sur notre routeur a entraîné une discussion entre l'IP de notre routeur et un grand nombre d'adresses IP, ce qui a été détecté comme une anomalie, et donc une mise "OFF" pendant une minute.

Cela explique que dimanche, alors que j'étais seul à surfer, et que je n'avais pas pensé à ouvrir 20 onglets dans mon navigateur, tout fonctionnait. Mais lundi, dès que le personnel et les étudiants ont commencé à vouloir surfer, le système se coupait "quasiment" en permanence.

L'enquête est terminée. La fin a été comme souvent heureuse, grâce à l'entraide des différents admins réseaux, même si le réflexe initial de chacun est d'avoir confiance en SON système et de rejeter la faute sur le système de l'autre.

La morale est sauve: celui par qui le problème est arrivé, est celui qui l'a résolu. Je lui ai promis de boire ensemble une bouteille de champagne. L'erreur de configuration était subtile, mais sa perspicacité lui a permis de la débusquer.

Et grâce à lui, nous avons révisé en profondeur nos configurations...

--------------------
Crédit images darkroastedblend.com

Vie privée : retour à l'envoyeur

"L’affaire Snowden a fait prendre conscience au monde connecté dans lequel nous évoluons que nos vies étaient désormais des livres ouverts pour les services secrets et que la France n’a rien à envier en la matière à la NSA : surveillance des réseaux, des échanges de mail, pénétration des ordinateurs, exploitation des images de vidéosurveillance, etc. On peut sans crainte d’être démenti affirmer que les moyens de l’Etat sont sans commune mesure avec ceux de Closer. Alors, entendre le Président de la République, qui a donné son approbation à ces programmes de surveillance qui n’épargnent personne, crier à la violation de sa vie privée est, à tout le moins, d’une rare hypocrisie. Je trouve cela réjouissant et un juste retour à l’envoyeur."


 

08 janvier 2014

Le petit blogueur et l'ANSSI

En discutant avec les personnes du stand de l'ANSSI aux JRES2013, je me suis rendu compte que mon billet intitulé "L'ANSSI et le test Google" avait fait grincer quelques dents... Cela m'a désolé car ce n'était vraiment pas le but. En relisant le billet, je me suis dit que je n'avais pas été très clair et que l'autodérision dont j'avais essayé de faire preuve n'était pas bien passé et que n'était resté que le dénigrement d'un processus de recrutement.

Voici donc quelques points que j'aimerais clarifier:

L'ANSSI, Agence Nationale de la Sécurité des Systèmes d'Information, est une structure gouvernementale étatique chargée d'assurer la sécurité et la défense des systèmes d'information de l'état et des sociétés stratégiques françaises. Vous trouverez tous les détails de son fonctionnement et de son histoire sur son site, ou sur la page Wikipédia qui lui est consacrée.

N'étant ni spécialiste de la sécurité, ni DSI dans un établissement sensible ou stratégique, je n'ai entendu parlé de l'ANSSI que lorsque j'ai été invité au SSTIC 2012 (où je me suis fait déchirer mon blog, merci de me le rappeler..) pour parler de l'activité d'expert judiciaire.

J'ai alors découvert l'existence de l'ANSSI, son mode de fonctionnement et pu discuter avec des personnes passionnantes, toutes très compétentes dans leur spécialité. Pour dire les choses autrement, l'ANSSI regroupe un nombre impressionnant des spécialistes de la sécurité informatique, et est la seule structure française à recruter de manière importante dans ce domaine.

C'est pourquoi, j'ai voulu voir si un profil comme le mien pouvait les intéresser, sachant que MOI j'étais très intéressé par leur profil. Hélas, mes compétences ne correspondaient pas au poste pour lequel j'ai postulé. J'ai donc logiquement pris une veste. Fin de l'histoire.

Le billet "L'ANSSI et le test Google" raconte tout cela, mais avec comme sujet principal une moquerie de ma part sur les tests mesurant les compétences. Il faut dire que je travaille depuis 25 ans dans des établissements d'enseignement supérieur et que les méthodes et pratiques d'enseignement et d'éducation (ce que l'on appelle "la pédagogie") sont au cœur de mes préoccupations. Et comme tout enseignant, j'ai des idées bien arrêtées sur ce sujet. Je ne vais pas réécrire le billet...

Mais alors que je ne faisais qu'écrire une moquerie dans un billet de petit blog, j'oubliais un point très important: les employés de l'ANSSI sont tenus à la plus grande discrétion. Ils ne disposent pas d'une liberté qui m'est chère: la liberté d'expression. Ou plutôt, ils en disposent, mais avec un fort encouragement à la discrétion. C'est comme cela. Je rappelle que l'ANSSI est rattachée au secrétaire général de la défense et de la sécurité nationale, et que si chacun à l'ANSSI pouvait raconter sa vie dans un blog, tout cela ne ferait pas très sérieux (mais serait certainement très intéressant)...

[Certains de mes confrères experts judiciaires me rappellent parfois que mon blog "ne fait pas très sérieux", voire "est la honte de l'expertise judiciaire", ou encore "mais qui est le CON qui tient ce blog?". Seulement voilà, c'est mon petit coin d'internet, ma manière de profiter de cet espace de liberté. Je n'oblige personne à me lire et je rappelle qu'on est toujours le CON de quelqu'un. Je souffre du fait que les ordres des avocats ont encouragé ceux-ci à ouvrir des blogs, mais que les compagnies d'experts n'ont rien fait sur le sujet. C'est tellement XXème siècle...]

Ce n'est jamais intelligent de lancer une pique (une pichenette ?) contre des personnes qui ne peuvent pas répondre. Je travaille suffisamment avec les gendarmes pour comprendre cela.

Je voudrais donc m'adresser aux personnes de l'ANSSI qui ont trouvé mon billet désagréable et faire remonter un commentaire que j'avais écrit sous le billet: "oui, je suis déçu car j'aurais bien voulu travailler avec les roxors de l'ANSSI". 

Ma consolation : je suis sur la photo présentant le directeur général de l'ANSSI sur la page Wikipédia d'icelle ;-)

Et pour les autres, souvenez vous : tout s'arrange autour d'une binouze, surtout au SSTIC.

07 janvier 2014

Update to 2014



Chère lectrice, cher lecteur,


J'espère que la mise à jour vers la v.2014 s'est bien passée et que vous ne regretterez pas la v.2013. Je vous souhaite de profiter de vos proches, de réaliser vos rêves et de contribuer à un monde meilleur !

Bonne release 2014.

Zythom


02 janvier 2014

Conséquences des agissements de la NSA sur les expertises judiciaires

Depuis plusieurs mois, les informations révélées par Edward Snowden secouent l'univers de la sécurité informatique. Car, s'il s'agit du plus grand scandale de surveillance électronique occidental éclatant au grand jour, il s'agit aussi du plus grand fiasco de la sécurité informatique de tous les temps.

Avec tous les spécialistes pointus en sécurité informatique, tous les audits effectués sur les différents matériels, toutes les alertes récurrentes sur les espions chinois et russes, personne (parmi les gens pouvant parler librement) n'a rien remarqué, personne n'a su où regarder, personne ne s'est rendu compte de la collecte massive d'informations avant qu'Edward Snowden ne livre les documents de la NSA.

Bien sur, certains journalistes, comme ceux travaillant chez Reflets, avaient commencé à lancer des alertes en recoupant des informations et des données techniques, mais la prise de conscience collective a été plus que tardive.

Quand je lis chez Korben, dans ce billet, que les Etats-Unis disposent depuis 1997 d'un service d'informaticiens offensifs (TAO) qui se sont infiltrés dans 258 systèmes informatiques de 89 pays, ma première pensée est pour toutes les expertises judiciaires que j'ai menée depuis, avec une seule question à l'esprit: ai-je pu affirmer dans l'un de mes rapports d'expertise judiciaire quelque chose qui pourrait avoir été le fait d'une action d'une telle équipe ? Ai-je pu charger un innocent d'un élément qu'il aurait pu ne pas commettre ? Ai-je moi-même été piégé dans mes investigations, quand tant de personnes se sont faites roulées ?

J'ai alors relu tous les rapports que j'ai rédigé depuis 1999, avec en tête l'action de la NSA, l'existence de cette équipe de hackers d'état et la guerre électronique en cours, avec l'ampleur qu'on lui connaît maintenant. J'ai vérifié mes conclusions et j'ai pu constater avec soulagement que j'avais toujours pris les précautions élémentaires dans l'analyse des preuves sur lesquelles j'ai eu à travailler. En partie à cause grâce à l’existence de longue date des malwares et virus toujours plus sophistiqués qui obligent l'expert judiciaire à toujours émettre des réserves quand on lui demande, par exemple, si tel ou tel compte informatique a servi au téléchargement d'images pédopornographiques, puisqu'un tel téléchargement peut être effectué, par exemple, par un malware à l'insu de l'utilisateur de l'ordinateur.

Oui, mais ai-je été assez pédagogique dans mes avertissements ? Ai-je moi-même réellement cru que je pouvais me trouver face à un ordinateur sciemment piraté ? N'ai-je pas haussé les épaules en me disant qu'il était peu probable que l'ordinateur de M. Toutlemonde que j'avais sous scellé devant moi ai été la cible d'un groupe de hackers chinois, russes ou même américains ou français ?

J'espère avoir été clair dans mes rapports sur l'existence de ces risques.

Pourtant, je ressens un malaise. A chaque fois que j'ai été confronté à un ordinateur infecté de malware et/ou de virus, je l'ai signalé noir sur blanc dans mon rapport, en indiquant la nature des malwares trouvés. Mais qu'en est-il des backdoors logicielles inconnues à l'époque et que l'on découvre aujourd'hui ? Qu'en est-il des logiciels implantés puis effacés correctement, avec nettoyage parfait des traces ? Je ne peux être certain de rien. Je me sens comme le professeur Tardieu.

Oh, certes, j'ai toujours été scientifique dans mes approches du problème qui m'était présenté. J'ai été factuel, méticuleux et consciencieux. Je n'ai pas écrit "M. Truc a stocké des images pédopornographiques sur son ordinateur", mais "Je constate la présence d'images pédopornographiques sur l'ordinateur appartenant à M. Truc". J'ai toujours indiqué que les téléchargements effectués avec le compte informatique de M. Truc pouvaient être le fait d'une autre personne utilisant son compte, voire d'un logiciel agissant à l'insu de M. Truc.

Maintenant que tous les mois des routeurs montrent leurs faiblesses et qu'il est clair que tous les pays espionnent tous les citoyens de la planète, que les forces de l'ordre mènent des actions hors du contrôle de la justice de leur pays, il est facile de critiquer la naïveté des informaticiens et plus globalement la naïveté des citoyens (et de leurs élus).

Mon problème est d'expliquer aux magistrats, aux avocats et aux policiers qu'un ordinateur est devenu une passoire, que le réseau est devenu une passoire, que les sites web sont devenus des passoires... Il va falloir vivre dans ce monde, mais avant que tous ne comprennent que les preuves numériques sont de moins en moins fiables, des innocents risquent d'être poursuivis et condamnés.

C'est aux experts judiciaires en informatique d'en faire prendre conscience rapidement aux acteurs de la justice.

Quant à la vie privée, je ferai parler la NSA à travers la bouche du Colonel Nathan R. Jessup (Jack Nicholson dans "Des hommes d'honneur"), en modifiant à peine quelques paroles de la scène d'anthologie du film:
Nous vivons dans un monde qui a des murs, et ces murs doivent être gardés par des hommes en arme. Qui va s'en charger ? Vous ?
Je suis investi de responsabilités qui sont pour vous totalement insondables. Vous pleurez Santiago votre vie privée et vous maudissez les Marines la NSA.
C'est un luxe que vous vous offrez. Vous avez le luxe d'ignorer ce que moi je sais trop bien. La mort de Santiago de la vie privée, bien que tragique, a probablement sauvé des vies. Et mon existence, bien que grotesque et incompréhensible pour vous, sauve des vies.
Vous ne voulez pas la vérité parce qu'au tréfonds de votre vie frileuse de tout petit bourgeois vous ME voulez sur ce mur, vous avez besoin de moi sur ce mur.
Notre devise c'est "Honneur Code Loyauté". Pour nous ces mots sont la poutre maîtresse d'une vie passée à défendre des bastions. Chez vous ces mots finissent en gag.
Je n'ai ni le temps ni le désir de m'expliquer devant un homme qui peut se lever et dormir sous la couverture d'une liberté que moi je protège et qui critiquera après coup ma façon de la protéger.
J'aurai préféré que vous me disiez merci et que vous passiez votre chemin ou alors je vous suggère de prendre une arme et de vous mettre en sentinelle postée.

Colonel Nathan R. Jessup (Jack Nicholson)
La vie privée est morte depuis longtemps, et je crains que le Colonel Nathan R. Jessup n'ait finalement gagné, contrairement à ce qu'il se passe dans le film. Le seul moyen de lutter contre lui est le chiffrement à tout va, de gré à gré.

Mais j'attends toujours de tomber sur un disque dur chiffré par M. Toutlemonde, disque placé dans un ordinateur équipé d'un système d'exploitation sécurisé, ordinateur branché sur un réseau chiffré, sur et décentralisé, réseau où se trouveront des serveurs respectueux de la vie privée, et reliant des utilisateurs attentifs au respect de leurs données personnelles.

Ce jour là, je vous promets d'ouvrir une bouteille et de trinquer à la protection de la vie privée, et cela même si cette protection complexifie (un peu) la lutte contre les activités criminelles de quelques uns.

Je sens que je ne suis pas prêt de me saouler sur ce coup là...

Stats 2013

Parmi les vices du blogueur, il y a la consultation des stats... Je n'y échappe pas et, régulièrement, je regarde, avec une certaine fascination je vous l'accorde, les informations que me retourne mon compte Google Analytics.

Même si je sais que plusieurs d'entre vous surfent derrière des proxies, ou utilisent le réseau Tor et ses routeurs en couche, ou encore différents VPN avec plusieurs adresses IP, globalement Google Analytics me donne une idée approximative du nombre de personnes qui viennent sur ce blog.

Pour l'année 2013, le blog a reçu 149 485 visites, contre 188 572 en 2012 et 135 351 en 2011. Le nombre de billets variant d'une année sur l'autre, le nombre de visites divisée par le nombre de billets me semble être l'indicateur le plus pertinent:
2013:  149 485 visites pour 58 billets, soit 2 577 visites par billet
2012:  188 572 visites pour 79 billets, soit 2 387 visites par billet
2011:  135 351 visites pour 50 billets, soit 2 707 visites par billet
2010:  126 040 visites pour 65 billets, soit 1 939 visites par billet
2009:  103 767 visites pour 113 billets, soit 918 visites par billet.

Début 2012, dans le billet "Stats 2011", j'avais choisi le nombre de visiteurs uniques divisé par le nombre de billets, ce qui m’apparaît maintenant moins pertinent.

En 2013, vos adresses IP indiquent une provenance de 140 pays, ce qui ne lasse pas de m'étonner et me permet de voyager virtuellement dans le monde entier ou presque.

Vous avez été 46% à me lire sous Firefox, 28% sous Chrome, 9% sous Safari et 8% sous IE... A noter que 2 visites ont été faites avec un navigateur tagué "Nintendo 3DS browser" :-)

Côté systèmes d'exploitation, vous êtes 63% sous Windows, 14% sous GNU/Linux, 10% sous Mac, 7% sous iOS et 6% sous Android. Là aussi, dans les curiosités, je note le passage d'une visite taguée sous BeOS et d'une autre sous Xbox...

Pour les définitions d'écran, c'est le grand bazar avec 401 définitions différentes, merci les mobiles. 4 635 visiteurs utilisent un écran 768 x 1024 et 4 291 un écran 320 x 480. Les opticiens ont un bel avenir devant eux. Je note 89 visites avec  l’inénarrable 0 x 0 et une visite avec un 40 823 x 1024... Toutes les stats ne sont pas bonnes à prendre.

Les webmasters le savent, on peut souvent connaître la source du clic qui vous amène ici, c'est-à-dire la page qui précède celle où vous lisez ce billet. En 2013:
- 55 015 sont venus directement (via un favori ou une saisie directe de l'URL)
- 33 392 via une recherche Google (le plus souvent en tapant "zythom")
- 17 844 via Twitter
- 2 959 via Netvibes
- 2 802 via Feedly
- 854 via Facebook

Le réseau social de la blogosphère fonctionne toujours, avec
- 10 768 visites via maitre-eolas.fr
- 2 395 via boulesdefourrure.fr
- 2 348 via sebsauvage.net
- 848 via Ma petite parcelle d'Internet (Sid, si tu me lis...)
- 801 via Korben.info
- 599 via La plume d'Aliocha
- 264 via maitremo.fr

Que mille pétales de roses parfument leurs claviers...

Grâce aux moteurs de recherche, je sais que vous écrivez mon pseudo majoritairement "zythom", mais aussi zithom, zethom, zython, zyhtom ou zhytom :-)

Vous êtes 47 inscrits à la liste de diffusion par email des billets du blog, la plupart s'étant inscrit en 2013.

En 2013, le pic de visite a eu lieu le mercredi 3 juillet avec 2 606 visites, suivi du jeudi 12 septembre avec 2 594 visites. A chaque fois il s'agit d'un tweet de Maître Eolas ! Que mille serveuses irlandaises nues lui apportent une pinte de Guinness (vidéo)...

Les billets les plus lus sur l'année 2013 ont été Cracker les mots de passe (8418 visites), Je suis trop faible (5955) et In memoriam (5835). Le billet le plus lu du blog, depuis sa création en 2006 est Le plein de pr0n du 18 avril 2012 avec 16 404 visites à ce jour, suivi de GPS avec 13 752...

Quelles sont les leçons que je tire de ces statistiques: aucune. Je continue à écrire pour moi, parce ce que cela me fait du bien, surtout quand j'ai besoin de m'exprimer et que je ne veux pas faire souffrir mon entourage.

Je terminerai ce billet avec la même citation qu'en 2012:
"Les statistiques, c'est comme le bikini. Ce qu'elles révèlent est suggestif. Ce qu'elles dissimulent est essentiel." (Aaron Levenstein)

Allons toujours à l'essentiel !