PROJET AUTOBLOG


Zythom

Site original : Zythom
⇐ retour index

Partage sécurisé de fichiers

lundi 25 novembre 2013 à 15:48
Lorsque l'on souhaite partager des fichiers avec des clients, se pose très vite la question des échanges sécurisés. Il y a plein de méthodes pour permettre cela, il existe même des sites qui proposent ce type de service, ou des Réseaux Privés Virtuels spécialisés (RPVA pour les avocats, OPALEXE pour les expertises judiciaires). Je trouve ces systèmes un peu lourds et chers pour l'usage que je souhaite en faire.

Je suis donc parti en quête d'une solution peu onéreuse, facile à mettre en place (pour moi) et à utiliser (pour mes clients), basée sur des technologies simples et efficaces. J'ai mis en place, pour l'instant, la solution que je vais vous présenter, et qui peut peut-être intéresser quelques uns d'entre vous, freelance ou pas.

Tout d'abord, je voudrais rappeler que je ne suis pas un spécialiste de la sécurité informatique, quoiqu'en pensent certains de mes lecteurs. Je suis un simple informaticien, qui se considère comme "généraliste" car curieux de tous les domaines et spécialisations informatiques. Merci donc aux spécialistes de la sécurité informatique d'être tolérants à mon égard.

Objectif: permettre à un client de mon entreprise de m'adresser un ou plusieurs documents de manière simple et suffisamment sécurisée. L'échange doit pouvoir avoir lieu dans les deux sens.

Contrainte: mes clients ne connaissent pas a priori l'informatique, même si certains peuvent être très à l'aise avec cet outil. Je dois donc m'adresser au moins technophile de mes clients: cela doit être facile à utiliser par Maître Michu et son assistant(e)...

Ma solution:
La contrainte posée écarte de fait l'échange d'emails chiffrés, que je trouve trop contraignant, trop complexe avec ses clefs privées/publiques.
Les différents outils proposés sur internet, du moins ceux que j'ai étudiés, m'ont paru compliqués à imposer: DropBox, SkyDrive, GoogleDrive ne s'installent pas sur tous les systèmes, demandent des droits administrateurs, etc.
L'interface qui me semble la plus universelle aujourd'hui est celle d'un navigateur internet. La solution doit reposer sur cette interface, avec aussi peu d'installation de plugins que possible.
Il existe plusieurs plates-formes web proposant le partage de documents. Mais toutes m'ont paru peu sures ou trop chères pour demander aux avocats avec lesquels je travaille d'y stocker des documents de travail confidentiels. La solution OPALEXE est sur-dimensionnée pour l'usage que je compte en faire (et pour mon chiffre d'affaires).

Plus je réfléchissais, et plus je comprenais qu'il fallait que les données restent chez moi, et que j'en maîtrise le plus possible la chaîne de responsabilité.

J'ai donc choisi de proposer un accès sécurisé à un serveur de stockage hébergé dans mon bureau et accessible à mes clients avocats via une interface web.

Je me suis tourné tout naturellement vers le système de stockage que je possède actuellement: un NAS Synology DS713+, mais je pense que ce qui va suivre doit pouvoir s'adapter facilement à un autre système de stockage, comme par exemple un NAS4Free. En tout cas, j'ai vérifié au boulot avec un NAS QNAP TS-559 Pro II, la procédure est très semblable.


Mise en place:
Etape 0: Choisir le bon protocole sur le système de stockage

L'HyperText Transfer Protocol Secure, plus connu sous l'abréviation HTTPS, est généralement utilisé pour sécuriser les transactions financières. C'est le petit cadenas rassurant que l'on trouve sur le navigateur lorsqu'on saisit dans un formulaire des informations qu'on ne voudrait pas voir diffusées à tous les vents.

Sur un NAS Synology, pour activer HTTPS, c'est assez simple, il suffit d'aller dans le panneau de configuration, Paramètres de DSM, onglet "Service HTTP" et de cocher "Activer la connexion HTTPS". J'en profite pour cocher également "Rediriger automatiquement les connexions HTTP vers le HTTPS". J'ai laissé les ports par défaut (http sur 5000 et https sur 5001). 

Etape 1: Rendre son système de stockage accessible depuis internet.

J'ai la chance, comme beaucoup maintenant, de disposer d'une adresse IP fixe proposée par mon fournisseur d'accès internet. Sinon, je pense que j'aurais du utiliser les services du type noip.

Il me suffit donc d'aller dans l'interface d'administration de ma box pour créer une redirection de port du type {IP FIXE BOX}:443 vers {IP LAN du NAS}:5001.

Je teste avec mon téléphone portable et vérifie que l'URL https://IpFixe fonctionne bien et affiche le portail d'accès aux fichiers de mon NAS. A ce stade, j'ai un message d'avertissement de mon navigateur qui m'indique que ce site n'est pas sur. Sous Firefox, c'est assez flippant: "Cette connexion n'est pas certifiée" avec un bouton "Sortir d'ici !".

De quoi faire fuir tout(e) secrétaire d'un cabinet d'avocat. Voyons comment éviter cela.

Etape 2: Remplacer l'adresse IP par un nom de domaine.

Je gère tous mes noms de domaine chez Gandi depuis de nombreuses années. J'aime bien leur état d'esprit et leurs prix sont tout à fait corrects.

Je me rends donc dans l'interface d'administration Gandi du nom de domaine que j'ai choisi pour mon activité d'expertise privée. J'ajoute dans les informations DNS un champ "A" avec l'adresse IP FIXE BOX fournie par mon FAI et le petit nom que je souhaite lui donner. Dans mon cas, j'ai choisi "cabinet.shrdlu.fr".

Je vérifie que le serveur est accessible cette fois avec l'URL https://cabinet.shrdlu.fr

Ça marche, mais la connexion n'est toujours pas certifiée...

Etape 3: Certifier la connexion internet.

C'est la partie la plus technique. Mais elle s'avère simple grâce à tous les HOWTO disponibles sur internet. J'ai choisi de suivre celui-là (en anglais).

Je résume les commandes ici:

Sur le NAS Synology:
cd /usr/syno
mkdir ssl
cd ssl
wget http://123adm.free.fr/home/pages/documents/syno-cert_fichiers/openssl.cnf
cd
openssl genrsa -des3 -out cabinet.key 2048
openssl rsa -in cabinet.key -out cabinet.nopass.key
openssl req -nodes -new -key cabinet.key -out cabinet.csr
Sur l'interface Gandi de création d'un certificat (gratuit quand on dispose d'un nom de domaine chez eux):
- copier/coller le contenu du fichier cabinet.csr
- demander la génération du certificat
- récupérer le certificat et le coller dans un fichier cabinet.certif
- récupérer le certificat intermédiaire et le coller dans un fichier cabinet.interm

Sur le NAS Synology:
Dans "Panneau de configuration/Paramètres de DSM/Certificat", cliquer sur "importer le certificat", et fournir les fichiers suivants:
- clé privée: cabinet.nopass.key
- certificat: cabinet.certif
- certificat intermédiaire: cabinet.interm

Rebootez votre NAS et, là, miracle, l'URL:
https://cabinet.shrdlu.fr
est accessible par tous les navigateurs sans avertissement de sécurité.

Etape 4: Créer un compte client.

Les échanges avec Maître Michu se passent toujours par email. Cela commence par une prise de contact avec explications du contexte du dossier. Je demande ensuite, pour établir mon devis, un exemplaire du (pré)rapport d'expertise que j'ai à analyser. Je propose alors que ce document soit déposé électroniquement de manière sécurisée sur le serveur de stockage mis en place.

Je crée donc un compte sur mon NAS Synology, avec mot de passe adhoc, et j'adresse les informations de connexion par téléphone. J'en profite pour assister le secrétariat lors de la première connexion et lui faire faire quelques pas avec l'interface particulière du système d'accès aux fichiers Synology.

Les lecteurs intéressés par une démo proche du résultat que j'obtiens peuvent aller sur cette page. Attention, il faut penser à désactiver provisoirement AdBlock pour faire fonctionner l'accès à "File Station".

L'échange de fichiers entre le NAS distant et le poste de travail est très simple puisque l'application "File Station" interfère via Java avec le système d'exploitation.

Le client peut me transférer toutes les pièces du dossier qu'il souhaite me soumettre. Je peux également lui déposer des documents qu'il récupérera par le même moyen.

Inconvénients:

- Je suis conscient que la procédure n'est pas si "simple" que cela pour le client. C'est un point à améliorer. Cela devrait être aussi simple que d'envoyer un email.

- La bonne intégration avec le système d'exploitation du client nécessite la présence de Java (et la réponse à des messages d'alerte potentiellement anxiogènes). Les tests effectués auprès de plusieurs cabinets d'avocat ont montré qu'au moins une fois Java n'était pas installé. C'est un problème.

Mais dans l'ensemble, pour l'instant, le système fonctionne bien avec les cabinets qui l'ont testé.

Bien entendu, je suis preneur de toutes suggestions de simplification, ou pour un retour d'expérience sur une solution différente. Les commentaires sont là pour cela ;-)

Source : http://zythom.blogspot.com/feeds/9189537065366509657/comments/default


Ma petite entreprise

mardi 19 novembre 2013 à 05:00
J'ai décidé de créer ma propre entreprise.

Ouaip, rien que ça.

J'ai un métier qui me fait vivre, qui me passionne et qui me demande chaque jour d'être au top. Mais l'activité d'expert judiciaire en informatique, que je mène en parallèle, m'a fait découvrir un univers qui m'intéresse beaucoup, et pas uniquement parce que mon épouse est avocate. Seulement voilà, les expertises judiciaires, c'est bien, mais vu comment évolue le budget de la justice, les magistrats ordonnent de moins en moins d'expertises, et les Officiers de Police Judiciaire sont de plus en plus compétents pour mener les investigations techniques dans leurs affaires.

Pour autant, avec la complexité croissante de l'informatique, et la tendance à la judiciarisation de la société, le nombre de litiges techniques va augmenter. Le budget de la justice étant de plus en plus contraint, l'expertise judiciaire sera de plus en plus cruciale, et décisive, d'autant plus qu'elle sera rarement suivie d'une contre-expertise. Il est donc important que chaque partie soit accompagnée tout au long de l'expertise, mais également après, par un expert privé.

En 2010, j'ai décidé de tester un peu l'activité d'expert freelance. Il se trouve que depuis cette période, mon chiffre d'affaire concernant cette activité n'a fait qu'augmenter, au point de dépasser cette année celui de mes activités d'expert judiciaire. Je donne un exemple d'expertise freelance dans ce billet intitulé "Contre expertise".

Il est temps maintenant de structurer cette activité, et en particulier de déterminer précisément les services que je peux proposer et les faire connaître au public approprié. Ce blog perso sera l'un de mes outils de communication. Je compte sur vous pour en parler autour de vous ;-)

Les services que je propose:
1) Assistance technique pendant les réunions d'expertise judiciaire.
En complément de l'avocat qui est l'expert en droit qui s'assurera que vos intérêts sont bien défendus d'un point de vue juridique, et qui établira la stratégie juridique, il est souvent intéressant de s'adjoindre les conseils d'un expert technique qui connaît et comprend parfaitement les problèmes informatiques mis en jeu, mais aussi les procédures d'expertises judiciaires et leurs pièges. L'expert judiciaire en charge des réunions d'expertise est souvent très content d'avoir à faire à des personnes qui parlent le même langage que lui et en comprennent toutes les subtilités. Je jouerai le rôle de facilitateur entre mon client et l'expert judiciaire, au mieux des intérêts de mon client.

2) Assistance dans la rédaction des dires.
Il existe de plus en plus d'avocats parfaitement compétents en matière informatique, mais ils sont encore trop peu nombreux. L'art de l'avocat est d'assurer la bonne défense juridique de son client, et pour compléter cela, certains n'hésitent pas à faire appel à un expert technique pour étudier tous les éléments techniques laissés éventuellement en suspend par l'expert judiciaire. L'expert judiciaire est seul devant toutes les parties, et il doit être soutenu dans sa recherche de la vérité par un débat contradictoire qui a lieu avant le dépôt de son rapport, et en particulier par l'analyse de son pré-rapport. Il faut éviter les zones d'ombre et souvent plusieurs experts valent mieux qu'un pour éclairer un dossier dans toutes ses dimensions. Il ne s'agit pas d'attaquer l'expert judiciaire pour le faire trébucher, mais de lui permettre d'être exhaustif dans l'accomplissement de ses missions, avant la remise de son rapport définitif.

3) Analyse critique d'un rapport d'expertise judiciaire.
Les différentes réunions d'expertise ont eu lieu, le pré-rapport a été discuté avec des dires et leurs réponses, et le rapport définitif a été remis au magistrat. Et ce rapport vous est très défavorable, d'une manière qui vous semble excessive. Votre avocat sait que l'affaire est mal engagée et souhaite mettre toutes les chances de votre côté. Il n'est plus alors question de peser le pour ou le contre sur la question de savoir s'il faut engager des frais pour se faire assister par un expert technique pendant les phases précédentes. La défense est aux abois, il faut faire analyser le rapport d'expertise judiciaire, non plus sous l'angle du droit, mais sous l'angle purement technique. C'est le type de service qui m'est le plus demandé, et en général en urgence.

Si l'expert judiciaire est compétent, ce qui est le plus souvent le cas, je ne peux que faire l'éloge de son travail et vous aider à faire le deuil de vos prétentions.

Mais parfois, comme le rappelle Madame Marie-Claude MARTIN, vice-présidente du TGI de Paris, qui a publié dans la revue "Experts" (numéro 73 de décembre 2006), un excellent article intitulé "la personnalité de l'expert":
"[...] plusieurs comportements sont susceptibles d'être observés:
- "L'expert sans problème": Je lis la mission, elle rentre parfaitement dans mes attributions, je l'accepte.
- "L'expert aventureux, ou téméraire, ou intéressé": La mission ne paraît pas relever de ma compétence, mais elle m'intéresse ; je prendrai un sapiteur ultérieurement [...]
- "L'expert optimiste qui dit toujours oui": Je suis surchargé, je prends quand même cette mission, je me ferai aider au besoin par l'équipe qui m'entoure [...].
- "L'expert stressé qui ne sait pas dire non": Je suis surchargé, mais si je dis non, je ne serai plus désigné et je vais rapidement me trouver sans mission.
Il y a donc des cas où le travail d'expertise peut ne pas avoir été parfait. Dans ces cas, je crois sincèrement que les avocats devraient s'adjoindre les services d'un expert privé.

Le public ciblé:
Les avocats constituent le public privilégié des services de que je propose. Je n'accepte une mission que si elle est validée/proposée par un avocat. Le travail en direct avec une partie, sans la caution juridique d'un avocat ne m'intéresse pas: chacun son métier, je ne peux pas vous guider dans les arcanes des procédures juridiques, ni même vous conseiller dans ce domaine. Mon domaine à moi, c'est l'informatique.

Travailler avec un avocat, c'est pour moi la garantie de pouvoir me concentrer sur la partie purement technique. Dans la plupart des dossiers que j'ai déjà eu à traiter, l'avocat m'a surpris par la finesse de la compréhension qu'il avait des problèmes techniques soulevés. Mais tout les avocats ne sont pas aussi compétents en informatique que Maître Eolas, ou Maître Iteanu, ou Maître Bensoussan. Il est souvent profitable pour le client de former un binôme avocat-expert performant. C'est ce que je vous propose.

Procédure de travail
Je travaille depuis plusieurs années avec des avocats aux six coins de la France.
J'aime les choses simples et efficaces: si vous n'êtes pas avocat, contactez d'abord votre avocat et discutez de votre affaire avec lui. Proposez lui mes services et s'il estime en avoir besoin, dites lui de me contacter. Si vous êtes avocat, contactez moi par le biais de ce formulaire. Si vous savez utiliser une clef publique OpenGPG, la mienne se trouve sous le formulaire. Décrivez moi le contexte de l'affaire. Je garantis une prise de contact rapide pour discuter des détails à suivre, des délais et du coût estimatif.

Le coût:
Je parlais des coûts des expertises privées quand je lançais timidement cette activité en 2010, dans ce billet. Je dois reconnaître que les tarifs ont évolué. Il faut maintenant me contacter pour les connaître.

En janvier 2013, j'ai publié un billet intitulé "Pourquoi les experts judiciaires sont-ils si chers". Je vais reprendre ici la blague que j'avais alors citée pour illustrer la réponse à cette question:
C’est l’histoire d’un ingénieur qui a un don exceptionnel pour réparer tout ce qui est mécanique. Après toute une carrière de bons et loyaux services, il part à la retraite, heureux.

Un jour, son ancienne entreprise le recontacte pour un problème apparemment insoluble sur l'une de leur machines à plusieurs millions d'euros. Ils ont tout essayé pour la refaire fonctionner et malgré tous leurs efforts, rien n’a marché. En désespoir de cause, ils l’appellent, lui qui tant de fois par le passé a réussi à résoudre ce genre de problème.

A contre cœur, l’ingénieur à la retraite accepte de se pencher sur le problème. Il passe une journée entière à étudier et analyser l’énorme machine. A la fin de la journée, avec une craie, il marque d’une petite croix un petit composant de la machine et dit "Votre problème est là..."

L'entreprise remplace alors le composant en question, et la machine se remet à marcher à merveille.

Quelques jours plus tard, l'entreprise reçoit une facture de 10 000 euros de l’ingénieur. La jugeant un peu élevée, elle demande une facture détaillée, et l’ingénieur répond alors brièvement :
- Une croix à la craie : 1 €
- Pour savoir où la mettre : 9 999 €.

La société paya la facture et l’ingénieur repartit dans sa retraite heureuse.
Je ne suis pas encore à la retraite, mais je SUIS cet expert qui sait où tracer la croix à la craie dans votre (pré)rapport d'expertise défavorable.

Et si le rapport d'expertise est parfait ET défavorable, je ne peux plus rien pour vous. Je vous le dirai en première lecture et il ne vous en coûtera rien.

Mais réagissez bien, réagissez vite !
Contactez moi avant qu'il ne soit trop tard ;-)

Source : http://zythom.blogspot.com/feeds/7486515916756142798/comments/default


GERME

vendredi 15 novembre 2013 à 13:06
Depuis trois ans, je suis une formation au management. Comme beaucoup d'ingénieurs, j'ai toujours privilégié la connaissance et la compétence technique au détriment des autres qualités que doit avoir un bon "chef d'équipe". Le travail en équipe et l'animation d'équipe ne m'ont pas été enseignés lors de ma formation initiale maintenant lointaine. Et après 30 ans d'immersion dans la technique, il était temps de retourner à l'école, pour corriger ce que j'avais pu apprendre "sur le tas". Le management en fait partie.

Je suis allé voir la personne en charge des ressources humaines dans mon entreprise et elle m'a conseillé de prendre contact avec une animatrice de ce formidable organisme qui s'appelle GERME.

Késako ?

GERME est une association loi 1901 qui est née d'une initiative de membres et d'animateurs de l'Association Progrès du Management (APM) en 1992 qui ont souhaité une approche de perfectionnement au management des entreprises pour leurs cadres de direction. L'association GERME a finalement été créée fin 1997 et constitue le réseau de référence pour les managers qui veulent développer et mettre en œuvre de nouvelles compétences en management. l'acronyme GERME signifie d'ailleurs Groupes d’Entraînement et de Réflexion au Management des Entreprises.

Les managers adhérents à GERME progressent et se développent par la formation, les mises en situation et le partage d'expériences au sein de groupes présents sur tout le territoire français, les Antilles et la Belgique. Chaque groupe compte de 15 à 20 cadres de direction qui se réunissent 8 fois par an pour suivre un cycle de formation, pilotés par des animateurs formés à la pédagogie GERME.

C'est pour moi l'occasion de prendre un peu de recul par rapport à la pression du travail, à l'urgence des problèmes que je rencontre au quotidien dans mon entreprise. C'est surtout pour moi un lieu d'échanges en confiance. En effet, quoi de mieux que de rencontrer des personnes d'autres entreprises, ayant des responsabilités similaires, mais dans des métiers très différents, et de pouvoir se confier à eux, de pouvoir parler de ses propres faiblesses, erreurs et défauts en étant écouté sans se sentir jugé.

Une fois par mois, sur 8 mois sélectionnés judicieusement pour que tout le monde puisse participer, je rencontre des personnes qui sont devenues pour moi des camarades de galère, que je connais maintenant mieux que leurs collègues de boulot, et nous suivons une journée de formation animée par un conférencier sélectionné par le réseau GERME, sur un thème que nous avons collectivement choisi. Les thèmes se regroupent dans 4 axes pédagogiques: le manager et le monde, le manager et son entreprise, le manager et son équipe, et enfin le manager lui-même...

Pour vous donner une idée, voici quelques unes des formations que j'ai suivies depuis 2011:
- Comment gérer les personnalités difficiles ?
- Comment motiver son équipe ?
- Comprendre et manager la génération Y
- Anticiper et accompagner le changement
- L'attitude intérieure positive
- Prendre la parole en public et rester zen
- L'intelligence émotionnelle
- Comment mieux gérer son stress ?
- Humour et management
- Conduire le changement
- Décrypter la gestuelle pour rendre plus efficace sa communication
- La communication de crise, quelles relations avec la presse ?
- L'art de la répartie : comment réagir en toute situation ?
- Équilibre vie professionnelle vie privée

A chaque fois, le conférencier anime la journée en alternant présentation, mise en situation, exercices pratiques, échanges entre apprenants, etc.

Cela permet de recevoir des connaissances en provenance d'un professionnel expérimenté, de pouvoir les discuter et se les approprier, et surtout de confronter "entre nous" les expériences - bonnes ou mauvaises - des uns et des autres. Qui n'a pas eu à gérer une réunion houleuse, une personne qui réagit de manière désagréable, des problèmes d’ego ou un conflit au sein de son équipe de travail ?

J'apprends beaucoup sur moi-même au cours de ces formations. Elles ont contribué - j'espère - à améliorer mon contact avec les autres, que ce soit dans mon univers professionnel où l'on est parfois prompt à critiquer l'interface chaise-clavier, dans ma gestion des réunions d'expertise où l'écoute est importante ainsi que la bonne gestion de crise, ou dans ma tache de conseiller municipal, je pense en particulier à l'animation des réunions publiques.

Les valeurs GERME, sur lesquelles travaillent tous les adhérents, sont les suivantes: Progrès, Respect, Ouverture, Confiance, Humilité et Ensemble (PROCHE). Elles illustrent bien le mode de fonctionnement du groupe GERME auquel j'appartiens. Elles permettent de développer et mettre en œuvre de nouvelles compétences en management. Elles permettent d'apprendre à se connaître pour accepter ses limites et renforcer ses points forts.

En septembre 2013, il y avait 87 groupes GERME réunissant 1310 adhérents. Les groupes accueillent des cadres de direction associés à la réflexion et aux décisions stratégiques: cadres en responsabilité d'équipes, cadres en responsabilité transversales et parfois des dirigeants de TPE. Les adhérents sont accueillis dans un groupe en veillant à la diversité des fonctions et à la non-concurrence des entreprises représentées. Vous trouverez plus d'informations sur le site de l'association. N'hésitez pas à entrer en contact avec un animateur proche de vous ou directement avec l'équipe d'accueil de l'association. Les formations sont prises en charge par votre entreprise.

J'avais beaucoup d'idées reçues sur le management, principalement par méconnaissance. J'imaginais que certaines personnes avaient une sorte de qualité naturelle innée de "leader" charismatique, ou d'autres l'insupportable comportement de "petits chefs". Je pensais que les cours de management consistaient en un ensemble de "trucs" pour manipuler les gens et en augmenter la productivité. J'avoue être allé un peu à reculons aux premières formations, moi le scientifique pur cru.

Au final, j'apprends à être plus ouvert, responsable, engagé, en constant perfectionnement, capable de comprendre mon environnement avec du recul, acteur et diffuseur de progrès au sein de mon entreprise, et acteur du changement.

Mes collègues ont constaté le changement. J'ai pu apprécier mon évolution dans la conduite des réunions d'expertise judiciaire. Même les étudiants sentent que j'ai changé en mieux. Même mes enfants...

Il me reste à mettre tout cela en pratique avec les élections municipales qui s'annoncent...

J'en parlerai sûrement ici.

Source : http://zythom.blogspot.com/feeds/2978378431371273927/comments/default


Le tri

mercredi 13 novembre 2013 à 15:08
Me voilà encore une fois devant un ordinateur que je dois analyser. Les informations transmises par l'Officier de Police Judiciaire me disent qu'une lointaine autorité a signalé à Interpol que l'ordinateur aurait servi à télécharger des images pédopornographiques.

Moi, je ne suis qu'un tout petit maillon de la chaîne: je n'ai pas saisi l'ordinateur, je ne connais pas son contexte de connexion à internet, j'ai simplement une unité centrale saisie pas loin de chez moi et posée sur mon bureau, avec pour mission de dire si elle contient des images pédopornographiques et si possible comment elles sont arrivées là...

Bien, bien, bien.

Je prends des photos du scellé, comme j'ai vu faire dans les séries américaines. J'ouvre le scellé, je dépose l'unité centrale sur mon bureau. Elle sent la cigarette. Je prends des photos, puis j'ouvre l'unité centrale avec un tournevis, proprement pour ne pas laisser de marques. Je prends des photos de l'intérieur, puis j'enlève le disque dur. Enfin, je prends en photo le disque dur, je note ses caractéristiques, son modèle, son numéro de série. J'en fais une copie numérique bit à bit en priant pour qu'il ne rende pas l'âme à ce moment là... Je dormirai mal cette nuit-là.

Le lendemain, je m'assure que la copie s'est bien passée, je remonte le disque dur dans l'unité centrale, je prends des photos, je range le scellé. Le vrai travail d'investigation peut commencer.

Les données du disque dur se présentent de plusieurs façons:
- bien rangées dans des ensembles qu'on appelle "des fichiers"
- en vrac partout ailleurs sur le disque dur.

Les fichiers non effacés sont accessibles via les tables d'allocation des fichiers.
Les fichiers effacés sont, pour certains, encore accessibles via ces mêmes tables (qui se comportent comme des index de livres). La majorité de ces fichiers proviennent des mécanismes de mise en cache des navigateurs. Quelques uns viennent de la suppression de fichiers choisis par l'utilisateur.
Puis il y a les "paquets de données" éparpillés sur le disque dur, référencés nulle part (la référence a été définitivement effacée). Ces paquets contiennent des traces de fichiers ayant un jour été "cohérents". On trouve de tout dans ces paquets, des bouts d'images, des bouts de téléchargements, des bouts de conversations, des bouts de fichiers systèmes, etc.

Une fois récupéré l'ensemble de toutes ces données (effacées, pas effacées, en fichiers ou en bout de fichiers), je me retrouve face à un Everest de données qu'il me faut trier. Je vous parle ici d'un tas de cinq cents mille fichiers.

Cinq cents mille.

Première étape: éliminer les fichiers "communs", ceux qui appartiennent de façon certaine au système d'exploitation ou aux applications connues. Pour cela, je vous recommande la "National Software Reference Library" qui contient plusieurs bases de données intéressantes.

Mais ensuite, il faut tout regarder.

Je commence par les plus gros fichiers: je tombe alors sur des films qu'il faut que je visionne. Je me tape en accéléré et par morceaux tous les grands blockbusters des cinq dernières années...

Je regarde toutes les bases de données présentent sur le disque dur, et en particulier la base de registres, les fichiers logs du système et les bases de données des différentes applications. La plupart de ces bases sont codées en binaire de manière propriétaire par les éditeurs concernés. J'analyse chaque base: applications de messagerie, logiciel d'échange de données, chat, etc. J'obtiens la liste des connexions effectuées, les fichiers téléchargés, les données échangées...

Je continue mon tri.

Viennent ensuite les archives ZIP, 7Z et autres dont j'extrais les fichiers. 15 archives résistent et me demandent un mot de passe... que je cracke pour tomber sur du porno banal. Internet, c'est pour le porno.

Je continue mon tri.

Je regroupe toutes les images dans un ensemble de répertoires (Windows n'aime pas les répertoires contenant trop de fichiers). Je passe des soirées entières, pendant plusieurs semaines, à les regarder: mariages, soirées, vacances d'un côté, et tout le contenu porno des caches des navigateurs utilisés...

Je continue mon tri.

Il me reste quelques fichiers qui résistent à mon classement. Chacun représente un défi qu'il me faut relever. Surtout que pour l'instant, je n'ai rien trouvé de pédopornographique. J'ouvre les fichiers avec un éditeur hexadécimal. Je regarde leurs empreintes numériques, leur contenu. Je pense aux différents défis lancés par les conférences sur la sécurité informatique. Je me sens nul. Ici les fichiers illisibles sont simplement des images ou des fichiers word avec des entêtes corrompus.

Tout cela pour rien. Enfin, pas vraiment. Cela prouve l'innocence de l'utilisateur du PC, ce qui n'est pas rien. Pour moi, cet ordinateur est clean du point de vue de mes missions. Sur mon rapport j'indique que je n'ai trouvé aucune donnée pédopornographique. Je n'écris pas qu'il n'y en a pas. J'écris que je n'en ai pas trouvées. Ni trace d'un téléchargement qui pourrait laisser supposer la présence de telles données.

Et encore une fois, la fin de ce long tri ennuyeux me rend heureux: ma mission est terminée, et elle se termine bien. Il ne reste plus qu'à expliquer ma note de frais et honoraires, maintenant. Mais ça, c'est une autre histoire...

Source : http://zythom.blogspot.com/feeds/3745102424773589972/comments/default


In mémoriam

lundi 11 novembre 2013 à 00:27
Cédric "Sid" Blancher s'est tué dimanche 10 novembre 2013 lors d'un saut en parachute.

J'ai reçu cette information par Twitter, dimanche soir, alors que je travaillais sur un rapport d'expertise. Mon sang s'est glacé.

J'ai rencontré Sid sur la toile, il y a quelques années, et son blog m'a tout de suite intéressé. J'y trouvais des articles sur la sécurité informatique intéressant, un style d'écriture sans langue de bois.

Un jour de juin 2008, il m'a contacté parce que l'univers de l'expertise judiciaire l'intriguait, et il m'avait alors proposé d'écrire un billet sur son blog. J'avais apprécié la démarche et nos échanges constructifs.

C'est à lui que je dois mon invitation comme conférencier invité au SSTIC 2012 car il avait glissé mon nom aux oreilles des organisateurs. C'est d'ailleurs là que je l'ai rencontré IRL et qu'on a pu discuter de manière plus approfondie, le soir dans la rue de la soif de Rennes. Et rebelote au SSTIC 2013...

Il m'a parlé de sa passion du parachutisme et c'est lui qui m'a donné envie d'essayer, non pas avec un saut d'initiation, mais en faisant un stage PAC.

Il m'a aussi ouvert la porte de son entreprise EADS en faisant circuler mon CV quand j'ai essayé de changer de carrière. C'est dire sa gentillesse...

"Ma petite parcelle d'Internet..." est orpheline ce soir.

Mes pensées vont à sa famille et à ses amis.

[EDIT]
@niCRO sur Twitter nous informe que la cérémonie aura lieu jeudi 14 novembre à 14h en l'église Ste Jeanne d'Arc - 50, rue d'Isle - 87000 Limoges.

Si vous désirez envoyer des fleurs, merci de le faire à cette adresse avant 14h.

Les commentaires de ce billet sont maintenant fermés. Si vous souhaitez envoyer des photos, des anecdotes, des commentaires, des prières, des textes, vous pouvez le faire à l'adresse cedric@crashdump.net
@niCRO m'assure que l'ensemble sera transmis aux parents de Cédric en fin de semaine.



Source : http://zythom.blogspot.com/feeds/7190784445184060976/comments/default