30 juillet 2015

Redif : Gestion de stress

Dans le cadre des rediffusions estivales, je vous propose ce billet publié en octobre 2010, et dont l'image d'illustration m'a toujours fait sourire (il m'en faut peu). Vous pouvez cliquer dessus pour l'agrandir...

------------------------------------------------------------------------------------------------

Cet après-midi là, tous les ordinateurs du travail se sont mis à planter (sauf le mien ;). Mon téléphone a commencé à crépiter et mes voisins de bureau à venir me voir, goguenards.

Aussitôt, je suis aller rejoindre mon équipe en salle serveurs.

Première chose, redémarrer la production. Comprendre ensuite si possible, mais arrêter le moins longtemps possible la structure. Et pour cela, il faut un peu de calme: je prends les téléphones de mon équipe pour éliminer le plus possible les interférences avec le monde extérieur. Je deviens le seul point d'entrée du service informatique (je réponds à tous les appels, poliment mais très succinctement: "Nous avons un gros problème, nous nous en occupons, merci de votre appel mais il va falloir patienter").

Nous commençons une analyse de tous les symptômes du problème. Les serveurs sont très lents. Seuls les serveurs Windows semblent atteints. Il est difficile, voire impossible, d'ouvrir une session distante dessus. Une attaque virale?

Je continue de répondre aux appels et à accueillir les personnes qui se déplacent jusqu'au service (en général des étudiants envoyés par les professeurs à la pêche aux informations).

Est-ce une instabilité liée au système de virtualisation? Dans ce cas, pourquoi les machines virtuelles GNU/Linux ne semblent pas affectées?

Je suis calme et ma sérénité gagne toute l'équipe. Nous sommes en train de faire un diagnostic différentiel sans canne et sans Vicodin... Les hypothèses fusent librement et nous les soupesons chacune pour trouver une piste.

Qu'est-ce qui peut bien mettre tout notre système par terre? Nous lançons iptrafic pour regarder les trames réseaux.
"Tiens, les machines de Casablanca se synchronisent sur notre WSUS local. Pas bon ça!"
"Peut pas être en rapport avec le problème, les débits en jeux sont trop faibles: 10Mb/s d'un côté, 2Gb/s de l'autre, un rapport de 200 entre les deux..."
"Un problème de synchro entre les deux annuaires, alors"
"OK, reboote l'un des deux serveurs AD, attend qu'il soit en ligne et reboote le deuxième ensuite, on verra bien"

La situation de crise est bien là. L'école est arrêtée, je sais que l'on me reprochera d'avoir failli. Mais le moment n'est pas encore à assumer le problème, le moment est à la recherche d'une solution pour retrouver un bon fonctionnement...

Nous sommes calmes, les gestes sont précis et les hypothèses, plus ou moins loufoques, sont passées au crible les unes après les autres.

"Si c'est un problème réseau, on est mal"
"C'est sur, nous n'avons pas de sondes temps-réel, à peine une surveillance snmp des principaux switches."
"Tous les serveurs Windows fonctionnent au ralenti, plusieurs personnes n'arrivent pas à s'y connecter, ceux déjà connectés ont des timeouts, et certaines machines sous XP se figent"
"Regarde la carte réseaux de la console, elle clignote comme une folle."
"Bon, pas le temps de lancer un Wireshark. On reboote le cœur de réseau. Si ce n'est pas cela. On débranche tout. On arrête toutes les VM, tous les serveurs physiques, et on redémarre tout".

Et comme dans une opération dans un bloc chirurgical, nous arrêtons le cœur (trois alimentations à mettre sur off), nous comptons jusqu'à dix, puis l'on remet tout sous tension.

Le cœur de réseau repart... Sur nos écrans, nous lançons différents tests pour jauger le fonctionnement des serveurs. Je regarde les courbes de charge. Il faut environ une minute pour que les autotests du cœur de réseau aboutissent et que le système soit de nouveau opérationnel. Nous retenons notre souffle.

Les étudiants dans le couloir nous font des petits signes d'encouragement. Les cours reprennent. Le problème est résolu. Notre switch principal était en vrille. Pourquoi? Pour l'instant, nous ne savons pas. J'ai peur d'une attaque virale qui serait passée à travers les antivirus. Il faudra bien que cela nous arrive, maintenant que l'on a abandonné Novell...

L'alerte aura durée un quart d'heure. C'est trop, beaucoup trop. Maintenant il faut que j'explique à 1000 personnes que je n'ai pas été capable d'empêcher cela. Mais pendant un quart d'heure, l'équipe a fait corps et travaillé avec une puissance que l'on ne trouve que dans les situations d'urgence.

Et ça, c'est beau.

26 juillet 2015

Redif : Au nom de la commune

Dans le cadre des rediffusions estivales, je vous propose ce billet publié en septembre 2010, et qui m'a valu un des plus beau moments de mon activité de conseiller municipal.

------------------------------------------------------------------------------------------------

20h30, c'est le début du conseil municipal. Comme d'habitude, tous les conseillers sont là ou presque. Le pompier arrivera en retard, à cause de son métier. L'infirmière aussi.

La liste des sujets à débattre est longue, et le conseil municipal risque fort de se terminer tard dans la nuit. Mais nous sommes là, tous les 26, assis dans cette grande salle avec les tables en carré.

Parmi les sujets du jour du soir, un point qui fait débat dans la commune depuis plusieurs années: la construction d'une aire d'accueil de gens du voyage.

La commune où j'habite vient juste de franchir la barre des 5000 habitants. C'est un seuil important, et parmi les nouvelles obligations de la commune, il y a celle de mettre à la disposition des gens du voyage un endroit où pouvoir séjourner. Le conseil municipal précédent avait déjà débattu de la question, mais sans pouvoir trouver un endroit adéquat.

Le maire, conscient des difficultés à fédérer les conseillers sur un projet particulier, a choisi d'inviter au conseil municipal le spécialiste de l'accueil des gens du voyage de la communauté d'agglomération à laquelle la commune appartient.

Cette personne nous a présenté pendant une heure les différents aspects de la communauté des gens du voyage, bien loin des clichés que pouvaient avoir certains conseillers. Il nous a parlé des difficultés rencontrées par cette communauté, de sa richesse culturelle mais aussi de sa pauvreté, de son illettrisme parfois. Il nous a montré les contradictions de notre société qui souhaite sédentariser ces populations pour permettre la scolarisation réussie des jeunes, et qui considère les aires d'accueil comme des lieux de passage.

Il nous a expliqué leur mode de vie, leur travail et leurs aspirations. Par exemple, il nous a montré que beaucoup d'aires d'accueil de notre communauté d'agglomération étaient construites sur un modèle architectural identique, avec des défauts (blocs sanitaires utilisés pour le stockage de nourriture, pas d'emplacement prévu pour un lave linge, pas de rangements...)

Il s'est dit étonné et particulièrement heureux d'avoir appris que notre conseil municipal avait décidé de passer par un bureau d'étude auquel nous avions demandé l'établissement de plans pour notre future aire d'accueil. Il était surtout content d'avoir pu participer à la critique du projet avant sa réalisation, afin de nous faire profiter de son expérience de plus de dix années à son poste.

Enfin, il était content de l'emplacement choisi par le conseil municipal lors d'une délibération précédente: près du centre culturel et sportif de la commune, près d'un arrêt de bus pour l'école et près des commerces.

Le conseil municipal étudie alors avec soin les travaux de la commission voirie qui avait en charge le suivi du travail du bureau d'étude. L'aménagement de l'aire d'accueil retenu par la commission est voté par le conseil municipal à l'unanimité. Celle-ci sera végétalisée et permettra l'accueil de 16 familles.

Le maire nous lit alors la pétition qui circule dans la commune et demandant le déplacement de la future aire d'accueil à un endroit "moins visible", près de la 2x2 voies qui traverse la commune. Le maire explique que l'endroit choisi par les organisateur de cette pétition se trouve dans la zone des 100m inconstructibles de la voie rapide et répond point par point à tous les arguments de la pétition.

Le maire a conclu sa présentation en ces termes: "nous travaillons sur ce projet depuis des mois, voire des années. Il se termine alors que le gouvernement de la France est en pleine polémique sur une catégorie de gens du voyage. C'est triste, mais c'est comme cela. Je vous propose une chose simple: lorsque l'aire sera terminée, nous irons tous accueillir en personne, ensemble et au nom de la commune les premières familles qui viendront s'y installer." Sa proposition a été acceptée par tous.

Dommage qu'il n'y avait personne dans le public, car ce soir là, nous avons appris beaucoup sur les autres.

Fin du conseil municipal: 2h du matin.

23 juillet 2015

Redif : Perquisition

Dans le cadre des rediffusions estivales, je vous propose ce billet publié en juin 2010, et qui aborde un des aspects les plus intrusifs de l'expertise judiciaire.

------------------------------------------------------------------------------------------------

 Il est huit heures du matin. Les policiers frappent à la porte d'un pavillon. Je les accompagne.

J'ai prêté serment d'apporter mon concours à la Justice. Mais je suis dans mes petits souliers: je participe à une perquisition chez un particulier, et je dois dire que je n'aime pas ça.

Une femme nous ouvre la porte en peignoir. Un policier lui explique la procédure pendant que ses collègues entrent en silence. L'action est calme et nous sommes loin des clichés des séries TV. Une fois la maison explorée, les policiers m'invitent à entrer pour effectuer ma mission: le juge m'a demandé d'analyser les différents appareils informatiques présents dans la maison.

Il s'agit d'une affaire de trafic portant sur plusieurs centaines de milliers d'euros.

Depuis une semaine, je me prépare tous les soirs en essayant d'imaginer tous les cas techniques devant lesquels je peux tomber. J'ai un sac contenant un boot cd DEFT, des tournevis de toutes tailles et de toutes formes, stylos et bloc notes, un dictaphone numérique, un ordinateur portable avec carte réseau gigabit et disque de grosse capacité pour la prise d'image en direct, une lampe électrique, un bouchon 50 ohms et un connecteur en T, le live CD d'Ophcrack, un câble réseau, un prolongateur et un câble croisé, une boite de DVD à graver (et quelques disquettes formatées, cela sert encore...), une bouteille d'eau et un paquet de biscuits. Grâce aux lecteurs de ce blog, j'ai ajouté un appareil photo, un GPS, du ruban adhésif toilé et résistant, des élastiques de toutes tailles, des trombones, un clavier souple ne craignant pas l'humidité avec la connectique qui va bien, un tabouret en toile, des vis, patafix et colliers, une tour sur roulette avec carte SATA et quelques disques vierges de rechange, un ventilateur pour les disques, une petite imprimante, toute la connectique pour les organiseurs (Palms, Blackberry, iphone, etc.), des étiquettes/pastilles de couleur, des stylos et des feutres, un petit switch 10/100/1000, un câble série, un câble USB, une nappe IDE, une nappe SATA et des adaptateurs USB, SATA, IDE...

Pour l'instant, je tiens à la main une petite mallette avec mes principaux outils: bloc note, stylo et boot cd. Le reste est dans ma voiture. La maîtresse de maison nous explique que son mari est en voyage d'affaire et ses enfants chez leur grand-mère. Elle est seule chez elle. J'ai un sentiment de malaise face au viol de sa vie privée. Décidément, je ne suis pas fait pour ce type d'intervention. L'OPJ sent mon désarroi et le met sur le compte de l'inexpérience. Il m'emmène au bureau de la maison où trône un ordinateur au milieu d'un paquet de disques durs extractibles. Mon travail commence.

J'explique à l'OPJ ma procédure de prise d'images. Il tique un peu quand je lui annonce mon estimation des durées. Bien sur, si j'avais été invité au briefing de la veille, j'aurais pu expliquer tout cela...

J'installe tout mon petit matériel dans un coin de la pièce, à même le sol. Je démonte les différents disques durs et les place dans ma "tour infernale" (mon PC d'investigation). J'ai l'impression que les policiers me regardent en pensant au professeur Tournesol.

Pendant les deux heures qui vont suivre, je vais étudier tous les papiers découverts par les policiers pour voir s'ils peuvent contenir des éléments de nature à me faciliter l'analyse inforensique des disques durs. Mais je ne trouve rien. La corbeille à papier est également vide IRL. Le monde moderne.

Les policiers s'ennuient un peu, quand finalement j'arrive à booter la première image dans une machine virtuelle VMware. L'un d'entre eux me dit en souriant: "finalement, deux heures pour démarrer un PC, c'est un peu comme chez moi". Je ne me laisse pas déconcentrer et pars à la recherche de tous les indices possibles.

Les mots de passe Windows sont vite découverts avec Ophcrack. L'historique internet me fournit une liste de sites visités, ainsi que plusieurs pseudos (en clair dans les url). Les historiques MSN me donnent plusieurs emails et identités numériques. J'explore les différents outils de messagerie installés: Outlook Express, Thunderbird, surtout les emails de création de comptes avec envoi de mots de passe. Je conserve tout cela précieusement car tout ceci me donne l'impression que le propriétaire du PC change régulièrement de pseudo.

La liste des mots de passe utilisés me donne une petite idée de la stratégie de choix de l'utilisateur: un mélange avec les prénoms de ses enfants et des dates qui s'avèreront être les dates du jour de création des comptes.

J'effectue une petite recherche des fichiers de grosses tailles qui met en évidence trois fichiers de 4 Go sans extension. Je tente le coup avec l'application TrueCrypt contenue dans ma clef USB "LiberKey". J'essaye les différents mots de passe trouvés précédemment et l'un d'entre eux marche sur un fichier, deux autres sur l'un des fichiers restants. Cela signifie donc qu'un utilisateur du PC connait TrueCrypt et l'utilise pour chiffrer des données dans un fichier protégé par le système à double détente de TrueCrypt. Mais il me manque encore quelques mots de passe.

Parmi les outils de mémorisation des mots de passe, le navigateur est le plus utilisé. Je lance le navigateur installé et vérifie dans les options appropriées la liste des mots de passe mémorisés en association avec différents comptes internet.

Je note tous les login/mot de passe des comptes. Je vérifie avec l'OPJ que mon ordre de mission m'autorise à me connecter sur les comptes internets. Un coup de fil au magistrat lève les doutes. Je fais consigner la démarche sur le PV. Je choisis en premier lieu le webmail le plus fréquemment utilisé. J'y découvre une quantité d'emails que je récupère avec le Thunderbird de ma clef USB. Et bien entendu, parmi ces emails, un certain nombre d'emails contenant des mots de passe.

Ce travail s'effectue en parallèle de la prise d'image des autres disques qui sont montés au fur et à mesure sous forme de machines virtuelles. Mais le travail initial permet d'accéder plus rapidement aux espaces DATA intéressant les OPJ. Une fois franchis l'obstacle du chiffrage et des mots de passe, l'outil essentiel est une recherche Windows avec les mots clefs fournis par les OPJ. J'ai une certaine préférence pour SearchMyFiles de chez NirSoft.

La perquisition se termine en fin d'après-midi. J'imprime tous les documents découverts. Je range mon matériel. Je rappelle à l'OPJ que ma mission se poursuivra le week-end suivant avec des analyses plus longues, en particulier des zones non allouées des disques durs. Suivra ensuite la rédaction du rapport et l'impression des annexes. Comme pour une fois, ce dossier ne contient pas d'images pédopornographiques, je vais pouvoir externaliser l'impression pour faire baisser les coûts.

En sortant de la maison, je présente mes excuses à la propriétaire.
Elle est en colère et me répond durement.
Je revois encore aujourd'hui la rage de son regard.
Je la comprend.

19 juillet 2015

Redif : Intimité

Dans le cadre des rediffusions estivales, je vous propose ce billet très court publié en mai 2010, et qui raconte, maladroitement sans doute, mon mal être dans certaines expertises. La chute tient dans les trois dernier mots.

------------------------------------------------------------------------------------------------

Fouiller le contenu d'un ordinateur, c'est se plonger dans l'intimité d'une personne. Je suppose que chaque expert judiciaire vit cela d'une manière différente qu'on imagine toujours très professionnelle, avec juste la distance qu'il faut, en quelque sorte une analyse froidement médicale.

Seulement voilà, la réalité est toute autre. La réalité, c'est la lecture de lettres intimes à son conjoint, ce sont des photos d'anniversaires où toute la famille et les amis sont réunis. La réalité, ce sont des vieilles factures, des courriers d'explications à la banque, des réponses à des emails de copains rigolos qui font suivre des powerpoints humoristiques.

Puis à partir d'une certaine date, le lien avec internet s'arrête. L'ordinateur n'est plus utilisé pendant plusieurs mois, pendant quelques années. Lorsqu'il reprend du service, l'utilisation n'est plus la même. Les données proviennent d'une clef USB, plutôt que de la carte réseau.

Des dessins scannés. Des fichiers txt avec des mots d'encouragement maladroits. Des mots d'enfants. Des mots d'adultes.

Et bien sur, il y a des photos. Beaucoup de photos de la famille. Des films aussi. Les visages sont plus tristes, les paroles plus sérieuses. Ils ont vieillis.

Et puis, il y a des photos pornographiques. Des films aussi. Et la dedans, quelques photos de jeunes filles. Trop jeunes. Beaucoup trop jeunes. C'est pour ça qu'il a été dénoncé par un codétenu.

C'est cela l'analyse inforensique du disque dur d'un ordinateur saisi en prison.

16 juillet 2015

Bonnes vacances

Je souhaite, à tous ceux qui ont la chance de pouvoir en prendre, de bonnes vacances.

Cette année a été très mouvementée et riche en événements, pas toujours très gais (et dont je n'ai pas trop parlé sur ce blog). J'ai besoin de ce break salutaire. Le temps arrive enfin où les efforts d'une partie de l'année servent à un plaisir extraordinaire : le partage de moments privilégiés avec ma petite tribu ! Cette année, nous partons en famille pour trois semaines de randonnées dans les montagnes canadiennes. Quatre adultes et six enfants qui vont crapahuter toute la journée, cuisiner au feu de bois et dormir sous la tente devant des paysages de rêve.

Je suppose que, même dans les coins les plus reculés, j'arriverai parfois à capter un réseau et à rester un peu connecté à mon univers numérique, mais je n'en suis pas sur. Que les clients qui suivent mon blog me pardonnent, ainsi que mes lecteurs, mais je ne lirai sans doute pas mes emails tous les jours.

Pour que le blog vive un peu pendant mon absence, j'ai programmé quelques rediffusions de billets qui me tiennent à cœur, et qui débuteront tous par cette même phrase : "Dans le cadre des rediffusions estivales..." Les habitués apprécieront la sélection et j'espère que cela donnera envie aux nouveaux lecteurs de télécharger les différentes compilations de billets.

Je vous laisse, je dois embarquer dans mon char pour aller magasiner avec ma blonde, et on n'est pas rendu ;-)