23 décembre 2015

Les populations légales

Je parle assez peu sur ce blog de mon activité de conseiller municipal. Pourtant, ce qu'elle me permet de découvrir ne lasse pas de me surprendre, tant du point de vue humain que du point de vue technique.

Aujourd'hui, en préparant le prochain conseil municipal, j'ai découvert la notion de populations légales. Je vous propose, sans rire, de devenir expert en calcul de populations légales.

Qu'est-ce que cela peut bien être que cette notion et à quoi sert-elle ?

Je ne suis pas juriste, mais j'ai cru comprendre que le nombre d'habitants d'une commune a son importance dans un grand nombre de domaines, comme par exemple la détermination de l'assiette de certains impôts, ou l'organisation des listes électorales.

Et naïvement, je pensais que le nombre d'habitants d'une commune, et bien c'est le nombre de personnes qui habitent la commune. FAUX.

Le terme générique de « populations légales » regroupe pour chaque commune :
1) sa population municipale
2) sa population comptée à part
3) sa population totale, qui est la somme des deux précédentes.
(j'aime bien ce genre de présentation ;-)

C'est comme en algorithmique : nous avons décomposé le problème en sous-problèmes supposés plus simples à résoudre : la population totale d'une commune est la somme de sa population municipale et de sa population comptée à part.

Bien.
Accrochez vous.

La population municipale :

Voyons maintenant comment se compte la population municipale.

La population municipale est la somme de 4 catégories de personnes :
1) Celles ayant leur résidence habituelle sur la commune
2) Celles détenues dans les prisons situées sur la commune
3) Celles sans abri recensées sur la commune
4) Celles résidant habituellement dans des habitations mobiles, recensées sur la commune.

Attention, il y a un piège : la "résidence habituelle" indiquée au point n°1 est à préciser ainsi :
a) si la personne est mineure et réside ailleurs du fait de ses études, la résidence habituelle est la résidence de sa famille.
b) si la personne réside dans l'une des communautés suivantes : établissement de santé, maison de retraite, foyer social ou assimilé, communauté religieuse, caserne, quartier, base ou camp militaire, la résidence habituelle est la communauté.
c) si la personne est majeure et réside dans une communauté appartenant à la catégorie "établissement hébergeant des élèves ou des étudiants", la résidence habituelle est la communauté.
d) si la personne est majeure MAIS que du fait de ses études elle réside hors de la résidence familiale ET hors communauté, la résidence habituelle est son logement.
e) si la personne est mariée (ou en concubinage ou PACSé) et réside pour des raisons professionnelles hors de la résidence familiale ET hors communauté, la résidence habituelle est sa résidence familiale.
f) si la personne ne se trouve dans aucun des cas précédent, la résidence habituelle est la résidence dans laquelle elle réside le plus souvent.

Vous l'avez remarqué, dans les cas a) et e) la résidence habituelle n'est pas celle où la personne réside le plus souvent...

Attention, il y a encore un piège : dans le cas a), les élèves internes mineurs recensés dans un établissement scolaire sont comptés dans la population municipale de la commune de leur résidence familiale ET dans la population comptée à part (voir plus loin) de la commune de leur établissement scolaire. Ils seront donc comptés DEUX fois...

J'adore.

Je prends un cachet d'aspirine, naïf que j'étais à vouloir compter les gens de ma commune...

L'INSEE m'explique que la population des ménages est calculée en ramenant les résultats de la collecte en 2013. Il est bien écrit "en 2013", pas "de 2013". Pour ramener les résultats de la collecte "en 2013", on utilise la tendance observée sur la commune entre la dernière population légale au 1er janvier 2012 et l'enquête de recensement de 2014.

Et, je ne plaisante pas, le paragraphe se termine par : "et on ajoute ensuite la population recensée dans les hôtels".

Concernant la population des habitations mobiles terrestres (pourquoi "terrestres", vous allez le comprendre au paragraphe qui suit) et les personnes sans abri, le chiffre est maintenu constant entre deux enquêtes de recensement, pendant cinq ans (pour les communes de moins de 10 000 habitants, le recensement se fait tous les cinq ans).

Enfin, ne pas oublier de prendre en compte les mariniers et les personnes vivant sur les bateaux de ces derniers (qui ont, eux, été recensés en 2011) : ils sont comptabilisés dans la commune dans laquelle ils ont déclaré avoir une résidence.

La population comptée à part :

La population comptée à part de la commune comprend les personnes recensées sur d'autres communes et qui ont conservé une résidence sur la commune.

Pour être plus clair, elle comprend :
1) Les personnes se trouvant dans la situation décrite au a), qui résident du fait de leurs études sur le territoire de la commune et qui ont leur résidence habituelle située dans une autre commune.
2) Les personnes se trouvant dans la situation décrite au b), dont la résidence familiale est située sur le territoire de la commune et qui ont leur résidence habituelle située dans une autre commune.
3) Les personnes majeures âgées de moins de 25 ans qui se trouvent dans la situation décrite au c), dont la résidence familiale se trouve sur le territoire de la commune et qui ont leur résidence habituelle située dans une autre commune.
4) Les personnes majeures âgées de moins de 25 ans qui se trouvent dans la situation décrite au d), dont la résidence de la famille se trouve sur le territoire de la commune et qui ont leur résidence habituelle située dans une autre commune.
5) Les personnes sans domicile fixe rattachées à la commune et non recensées sur le territoire de la commune.

Pour ce dernier point, il semble qu'il soit fait usage des listes des préfectures.

Calcul de la population totale de ma commune :

Si vous êtes encore avec moi, voici ce que tout cela donne dans ma commune :

En 2014, le recensement (qui se fait une fois tous les cinq ans car ma commune a moins de 10 000 habitants) nous dit :
- ménages : 5412
- communautés : 380
- sans abri ou résidant dans une habitation mobile terrestre : 9
Total = 5801

Population municipale ramenée au 1er janvier 2013 :
- ménages : 5282 (normal, la population de la commune augmente)
- communautés : 380
- sans abri ou résidant dans une habitation mobile terrestre : 9
- mariniers : 0 (pas de cours d'eau à l'horizon)
Total = 5671

Population comptée à part au 1er janvier 2013 : 142

Population totale au 1er janvier 2013
(chiffre qui sera pris en compte à partir du 1er janvier 2016) :
5671 + 142 =
5813

Le premier qui me dit en conseil municipal que nous sommes 6000, je lui explique gentiment : NON, NOUS SOMMES 5813, RESPECTEZ UN PEU LE TRAVAIL DE CEUX QUI SE DÉCARCASSENT A COMPTER.

Désolé.

Je voudrais adresser tous mes remerciements et encouragements à l'Insee dont la devise est "mesurer pour comprendre".

Note pour les juristes : ce billet contient toutes les approximations et erreurs habituellement rencontrées chez les novices du droit. Je conjure les étudiants en droit révisant ce type de problème de se référer directement aux textes originaux, et en particulier au décret n°2003-485 du 5 juin 2003 relatif au recensement de la population, publié au Journal Officiel n°132 du 8 juin 2003 et certainement révisé depuis.

Le prochain billet de la rubrique "vie publique" sera consacré à la préparation budgétaire et à ses différentes rubriques. /o\





16 décembre 2015

Responsable informatique et technique

Mes amis me demandent rarement des précisions sur mon métier, et ça me chagrine de ne pas raconter ce que je fais. Je profite donc de mon blog pour vous décrire mes deux premières journées de la semaine, et montrer ainsi pourquoi j'aime tant mon métier.

Je suis responsable informatique et technique dans une grande école d'ingénieurs privée généraliste (et dynamique). J'y suis responsable de tous les aspects techniques, non seulement informatiques (actifs réseaux, serveurs, logiciels, achats, maintenance, sécurité, routeurs, VLAN, virtualisation, ERP, sauvegardes, PCA, PRA...) mais aussi techniques (hygiène, sécurité des biens et des personnes, électricité, chauffage, contrôle d'accès, espaces verts, reprographie, vidéoprojection, sonorisation, sécurité incendie, etc.).

Avec mon équipe de 6 techniciens (compétents), je supervise la résolution de tous les problèmes (et si possible leur anticipation). Il y a 1000 étudiants et 120 salariés chaque jour sur les deux campus de l'école.

Lundi.
J'arrive déjà fatigué car le week-end a été bien rempli, avec la cérémonie de remise des diplômes qui a eu lieu samedi (grosse journée pour moi : 8h - 23h sans pause déjeuner) et la tenue du bureau de vote le dimanche (8h - 10h et 16h - 19h).
J'arrive au travail comme d'habitude à 9h en vélo. La météo est à la pluie, j'arrive humide.
Premier problème : j'avais cours à 8h30, alors que j'avais noté sur mon agenda que mes premiers cours commençaient à 9h30. La boulette...
Je file en salle, je présente mes excuses aux étudiants du Mastère Spécialisé et je commence mon cours. Les étudiants sont réactifs et les échanges intéressants. Je suis joie.
11h30, j'enchaîne avec un entretien avec l'un de mes techniciens pour faire le point sur les tâches en cours (je fais un entretien chaque semaine avec chaque technicien).
12h je me plonge dans mes dossiers, factures, bons de commande, etc. A 14h, j'émerge de mes emails fin prêt pour le comité de direction : 4h de réunion mensuelle de pilotage de l'école, c'est LA réunion importante où tout se décide.
A 18h, je m'échappe de l'école (toujours en vélo, et toujours sous la pluie) pour une réunion municipale consacrée à la voirie.
20h, je profite des enfants et de mon épouse autour d'un repas familial. Les devoirs sont vérifiés, les douches aussi. Il reste deux ados à la maison, et ils demandent tout mon amour et toute mon attention. Je prends par SMS des news de l'aînée qui est en plein partiels dans sa 3e année de médecine.
21h, je réponds aux emails de mon activité d'expertise. Un avocat souhaite que j'intervienne sur une assistance à huissier de justice.
Un petit coup d’œil à Twitter (1h) puis je m'amuse avec mon nouveau jouet TensorFlow.

Mardi.
Cette fois, j'ai bien vérifié, je n'ai rien avant 9h30. J'arrive avec mon vélo à 9h. Je rends visite de manière informelle à mes équipes pour voir les différents problèmes en cours de traitement. Mes techniciens sont efficients.
Coup de fil pour un problème de vidéoprojecteur dans un amphi. Le technicien spécialiste étant en formation, je prends le problème à ma charge : l'écran est tout jaune. J'essaye avec un ordinateur portable, même problème. Ce n'est donc pas un problème informatique, mais probablement un problème de câble. Je contacte mon installateur qui me promet une intervention dans la journée. Je préviens la direction des études que l'amphithéâtre sera indisponible sur un créneau de cours pendant l'intervention.
Email de la scolarité pour me signaler un problème d'impression à la reprographie. C'est important car il s'agit des sujets d'examen pour jeudi. Je file voir de quoi il retourne. Un problème de communication vite réglé. Ouf.
10h, j'ai rendez-vous pour rendre les deux voitures que l'école loue pendant quatre ans. Le contrat arrivant à échéance, j'ai négocié avec le garage pendant plusieurs semaines pour son renouvellement et le choix des options sur les nouveaux véhicules. Je dois les récupérer après avoir rendu les anciens. Me voilà parti avec un membre de mon équipe et tous les papiers.
11h30, nous avons enfin réussi à nous extraire des explications du responsable de la remise des voitures qui voulait à tout prix rentrer dans le détail de fonctionnement des véhicules. Je sais maintenant regonfler un pneu avec le compresseur qui remplace la roue de secours, et où se trouve le réservoir à additif pour le diesel...
12h, je trie mes emails et mes dossiers urgents. Le téléphone sonne toutes les 10mn : un fournisseur veut que je change de téléphonie, un enseignant me parle des nouveaux TBI, le contrat Matlab arrive bientôt à terme, la borne du parking a un défaut de fonctionnement... J'ai pris l'habitude depuis 20 ans de ne pas manger le midi pour traiter tous les problèmes et assurer l'astreinte de la pause méridienne.
A 14h30, nouvel entretien en tête à tête avec un autre membre de mon équipe pour traiter les problèmes et les tâches en cours.
14h50, appel spécial SST : un étudiant a fait un malaise. J'interviens immédiatement, et sur place je trouve l'étudiant allongé, respiration irrégulière et yeux un peu révulsés. Je lui prends la main, demande s'il m'entend et peut me serrer la main. Il réagit. Je le mets en PLS et appelle aussitôt les pompiers. Nous sommes trois SST à gérer le problème et nous travaillons efficacement en équipe : gestion des affaires de l'étudiant, création d'une zone d'intimité, couverture en attendant les secours, surveillance de la respiration, accueil des pompiers. Ils arrivent rapidement, et évacuent l'étudiant vers l'hôpital (l'étudiant sera de retour le lendemain sans séquelle).
15h15, le nouveau vigile que j'ai recruté pour l'opération "vigipirate - alerte attentat" toujours en vigueur me rappelle que la signalétique "visiteur" n'a pas été remise en place depuis la remise des diplômes de samedi. J'imprime les feuilles et les mets dans les panneaux adhoc. Problème réglé.
15h30, réunion "administration informatique" avec deux de mes informaticiens. Nous faisons notre point hebdomadaire des projets en cours. Bases de données, mise à jour de serveurs, achat de disques durs pour le PRA, etc.
17h coup de fil de l'huissier qui a réussi à avoir mon portable pro. Impossible d'intervenir avant fin janvier. Je n'ai plus de jours de congés... mes compteurs RH sont négatifs. "C'est dommage, j'aime bien travailler avec vous". Cela fait plaisir d'entendre un compliment. Les gens ne se doute pas du plaisir qu'on peut avoir à recevoir un compliment.
17h10, un étudiant vient me voir pour régler un détail de la désintégration (le départ en stage des étudiants de 5e année) qui se profile : il me demande l'autorisation d'installer un babyfoot humain géant gonflable dans le hall d'accueil de l'école. Nous regardons les dimensions et les aspects sécurité. Tout est OK. Il est content, ça promet de faire une bonne animation. Il en profite pour me dire toute sa satisfaction pour les plantes mellifères qui ont été installées par les étudiants de 1ère année le long du parking de l'école pour les ruches mises en place par l'école de commerce voisine. Cela fait parti du "plan vert" de l'école : quand les pédagogues, les étudiants et les services supports travaillent main dans la main, cela donne des projets extra.
17h20, une alerte Centreon m'informe d'un problème d'espace disque sur un espace de stockage. Je vérifie si le problème est bloquant, j'annule l'alerte car les disques ont été commandés et devraient arrivés avant que cela ne devienne critique.
Je profite d'un moment de répits pour lire mes SMS et quelques tweets de ma TL.
La réunion avec le fournisseur de vidéoprojecteurs est calée pour évoquer l'abandon du VGA par de nombreux constructeurs d'ordinateurs portables (au profit du HDMI, mais pour combien de temps) et l'impact de cette évolution sur les 40 salles équipées de l'école.
Un candidat pour un stage me contacte pour un rendez-vous. Je le verrai après-demain. J'ai déjà discuté de plusieurs sujets avec mon équipe informatique.
La CDA veut me voir pour savoir s'ils peuvent avoir un badge d'accès à nos parkings privés afin de sécuriser leurs manœuvres de véhicules avec remorque.
Le plombier m'informe de sa solution au problème des toilettes qui fuient.
Les téléphones DECT de l'école vieillissent et deviennent obsolètes. Il va falloir que je pense à les remplacer. Et pourquoi pas par une flotte de smartphones ? Oui, mais à quel coût ? Une étude s'impose...
Je reçois les plans du futur système informatique de l'école que nous construisons au Maroc. Il faut que je donne rapidement mon avis sur un point technique : le switch central est-il assez puissant...
19h fin des cours à l'école. Les appels téléphoniques diminuent. Je prends un peu d'eau pour calmer mon estomac qui proteste : le petit déjeuner est loin.
L'éclairage du hall a été réparé.
Le vidéoprojecteur de l'amphithéâtre aussi (il s'agissait bien d'une broche dessoudée).
Je discute un peu avec le personnel d'entretien qui commence à nettoyer l'école. Je leur demande des nouvelles de leurs enfants, de leurs conjoints. Ils font partie des travailleurs invisibles de l'école, et j'essaye de corriger cela.
20h, j'arrive à la maison. Mon épouse m'a prévenu, elle est en GAV. Je prépare un repas rapide et nous mangeons sans elle. Je mets son repas dans le four encore chaud. Elle rentrera à 23h et me trouvera en train de lire mes flux RSS sur mon vieil (mais fidèle) ordinateur. Je discute politique avec les enfants. Ils m'impressionnent par leur maturité, mais m'effraient par leur manque de confiance en eux. Je les rebooste comme je peux.
22h la maison est silencieuse. Je m'affale devant mon ordi.

Demain est un autre jour, et chaque journée est différente.
C'est ça que j'aime.

07 décembre 2015

NetSecure Day 2015

Les organisateurs du NetSecure Day 2015 m'ont fait l'honneur de m'inviter pour parler sur scène à leur conférence qui aura lieu le 10 décembre 2015 à Rouen.

Qu'est-ce que le NetSecure Day ?
Extrait de leur site...
"Le #NSD15 c’est la journée Normande de la sécurité numérique organisée par l’association NetSecure Day pour sa 3ème édition.
Au cours de cet événement vous retrouverez des conférences techniques, stratégiques, juridiques ainsi que des retours d’expériences.
C’est gratuit et ouvert à tous, étudiants ou professionnels, experts ou néophytes, informaticiens ou non.
Le #NSD15 est la journée pour apprendre et partager autour de ce domaine qui est, plus que jamais, au cœur de toutes les attentions."


Si vous voulez venir me voir présenter "les défis de l'expert judiciaire", cela se passe à Rouen, jeudi 10 décembre 2015 de 11h à 12h.

Le reste du programme de la journée est en ligne sur cette page.

N'hésitez pas à venir me voir, surtout à midi (après ma conf), pour échanger et discuter IRL.

Avis aux rouennais et aux rouennaises :-)

02 décembre 2015

Le noob de l'autohébergement

Dans cette affaire, le propriétaire de l'ordinateur a à cœur (sans jeu de mot) de protéger un peu sa vie privée. Il utilise certes beaucoup d'outils des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), mais avec le soucis de progressivement se détacher de leurs emprises.

C'est pourquoi, il a choisi d'utiliser un nom de plume pour s'épancher sur internet, un VPN pour protéger sa vie privée et l'autohébergement pour un certain nombre de ses outils préférés.

C'est là que les choses deviennent intéressantes...

Vous connaissez peut-être les agrégateurs de flux RSS. Derrière cette expression se cache un outil très simple répondant au besoin suivant : comment être averti de la publication d'un nouveau billet de ses blogs ou sites web favoris sans être obligé d'aller vérifier tous les quart d'heure, site par site. Les informaticiens ont créé une famille de formats de données qu'ils ont appelés RSS (cf Wikipédia) et des outils pour lire ces formats, qu'ils ont appelés "agrégateurs".

Il existe plusieurs agrégateurs, comme par exemple : Netvibes, Feedly ou tout simplement Firefox (en natif ou avec un module comme Sage) ou Thunderbird. Chaque agrégateur a ses propres qualités et défauts et notre utilisateur se servait principalement de Feedly, avant de décider se prendre son indépendance en hébergeant sa propre solution sur son système de stockage personnel (un groupe de disques durs reliés à son réseau personnel, que l'on appelle un NAS).

Il installe donc l'un des meilleurs agrégateurs opensource : Tiny Tiny RSS, connu aussi sous son petit nom TTRSS... Jusque là aucun problème. Tout fonctionne très bien, et il peut confortablement lire son journal électronique personnalisé, celui-ci s'alimentant automatiquement dès la parution d'un article en provenance d'un de ses (nombreux) sites préférés, à toute heure de la journée ou de la nuit.

Les choses se compliquent un peu puisque notre utilisateur souhaite évidement pouvoir accéder à son agrégateur depuis l'extérieur et depuis son téléphone intelligent. Qu'à cela ne tienne, il met en place une redirection de port sur sa box d'accès à internet, en l’occurrence ici, une FreeBox. Il installe une application (gratuite) sur son téléphone : "TTRSS 2".

Comme il connaît l'adresse IP fixe que lui fournit son FAI préféré, il peut l'indiquer à l'application de son téléphone et lire son journal quand bon lui semble, contribuant ainsi à l'augmentation de la joie sur Terre...

Notre homme ne se doute pas qu'il vient de commettre une (petite) erreur qui va le ridiculiser aux yeux (malveillants) du monde. En effet, non content de lire son journal personnel partout sur la planète, via son serveur TTRSS autohébergé, notre utilisateur est allé plus loin : comme il ne souhaitait pas apprendre par cœur son adresse IP personnelle, il a logiquement utilisé les services d'un nom de domaine qu'il possède pour sa société de consultant (notre homme est autoentrepreneur).

Sur le coup, il s'est méfié un peu : utilisateur assidu d'un pseudonyme sur internet, caché derrière la protection relative d'un VPN, n'y avait-il pas là un risque de dévoiler son identité réelle associée à sa petite entreprise quand il se connecte à son serveur TTRSS avec son navigateur ?

Que nenni pensait-il, puisque seul son navigateur (en session privée) et son téléphone utilisaient le nom de domaine de son entreprise. Il pouvait donc lire en toute tranquillité son agrégateur de flux RSS d'un côté et surfer sous pseudonyme de l'autre.

Erreur, erreur, erreur...

Il y a un petit mécanisme dont notre homme a oublié l'existence et qui est utilisé par de nombreux sites internets. Ce mécanisme s'appelle le référent. Comme je sais que très peu d'entre vous cliquent sur les liens que je me fais ch dont je truffe mes billets, voici en quelques mots une description du référent (referer en anglais) : lorsque vous cliquez sur un lien qui se trouve dans une page web, le site web sur lequel vous atterrissez est informé de l'URL de la page web dont vous venez.

Exemple : si vous cliquez sur ce lien : https://www.whatismyreferer.com et bien le site en question sait que vous venez du blog de Zythom (faites le test, le site vers lequel je vous envoie affiche en clair l'indication). Si vous utilisez Firefox, il vous suffit de faire "clic droit" à tout moment sur n'importe quelle page web et de choisir "Informations sur la page". Vous aurez accès à l'information "URL de provenance"...

Notre homme, donc, utilise un pseudonyme et un VPN pour commenter à droite et à gauche sur internet, mais a choisi d'autohéberger son agrégateur de flux RSS en utilisant le nom de domaine de son autoentreprise. Par conséquent, à chaque fois qu'il clique sur un lien présent dans son agrégateur, le site sur lequel il arrive sait d'où il vient, avec le nom en clair de son autoentreprise et son IP personnelle.

Fail.

L'utilisateur en question pourrait être un militant soucieux de sa vie privée. Ou un dangereux terroriste. Ou un journaliste qui enquête en laissant le moins de traces possibles. Ou un policier sous couverture. Cela pourrait être simplement une personne qui souhaite séparer son activité d'internaute de ses activités IRL.

Rien de tout cela et de tout un peu.
Vous l'avez sans doute deviné, l'utilisateur dont je parle tout au long de ce billet, c'est moi... Depuis deux mois j'autohéberge tout fier TTRSS sur mon NAS pour abandonner Feedly, et je surfe, je blogue, je commente sur des sites où je laisse mon vrai nom en CLAIR à cause du mécanisme du référent.

Quel noob !

Non pas que mon identité réelle soit un grand secret, puisqu'elle est relativement facile à connaître (j'en profite pour dire bonjour à mes étudiants ;-), mais bon...

Alors, c'est penaud et légèrement embarrassé (c'est pareil) que je vais vous donner la solution que j'ai retenue pour éviter cela. J'ai d'abord essayé sur Firefox de modifier la variable "network.http.sendRefererHeader" en remplaçant sa valeur par 0. Cela marche très bien, sauf que certains sites (dont Twitter) ne fonctionnent plus correctement !

La solution consiste donc à utiliser sous Firefox le module "RefControl" et de paramétrer son comportement par défaut à "Leurre".

Bien entendu, si l'on veut vraiment être anonyme sur internet, il y a des moyens plus efficaces, comme Tor, mais ce n'est pas l'objet de ce billet, qui est plus de se moquer de moi.

Ceci dit, à moins d'une vigilance de tous les instants, et d'une hygiène de vie numérique particulière stricte, on ne reste pas longtemps anonyme sur Internet...

23 novembre 2015

Le miracle du cerveau

J'arrive à l'hôpital avec le ventre noué d'angoisse. Ma sœur m'a prévenu, ça va être un choc pour moi.

Mon père vient de faire une chute cognitive grave. Diagnostiqué Parkinson il y a trois ans, nous l'entourons de notre amour depuis. Il lutte, soutenu vigoureusement par ma mère, et se bat contre cette maladie incurable et mal connue. Brutalement, et sans raison, son cerveau l'a lâché, et il est tombé dans son appartement sans pouvoir se relever. Ma mère a appelé le SAMU, puis nous a prévenu.

Me voici en route pour son chevet à l'hôpital. J'accompagne ma mère qui va le voir tous les jours, je la soutiens, j'ai traversé la France pour ça, je dois faire bonne figure. Nous sommes lundi 16 novembre 2015. Paris vient de vivre une série d'attentats meurtriers, la France est sous le choc, les informations sont terribles et terrifiantes.

Pierre Desproges, dans sa chronique de la haine ordinaire intitulée "l'humanité", disait :
À bien y réfléchir, on pourrait diviser l’humanité en quatre grandes catégories, qu'on a plus ou moins le temps d'aimer : les amis, les copains, les relations, les gens qu’on connaît pas.
{...}
Enfin, les gens qu'on connaît pas. Les doigts nous manquent pour les compter. D’ailleurs, ils ne comptent pas. Il peut bien s’en massacrer, s’en engloutir, s’en génocider des mille et des cents chaque jour que Dieu fait, avec la rigueur et la grande bonté qui l'a rendu célèbre jusqu'à Lambaréné, il peut bien s’en tronçonner des wagons entiers, les gens qu’on connaît pas, on s’en fout.
Tenez, le jour du récent tremblement de terre de Mexico, le gamin de mon charcutier s’est coupé un auriculaire en jouant avec la machine à jambon. Bien. Et bien quand cet estimable commerçant évoque cette date, que croyez-vous qu’il lui en reste ? Était-ce le jour de la mort de milliers de gens inconnus ? Ou bien était-ce le jour du petit doigt ?

Terrible constat que j'ai pu faire cette semaine : j'étais tellement effondré par la vue de mon père ne parlant plus et ne reconnaissant personne, que les massacres parisiens passaient pour moi au second plan...

En arrivant dans sa chambre, je l'ai vu assis dans un fauteuil. Le personnel de l'hôpital l'avait placé là pour qu'il reste éveillé le jour, afin qu'il dorme mieux la nuit. Une fois assis, personne ne reste avec lui, il n'y a pas de personnel pour cela. Nous, la proche famille, n'avons l'autorisation de venir que de 12h à 20h. Il est 11h40, nous avons grappillé quelques précieuses minutes pour pouvoir arriver pendant son repas. Les aides soignantes nous laissent s'occuper de lui. Ma mère lui donne à manger.

Je suis effondré, mais je ne le montre pas. Mon père, ce héros, cette personne pleine d'humour et de curiosité, se trouve assis, immobile, les yeux fermés, sans réaction ni propos cohérents.

Nous passons l'après-midi à ses côtés, à lui parler et à le réveiller car les soignants veulent le recaler sur des horaires normaux. Il ne me reconnaît pas. A 82 ans, il est devenu un légume... Je m'isole quelques minutes dans le hall de l'hôpital pour pleurer discrètement.

Le soir, je raccompagne ma mère chez elle. Je commence à évoquer le retour de mon père, l'installation d'un lit médicalisé, la prise en charge des soins, les aides à la personne. Il faut positiver. Mais j'évoque aussi le placement en centre de suivi de soins, en EHPAD...

Le lendemain matin, je suis avec elle auprès du CCAS pour remplir et déposer un dossier APA. Nous visitons ensuite deux EHPAD pour retirer des dossiers et inscrire mon père sur les (longues) listes d'attente. Comme pour une greffe d'organe, il faut attendre que quelqu'un meure pour espérer avancer sur la liste. Triste réalité. Rien n'est simple, mais nous avons affaire à quelques personnes faisant preuve de beaucoup d'humanité, et qui prennent le temps de nous expliquer toutes les démarches. D'autres personnes nous prennent de haut, nous délivrent des informations partielles. Comme dans une expertise judiciaire, il faut écouter, ne faire confiance a priori à personne et se faire sa propre opinion.

Je découvre un nouvel univers, une jungle administrative, et en même temps je dois gérer la douleur de ma mère, ma propre douleur et planifier ce qui doit être le mieux pour mon père. Toute la famille est derrière nous et je reçois des dizaines de messages de soutien, de demandes de nouvelles et d'encouragement. Cela me maintient la tête hors de l'eau. La famille est présente, même à distance. Et dans ces moments-là, c'est important.

L'après-midi, nous retournons auprès de mon père. Nous découvrons un petit miracle : il a les yeux ouverts, il parle et il nous reconnaît. Il est un peu confus, mais son état n'a plus rien à voir avec celui de la veille. Nous restons avec lui tout l'après-midi, en veillant à ne pas le fatiguer, mais en le stimulant suffisamment pour qu'il reste éveillé. Le kiné arrive à le faire marcher sur quelques mètres.

Je rentre chez moi le cœur moins lourd. Ma sœur, qui m'a remplacé, m'envoie des nouvelles rassurantes. Mon père a marché 30m et arrive maintenant à manger tout seul.

La maladie a reculé.
Pour le moment.
Pour nous permettre de profiter encore de lui.
Il devrait sortir cette semaine de l'hôpital.
Le miracle du cerveau.

Et vous qui me lisez, profitez de vos proches et n'hésitez pas à leur dire que vous les aimez, tant qu'il en est encore temps.

Papa, tiens bon.
Je t'aime.

16 novembre 2015

Pouvoir aider un magistrat est quelque chose d'extraordinaire

L'exercice de l'interview écrite est un genre auquel je me prête assez facilement, d'abord parce qu'il est facile car il ressemble beaucoup à l'écriture d'un billet de blog, ensuite parce que c'est toujours l'occasion de partager son expérience avec le plus grand nombre, et enfin parce qu'il correspond parfaitement à mon esprit d'escalier.

Il en va bien autrement avec l'interview orale, où le temps de réflexion est beaucoup plus court, avec un cheminement de la pensée qui doit rapidement être verbalisé. J'ai un mode de fonctionnement intellectuel qui demande du temps, je suis très loin d'être un esprit vif avec de la répartie...

C'est pour cela que j'ai d'abord refusé la demande de l'équipe de NoLimitSecu qui souhaitait m'interroger sur mon expérience d'expert judiciaire. C'était sans compter sur l'insistance de Sébastien Gioria (@SPoint) et sa capacité de persuasion...

NoLimitSecu est un podcast indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses. C'est donc avec un peu de stress que j'ai accepté de tenter l'expérience de l'enregistrement d'un podcast où je suis questionné par des spécialistes de la sécurité informatique, dont deux sont eux-mêmes des experts judiciaires ! Je me sentais un peu comme le médecin généraliste de campagne entouré de médecins spécialistes du CHR...

C'est peu de dire que j'étais dans mes petits souliers... Pourtant, je dois remercier Herve Schauer, Johanne Ulloa et Sébastien Giora pour leur bienveillance et la bonne ambiance qu'ils ont su installer lors de cette interview.

Vous trouverez le podcast de notre conversation sur le site de NoLimitSecu en suivant ce lien. Vous pouvez l'écouter directement sur leur site, ou le télécharger pour l'écouter dans les transports en commun ou dans votre voiture, ou pendant votre jogging, ou dans votre cuisine. Bref, c'est un podcast ;-)

Nous y abordons les sujets suivants:
- Qu'est-ce qu'un expert judiciaire ? (à 1'20")
- A quelle occasion t'es-tu décidé à faire un blog ? (à 1'50")
- Pourquoi es-tu devenu expert judiciaire ? (5'25")
- Quels sont les différents types d'expertises ? (7'23")
- Comment devient-on expert ? (9'13")
- Peut-on refuser une mission ? (16'34")
- La Justice a-t-elle besoin actuellement d'experts ? (20'01")
- Quelles sont les missions les plus demandées par les juges ? (22'47")
- Est-ce que tu dors bien ? (24'15")
- Quels outils utilises-tu ? (25'27")
- Quels sont les problèmes techniques rencontrés ? (33'15")
- As-tu été confronté à des avocats relous ? (40'48")
- Pourrais-tu nous en dire plus sur tes méthodes de gestion de crise ? (44'12")
- Est-ce que l'expertise judiciaire est une activité passionnante ? (45'10")

Je vous souhaite à tous une bonne écoute.

03 novembre 2015

La grosse affaire

L'avocat me contacte d'abord par email. Le message est concis et clair : merci de m'appeler par téléphone à ce numéro. Je profite de ma pause de pas-déjeuner pour mener sur internet une petite enquête sur le cabinet : une grosse structure basée au Luxembourg...

Je l'appelle avec mon téléphone privé-réservé-aux-expertises :

Bonjour, je m'appelle Zythom et vous m'avez contacté par email pour un de vos dossiers en me demandant de vous appeler.
"Euh, oui, sans doute, mais c'est le secrétariat, là. Vous voulez joindre quel avocat ?"
[Brblgblglb...] Je voudrais parler à Maître M.M. Murdock, s'il vous plaît.
"Ne quittez pas, je vous le passe".
Bonjour, Maître Murdock à l'appareil, je suis content que vous m'ayez appelé aussi vite.

L'avocat me présente alors les grandes lignes de son dossier, puis répond à mes questions. La conversation devient de plus en plus technique. Je me rends compte que j'ai à faire à un avocat qui connaît bien l'informatique et qu'il est possible de voir où je vais mettre les pieds. Il s'agit d'un gros dossier international : une société basée à Hong-Kong poursuit un éditeur basé en suède pour dysfonctionnement de son logiciel de pilotage de navire marchand. Du gros, du lourd, de l'affaire avec des avocats partout dans le monde. J'ai un peu la tête qui tourne.

"Euh, mais quelle serait ma mission dans cette histoire ?"

A ce stade, je suis concentré comme jamais, et j'écoute, fasciné, l'avocat m'expliquer que les parties souhaitent un expert français en informatique impartial et que mon nom est sorti par le jeu d'un réseau relationnel improbable... Il me donne les détails de la mission. L'affaire m'intéresse au plus haut point, surtout que j'ai déjà traité un dossier contenant ce type de logiciel. Je demande un peu plus de détails techniques, que l'avocat me donne volontiers.

Le courant passe bien, la discussion est stimulante et intéressante.

Je parle de mes honoraires et l'avocat me dit "pas de problème". Je demande alors où doit s'organiser les différentes réunions d'expertise, et l'avocat m'explique que compte-tenu du choix des parties de prendre un expert français, les réunions doivent être organisées à Paris. Je lui réponds "pas de problème".

Nous raccrochons tous les deux en nous donnant quelques jours pour organiser la gestion administrative, les courriers, l'envoi des documents, etc. Je passe la nuit les yeux ouverts à me repasser la réunion téléphonique dans la tête. Il y a quelque chose qui cloche, mais quoi ?

Le lendemain, un doute m'habite : en quelle langue se déroulera la réunion ? Je rappelle aussitôt l'avocat qui me confirme que bien évidemment la réunion se déroulera en anglais... Je lui explique que, si je maîtrise parfaitement l'anglais technique et que cela ne me pose aucun problème de travailler en anglais, il m'est difficile pour autant d'envisager d'animer une réunion juridique pointue en anglais.

Il ne m'a jamais rappelé.
C'est ce qui s'appelle "To be left in the lurch"...

I will never set the Thames in fire
Ne me jugez pas...

28 octobre 2015

Le coût d'une expertise

Combien coûte une expertise ?
Voilà la question qui m'est souvent posée, soit dans le cadre de mon activité d'expert judiciaire (par le magistrat qui souhaite me désigner), soit dans le cadre de mon activité de consultant freelance, soit dans le cadre de ce blog.

J'ai déjà répondu à cette question, dans différents billets :

Mais il est vrai que je rencontre encore beaucoup de personnes qui s'interroge sur le prix (élevé) d'une expertise. Ces interrogations sont légitimes.

Tout d'abord, une précision : je ne suis pas un organisme de sondage à moi tout seul. Les informations que je donne ici ne sauraient constituer une vérité universelle. Elles ne sont que le reflet des connaissances que j'ai en la matière, et qui sont très parcellaires. Elles ne concernent d'ailleurs que les expertises informatiques.

Quand quelqu'un rencontre un problème informatique, il va chercher à le faire résoudre par un informaticien. L'informaticien est un expert en informatique. Il y a des experts autoproclamés (le petit neveu qui s'y connaît en informatique), des experts de terrain (qui ont un métier dans l'informatique) et des experts diplômés (qui ont... un diplôme).

Chacun pourrait raconter des histoires croustillantes sur les trois sortes d'experts dont je viens de parler, mais il existe réellement des gens compétents dans chacune des catégories.

Il existe une catégorie un peu à part, regroupant un peu des trois précédentes : je pense aux consultants. Les consultants font métier de vendre leurs compétences aux plus offrant. Il y a des consultants dans tous les domaines, et en particulier en informatique. Il existe des consultants indépendants, dit freelance, et des consultants regroupés dans des structures qu'on appelle SSII (ok, je simplifie ;-).

Quand j'étais jeune, au siècle précédent, on appelait cela des SSCI (société de services et de conseils en informatique). C'était aussi la belle époque du Sicob (ok, je digresse).

"Expert" est une appellation générique qui n'appartient à personne et tout le monde peut s'autoproclamer expert dans un domaine de son choix. Mon parcours personnel et professionnel fait que je pense que des études et un diplôme validé sont les conditions nécessaires pour pouvoir accéder à un certain niveau d'expertise (mais vous connaissez certainement des experts excellents qui n'ont pas fait d'études ou qui n'ont pas de diplôme). Tout le monde sera d'accord pour dire que ce ne sont pas des conditions suffisantes. Il faut de l'expérience. Et des expériences réussies. Les échecs et les désillusions amènent de l'expérience, mais il faut bien qu'un jour cela se traduise par des réussites à valoriser.

Vous faites donc appel à un expert quand vous ne disposez pas des compétences nécessaires à la résolution d'un problème. C'est le cas pour votre chauffage, pour votre sommier de lit, pour votre électricité. On ne peut pas être expert en tout. Chacun dispose de sa zone de confort.

Pour trouver l'expert dont on a besoin, tous les moyens sont bons : l'annuaire (je parle du bottin, pas de l'AD), les moteurs de recherche, le bouche à oreille, la réputation, la publicité, le "vu à la télé", etc.

Pour les magistrats, une liste des experts agréés est mise à leur disposition par les Cours d'Appel de l'ordre judiciaire. Les personnes ayant leur nom sur cette liste peuvent utiliser un titre protégé : "expert judiciaire". Pour la petite histoire, les Cours Administratives d'Appel ont récemment créé des listes ayant même objet, mais pas de titre protégé. Les compagnies d'experts ont choisi comme nom "expert de justice" pour désigner indifféremment une personne inscrite sur les listes de l'ordre judiciaire ou sur celles de l'ordre administratif.

Être inscrit sur ce type de liste donne une certaine "valeur" à la personne concernée car cette inscription se fait selon une procédure de sélection sensée garantir la qualité de son savoir et de son expérience.

Le coût d'un expert, qu'il soit judiciaire ou pas, peut être libre, encadré ou fixé. Dans mon cas, les honoraires sont libres, mais les magistrats chargés du contrôle des expertises disposent d'une grille leur permettant de repérer les experts trop chers. L'expérience m'a montré que cette grille est souvent mal utilisée...

Pour ma part, j'ai établi la grille suivante, lorsque je vends mon savoir-faire au plus offrant :
90 euros TTC / h pour les missions confiées par des magistrats
220 euros TTC / h pour les autres missions (arbitrage, expertises privées, exégèses expertales, etc.)

C'est mon prix de marché.

Comment ai-je pu fixer ce tarif ? C'est assez simple. La grille de référence utilisée par ma Cour d'Appel en 1999 faisait mention d'une fourchette de tarifs de 80 euros à 120 euros de l'heure pour les expertises informatiques. J'ai pratiqué le tarif bas pendant dix ans avant de le réactualiser. Quand on propose ses compétences à la Justice, ce n'est pas pour chercher à s'enrichir (du moins financièrement). Et pour le tarif "expert informatique", j'ai regardé ce qui se pratiquait autour de moi et établi ce montant par tâtonnement. Il y a peu de blog d'experts informatiques qui donnent ce genre d'informations. Tous les avocats à qui j'ai fait gagner leur affaire sont 100% satisfaits ;-)

Bien sûr, il faut être capable d'estimer le volume d'heures qu'il va falloir consacrer à un dossier. Et tenir au courant le client par anticipation d'un éventuel dépassement du temps si l'estimation initiale s'avère franchement inadéquate. Pour ma part, je me tiens toujours strictement au devis que j'ai établi, quand bien même mon estimation s’avérerait très sous-estimée, et je restitue le trop perçu si mon estimation était à l'inverse sur-estimée (cela arrive parfois). C'est une question de principe.

Lors d'une exégèse expertale, j'ai eu l'occasion d'analyser finement le rapport d'expertise informatique d'un de mes confrères. J'ai eu la surprise de voir que son tarif horaire était de 40€/h, mais que le temps facturé était de 50h (soit un total de 2000€), là où j'ai pu faire le même travail en 10h que j'aurais facturé 90€/h (soit 900€). Cela fait une grosse différence !

Le taux horaire n'est donc pas le seul élément à prendre en compte, en plus de l'efficacité, il faut aussi comparer l'efficience... Et qui mieux que les magistrats et les avocats peut comparer l'efficience des experts ?

C'est pour cela que le conseil que je donne, à presque toutes les personnes qui me contactent par l'intermédiaire de ce blog pour me demander le coût d'une expertise, est le suivant : contactez votre avocat. Il saura mieux que quiconque vous orienter vers la meilleure procédure, et vers le meilleur expert, au coût le plus juste.

Bien sûr, tout cela a aussi un prix. C'est pour cela que les avocats se battent pour la survie du système de l'aide juridictionnelle pour que les plus démunis puissent accéder aussi à la Justice. C'est pour cela que certains experts, dont je suis, acceptent un certain nombre d'affaires pro bono.

Parce que parfois, un bon conseil, une attestation technique évidente, une note technique pédagogique qui permet à l'avocat d'éclairer le magistrat, cela peut se faire gratuitement. Même si cela engage ma responsabilité.

L'aide envers son prochain, parfois, n'a pas de prix.

12 octobre 2015

Tome 6

Oyez, oyez, oyez braves gens, le tome 6 de la série "Dans la peau d'un informaticien expert judiciaire" vient de sortir ! Il s'intitule "Yéléna" en référence à la petite fille qui revient souvent dans certaines de mes expertises.
Vous pouvez le commander au format papier chez mon éditeur, et parce que j'aime l'esprit de partage qui règne sur internet, il est également disponible gratuitement sans DRM au format PDF (cliquez sur les liens) :

- Papier (238 pages chez mon éditeur lulu.com)
- Pdf (2967 Ko)

Bien sûr, les tomes précédents sont encore disponibles, en format papier ou électronique sur la page publications.


Avertissements :

Les habitués du blog le savent, mais cela va mieux en l'écrivant: la publication des billets de mon blog, sous la forme de livres, est surtout destinée à ma famille et à mes proches. C'est la raison pour laquelle j'ai choisi la démarche d'une autopublication. J'ai endossé tous les métiers amenant à la publication d'un livre, et croyez moi, ces personnes méritent amplement leurs salaires! Mise en page, corrections, choix des titres, choix des couvertures, choix du format, choix des polices de caractère, marketing, numérisation, etc., sont un aperçu des activités qui amènent à la réalisation d'un livre. Je ne suis pas un professionnel de ces questions, je vous prie donc de m'excuser si le résultat n'est pas à la hauteur de la qualité que vous pouviez attendre. Le fait d'avoir travaillé seul (avec Mme Zythom-mère pour la relecture, merci à elle), explique aussi le faible prix de la version papier pour un livre de 238 pages.

Je me dois également, par honnêteté envers les acheteurs du livre, de dire que les billets en question sont encore en ligne et le resteront. Les billets publiés dans le livre sont identiques, à part l'insertion des liens en clair, la correction des fautes de frappe et la mise en page.

J’espère que ce tome 6 vous plaira. N'hésitez pas à le faire découvrir autour de vous et à le partager.

En tout cas, je vous en souhaite une bonne lecture.

08 octobre 2015

Octobre rose


La blogueuse Madeleine Martin m'a gentiment autorisé à utiliser son dessin, qui me touche, pour promouvoir le mois de la lutte contre le cancer du sein. C'est le cancer le plus fréquent chez la femme. C'est aussi un cancer qui peut être soigné s'il est dépisté suffisamment tôt. Il concerne aussi les hommes (qui ont aussi des seins, bien qu'atrophiés).

Le site de l'association s'appelle cancerdusein.org

Parlez-en autour de vous.

06 octobre 2015

Informatisation catastrophique de la justice

La liberté d'expression s'use quand on ne s'en sert pas. L'histoire c'est Paul, l'introduction c'est moi. Si vous voulez raconter, écrivez ICI.

--o0o--

Un expert judiciaire, c'est un spécialiste qui propose ses compétences à la justice. Les magistrats lui demandent son avis sur un problème technique. Il est donc évident d'imaginer que tout est fait pour que l'expert judiciaire se concentre sur la partie technique pour pouvoir rédiger un avis clair et pertinent.

Ce travail a bien entendu un coût : le temps passé (honoraires) mais aussi les engagements financiers réalisés par l'expert pour la justice (déplacements, disques durs demandés pour une copie de données à mettre sous scellés, etc.). Pour cela la logique veut que l'expert propose un devis estimatif dès qu'il dispose des éléments lui permettant d'établir ce devis, et qu'il démarre son travail dès le devis accepté par l'administration judiciaire.

Hélas, c'est sans compter sur le génie administratif français.

L’amélioration du processus et des outils de traitement des frais de justice est une priorité et un enjeu stratégique pour la direction des services judiciaires. Un projet d’optimisation du circuit de la dépense «frais de justice » a été engagé par cette direction et l’agence pour l’informatique financière de l’État. Ce projet s’inscrit dans le cadre de la modernisation de l’action publique et repose sur une dématérialisation du processus de gestion des frais de justice et son intégration automatisée dans le système d’information financier de l’État.

La solution retenue repose sur la mise à disposition d’un portail Internet à l’attention des prestataires permettant de dématérialiser la transmission des mémoires de frais de justice. Le prestataire saisit son mémoire sur le portail internet. Il ajoute les pièces justificatives à l’appui de son mémoire (bordereau récapitulatif, réquisition, attestation de service fait, justificatifs de transport). Le mémoire et les pièces jointes sont transmis directement ainsi au service centralisateur de la juridiction compétente.

Ce système s'appelle CHORUS.

Voilà l'expérience de Paul, expert judiciaire confronté depuis la première heure aux affres de CHORUS :

Le système est fondamentalement mal conçu, mal programmé et mal mis en œuvre, tant par les fonctionnaires de la justice que par nous, créanciers de l’État.

Voilà en pratique comment les choses se passent : l'expert envoie le devis au juge, le juge renvoie le devis signé à l'expert, l'expert renvoie ce même devis au Service Centralisateur des Frais de Justice (SCFJ), qui l'envoie au Service administratif Régional (SAR), qui retourne le Numéro d'Engagement Juridique (NEJ) (c'est important le NEJ, c'est en quelque sorte le bon de commande autorisant l'engagement financier !) au SCFJ qui le envoie à l'expert !

On pourrait imaginer que tous ces échanges soient numérisés. Que nenni, tout est manuel et sources d'erreurs. Il serait trop simple d'imaginer qu'une fois le NEJ accordé par le SAR, un mail l'envoie de manière automatisée à l'expert...

Évidemment, on pourrait faire plus simple : le greffe du juge demande un NEJ au SAR et porte ce numéro à même le devis au moment de sa signature et le devis est alors renvoyé signé à l'expert avec le NEJ faisant office de bon de commande...

Une fois son travail réalisé, l'expert envoie son avis au magistrat sous la forme d'un rapport. S'il veut être payé, l'expert doit demander au magistrat une "attestation de service fait". Le magistrat lui adresse ce document au format papier, que l'expert doit alors scanner pour l'entrer dans le logiciel CHORUS.

Ne pourrait-on imaginer que le greffe du magistrat clique directement sur CHORUS une case "service fait" dès le dépôt du rapport par l'expert ?

Pour votre information 165 Tribunaux de Grande Instance (TGI), 2 Tribunaux de Première Instance, 37 Cours d'Appel, 1 Tribunal Supérieur d'Appel et 1 Cour de Cassation semblent avoir adopté 206 manières de faire et des règles différentes, parfois surréalistes : ici on ne donne le NEJ que rapport remis (un bon de commande précède normalement le travail, tout le monde n'a pas compris cela...), ailleurs on demande un RIB pour donner un NEJ, ailleurs encore on vous explique que ce n'est pas à l'expert de transmettre l'Ordonnance de Commission d'Expert et le devis signé mais au juge de le faire ! Ailleurs le SCFJ refuse de donner un NEJ quand la demande d'expertise provient d'un OPJ au motif qu'il s'agirait alors d'un "examen technique" relevant du "Flux 4" tandis que d'autres SCFJ donnent un NEJ dans ce même cas de figure, considérant que c'est la nature de la prestation effectuée (expertise informatique pénale et non examen technique) qui est déterminante et donc qui relève du "Flux 1".

Ici le SCFJ accepte que le devis se présente sous forme d'une fourchette de temps (en effet comment savoir d'avance le temps que l'on va mettre à réaliser le travail surtout en matière inforensique ?), là il refuse une telle fourchette mais accepte sans sourciller un devis "gonflé" du maximum de tous les coûts, frais et débours possibles ! Un confrère me dit que, chez lui, le SCFJ exige que l'expert demande ses NEJ par fax, au mépris des instructions de la Chancellerie, qui précise pourtant bien que la demande peut se faire par mail. Ailleurs, un NEJ nous a été accordé sans problème alors que nous nous étions trompé de Tribunal de Grande Instance...

Alors qu'il est fait, notamment, pour éviter les doubles paiements, le système  s'accommode parfaitement de la possibilité de donner DEUX NEJ différents pour une même affaire, l'un par le Greffier en Chef, l'autre par le Régisseur de tel TGI alors qu'il n'y a eu aucune relance de la part du créancier. Mieux encore, tel TGI nous adresse, à cinq minutes d'intervalle, deux NEJ différents pour la même affaire. Évidement, si un prestataire étourdi présentait deux factures pour la même affaire, chacune assortie d'un NEJ différent, CHORUS le paierait deux fois sans problème, puisque les contrôles en amont de la chaîne sont censés avoir été faits !

Quant à la plate forme CHORUS, elle semble avoir été conçue par un stagiaire informatique.

Ainsi il n'y a aucune vérification de la validité du NEJ : si vous entrez "TOTO" à la place du NEJ, le système l'accepte sans broncher, alors que toute l'économie du système était de vérifier l'engagement de la dépense publique, donc que le NEJ rentré par le créancier était valide !

Le système ne vérifie même pas que les données rentrées dans la case NEJ sont numériques ! Ce NEJ ne semble pas comprendre de code de vérification de cohérence, genre clef de Luhn. Il est composé de dix numéros consécutifs et non de groupe de chiffres qui limiteraient les erreurs de saisies, comme les numéros SIRET ou les IBAN par exemple. L'importation du fichier des affaires ne marche pas car elle n'est pas au bon format Excel. Lors de l'arrivée sur le site, il n'y a pas de cookie qui enregistre login et mot de passe qu'il faut retaper chaque fois.

Finalement je suis enclin à penser que CHORUS a plutôt été conçu par un stagiaire de troisième de collège dans le cadre de son stage "découverte de l'entreprise" !

Il faut aussi ajouter qu'il n'y a pas de confirmation par mail de l'enregistrement d'une affaire dans CHORUS, que le relevé hebdomadaire n'a fonctionné qu'à partir de courant juillet 2015 (mais en se limitant à informer du nombre de dossiers traités et en se gardant de donner la seule information utile, c'est-à-dire le détail de ces dossiers), que les affaires passent du statut "Envoyé" au statut "Reçu" on ne sait comment, et que certain mémoires restent éternellement au statut "Envoyé", sans que l'on sache comment s'en plaindre et le faire passer au statut "Reçu".

Attention dans la fenêtre "Ajouter des pièces jointes", de ne pas en mettre plus de 8 ou 9, car le cartouche "Valider" va alors disparaître en bas de la fenêtre, et vous ne pourrez plus rien valider (il faudra recommencer).

Toujours dans cette même fenêtre pourquoi cet immense cartouche "Veuillez patienter" qui empêche de lire ce qui est en dessous ?

Que penser d'un logiciel (mis au point par l'administration des finances semble t-il) qui applique un même taux de TVA partout, y compris aux DROM-COM qui en sont exemptés, comme Mayotte par exemple ?

Évidement, si j'ose dire, il n'y a aucun interlocuteur à qui s'adresser par mail : l'interface pseudo-humaine "Claude" est une plaisanterie. La personne qui signe les "Événements" sur la plate-forme CHORUS est évidemment impossible à joindre. Quand par bonheur, un interlocuteur s'adresse au créancier, il donne des références "DPM" que nous ignorons, comme lui semble ignorer les "ID" d'affaires qui nous sont attribuées par la plate-forme Chorus. L'aide en ligne est déficiente : alors que dans le tableau de bord, à l'onglet "Mon suivi" on trouve des mémoires "taxés", d'autres "certifiés" l'aide en ligne à ce sujet, numéro A0130, méconnaît totalement ces deux qualités... Et le mail reçu en réponse à cette question renvoie à l'aide en ligne qui ne donne pas la réponse : à croire que le "spécialiste" chargé de répondre n'a jamais lu cette aide en ligne à laquelle il nous renvoie.

Il faut encore ajouter que si l'on déclare une affaire avec une erreur de NEJ, le dossier est accepté mais si l'on redéclare cette même affaire avec le bon NEJ alors cette deuxième déclaration est "Refusée". Dans d'autres cas la deuxième déclaration est acceptée. L'expérience montre que sont "refusées" les déclarations portant le même numéro de facture, mais pas celles portant le même NEJ. Comprenne qui pourra.

Dans le même ordre des choses, si, par inadvertance, vous vous trompez de TGI lors de la déclaration d'une affaire, le SCFJ de ce TGI va l'annuler, ce qui est bien normal. Mais, lorsque vous la déclarez à nouveau au bon TGI, le système va refuser la nouvelle déclaration pour "doublon". Annulée d'un côté, refusée de l'autre comment s'en sortir ?

Faut-il dire encore que l'onglet "Mon suivi" donne de fausses informations ? Ainsi, quand est affiché, pour un jour donné, "4 mémoires ont été reçus" et que l'on clique sur l'hyperlien correspondant, ne s'affichent alors que les 2 mémoires effectivement déclarés le jour en question. La base elle même recèle de fausses informations : un mémoire payé depuis longtemps peut rester semble t-il définitivement au statut "Reçu" alors qu'il devrait afficher "Mis en paiement". Côté sécurité, on nage dans les contractions : ainsi, le login et mot de passe ne sont pas enregistrés dans un cookie, ce qui impose de les taper chaque fois, "par sécurité". De même, un mot de passe présente une durée de vie limitée et le système vous invite à en changer périodiquement. Mais l'utilitaire de changement de mot de passe ne marche pas, il faut faire "j'ai oublié mon mot de passe" pour le changer et surtout ce système accepte que l'on redonne le même mot de passe que l'ancien, ce qui n'est pas cohérent avec les règles strictes de sécurité qui précèdent...

Il y aurait tant de choses à dire encore : par exemple quels sont les documents qu'il faut mettre en pièce jointe ? Que devient le mémoire ou état des frais de justice (CERFA 10 0096) dans cette affaire ? (Certain TGI nous assure qu'il ne sert plus à rien tandis qu'un autre, de la même cour d'appel, lui a adjoint un cartouche rouge le transformant en attestation de service fait). Les débours et frais (imprévisibles par nature et que le Code de Procédure Pénale met à la charge de l’État) qui s'ajoutent au devis seront-ils payés ? Comment faire avec les fichiers qui dépassent 4 Mo ? Pourquoi le site est-il trop souvent inaccessible en pleine semaine ? L'affiche "en maintenance" ne paraît pas crédible : toute organisation sérieuse annonce ses maintenances plusieurs jours à l'avance et les effectue le week-end.

Comment faire quand la plate-forme ne reconnaît pas votre mot de passe et "vérouille" (sic) ensuite votre compte ? Où et comment le faire fonctionner à nouveau ?

Comment faire avec les magistrats qui ne retournent pas l'attestation de service fait et qui paralysent ainsi notre déclaration de la créance sur CHORUS ? Comment faire avec les TGI qui ne renvoient pas de NEJ alors que l'expertise est terminée, l'attestation de mission signée ? Comment faire avec des NEJ attribués sans les références demandées ou avec de fausses références ? Comment faire quand un SCFJ vous adresse un mauvais NEJ, ce qui se produit trop souvent ? Que penser d'une demande de NEJ envoyée à un SCFJ le mercredi 29 avril à 09:00:01 et "lu" le vendredi 12 juin (de la même année tout de même) à 09:43:25 ? Que faire avec tel greffier en chef adjoint qui interdit au magistrat requérant de nous signer l'attestation de mission (si, si !), au motif que seul le greffe serait habilité à le faire mais refuse de remplir ce formulaire transmis par la Chancellerie au motif que le dépôt du rapport "dûment complété et signé par le greffier d'instruction" vaut attestation de mission ?

Comment faire avec un système d'attribution centralisé des NEJ qui n'en a pas attribué un seul du 10 juillet 2015 à fin août, et ensuite au compte-goutte, "à la main" semble t-il et suite à des demandes pressantes ? La rumeur répandue mezzo voce par certains fonctionnaires de la Justice selon laquelle le système aurait été "en panne" pendant une telle durée fait évidemment sourire les professionnels de l'informatique qui recherchent une autre explication.

Que dire des erreurs nombreuses : NEJ de 11 caractères au lieu de 10, NEJ invalides on ne sait pourquoi, NEJ ne correspondant pas à la somme demandée, obligeant à saisir un nouveau NEJ et à modifier nos bases de données internes et à tout redéclarer ensuite ?

Il est encore trop tôt pour faire un bilan de l'accélération annoncée des délais de paiement. De notre expérience, certains mémoires sont réglés en moins d'un mois tandis que d'autres sont en souffrance depuis plus de trois. Nous en sommes réduits à des mesures que nous déplorons : nous menaçons de ne plus remettre nos rapports, bien que terminés, tant que nous n'avons pas le NEJ. La justice ne va pas y gagner en célérité.

29 septembre 2015

RPVA et Windows 10

Une amie avocate m'a demandé de l'aider avec l'informatique de son cabinet. Rien d'inhabituel, tous les informaticiens connaissent ce type de demande... J'arrive dans le cabinet pour découvrir le problème et le diagnostique tombe : panne d'alimentation du PC et, après discussion, le choix est fait de remplacer l'ensemble de l'ordinateur, qui a bien vécu.

Nous regardons ensemble la meilleure configuration, en fonction de ses besoins et de son budget, et nous passons commande sur internet. Quelques jours plus tard, le matériel est livré et je viens l'installer.

La particularité informatique de la profession d'avocat est de devoir utiliser un réseau informatique protégé qui sert aux communications électroniques des avocats, notamment dans le cadre de la dématérialisation des procédures avec les juridictions judiciaires. Ce réseau s'appelle RPVA.

J'ai déjà eu l'occasion d'écrire en 2010 un billet sur le sujet brûlant du RPVA qui alimente quelques conversations animées dans le milieu des avocats. Je n'y reviendrai pas, ma position n'ayant pas beaucoup changé sur le sujet : il était possible de faire mieux pour moins cher.

Les informaticiens ont l'habitude des outils complexes à installer et je me suis régalé à installer RPVA sous Windows 10, puisque c'est le système d'exploitation maintenant imposé livré avec les ordinateurs. Voici comment j'ai procédé, si ce billet peut aider un cabinet à la peine.

Je fais l'hypothèse que le cabinet utilise déjà RPVA et donc que le boîtier RPVA est déjà configuré correctement. La question est quand même de comprendre comment le boîtier est configuré, sachant qu'il y a trois cas de figures : mode ethernet, mode bridge et mode gateway. N'ayant pas trouvé le guide d'installation du boîtier RPVA sur le site e-barreau.fr, j'ai cherché via Google le manuel, que j'ai trouvé sur le site du constructeur Navista. Voici le lien qui peut servir à d'autres.

Dans mon cas, le boîtier est en mode "Gateway".

Il reste ensuite à configurer les pilotes du boîtier et les certificats de la clef cryptographique. Pour cela, j'utilise la page "téléchargements" du site e-barreau.fr où je clique sur "Téléchargez le pilote de votre clé cryptographique".
Et là, j'ai un magnifique message qui m'indique que mon ordinateur utilise un système incompatible car utilisant Windows NT et Edge...

Il ne faut pas en avoir peur et cliquer sur le lien "Votre système d'exploitation ou votre navigateur est-il différent ?". Vous avez alors accès à un magnifique tableau coloré(voir figure).




Vous pouvez donc voir que l'installation n'est pas (encore) possible avec le navigateur Edge. Qu'à cela ne tienne, il suffit d'installer votre navigateur favori, c'est-à-dire dans mon cas Firefox.

En passant la souris sur la case correspondant (dans mon cas la case Windows 10 / Firefox), vous avez accès à deux fichiers importants : le manuel d'installation et le pilote Windows kit_1.4.exe.

Il ne reste plus qu'à suivre les consignes indiquées dans le manuel. Attention, dans le manuel, le lien fourni pour l'installation du pilote n'est pas à jour (il s'agit de la version kit_1.3 !).

Avant de pouvoir tester le fonctionnement de la clef RPVA, il faut modifier la configuration IP du nouvel ordinateur. Pour cela, j'explore le réseau du cabinet avec SoftPerfect Network Scanner pour noter l'adresse IP du boîtier, afin de pouvoir configurer correctement le nouvel ordinateur : adresse IP fixe hors zone DHCP, et adresse IP du boîtier comme passerelle et DNS.

Il ne reste plus qu'à brancher votre clef dans un port USB de l'ordinateur et de la tester en utilisant ce lien. Si tout va bien, cela devrait fonctionner.

Sinon, il faut appeler votre informaticien préféré ;-)

18 septembre 2015

Echanges autour du chiffrement, de la vie privée, de la police, de la justice et de l'Etat

L'interview est un exercice délicat, tant pour le journaliste que pour la personne interrogée. Et, on l'oublie souvent, l'interview est également protégée par le droit d'auteur. En effet, si on la considère comme une œuvre de collaboration, les droits du journaliste sont les mêmes que ceux de la personne interviewée.

C'est donc avec plaisir que j'ai demandé à Amaelle Guiton, journaliste au pôle Futurs du journal Libération, l'autorisation de reproduire ici l'intégralité de l'échange que nous avons eu lors de la préparation de son article paru dans Libération le 13 septembre 2015 : "Cryptographie, la justice cherche la clé", que je vous invite à lire à titre liminaire. Amaelle m'ayant donné son autorisation (avec la complicité de sa hiérarchie ;-), je vous livre donc l'intégralité de notre échange.

--oOo--

Bonjour Amaelle,
Je reprends vos questions dans l’ordre, mais gardez à l’esprit que je ne suis qu’un petit expert judiciaire de province, et que je ne dispose pas nécessairement de l’estime de mes confrères (et réciproquement). Je parle donc en mon nom propre.

AG: Le procureur de Paris François Molins a cosigné une tribune dans le NY Times pour protester à son tour contre le chiffrement des données sur les smartphones équipés d'iOS et Android. Est-ce que, dans votre activité d'expert judiciaire, vous avez le sentiment que la cryptographie préoccupe de plus en plus la police et la justice? Ce sont des discours que vous entendez ?

C’est un sujet qui préoccupe de plus en plus de monde, car la cryptographie « pour tous » va potentiellement gêner de nombreux dossiers où les enquêteurs avaient pris l’habitude d’accéder facilement à toutes les données. Sur les listes de diffusion sur lesquelles je suis inscrit, réservées aux enquêteurs et aux experts judiciaires, je vois passer pas mal de messages sur la cryptographie, sur l’impact qu’elle a sur les réponses qu’il est possible d’apporter aux magistrats. Mais ce phénomène est ancien. Les policiers se plaignaient de ne pas avoir assez de voitures puissantes pour poursuivre les malfaiteurs. Jusqu’au moment où ils se sont mis à les attendre aux péages d’autoroute. C’est toujours une course entre le chat et la souris, et les malfaiteurs utilisent depuis longtemps les outils technologiques, et en particulier la cryptographie. Certains sont en avance sur la police, beaucoup non.

AG: Que pensez-vous de l'argument selon lequel le chiffrement freine ou bloque les enquêtes? Est-il légitime (ou jusqu'à quel point est-il légitime) ?

Lorsqu’un enquêteur, ou un expert judiciaire, doit analyser un ordinateur ou un téléphone et que les données sont correctement chiffrées, il est bien évidemment bloqué. Si son enquête ne repose que sur cet élément, il est définitivement bloqué, ce qui est regrettable. Mais dans les dossiers que j’ai eu à traiter, ce cas de figure n’est jamais arrivé : un dossier ne repose jamais uniquement sur le contenu chiffré d’un ordinateur ou d’un téléphone. Il y a toujours d’autres éléments dans le dossier, et il s’agit d’ajouter encore des éléments de preuve (à charge ou à décharge) pour le compléter. L’argument ne me semble pas légitime, sauf dans le sens où le chiffrement complique la recherche de preuve et donc alourdit la facture de l’enquête, ce qui est déjà un problème dans notre pays où le budget de la justice est anormalement bas. Il ne faut pas oublier aussi que si les données sont chiffrées, il faut aussi qu’à un moment elles soient déchiffrées pour être utilisées par leur destinataire. L’enquêteur peut intervenir à ce moment-là.

AG: De quels moyens disposent les enquêteurs et les experts confrontés à des contenus chiffrés ?

Nous disposons des mêmes outils que les cambrioleurs de données : si le système de chiffrement possède une faiblesse (bug, porte dérobée, etc.), elle peut être exploitée. Par exemple, le système de gestion des mots de passe sous Windows 7 peut facilement être cracké avec l’outil Ophcrack en téléchargement libre. Je donne plusieurs exemples dans le billet de mon blog intitulé « Cracker les mots de passe ». De tout temps, les administrateurs informatiques ont développé des outils qui leur permettent de tester la viabilité des protections qu’ils mettent en place sur leurs réseaux. Il existe même un métier pour cela : pentester. Tous ces outils peuvent être utilisés par les enquêteurs pour essayer d’accéder légalement à des données (mal) protégées. Si les données sont bien protégées (par exemple des emails chiffrés correctement avec GPG, ou des données stockées dans des containers TrueCrypt), il n’est pas possible de les déchiffrer sans connaître la clef privée du destinataire. Mais si vous avez accès à l’ordinateur où est stockée la clef privée, tout redevient possible. J’aborde ces sujets dans le billet de mon blog intitulé « Fâce à TrueCrypt ». Je précise que je n’ai jamais eu accès aux moyens de l’État en matière de cryptologie. Je ne connais pas leurs possibilités, et je doute fort qu’ils puissent déchiffrer GPG ou TrueCrypt. Mais je me souviens de mon service militaire au service technique de l’électronique et de l’informatique des armées (je vous parle du millénaire précédent ;-) où certains ordinateurs étaient protégés par des cages de Faraday pour éviter l’interception à distance des données s’affichant sur les écrans. Je suppose que les techniques ont dû évoluer, mais je pense que l’État dispose encore d’outils permettant l’accès distant aux données (et de s’en protéger) par des voies non conventionnelles. Dans le même esprit, je pense que le plus simple pour écouter une conversation utilisant un téléphone chiffré (tel que Teorem de Thales) est encore de placer (légalement) un micro dans la pièce ou dans la voiture… On peut donc toujours surveiller quelqu’un de manière ciblée sans mettre toute la population sur écoute.

AG: Et enfin, comment vous positionnez-vous dans ce débat : en tant qu'informaticien, en tant qu'expert judiciaire, en tant que citoyen (ou les trois à la fois!).

Il m’est difficile de dissocier les trois : je suis un citoyen informaticien expert judiciaire. J’ai l’expérience de ces trois casquettes, expérience dont je fais part sur mon blog (ce qui m’est assez reproché). Ma position personnelle est de placer au-dessus de tout la protection de la vie privée individuelle. Tous les échanges et tous les stockages de données devraient être chiffrés de manière à ce que chacun puisse protéger ses données. Je préférerais d’ailleurs que l’on parle de « vie intime » plutôt que de « vie privée », car ce dernier terme prête à confusion dans un monde où beaucoup de citoyens échangent l’accès à une partie de leur vie privée avec un droit d’usage gratuit à certains services (proposés par les GAFAM). Tous les citoyens doivent pouvoir utiliser des outils garantissant leurs données contre les oreilles de l’État. Les malfaiteurs les utilisent depuis longtemps, sans que cela ne gêne trop l’État, il est temps que les honnêtes citoyens puissent les utiliser en masse. Les enquêteurs disposent d’autres moyens de poursuivre les malfaiteurs sans que l’État n’oblige tous ses citoyens à se mettre à nu. Je refuse d’être obligé de mettre une caméra dans ma chambre à coucher sous le prétexte d’une meilleure sécurité, par exemple pour une lutte soit disant plus efficace contre le terrorisme ou contre les pédophiles. Je ne crois pas en la réalité d’un État bienveillant qui surveille en masse ces citoyens pour le bien de tous. L’Histoire a plutôt démontré que ce type d’État dérive toujours très vite vers des abus en tout genre.
Quis custodiet ipsos custodes ?


14 septembre 2015

Protégez votre vie privée

Cet article s'adresse plutôt aux personnes ne connaissant pas bien l'informatique qui pourtant envahit rapidement leur vie. Que les experts me pardonnent si je leur semble simplifier exagérément...

Prenons l'exemple d'un aménagement informatique familial, même si ce dont je vais parler s'applique aussi au réseau informatique d'une TPE comme un cabinet d'avocat ou de médecin (ou autre).

Commençons par la box fournie par l'opérateur qui vous vend votre accès à internet. Cette box est la tour de contrôle de votre accès internet. C'est elle qui sert d'intermédiaire pour tous les éléments de votre maison qui vont se connecter à internet. Pour cela, elle distribue à chaque élément une adresse unique : c'est l'adresse IP.

Chaque élément de votre maison devant accéder à internet dispose donc de sa propre adresse IP fournie par la box : votre console de jeux, votre tablette, votre ordinateur, votre téléphone intelligent en mode Wifi, votre montre connectée, votre imprimante réseau, etc.

Votre box gère deux réseaux différents de la même manière : un réseau sans fil (que l'on appelle réseau Wifi), et un réseau avec câbles informatiques (que l'on appelle réseau filaire). C'est transparent pour vous car tout est fait que cela fonctionne le plus simplement possible : en général, il suffit de brancher votre nouvel ordinateur avec un câble informatique sur la box pour qu'il accède tout de suite à internet. Pour le réseau Wifi, il suffit d'entrer un code fourni par la box pour se connecter sans fil (lire la documentation de votre box).

Chaque élément devant accéder à internet dispose donc d'une adresse IP qui lui est propre. La box lui donne également une deuxième information : l'adresse IP de l'élément qui lui permet d'accéder à internet. Vous l'avez deviné, c'est l'adresse IP de la box elle-même.

Cette box est faite pour s'occuper de tout, pour décider à votre place d'un certain nombre de choses techniques. C'est pratique. Sauf si vous voulez reprendre un peu le contrôle et protéger votre vie privée.

Internet a été conçu au départ pour permettre à des chercheurs d'échanger de l'information et d'accéder à distance à des services (par exemple du temps de calcul sur des ordinateurs trop chers pour que chacun puisse en avoir un pour lui tout seul). Les échanges n'étaient pas très protégés (il fallait disposer de matériel très cher et de connaissances pointues pour intercepter des messages).

Cette époque lointaine est maintenant révolue, surtout depuis que les sociétés commerciales ont investi internet : qui accepterait de voir son compte en banque pillé ou sa carte bancaire utilisée à son insu. Les échanges sur internet ont donc été protégés par du chiffrement. Mais pas tous, car cela coûtait cher de protéger tous les échanges. Seuls les échanges "importants" étaient protégés : ceux avec votre banque par exemple.

Cela aussi est révolu : il est maintenant possible de chiffrer tous vos échanges en utilisant un réseau privé virtuel chiffré (en anglais VPN).

Nous allons introduire dans la maison un élément informatique nouveau qui va s'occuper de créer ce réseau privée virtuel chiffré : un boîtier VPN.

(Note pour les avocats qui me lisent, il est fort probable que vous disposiez déjà d'un tel boîtier dans votre cabinet : le boîtier RPVA).

La mauvaise nouvelle de ce billet est que je ne connais pas de boîtier VPN pas trop cher qui s'installe clef en main. Il va falloir mettre la main à la pâte et faire appel à un(e) ami(e) informaticien(ne), et acheter un peu de matériel et de service.

Deux cas de figure :
- soit vous disposez déjà d'un disque dur réseau de type NAS (Synology, QNAP, etc.) et il est probable qu'il peut faire office de boîtier VPN.
- soit vous n'avez rien, et je vous propose d'acheter un petit boîtier pas cher qui pourra tout faire.

Mettons nous dans l'hypothèse n°2: vous n'avez rien qui ressemble de loin ou de près à quelque chose qui pourrait servir de boîtier VPN. Il en existe plusieurs : par exemple : La Brique Internet, des routeurs modifiés, etc. Pour ma part, je vous propose la solution basée sur un Raspberry Pi.

Contactez votre ami(e) informaticien(ne) et dite lui que vous voulez acheter un Raspberry Pi et lui confier la configuration de votre VPN. Si sa réaction est positive, il vous en coutera:
- Prix d'un Raspberry Pi 2 B et sa quincaillerie : environ 80 euros
- Prix d'un bon repas au restaurant pour votre ami(e) : environ 100 euros / an
- Abonnement à un fournisseur d'accès VPN : environ 5 euros / mois

Avant d'aller au restaurant avec votre ami(e) informaticien(ne), demandez-lui de vous abonner à un fournisseur VPN (par exemple Freedom-IP fait des promos à 23.40 euros / an en ce moment) et de configurer le Raspberry Pi en boîtier VPN avec une adresse IP fixe sur votre réseau et une Debian + openVPN + connexion au démarrage à un serveur VPN Freedom-IP.

Profitez-en aussi pour lui demander d'installer unbound sur le Raspberry Pi pour éviter les DNS menteurs de votre fournisseur d'accès à internet.

Demandez-lui (toujours avant le restaurant), de modifier le paramétrage de la box pour qu'elle fournisse l'adresse IP du boîtier VPN comme adresse de sortie sur internet à tous vos éléments connectés.

Et enfin, demandez-lui de vous expliquer comment éviter d'utiliser la boite aux lettres et l'adresse email fournies par votre opérateur télécom. Cela vous évitera des ennuis si vous changez d'opérateur. S'il arrive à vous obtenir une adresse email sur protonmail.ch, vous pourrez aussi protéger un peu plus votre vie privée.

N'en profitez pas, pour autant, pour faire des choses illégales, car sur internet, il y aura toujours un grand frère quelque part pour vous surveiller. Sachez aussi que si l’État vous a spécifiquement à l’œil, vous ne pourrez rien lui cacher bien longtemps...

Ce n'est pas une raison pour habiter une maison aux parois de verre.

31 août 2015

Windows 10 : bilan personnel

Je suis un banal utilisateur de Windows, depuis sa sortie dans les années 80. J'ai connu à peu près toutes les versions, y compris les versions pour serveurs. J'ai pleuré sur Millénium et sur Vista, je me souviens du paramétrage de Trumpet Winsock sous Windows 3.1 et des joies des optimisations de HIMEM et EMM386 dans le fichier config.sys...

Professionnellement, j'ai l'obligation de maîtriser les différentes versions du système le plus répandu dans les entreprises industrielles et chez les particuliers. C'est donc naturellement (et par curiosité) que j'ai fait migrer cet été mon ordinateur personnel principal de Windows 7 vers Windows 10.

La migration s'est parfaitement effectuée. J'ai pris la précaution de lire attentivement la page de chaque étape (y compris les options en bas d'écran), d'éviter soigneusement d'enregistrer un compte Microsoft en ligne (création d'un compte local) et de désactiver le plus grand nombre de remontées automatiques d'information vers les serveurs de Microsoft.

Le résultat est très satisfaisant pour moi, sachant que je n'aimais pas l'interface de Windows 8.1 et que je souhaitais voir si toutes mes applications Windows 7 continuaient à fonctionner sous Windows 10. De ce point de vue, Windows 10 me donne pleine satisfaction.

Mon problème reste la lutte permanente que je suppose qu'il va me falloir faire pour désactiver toutes les remontées que Microsoft ne manquera pas de réactiver en douce (y compris sur Windows 7 et 8) ou d'ajouter lors du déploiement des mises à jour contre lesquelles il n'est pas possible de s'opposer. Je ne peux pas affirmer que cela arrivera, mais je ne me sens pas tranquille et je surveille mon système en permanence. J'ai même fait une analyse sommaire d'un WireShark de 2h après avoir placé ma machine sur un réseau isolé. Je n'ai pas relevé d'anomalie flagrante, mais j'ai des incertitudes sur des trafics https et rien ne me rassure sur l'avenir dans la mesure où Microsoft affirme que son nouveau système d'exploitation est devenu un service dans le nuage.

Me voici donc à la croisée des chemins. Il est temps pour moi de me poser la question : dois-je abandonner Windows ?

Après plusieurs jours de réflexion, j'ai choisi de tester la bascule vers GNU/Linux, pour essayer de reprendre le contrôle de mon système d'exploitation. En effet, je souhaite savoir ce qui sort de mon ordinateur et ce qui y entre. Je souhaite également disposer du plus grand choix possible sur les applications, et éviter celles qui se confondent un peu trop avec le système d'exploitation. Mais je n'abandonne pas Windows pour autant. Je dois garder des compétences pointues sur ce système d'exploitation (sur ce service ?).

Voici mon point de départ : un ordinateur sous Windows 7 fraîchement migré sous Windows 10, et plusieurs machines virtuelles sous VirtualBox (Ubuntu, Debian, Windows XP et Windows 7) pour mes besoins propres (j'y reviendrai).

J'ai débranché tous mes disques durs, après avoir sauvegardé les données importantes, et branché un disque vierge pour tester plusieurs distributions GNU/Linux. Je me suis donc appliqué à découvrir les efforts de différentes communautés : Linux Mint, Ubuntu, Debian, Mageia, Fedora, OpenSUSE, ArchLinux, CentOS, PCLinuxOS, Slackware et FreeBSD (toutes listées sur DistroWatch). Mon test était très simple : installation sans soucis sur mon matériel, tel que fonctionnant parfaitement sous Windows 7 et 10. Avec un biais cognitif très fort : j'utilise Debian sur mon lieu de travail.

Après avoir joué plusieurs jours enfermé dans mon bureau, j'ai pu constater le retard pris sur Windows par les différentes distributions : la difficulté chronique de gérer correctement les deux cartes graphiques ATI Radeon et les trois écrans branchés dessus. J'ai donc pris la décision d'enlever une carte graphique et de ne garder que deux écrans.

Et j'ai choisi Linux Mint.

J'ai fait la liste des applications que j'utilise très souvent, et j'ai été surpris de constater que j'aime bien "surveiller" le fonctionnement de mon PC (ce qui sort sur les cartes réseaux, la température des processeurs, l'occupation mémoire, etc.) :
- le navigateur Firefox avec AdblockPlus, Ghostery et HTTPS EveryWhere ;
- la messagerie ThunderBird
- Skype pour les visioconférences avec mes parents et amis
- VirtualBox pour mes machines virtuelles
- LibreOffice
- OpenVPN


J'ai aussi fait la liste des applications que j'utilise lors de mes expertises judiciaires. Certaines fonctionnent sous Windows XP, d'autres sous Windows 7 et certaines sous GNU/Linux.

Puis j'ai installé Linux Mint comme système d'exploitation "socle" de mon PC. J'ai vérifié le bon accès à mes données stockées sur des NAS, soit en partage Windows classique, soit en accès iSCSI. Tout fonctionne à merveille. J'ai vérifié le fonctionnement de Skype sous Linux Mint, et tout est OK : ma webcam est reconnue et le son fonctionne correctement. J'ai vérifié le bon lancement de mes machines virtuelles VirtualBox, et tout est OK.

Pour autant, je n'ai pas abandonné Windows. Ce système fonctionne maintenant exclusivement sous forme de machines virtuelles (et uniquement en version Windows 7 pour l'instant, le temps que VirtualBox garantisse son bon fonctionnement, ce qui ne saurait trop tarder).

J'utilise maintenant Linux Mint pour mes besoins courants.
J'utilise ma machine virtuelle Windows 7 pour quelques applications spécifiques d'inforensique, et pour un passage en douceur (on ne change pas ses habitudes du jour au lendemain).
J'utilise ma machine virtuelle Ubuntu pour les besoins de ma vie privée derrière VPN.
J'utilise ma machine virtuelle Windows XP pour mes vieilles applications inforensiques (de moins en moins ;-).
J'utilise mes liveCD DEFT Linux et Kali Linux pour m'amuser...
J'utiliserai ma machine virtuelle Windows 10 pour voir ce que devient Windows "as a service".
J'utilise ma Xbox 360 et ma PS4 pour jouer.

Je continue de garder un œil sur tous les OS intéressants.
Il faut savoir faire durer le plaisir ;-)