tag:blogger.com,1999:blog-33889351.post2150900169782646454..comments2023-05-11T16:10:32.122+02:00Comments on Zythom: Chain of custodyZythomhttp://www.blogger.com/profile/06041825031963205622noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-33889351.post-55653401586329809712010-05-07T12:50:30.347+02:002010-05-07T12:50:30.347+02:00@Sam280: J'utilise la fonction de hachage la p...@Sam280: J'utilise la fonction de hachage la plus courante disponible dans de nombreux outils d'analyse inforensique.<br /><br />Ne perdez pas de vue l'objectif: s'assurer que le disque dur que l'on a analysé n'a pas été modifié entre deux expertises.<br /><br />Le fait qu'une fonction de hachage soit moins robuste et permette à quelqu'un de modifier significativement le contenu d'un disque dur pour modifier des traces compromettantes sans modifier le hash calculé me semble extrêmement peu probable.<br /><br />De toute façon, les mécanismes mis en place dans les disques SSD font déjà voler en éclat le principe même du calcul du hash (quelque soit la fonction) puisque le hash peut être différent entre deux calculs alors même que personne n'a cherché à modifier le disque dur (mais qu'il s'est modifié tout seul en réallouant automatiquement des espaces de données).Zythomhttps://www.blogger.com/profile/06041825031963205622noreply@blogger.comtag:blogger.com,1999:blog-33889351.post-6029629277491936862010-05-07T11:51:01.873+02:002010-05-07T11:51:01.873+02:00Merci pour ce billet à la fois trés instructif et ...Merci pour ce billet à la fois trés instructif et assez édifiant sur le manque de procédures imposées par la législation ; si je me retrouve un jour accusé, je sais où mon avocat devra creuser ;-) Au passage, md5 et SHA-1 ne sont pas considérés comme robuste de nos jours (par exemple, aucun des deux ne satistait aux critères de l’ANSSI pour les fonctions de hachage, voir http://www.ssi.gouv.fr/IMG/pdf/RGS_B_1.pdf). Y a-t-il une raison particulière pour laquelle vous n'utilisez pas, par exemple, SHA-512 ?sam280noreply@blogger.comtag:blogger.com,1999:blog-33889351.post-90196891237105894742010-05-04T14:41:56.230+02:002010-05-04T14:41:56.230+02:00Je suis peut-être hors sujet mais ce billet me fai...Je suis peut-être hors sujet mais ce billet me fait penser à quelque chose que j'ai découvert et pratiqué il y a peu : la norme ISO 9001 !… avec ses qualités et ses travers.<br /><br />Pour la faire courte, j'ai travaillé en intérim dans une entreprise (entretien d'espaces verts) où je gérais 10 équipes de 8 travailleurs intervenant chaque jour sur des chantiers à l'extérieur de l'établissement.<br /><br />Pour des raisons de strict respect de la procédure inhérente à la norme iso en question, la direction insistait pour que tout contact avec la clientèle, toute commande, toute intervention, tout matériel, tout événement (même le plus anodin) soient précisément consignés sur diverses fiches, lesquelles fiches devaient être soigneusement classées.<br /><br />Ainsi, dans l'idéal, il était théoriquement possible de savoir tout ce qui s'est passé tel jour, à telle heure, à tel endroit, sur tel chantier, et avec qui, sur plusieurs années. Un contrôle régulier consistait d'ailleurs à donner une date ou un nom de client et à tout ressortir instantanément !<br /><br />En pratique, le volume d'informations et de papier était tel que c'était non seulement ingérable, mais en plus une contrainte en temps et en énergie préjudiciable à la qualité même du travail de tous.<br />Les chefs d'équipes passaient 30 mn en début et en fin de journée pour remplir ces fameuses fiches, puis les déposaient sur mon bureau afin que je les consulte, les vise, les classe, les photocopie et les fasse suivre aux autres services quand c'était nécessaire…<br /><br />Le plus amusant est que la lourdeur administrative était telle que je me suis rendu compte que la plupart des services de cet établissement avaient mis en place des systèmes parallèles pour éviter d'enclencher cette machine administrative pour des faits insignifiants : par exemple, une caisse noire ou un stock de matériel officieux permettant d'acheter ou de remplacer rapidement un matériel cassé ou perdu sans remplir de fiche.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-33889351.post-64935381557568054832010-05-01T14:27:06.679+02:002010-05-01T14:27:06.679+02:00Le suivi des saisies-scellés de matériel informati...Le suivi des saisies-scellés de matériel informatique va être je pense, de plus en plus strict, au fur et à mesure que certaines procédures seront cassées pour des problèmes techniques.<br />La mode actuelle étant plus d'attaquer les procédures sur la forme que sur le fond, il sera nécessaire qu'une procédure stricte et uniforme soit mis en place à l'avenir.<br /><br />BrunoBruno VALENTINhttp://www.brunovalentin.comnoreply@blogger.comtag:blogger.com,1999:blog-33889351.post-53686806054438386142010-04-26T17:16:40.574+02:002010-04-26T17:16:40.574+02:00Pour l'article cité de Wikipedia, j'avais ...Pour l'article cité de Wikipedia, j'avais traduit en 2006 "chain of custody" par "rapport de garde", convaincu que la France de l'époque n'était pas prête à accepter l'idée et surtout la nécessité de mettre en œuvre une véritable "Chaîne de garde" ou "Chaîne de la garde" (Qui est la traduction la plus appropriée me semble t-il. En effet, "custody" apparaît dans la langue anglaise au XVe siècle à partir du latin "custodia", de "custos", le garde, de défenseur.). La "responsabilité" a trop d'implications juridiques pour la convoquer ici, dans une série d'opérations qui restent factuelles.<br /><br />On ne peut qu'approuver l'article de Zythom confirmant les graves déficiences que tout labo et tout expert peut observer quotidiennement dans le domaine numérique. On ne peut que s'inquiéter du peu d'intérêt que la chancellerie et la magistrature accordent à cette question : où en est le projet de répertoire national des scellés ?<br /><br />Pour notre labo, nous avons mis au point des "fiches de protocole", dont l'usage et la documentation sont obligatoires pour tous les experts et assistants. L'avantage par rapport au cahier de prise de notes est que chaque support est astreint au même traitement et qu'aucune opération n'est oubliée.<br /><br />Sur le fond, le parcours du scellé décrit par Zython est le même que celui de nos "fiches de protocole", à quelques détails près : SHA1 plutôt que MD5 (supprime sans peine un débat inutile), outre les deux calculs indiqués par Zythom, nous calculons aussi le SHA1 de la copie-image sur laquelle nous travaillons, adjonction d'une identification (unique) sous forme d'étiquette sur chaque composant d'un scellé, PV de réception établi par notre labo et signé du réceptionnaire (PV prévu par le code de procédure pénale art. 166 al. 3, mais très peu appliqué), … <br /><br />Et … bien conserver ces informations, utiles pour la rédaction du rapport et … pour répondre aux exigences de restitution de scellés rendus depuis longtemps.Paulhttp://www.lerti.frnoreply@blogger.comtag:blogger.com,1999:blog-33889351.post-64600599725793994192010-04-26T15:49:25.047+02:002010-04-26T15:49:25.047+02:00Cela me rappelle les recommandations pour le cas o...Cela me rappelle les recommandations pour le cas où l'on doit ouvrir un ordinateur portable (p.ex. parce que disque dur à moitié kaput): toujours faire un dessin de tout ce que l'on démonte, avec indication des positions des vis et de leur type.<br /><br />Une tour, il suffit de tout rebrancher et grosso modo les vis sont quasi toutes les mêmes. Un portable, il faut vraiment remettre exactement en l'état...DMhttp://david.monniaux.free.fr/dotclear/noreply@blogger.comtag:blogger.com,1999:blog-33889351.post-90953119995863640142010-04-23T17:02:31.894+02:002010-04-23T17:02:31.894+02:00@Zythom
"Mais tout cela demande du temps et ...@Zythom <br />"Mais tout cela demande du temps et des compétences, ce qui coute cher..."<br /><br />Nous sommes d'accord ...Unknownhttps://www.blogger.com/profile/09912661286209570303noreply@blogger.comtag:blogger.com,1999:blog-33889351.post-88292703118728250792010-04-23T16:25:44.498+02:002010-04-23T16:25:44.498+02:00@Dominik38: Une réponse indépendante de l'expe...@Dominik38: Une réponse indépendante de l'expertise (c'est le responsable de service info qui parle): la plupart du temps les opérations réalisées sont des dépannages dans l'urgence. On ne sait donc rien de ce qui a causé la panne. On redémarre, on étudie le problème et on est très heureux quand il est réparé.<br /><br />Par contre, un bon service informatique génère (et gère) tout un ensemble de procédures et de bonnes pratiques (ITIL par exemple).<br /><br />Mais tout cela demande du temps et des compétences, ce qui coute cher...Zythomhttps://www.blogger.com/profile/06041825031963205622noreply@blogger.comtag:blogger.com,1999:blog-33889351.post-45745073967941937182010-04-23T16:14:49.693+02:002010-04-23T16:14:49.693+02:00Juste une remarque indépendante de l'expertise...Juste une remarque indépendante de l'expertise judiciaire : les informaticiens semblent répugner au plus haut point à noter méticuleusement les opérations qu'ils effectuent. <br />Pourtant, l'installation d'un système ou d'un service devraient respecter cette façon de faire, en notant scrupuleusement les opérations réalisées, avec les dates et les heures, pour pouvoir reproduire exactement la même séquence ou comprendre plus tard ce qui n'a pas (ou a) fonctionné.Unknownhttps://www.blogger.com/profile/09912661286209570303noreply@blogger.com