21 juin 2018

25 ans dans une startup - billet n.3

Introduction - billet précédent

Un week-end sur deux, j'allais faire de la spéléologie ou séduire ma future femme. C'est ce dernier point qui a bouleversé ma vie.

Si j'arrive parfaitement à accepter de louer dans Paris un minuscule appartement me permettant de dormir et de rester propre, le tout pour un prix parfaitement déraisonnable, pour n'y passer que mes 9h de sommeil obligatoires, il m'est très difficile d'envisager faire cela toute ma vie, à fortiori à deux, et encore moins de fonder une (grande) famille dans ces conditions.

J'ai eu la chance de rencontrer l'Amour de ma vie, et cette passion devait passer avant toutes les autres ! Une fois ma thèse en poche, je suis devenu Maître de conférences, avec un salaire moins misérable. Cela tombait bien, parce que l'Amour de ma vie et moi, nous avons décidé de nous marier, de vivre ensemble, le tout en PROVINCE.

J'ai donc tracé un cercle de 100 km centré sur Paris et je me suis mis à chercher un travail en dehors de ce cercle. Dans l'informatique, si possible dans la recherche, avec des perspectives d'avenir et un grand jardin.

J'ai fait 40 dossiers de candidature au titre de la mutation (j'étais fonctionnaire) dans toute la France. J'ai soutenu mes candidatures à l'oral en présentant mes travaux devant des jurys somnolents.

Résultat : rien. Nada.

--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Photo Pexels

19 juin 2018

25 ans dans une startup - billet n.2

Introduction - billet précédent

Sauf que pendant mon service militaire, je m'étais mis en tête de travailler dans le domaine de l'intelligence artificielle. Et en 1989, le secteur était en pleine effervescence (déjà), mais les entreprises ne recrutaient que des gens déjà expérimentés sur le sujet. N'écoutant que mon courage et ma passion, je me suis accroché et j'ai ratissé large en appliquant ma méthode de harcèlement ciblé déjà présentée sur ce blog (lire ici).

Après de nombreux coups de téléphone et CV papiers remis en main propre, j'ai fini par décrocher un stage de pré-embauche dans un laboratoire de recherche à Paris qui travaillait sur les réseaux de neurones \o/.

Deux mois après, ce laboratoire m'embauchait comme "assistant professeur", avec salaire misérable à la clé, par comparaison avec mes camarades de promotion d'école d'ingénieurs, mais avec salaire quand même : j'étais le plus heureux des Hommes !

J'apprenais tout ce qu'il y avait à apprendre sur les réseaux de neurones. J'y consacrais toute mon énergie, toutes mes journées et toutes mes nuits. Cela allait durer 5 ans. Une fois mon doctorat en poche, je suis devenu Maître de Conférences.

A la passion de la recherche en intelligence artificielle se sont ajoutées deux autres passions : un week-end sur deux, j'allais faire de la spéléologie et séduire ma future femme.

C'est ce dernier point qui a bouleversé ma vie.

Billet suivant

--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Photo Pexels

14 juin 2018

25 ans dans une startup - billet n.1

Billet précédent

J'ai 54 ans. Aussi loin que ma mémoire me permet de remonter, j'ai toujours été guidé dans mes choix professionnels par la passion. C'est une des clés de ma personnalité et de mon bonheur.

J'ai eu la chance de me découvrir un centre d'intérêt lorsque j'étais au collège : l'électronique. Je démontais tout ce qui passait à ma portée, et je me revois encore triturer les radios à tubes qui font aujourd'hui les délices des collectionneurs ou des décorateurs d'intérieur. Je récupérais les pièces, les vis, les condensateurs variables à air, les boutons en bakélite... J'étais abonné à la toute nouvelle revue "Électronique pratique", et je dévastais, au désespoir de mes parents, la moquette de ma chambre avec mon fer à souder.

De l'électronique à la calculatrice programmable, il n'y avait qu'un pas, rapidement franchi. La suite est une chanson connue tant cela correspond aux clichés : création du club d'informatique du lycée (en 1979 !) avec du matériel prêté par un parent d'élève, bac C, TRS80, math sup, math spé x2, école d'ingénieurs option informatique, service militaire dans le service informatique des armées, et me voilà sur le marché du travail.

Sauf que...

Billet suivant

--------------
Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Photo by Skitterphoto from Pexels

12 juin 2018

25 ans dans une startup - introduction

Photo by Mircea Iancu from Pexels
J'ai fait ces derniers mois un point professionnel un peu éprouvant, dont je ne pouvais pas parler facilement en temps réel sur ce blog. Maintenant que tout cela est derrière moi, je vais tenter d'aborder ces questions sur ce blog, pour partager avec vous sur le sens de l'engagement professionnel, que vous soyez vieux ou jeune, actif ou retraité, maître Jedi ou jeune Padawan, parce que je pense que cela peut apporter quelque chose à vos propres réflexions.

Si ce n'est pas le cas, ce n'est pas grave, car j'écris essentiellement pour moi ;-)

Comme j'utilise aussi ce blog pour tester des choses en lien avec l'écriture, je vais tenter l'expérience suivante : écrire des billets très courts, qui seront programmés pour être publiés deux fois par semaine, les mardis et jeudis, avec l'idée de travailler la narration, et un rythme plus lent que celui des réseaux sociaux.

N'étant pas un écrivain professionnel, je ne sais pas encore combien de billets je vais écrire, ni si je tiendrai le rythme, mais le titre de cette histoire est choisi. Ce sera : "25 ans dans une startup".

Je préviens mes lecteurs habituels, ce projet n'a pas vraiment d'autre intérêt que de décrire un parcours qui s'est réellement déroulé. Je ne cherche pas à décrire les parcours professionnels d'aujourd'hui tels que vécus par des millions de personnes. J'écris sur une expérience personnelle, vue depuis l'angle très réduit de ma propre perception. Je ne donne aucune leçon, à personne. Ce n'est pas l'histoire d'une entreprise, c'est plutôt l'histoire d'une personne, avec ses doutes, ses choix et ses idées. Cela a toujours été l'esprit de ce blog.

Enfin, j'ai parfaitement conscience de faire partie des privilégiés qui ont un emploi, la santé, une famille en soutien, un environnement professionnel favorable et intéressant. Être privilégié n'empêche pas de faire part de ses expériences, de son histoire ou de ses états d'âme.

Voyez cela comme une expérience d'écriture, teintée d'une légère amertume sur le temps qui passe.

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

Billet suivant


27 avril 2018

Les réseaux des pairs

Dans une autre vie, j'ai eu l'occasion de subir un changement de directeur général. Quand vous faites partie d'un comité de direction, c'est toujours un moment "intéressant".

Lors du premier entretien en tête à tête avec mon nouveau chef, celui-ci me demande : "Bon, Zythom, si vous me parliez un peu de votre réseau". Et me voilà parti dans une présentation détaillée et passionnée de notre réseau informatique, sa complexité, sa technicité, ses risques de sécurité, les options de connexion à internet, les coûts. Je lui parle de switchs, de routeurs, de baies de brassage, d'onduleurs, de bornes Wifi, de fibres optiques, de sous-répartiteurs, de VLAN, de VPN... Au bout de quelques minutes, je remarque le visage un peu contrarié de mon patron. Inquiet, je lui demande si je manque de clarté dans ma présentation.

Il me répond : "Zythom, quand je vous pose cette question sur votre réseau, je parle de votre réseau relationnel. Les contacts que vous avez avec vos homologues, localement, régionalement etc.".

Silence gêné.

"Ah. Mais votre prédécesseur me demandait plutôt de travailler seul pour être en avance sur nos concurrents. Donc, mes contacts avec mes homologues sont très limités".

Sa réponse a changé ma vie : "Zythom, vous allez discuter avec vos homologues, échanger, vous déplacer. Je veux que vous intégriez tous les réseaux relationnels de votre domaine, avec l'idée que l'on progresse plus vite ensemble que seul dans son coin."

Je n'ai jamais cessé depuis d'appliquer cette règle, et si j'ai un conseil à donner à toutes les personnes qui me lisent : essayez.

J'ai rencontré énormément d'experts dans ma vie : d'abord comme chercheur, puis comme enseignant, puis comme expert judiciaire, comme DSI, comme pilier de bar, et enfin comme blogueur. J'en ai vu des brillants, des fiers, des qui aiment les projecteurs, la lumière. Ceux-là sont pour la plupart des solitaires. Et il y a ceux qui arrivent à partager leurs savoirs, leurs succès comme leurs échecs.

Il a toutes sortes de réseaux d'échanges (conférences, listes de diffusion, clubs, associations, compagnies, réseaux sociaux, blogs...) mais je vais vous parler celui qui m'a fait gagner le plus de temps : le réseau des pairs.

Le réseau des pairs est plus communément appelé "communauté de pratique" en théorie de l'éducation. Voici ce qu'en dit Wikipédia :
Selon Lave et Wenger (1991), par qui le concept de communauté de pratique est apparu, et Kirschner and Wopereis (2003), une communauté de pratique est constituée de groupes d’individus engagés dans la même occupation ou dans la même carrière. Ces individus interagissent sur une base continue en vue de maîtriser et d’améliorer les savoirs et savoir-faire de leur domaine d’intérêt. Ainsi, la participation par qui l’apprentissage se déploie, demeure un élément moteur dans une communauté de pratique et revêt un double sens d’implication et d’engagement. Lave et Wenger (1991) désignent cette forme d’apprentissage par Legitimate periphiral participation, qui décrit l’investissement du membre au sein de cette communauté, du stade de noviciat jusqu’à sa pleine reconnaissance par ses pairs. L’engagement mutuel, l’entreprise conjointe et le répertoire partagé sont parmi les caractéristiques importantes des communautés. On retrouve les communautés de pratique dans les structures informelles.
Comme je n'ai pas la prétention de théoriser ce domaine, je vais simplement partager avec vous ma modeste expérience : quel que soit votre métier, je vous conseille de prendre contact avec un groupe de personnes ayant les mêmes préoccupations et qui sont d'accord pour partager leurs connaissances.

Exemple 1 : A force de fréquenter des salons informatiques dans ma région, j'ai fini par rencontrer des responsables informatiques avec qui j'ai sympathisé. D'abord par des discussions informelles, puis autour d'une table dans un bar. "Et si on se voyait plus souvent entre nous pour discuter de nos métiers ?". L'idée était lancée et a abouti à la création d'un club de DSI local où l'on échange autour de nos idées, de nos problèmes, de nos projets, de nos fournisseurs, de nos coûts, de nos utilisateurs, de nos organisations métiers... Après chaque réunion, je ressors avec plein d'idées, d'envies, de solutions. Je gagne un temps colossal sur la majorité de mes projets !

Exemple 2 : Lorsque je me retrouve face à un problème que je ne sais pas résoudre dans une expertise judiciaire, après avoir cherché de manière approfondie une solution (histoire quand même de ne pas être trop ridicule si la solution est évidente), j'ai la chance de pouvoir solliciter l'aide confraternelle d'experts judiciaires sur une liste de diffusion spécialisée. Face à un problème qui me semble insurmontable, il y a très souvent quelqu'un qui s'est trouvé face au même problème et qui a trouvé une solution qu'il accepte de partager. Bien entendu, je réponds de même si j'ai moi-même quelque chose à apporter. Nous n'avons rien inventé, ce type de forum / liste de diffusion existe depuis la création d'internet.

Par ce billet, je voudrais remercier toutes les personnes qui, à un moment ou à un autre, m'ont aidé par leurs conseils ou leurs mises en garde. Que ce soit par un commentaire sous un billet du blog, un tweet, un email ou un coup de téléphone. Et aussi toutes celles et ceux avec qui j'ai pu discuter dans le "social event" d'une conférence (SSTIC/JRES/PSES ).

Par ce billet, je voudrais encourager les nerds, les geeks un peu solitaires, à surmonter leurs égos, leurs craintes du ridicule, leurs phobies relationnelles éventuelles, et à faire l'effort de rencontrer des personnes partageant leurs passions. Après tout, ce n'est pas comme si l'on manquait d'associations, de projets communautaires, de forums, de conférences...

Plusieurs conseils encore : soyez tolérants. Tolérance aux noobs, aux autres, à celles et ceux qui sont différents ou qui pensent différemment. Écoutez les idées des autres jusqu'au bout. Ayez le courage de poser des questions, de communiquer le plus clairement possible avec les autres, afin d'éviter les malentendus, les conflits. Ne sur-réagissez pas : ce que les autres disent et font ne sont qu'une projection de leur réalité et de leurs propres rêves. Lorsque vous êtes immunisés contre les opinions et les actes d'autrui, vous n'êtes plus la victime de souffrances inutiles. C'est certainement le point le plus difficile, sur lequel j'ai le plus de progrès à faire.

Ces conseils valent pour les réunions, mais aussi pour la vie en général.

04 avril 2018

20 ans d'expertises judiciaires

Dans quelques mois, je vais fêter mes 20 ans d'inscription sur la liste des experts judiciaires de ma Cour d'Appel.

20 ans...

J'ai rapporté ici sur ce blog quelques uns de mes "rapports d'étonnement" et quelques une de mes anecdotes (romancées bien entendu ;-). Deux décennies de contacts avec la justice et les justiciables, avec les policiers et les gendarmes, avec les avocats et les huissiers, avec les greffiers et les magistrats, avec Yéléna...

J'y ai perdu le sommeil à cause de l'horreur des images et des films de pédopornographie, de guerre et de massacres, pauvre petit être sensible sans les filtres des reporters ni la préparation des hommes et femmes d'action (soignants, pompiers, urgentistes, militaires, etc.). Horresco referens...

J'étais seul dans mon bureau face aux défis techniques des missions données par les magistrats. J'ai appris à trouver la petite aiguille dans la botte de foin du disque dur, à décrypter les données cachées, à retrouver les mots de passe utilisés. J'ai réussi à surmonter mes angoisses de pannes des scellés, de modifications de preuve par inadvertance, de pertes de données, de mauvaise interprétation de ce que je voyais. J'ai apprivoisé la complexité administrative dans laquelle est jetée le collaborateur occasionnel du service public (pas toujours très claire).

Quand j'ai été admis à l'inscription sur la liste d'experts judiciaire de ma Cour d'Appel, j'avais 35 ans. J'étais alors le plus jeune expert judiciaire en informatique de France \o/. Le suivant dans la liste avait 30 ans de plus que moi... Je trouvais ça lamentable, surtout en matière informatique. J'approche maintenant des 55 ans, et je me demande s'il est bien raisonnable de continuer... Toute ma vie, j'ai assisté, et participé activement, au développement de l'informatique. J'ai travaillé comme chercheur en intelligence artificielle, j'ai enseigné, j'ai développé un système d'information, j'ai expertisé des machines, des systèmes, des organisations, j'ai contre-expertisé des rapports d'expertise...

Je refuse de considérer que je suis trop vieux. J'ai encore tant de domaines à explorer : TensorFlow, le calcul parallèle, la sécurité informatique avec ses mystérieux SOC, SIEM, CSIRT et autres joyeusetés, les outils forensics, les nouvelles règles du jeu (LPM, RGPD...).

Professionnellement, je gère à peu près la même équipe depuis 25 ans, date à laquelle j'ai rejoins la startup où je travaille encore aujourd'hui, startup qui est devenue une belle et grande école d'ingénieurs. Mais la transformation numérique qui brasse en profondeur les processus de l'entreprise s'accompagne d'une charge de travail et de responsabilités qui ne fait que s'accroître et pour laquelle je sens que mes épaules deviennent insuffisantes : choix des serveurs, des actifs réseaux, des routeurs, des plateformes de virtualisation, des clouds, des accès internet, des outils de supervision, des systèmes d'exploitation, des câbles réseaux, des fibres optiques, des ordinateurs fixes, des ordinateurs portables, des tablettes, des bornes Wifi, des systèmes d'impression, des systèmes d'affichage, de vidéoprojection, de visioconférence, des bases de données, des logiciels métiers, des portails, des parefeux... et de toute la sécurité qui va avec ! Les ingénieurs informaticiens généralistes vieillissent mal...

Mais le côté le plus dur, ce sont les expertises judiciaires. Les techniques deviennent de plus en plus complexes, et le côté artisanal de ma pratique d'expert m'interroge de plus en plus (lire ce billet sur le sujet). J'ai maintenant peur de ne plus être à la hauteur quand on me propose une mission d'assistance à huissier de justice : quel est le matériel sur lequel je vais tomber, quelle quantité de mémoire de stockage disque, quelles technologies, quels systèmes ? Quel sens cela a-t-il quand on commence à refuser des missions ? Je refuse de devenir un expert judiciaire "carte de visite" pour alimenter ma clientèle d'expertises privées. Je pense qu'il va bientôt être temps de jeter l'éponge, et de laisser la place à de jeunes experts : il est probable que je ne demanderai pas le renouvellement quinquennal de mon inscription sur la liste des experts judiciaires. Il faut savoir partir dignement, et au bon moment. Les cimetières sont remplis de personnes qui se croyaient indispensables.

Je vais me concentrer sur mon activité professionnelle, m'encadrer de forces vives, devenir un meilleur manager, et essayer de rester en contact avec la technique. Je vais continuer à grandir avec l'entreprise qui voudra bien encore de moi. A la maison, je vais remplir mes soirées de TensorFlow et de CUDA, de OpenVAS et de ELK, de Tor et de Shodan... Je compte bien tenir encore 15 ans. 70 ans, quel bel âge pour partir à la retraite ;-)

Le ton de ce blog va sans doute changer.
Mutatis mutandis.

09 mars 2018

S'amuser avec une machine virtuelle dans le cloud

Crédit image Sam Johnston (1)
Je suis un gros consommateur des outils Google : le moteur de recherche, la messagerie, le drive, le calendrier, etc. C'est donc assez naturellement que je me suis retrouvé à une présentation des services proposés par la plateforme Google Cloud : cloud.google.com

Je précise que ce billet n'est malheureusement pas sponsorisé.

J'ai découvert que l'on pouvait faire fonctionner gratuitement une (petite) machine virtuelle dans le cloud Google. Ce billet s'adresse donc aux personnes souhaitant découvrir le monde des machines virtuelles hébergées sur un datacenter situé quelque part dans le monde.

Avertissements : Philosophiquement, j'aime tout le monde : j'utilise Windows quotidiennement, ainsi que plusieurs distributions GNU/Linux Mint, j'ai un compte Facebook personnel, j'aime l'association Framasoft (y compris son initiative de dégooglisation d'internet), j'utilise Twitter, j'aime Mastodon, j'essaye de sensibiliser mon entourage et mes lecteurs à la protection de leur vie privée, tout en mettant mes connaissances au service de la justice et des enquêteurs, je mange de la viande et je roule en vélo pour mon bien être et celui de la planète. Vous l'avez compris, je suis plein de contradictions, que j'assume plus ou moins. J'évolue lentement mais sûrement. Je reste ouvert à toutes les discussions, je teste tous les environnements, les hébergeurs, les différentes solutions et outils. Et je garde ce que je trouve pratique par rapport à mes usages. Je ne suis pas sponsorisé par Google, je ne travaille pas pour Google (Larry, if you're reading me...), je ne suis pas responsable des manipulations que vous allez faire chez Google, ni du coût que cela pourrait entraîner pour votre carte bancaire. Si vous ne comprenez pas ce que je présente comme concepts ou comme commandes, il vaut mieux rester spectateur et ne toucher à rien.

Prérequis : Vous devez disposer d'un compte Google, et accepter de confier le numéro de votre carte bancaire à Google, qui s'engage à ne pas la débiter si vous restez dans les limites indiquées lors de l'essai gratuit (bien lire les conditions, pas le droit de miner des cryptomonnaies...).

Démarrage :
- Connectez-vous à votre compte Google.
- Rendez vous sur https://cloud.google.com et cliquez sur "essai gratuit".
- Remplissez les informations demandées, en lisant attentivement les conditions.

Je vous propose de suivre le didacticiel "Essayer Compute Engine", en créant une instance ayant les caractéristiques suivantes :
- Zone aux États-Unis (datacenter us-east* par exemple)
- Type de machine : micro (1 vCPU partagé) avec 0.6 Go de mémoire
- Disque de démarrage : Debian GNU/Linux 9 à 30 Go (cliquez sur Modifier pour augmenter la taille du disque).

Ces caractéristiques correspondent, au moment où j'écris ce billet, aux conditions d'une machine gratuite (cf https://cloud.google.com/free/ section Google Compute Engine) :
- 1 instance f1-micro par mois (aux États-Unis uniquement, excepté en Virginie du Nord)
- 30 Go de stockage HDD par mois, 5 Go de stockage d'instantanés par mois
- 1 Go de sorties réseau par mois, de l'Amérique du Nord vers toutes les autres régions (sauf l'Australie et la Chine)
Attention de bien rester dans ces conditions (ou de vérifier qu'elles sont toujours valables), sinon Google facturera des frais.

Le menu principal de Google Cloud Platform est situé en haut à gauche (icone avec 3 barres horizontales).

Dans le sous menu "Réseau VPC / Règles de pare-feu", vérifiez et adaptez vos règles d'accès en fonction de vos besoins.

Votre machine est accessible dans le sous menu "Compute Engine / Instances de VM". Vous pouvez ouvrir un terminal par l'onglet SSH de votre instance (par exemple "Ouvrir dans la fenêtre du navigateur"). Vous êtes alors connectés avec votre login Google à une machine virtuelle fonctionnant sous Debian. Votre compte peut utiliser la commande sudo.

Du fait des limitations mémoires de cette configuration gratuite, je vous recommande de commencer par créer un fichier de swap (surtout si vous installez ensuite un environnement graphique) :
$ free -m
$ sudo fallocate -l 4096m /file.swap
$ sudo chmod 600 /file.swap
$ sudo mkswap /file.swap
$ sudo swapon /file.swap
$ free -m

Si la dernière commande montre que le fichier swap est bien pris en compte, ajoutez la ligne suivante à la fin de votre fichier /etc/fstab :
/file.swap none swap sw 0 0
et redémarrez l'instance.

Une mise à jour des paquets Debian me semble ensuite être un bon début :
$ sudo apt-get update
$ sudo apt-get upgrade

Personnellement, j'ai choisi d'installer l'environnement graphique LXDE :
$ sudo apt-get install task-lxde-desktop
Rem : Curieusement, pour moi ça plante à chaque fois à "Setting up dbus...", ce qui m'oblige à redémarrer l'instance, m'y reconnecter en ssh, puis à lancer la commande :
$ sudo dpkg --configure -a

Puis l'accès distant xrdp :
$ sudo apt-get install xrdp
$ sudo apt-get install tigervnc-standalone-server
$ sudo adduser zythom

Ce qui permet de se connecter à distance depuis un poste Windows avec le compte "zythom" sur l'adresse IP que vous trouverez affichée dans votre interface Google Cloud Platform près de votre instance. Dans la mire xrdp, sélectionnez le choix de session Xvnc.

Gardez un œil sur la facturation, et amusez-vous bien !

Pour ma part, je vais aller regarder un peu le sous menu TPU Cloud et faire du Machine Learning avec TensorFlow... La carte bancaire va chauffer ;-)

----------------------------------------
(1) Crédit image : Sam Johnston — modification of the Wikipedia file, Cloud computing.svg, created by Sam Johnston using OmniGroup's OmniGraffle and Inkscape (includes Computer.svg by Sasa Stefanovic), CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=21576051








27 février 2018

Si vous n’avez rien à cacher, vous n’avez rien à craindre

Cette expertise s'annonce compliquée car les accusations semblent reposer sur des preuves vagues : un compte informatique a été utilisé tel jour à telle heure pour accéder à des données confidentielles de l'entreprise, alors que la personne associée au compte était en déplacement. Les données ont ensuite fuité, causant un préjudice pour l'entreprise.

Me voilà au milieu du problème, désigné comme expert informatique pour essayer d'éclairer la lanterne du magistrat saisi de ce dossier.

Mon problème est que je ne vois pas trop par quel angle commencer, alors que dans ma tête tourne un nombre incalculable de possibilités : malversation du salarié à distance, partage du compte avec un collègue, compromission du compte par vol de mot de passe, hameçonnage, fuite de données par sauvegarde non protégée, perte d'un disque dur, etc.

Toute l'enquête interne menée par l'entreprise désigne l'utilisation de ce compte informatique comme cause la plus probable de cette fuite de données. En présence de toutes les parties, j'étudie donc tous les éléments techniques soulevés par cette enquête interne.

Mais cette expertise judiciaire est également une enquête à part entière. Je dois mener des investigations, poser les bonnes questions, auditer la sécurité informatique du site, pour enfin pouvoir répondre aux questions posées par le magistrat.

Dans ce court billet, je vais laisser de côté le temps passé en investigations diverses, les différentes réunions, la somme de connaissances réunie autour de la table pour étudier ce problème. Mon objectif est de poser ici cette petite anecdote qui montre que le hasard fait parfois bien les choses, et qu'il faut lui laisser sa chance.

Le réseau de l'entreprise est un réseau Windows à contrôleur de domaine. Je demande à être autorisé à utiliser un compte local avec les droits administrateurs sur une machine du réseau, habilité à lancer quelques outils d'investigation. En attendant d'utiliser les outils plus avancés de ma panoplie, sans trop savoir où aller, je lance l'explorateur de fichiers à la découverte du réseau, en commentant ce que je vois apparaître sur l'écran de l'ordinateur, pour l'éclairage des avocats et différents responsables techniques et juridiques présents autour de moi.

Je vois apparaître différents appareils branchés sur le réseau de l'entreprise : ordinateurs, serveurs, imprimantes, photocopieurs, routeurs... Un nom attire mon attention : une marque de serveur de vidéosurveillance. Je clique sur le lien, pour voir apparaître une page web d'accueil demandant un login/mot de passe.

Je fais un petit tour sur DuckDuckGo pour obtenir les informations de connexion par défaut, et tape admin/admin comme login/mot de passe. Bingo, me voici connecté au serveur gérant les 32 caméras de vidéosurveillance de l'entreprise.

Silence gêné dans la salle.

Comme je travaille dans une école d'ingénieurs, je suis sensibilisé au problème des smartphones qui peuvent filmer les professeurs pendant les cours, en particulier quand ceux-ci tapent leur mot de passe sur le clavier de leur ordinateur. J'explore donc les différentes caméras de surveillance, et tombe sur celles de l'open space de l'entreprise. Un petit coup de zoom et nous voilà en train d'observer la frappe d'une personne sur son clavier (ainsi que son écran).

Les logs de connexion du serveur de vidéosurveillance montrent des connexions suspectes dans les semaines précédant l'incident, à partir d'une adresse MAC non connue de l'entreprise. Toutes les prises RJ45 étant brassées, n'importe qui pouvait brancher un ordinateur pour accéder au réseau de l'entreprise, y compris dans les toilettes (hors champ des caméras).

Je n'ai pas pu trouver la personne à la source de la fuite de données (cela ne faisait pas partie des missions confiées par le magistrat), mais j'ai pu prouver que n'importe qui pouvait intercepter sans difficulté un login/mot de passe. Cela a permis au moins de montrer que le titulaire du compte n'était pas nécessairement en faute (ou au moins de semer le doute). Imaginez ce qu'il se serait passé si la personne n'avait pas été en déplacement...

Même dans votre entreprise, méfiez vous des caméras. Vous pensez qu'elles vous protègent parce que vous pensez qu'elles ne filment que les méchants. Dans la rue, dans l'entreprise, dans votre propre maison, elles peuvent être piratées et détournées de leur usage initial. Pensez-y quand on vous dira que si vous n'avez rien à cacher, vous n'avez rien à craindre.

Vous avez toujours quelque chose à protéger : vos mots de passe, vos écrans, votre vie privée.
Quand vous dites "je ne me soucie pas du droit à la vie privée parce que je n'ai rien à cacher", ce n'est pas très différent que de dire "je me fiche de la liberté d'expression parce que je n'ai rien à dire" ou "de la liberté de la presse parce que je n'ai rien à écrire".
Edward Snowden

24 janvier 2018

Quand on tire sur un faible

La petite anecdote que je vais vous raconter n'a d'intérêt que parce qu'elle est parfaitement authentique, et illustre bien les frictions du monde ancien avec le nouveau monde du numérique.

J'assistais à une formation réservée aux experts judiciaires et aux avocats, formation organisée par une compagnie d'experts de justice. Organisation impeccable, objet de la formation intéressant, programme alléchant, 4G disponible, lieu agréable. Bref, la journée s'annonçait bien.

Le premier conférencier est un magistrat de haut niveau, intervenant sans note sur un sujet pointu passionnant. Je suis concentré sur les concepts difficiles avec lesquels il jongle et qui échappent pour beaucoup à mon entendement. L'auditoire est captivé. Les avocats approuvent ou désapprouvent certains passages ou certaines subtilités juridiques. La conférence est passionnante.

Je publie discrètement sur Twitter quelques impressions admiratives à mes followers.

Au bout d'un quart d'heure, le conférencier est brutalement interrompu par l'un des organisateurs de la formation. Ce dernier crie littéralement dans la salle : "Quelqu'un dans cette pièce est en train de publier sur des RÉSEAUX SOCIAUX le contenu de cette formation. C'EST UN SCANDALE. La prochaine fois, dans nos programmes sera CLAIREMENT ÉCRIT L'INTERDICTION de dévoiler nos échanges !"

Stupéfaction dans la salle.
L'organisateur me fixe d'un regard noir.
Mon cœur s'est arrêté.
Je me recroqueville sur mon siège.
Je me fais tout petit.

Quand tout à coup, depuis la scène où se trouvent installés plusieurs des conférenciers qui doivent intervenir à la table ronde à venir, tonne une voix de Stentor : "QUOI, QU'EST-CE QUE C'EST QUE CETTE FAÇON D'APOSTROPHER LES GENS ! OUI, JE TWEETE, OUI JE SUIS OUVERT SUR LE MONDE, SANS POUR AUTANT DÉVOILER OU ÊTRE DÉSOBLIGEANT AVEC LES ORGANISATEURS OU LES INTERVENANTS !"

L'un des avocats qui devait intervenir pendant la formation, prenait pour lui les remontrances (humiliantes) qui m'étaient destinées... Comme moi, il avait posté quelques tweets à sa communauté (dont je fais parti) pour le plus grand plaisir de celle-ci.

Les organisateurs, plutôt gênés des effets collatéraux non prévus de leur attaque, venaient de découvrir la puissance de feu d'un avocat habitué aux assauts et aux joutes verbales.

J'ai assisté silencieux à leur retraite piteuse en rase campagne, "non, mais ce n'est pas vous, Maître, heu, bon on reprend".

J'ai respecté poliment leur interdiction de tweeter pendant la formation.

Je trouve dommage que dans le milieux des experts judiciaires en informatique, il y ait encore des gens qui méconnaissent l'intérêt des réseaux sociaux, des gens qui soient encore enfermés dans leur univers clos du millénaire précédent, qui refusent l'ouverture vers le monde, le partage avec des "mékeskidis", la communication non contrôlée.

J'admets et je me soumets aux règles lorsqu'elles sont connues. Comme Lord Walder qui affirmait lors des Noces Rouges : "sous mon toit, ma loi", les organisateurs d'une formation peuvent imposer leurs règles.

Mais j'ai pris un certain plaisir (coupable) à voir une brillante éloquence remettre en place un sot. Étant moi-même un sot qu'on a tant de fois remis en place...

03 janvier 2018

Wishlist 2018

Vous le savez, mon père ne va pas bien (lire "le miracle du cerveau") et je suis auprès de lui le plus souvent possible. Il a une maladie neurodégénérative qui le fait décliner par à-coup, et c'est très dur, surtout pour ma mère qui est auprès de lui tous les jours, mais aussi pour ma sœur et moi. Nous découvrons la misère des EHPAD, nous subissons les incohérences des décisions des soignants, nous nageons dans les méandres administratives d'un univers étranger.

Côté boulot, la numérisation de toutes les activités de l'entreprise m'amène à basculer d'un mode "best effort" à un mode "obligation de résultats", mais sans que les moyens humains ne suivent en conséquence. Cela rend la pression très difficile à supporter, avec en plus le sentiment que tout le monde tire sur l'ambulancier. Je lance et je m'implique à fond dans beaucoup de projets informatiques importants, mais la situation est telle que je cherche également un autre poste. Si vous entendez parler d'un besoin de DSI dans une PME qui cherche un homme à tout faire, n'hésitez pas à m'en parler via ma page contact. Je suis mobile sur toute la France, y compris Paris. Je suis un service informatique et un service technique à moi tout seul...

Concernant les expertises, c'est de plus en plus difficile. Techniquement les défis sont de plus en plus ardus, et l'institution de plus en plus exigeante. Je pense qu'il va bientôt être temps de rendre le tablier. Surtout que je ne souhaite pas devenir un expert "carte de visite", comme j'en rencontre tant.

La vie municipale se déroule plutôt bien, les différents projets numériques ayant été menés en début de mandat. Je m'en sors avec les honneurs, surtout depuis que j'ai annoncé que je ne pouvais plus m'investir autant qu'auparavant. J'arrive encore à dire ce que je peux faire et à faire ce que je dis, ce qui est pour moi l'essentiel.

Quelle est donc ma wishlist 2018 dans ces conditions ?

1) Que mon père ait une fin de vie paisible
2) Que ma mère puisse l'accompagner sereinement tout au long de cette épreuve
3) Que les points 1 et 2 se réalisent, cela suffira à mon bonheur
4) Professionnellement, je souhaite retrouver l'implication de mes 20 ans et voir briller les yeux de mes collègues. Peut-être dans une nouvelle entreprise, avec un nouveau projet.
5) Publier le tome 7 des billets du blog
6) Publier à nouveau des bêtises sur ce blog
7) Renouer avec le bonheur

Chère lectrice et cher lecteur, je vous souhaite le meilleur pour 2018.

Merci également à tous ceux qui m'envoient des petits mots d'encouragements, que 1000 pétales de roses soient déposés autour de vos claviers.

2018 sera meilleure que 2017 et moins bonne que 2019.
Plus qu'hier et moins que demain.
💖

Johnny Rockfort - Zythom (NA 2018)