PROJET AUTOBLOG


Zythom

Site original : Zythom
⇐ retour index

Conversation entre un libriste et un expert judiciaire

mardi 5 novembre 2013 à 10:00
Il m'arrive d'être contacté par email par un internaute qui m'interpelle sur un point et, parfois, une conversation épistolaire s'amorce, donnant lieu à des échanges intéressants. Ce fut le cas avec Hoper, et cela donne ce billet à quatre mains, publié simultanément sur nos blogs respectifs.
--------------------------------------------------------

Hoper:

Bonjour Zythom,

Je vais commencer par me présenter à minima. Informaticien, un peu blogueur, et un peu "énervé" quand il s'agit de défendre nos libertés, j'ai découvert votre blog en 2011. Je vous lis encore à l'occasion, et j'aurai quelques questions sur votre activité.

Par exemple la personne qui avait "défacé" votre blog vous reprochait de ne pas être suffisamment du coté de la "justice". Vous êtes vous déjà demandé si, au contraire, vous ne le seriez pas déjà un peu trop ? Je m'explique.

Nous vivons une époque merveilleuse ou tous les citoyens sont surveillés en permanence (prism, affaires des journalistes sur écoute, etc.) et ou les lanceurs d'alertes concernant la surveillance excessive (et illégale) mise en place par nos gouvernements "démocratiques" sont traqués comme des terroristes.

Pendant ce temps Vous fouillez dans la vie privée des gens. A la requête d'un juge certes, mais tout de même. Tout le monde est manipulable... Ça ne vous met pas mal à l'aise ?


Zythom:

Bonjour Hoper,

Je vais me présenter rapidement pour les lecteurs de votre blog: je suis ingénieur en informatique, je travaille comme directeur informatique et technique dans une grande école d'ingénieurs où je sévissais auparavant comme enseignant-chercheur, et j'exerce en parallèle l'activité d'expert judiciaire en informatique. Je raconte ma vie sur mon blog perso: "Zythom - blog d'un informaticien expert judiciaire. Je vais essayer de répondre correctement à vos questions...

Lorsqu'un crime est commis, et qu'un ordinateur est trouvé sur place, il me semble normal de saisir l'ordinateur et de l'examiner. Pour l'expert judiciaire qui sera affecté à cette tache, "examiner" signifie répondre à un ensemble de questions posées par un magistrat instructeur. Souvent, surtout quand il s'agit de chercher des preuves photographiques, cela nécessite de plonger dans la vie privée des utilisateurs de cet ordinateur.

En modifiant les éléments d'identification des affaires dans lesquelles j'interviens, en "romançant" pour reprendre le mot du procureur dans l'Affaire Zythom, je parle souvent sur mon blog de mes interventions dans la vie privée des gens. Par exemple, dans les billets "Une vie privée", "Je cherche la vérité", "Emilie 4 ans" ou "Ad nauseam". Je concluais d'ailleurs ce dernier billet ainsi:
Quand j'ai un doute, ou que je me sens mal à l'aise, je ne dois pas me contenter de dire: je mets en annexe, les autres feront le tri. Il faut décider ce qui relève de la mission. Il faut décider ce qui relève de la dénonciation de crime.
Le reste, c'est la vie privée.
Et parfois, c'est dur de faire les choix, quand on sait qu'on peut briser une vie.
Mais briser la vie de qui? Celle de l'utilisateur du disque dur? Celle de sa prochaine victime s'il y en a une? La mienne?
Ce qui montre que j'ai parfaitement conscience des risques que j'affronte.

Mais j'assume pleinement cette responsabilité. J'ai choisi de prêter le serment suivant: "Je jure d'apporter mon concours à la Justice, d'accomplir ma mission, de faire mon rapport, et de donner mon avis en mon honneur et en ma conscience." et j'entends bien y rester fidèle.

Puis-je être l'objet d'une tentative de manipulation ?
Ma réponse est simple: oui, tout le temps.
Je vais développer un peu.

Nous vivons dans une société où chacun est libre de déposer une plainte et de demander l'action de la justice. Certains abusent de cette possibilité pour, par exemple, déstabiliser un concurrent, chercher à obtenir des informations commerciales confidentielles, etc. L'expert judiciaire peut se retrouver au milieu de conflits violents, par exemple entre deux entreprises qui veulent se détruire mutuellement. Chaque partie cherche à obtenir de l'expert un rapport favorable à sa cause.

L'expert judiciaire doit résister à des tentatives d'intimidation, voire même à des attaques physiques. Je décris dans ce billet une agression dans un dossier qui a entraîné la ruine de l'expert judiciaire ! 

Vous le voyez, l'expert judiciaire n'a pas tous les pouvoirs. Son action est encadrée par la loi, et son rôle consiste à donner un avis sous la forme d'un rapport. Et le magistrat n'est pas tenu de suivre cet avis. Les avocats peuvent également "attaquer" le rapport de l'expert, avant son dépôt (par la rédaction de dires), ou après son dépôt en demandant une contre-expertise. Je pratique d'ailleurs beaucoup ce genre d'activité en lien avec des avocats, ou des associations, pour les aider à rédiger des dires. J'en parle dans ce billet intitulé "Contre expertise". Je vous invite à le (re)lire et j'en reporte ici la conclusion:
Enfin, chaque citoyen peut se voir accusé injustement d'un fait dont il est innocent. Beaucoup croient que la découverte de la vérité s'effectue "automatiquement" et "gratuitement" à travers des enquêtes sérieuses menées avec tous les moyens (humains et financiers) d'une justice moderne.Ils se trompent lourdement.
Sur le chiffrage des données, j'ai toujours encouragé mon prochain à l'utiliser pour protéger sa vie privée, soit avec des VPN ("Vie privée, vie publique", "Fournisseurs de VPN", ou "SSTIC OpenVPN Synology Freebox et iPhone"), soit avec des containers TrueCrypt.


Hoper:

"Lorsqu'un crime est commis, et qu'un ordinateur est trouvé sur place, il me semble normal de saisir l'ordinateur et de l'examiner."

Pour moi les choses sont loin d’être aussi simples.
Je m'interroge justement sur ce sujet. Pardonnez je vous prie ma totale méconnaissance du droit (je serai bien en peine d'expliquer la différence entre un crime et un délit par exemple, tout en sachant qu'elle est fondamentale légalement parlant).

Je m’interroge donc, sur ce qui peut autoriser un juge à demander l'analyse d'un équipement informatique. Quels sont les actes suffisamment graves pour justifier une telle intrusion dans la vie privée ? Sachant que, sauf erreur de ma part, Lopsi 2 autorise une intrusion à distance dans des cas aussi bénins que l'assistance aux sans papier, je me dis que, quelle que soit la faute commise, un juge pourrait décider de saisir mon matériel informatique.

Est-ce le cas ?


Zythom:

Je ne suis pas juriste, je ne peux pas prétendre connaître la bonne réponse à cette question, mais l'action des magistrats est encadrée par la loi. Ils ne peuvent pas faire ce qu'ils veulent et, de plus, les décisions qu'ils prennent peuvent être contestées, avec l'aide d'un avocat qui vous assistera dans la défendre de vos intérêts.

Pour une réponse plus pertinente, il faudrait poser la question à un magistrat, ou au moins à un juriste.


Hoper:

Autre question, même si cela tourne un peu autour du même sujet.
Êtes vous d'accord avec toutes les lois françaises ?
Si vos conclusions d'expert conduisaient un jour à inculper une personne
pour quelque chose que vous ne condamneriez pas vous personnellement...
(ou alors une beaucoup plus lourdement que vous ne l'auriez fait)
Cela ne vous poserai pas un problème ?

En résumé, je trouve qu'humainement et moralement parlant, vous prenez beaucoup de risques pour une justice qui semble (vue de loin hein) de moins en moins "juste". Vous ne le faite pas pour l'argent. Pas non plus pour vos pairs qui vous attaquent en justice, tentant de limiter de façon totalement inadmissible votre liberté d'expression.

Alors... pourquoi ?


Zythom:

Il m'arrive d'avoir dans un dossier une faiblesse humaine: ma sensibilité, mon "opinion", mes préjugés s'imposent à moi et brouillent mon avis (je rappelle que je ne "juge" pas une personne, je donne un avis technique en réponse à des questions qui me sont posées).

Heureusement, la méthode scientifique est là pour m'aider à garder la tête froide et à me défaire de ce type de réflexes primaires.

Un expert judiciaire est là pour donner un avis scientifique sur un point technique. Son opinion politique, ses préjugés sur le comportement de telle ou telle partie à la cause n'importent pas. Il en va de même pour les magistrats.

Et de même que la science peut se tromper, l'expert judiciaire peut également se tromper. J'ai alors à faire face à ma conscience. D'où la référence à ce concept dans le serment de l'expert judiciaire: "donner mon avis en mon honneur et en ma conscience."

Je ne suis pas d'accord avec toutes les lois françaises. J'ai en détestation le concept même de copyright et j'ai un avis très critique sur la HADOPI (soit ironique comme dans ces deux billets ici et , soit plus technique comme dans ce billet).

Alors pourquoi est-ce que je souhaite mettre mes compétences techniques à la disposition de la justice ?

Je pense qu'il faut d'abord préciser un point: il y a d'un côté les lois, votées par les hommes et femmes politiques que les citoyens ont élus, et d'un autre les magistrats qui constituent l'un des éléments clefs de l'institution judiciaire. Je me méfie comme de la peste du mot "justice" qui a plusieurs sens, et je vous invite à lire sur ce point l'excellent article de Wikipédia, dont voici un extrait:
"La justice est un idéal souvent jugé fondamental pour la vie sociale et la civilisation. En tant qu’institution, sans lien nécessaire avec la notion, elle est jugée fondamentale pour faire respecter les lois de l’autorité en place, légitime ou pas. La justice est censée punir quiconque ne respectant pas une loi au sein de sa société avec une sanction ayant pour but de lui apprendre la loi et parfois de contribuer à la réparation des torts faits à autrui, au patrimoine privé ou commun ou à l'environnement."
Si une mission me pose un problème de conscience, j'ai la possibilité de la refuser. Pour l'instant, ce n'est jamais arrivé.

Je ne travaille effectivement pas pour la justice (en tant qu'institution) pour l'argent, ni pour mes pairs. Je travaille pour l'institution judiciaire parce que cela me rapproche de l'univers de ma femme qui est avocate.

Et cela me paraît une excellente raison ;-)


Hoper:

Dans plusieurs billets, vous semblez avoir des doutes sur vos activités. Je ne parle pas seulement de la gêne que vous décrivez lors des perquisitions, mais de l'activité en général.

Je cite :

"Après tant de coups, après tant de désillusions, je me suis rendu compte que les seuls dossiers qui pouvaient avoir mérité d'avoir eu envie de devenir expert judiciaire étaient les énigmes posées par les scellés que l'on me confie dans les instructions. Et comme la plupart du temps, il s'agissait de recherche d'images ou de films pédopornographiques, je me dis que je suis un con."

C'est tout de même assez fort comme paragraphe...

Pouvez vous développer ? Car ici, en substance, on comprend "Tout ce que j'ai fait n'a pas servi à grand chose d'autre que de me fournir des défis techniques à relever.

Avouez qu'il y a alors de quoi se poser des questions.


Zythom:

C'est un peu la raison d'être de mon blog: l'écriture me permet de travailler sur mes frustrations, sur mes angoisses et sur mes faiblesses. Et parfois, cela donne une phrase un peu désabusée.

Travailler pour l'institution judiciaire, c'est mettre ses compétences au service de la justice. Mais c'est aussi découvrir un univers très contraint, très attaqué et très peu soutenu, avec des moyens financiers d'un autre âge. C'est dur de voir que l'idéal que l'on peut avoir sur la Justice n'est pas soutenu par les élus, ni par le justiciable.

Enfin, il m'a fallu aussi un certain temps pour digérer le fait que, non, l'expert judiciaire n'est pas accueilli à bras ouvert par une institution reconnaissante de son implication citoyenne, non, tous les experts judiciaires ne sont pas compétents, non, l'amour de la technique n'est pas suffisant pour être un bon expert judiciaire, etc.

Quand j'ai commencé l'activité d'expert judiciaire, je voulais aider la justice à découvrir la vérité. Maintenant, je suis plus intéressé par les défis techniques, tout en sachant que cela aide à découvrir la vérité. C'est gagnant/gagnant. Mais parfois, quand le dossier est difficile à digérer, en particulier en matière pédopornographique, j'ai plus de mal.

L'écriture sur le blog m'aide beaucoup, et bien entendu le soutien de mes proches.


Hoper:

Vous indiquez que vous avez la possibilité de refuser une mission qui vous semblerait vraiment contraire à vos principes.
C'est une très bonne chose en théorie. Mais avez-vous réellement tous les éléments pour faire un choix éclairé dans la pratique ?

D'après les exemples que vous donnez, on à plutôt l'impression que vous n'avez qu'une connaissance très limité du contexte de la mission proposée, peu ou pas d'éléments techniques, et que l'on vous demande généralement de donner une réponse "la toute de suite maintenant".

Ne pensez vous pas, dans ces conditions, qu'il serait possible de regretter un jour d'avoir accepté une mission ? Pas parce qu'elle vous prendrait plus de temps que prévu, ni parce qu'elle nécessiterai des compétences spécifiques, mais bien parce qu'elle vous poserai un problème éthique ?


Zythom:

Vous avez la possibilité de refuser une mission dès votre désignation par un magistrat. Personne ne peut vous obliger à accepter une mission, sauf cas exceptionnel que je n'ai jamais connu.

Une fois votre mission accepté, si des événements qui vous étaient inconnus posent un problème éthique, il est toujours possible de se déporter, en expliquant les raisons aux parties et au magistrat. Le plus tôt est le mieux, surtout si des frais importants doivent être engagés. Le cas s'est présenté plusieurs fois pour moi quand je me suis rendu compte que j'avais été en relation client/fournisseur avec un participant à la première réunion d'expertise, et que ce fait pouvait mettre en cause mon impartialité.


Hoper:

Concernant le chiffrement, vous encouragez donc son utilisation afin que chacun puisse protéger sa vie privée. Vous le faite en sachant qu'un chiffrement correctement implémenté vous empêcherai de remplir une mission qui vous aurait été confiée.

N'y aurait-il pas, dans cette attitude, une sorte de contradiction ?


Zythom:

Il n'y a pas de contradiction à être pour la défense de la vie privée, et être amené à devoir entrer dans la vie privée des gens.

Imaginez un policier qui encourage à s'équiper de portes blindées pour empêcher les cambriolages, alors qu'il doit lui-même forcer des portes dans le cadre d'enquêtes criminelles (par exemple).


Hoper:

Quand je m’interroge sur le respect de la vie privée, vous me répondez :
L'expert doit se limiter à la mission qui lui a été confié. Tout ce qui n'entre pas dans le cadre de cette mission doit être écarté.

C'est très bien mais que faire si, a contrario, la mission donnée est trop limitée ?

Exemple : "Trouver toutes les images pédopornographiques présentes sur cette machine"... En oubliant de vous demander d'en chercher la provenance ! (téléchargement effectué par l'utilisateur ou "piratage" etc.)
Si les questions qui vont ont étés posées ne sont pas assez nombreuses, il y a le risque d'aboutir à un mauvais jugement non ?


Zythom:

Oui. C'est pour cela qu'il arrive souvent que le magistrat, ou l'enquêteur, me contacte pour discuter avec moi des missions, avant leur rédaction définitive.

Si ce n'est pas le cas, et si les missions sont imprécises, il est toujours possible de contacter le magistrat après coup pour se faire préciser un point obscur. Il est malheureusement difficile d'arriver à joindre un magistrat, et quand on y arrive, il vaut mieux aussi que ce soit pour une bonne raison (il n'est pas là pour vous expliquer un point de procédure).

Mais si l'affaire n'est pas claire, que les parties sont de mauvaises fois, que l'expert n'est pas très bon, que les missions sont imprécises et que le magistrat s'appuie un peu trop sur son rapport pour prendre sa décision, alors oui, cela peut aboutir à de mauvais jugements. C'est je crois, l'origine du proverbe: "Un mauvais arrangement vaut mieux qu'un bon procès".

Heureusement, c'est rare, car les experts sont de mieux en mieux formés aux procédures juridiques, et les avocats, enquêteurs et magistrats de plus en plus compétents en matière informatique.


Hoper:

Concernant les erreurs, manipulations etc, vous me rappelez très justement que l'on peut demander (qui paye !?) une contre expertise. Bien. Mais ce nouvel expert devra t-il répondre exactement aux même questions, ou sa mission peut elle être élargie (cf exemple ci dessus) ?


Zythom:

Quand vous n'êtes pas content d'une expertise, il vous est possible d'en demander une autre au magistrat. C'est la contre-expertise. Si la demande n'est pas solidement argumentée, le magistrat va la refuser pour éviter les dépenses inutiles, car en général toutes ces expertises sont payées par l'une des parties qui fait l'avance (elle sera remboursée si elle "gagne" le procès, par la partie perdante, je simplifie). Si la demande est acceptée, la mission peut être élargie, si le magistrat le décide ainsi.

Sinon, vous pouvez toujours demander une expertise privée, à vos frais, pour venir critiquer scientifiquement le rapport de l'expert judiciaire. Je me suis d'ailleurs fait une spécialité en la matière, puisque je traite aujourd'hui plus d'expertises de ce type que d'expertise judiciaire. Mais tout cela à un coût, que l’État ne prend pas en charge.


Hoper:

A propos des experts maintenant. Vous expliquez vous même ne pas réellement savoir comment ils sont choisis, comment leur compétences sont validées etc. Soyons optimistes, et partons du principe qu'une très grande majorité d'expert sont effectivement très compétents dans leur domaine d'expertise. Il reste forcément des cas isolés, des personnes qui n'auraient pas eu être inscrite sur les listes.

J'imagine qu'après plusieurs échecs (conclusions remises en cause par des contre expertises justement), la question de leur "suppression" doit se poser ? Ca arrive souvent ? Sait on pourquoi une personne n'est plus sur la liste ?
 

Zythom:

Auparavant, le seul moyen de faire sortir un mauvais expert des listes était une procédure de radiation, procédure plutôt infamante.

Aujourd'hui, puisqu'il faut demander tous les cinq ans sa réinscription sur la liste, beaucoup d'experts disparaissent des listes, soit parce qu'ils ne redemandent pas leur inscription, soit parce que leur demande de réinscription est refusée. C'est plus discret et moins infamant. Mais la procédure de radiation existe toujours.


Hoper:

Que se passe il si un expert judiciaire tombe sur une difficulté technique qu'il n'arrive pas à résoudre seul. A t-il le droit de "faire appel à un ami" ? Je suppose que le secret de l'instruction l'en empêche ? Même si il s'agit de demander l'aide d'un autre expert judiciaire ?


Zythom:

L'expert termine toujours son rapport par une phrase affirmant qu'il a rempli seul et en personne sa mission. Donc il n'a pas le droit de faire intervenir de son proche chef une autre personne dans la procédure.

Mais il lui est possible de se documenter auprès de tierces personnes, sans livrer le détail du dossier. Il n'est pas interdit de poser une question purement technique sur une liste de diffusion, ou sur Twitter. Cela m'arrive souvent. On ne peut pas tout savoir, mais on doit savoir qu'on ne sait pas tout ;-)


Si par contre, je dois faire intervenir une société dans l'analyse d'un disque dur parce que celui-ci ne fonctionne plus, je dois demander auparavant l'autorisation du magistrat qui m'a désigné. Le rôle de l'expert judiciaire est bien encadré.


Hoper:

Le fonctionnement de la justice en France est quelque chose de très mal connu par l'écrasante majorité de la population (moi le premier). Inconnue et répressive, il est logique que l'administration judiciaire fasse "peur". D’où l'importance des blogs (le votre, celui de Maitre Eolas et de beaucoup d'autres). Merci beaucoup pour le temps passé à nous éclairer sur ces sujets.


Zythom:

Merci Hoper pour cet échange qui aborde des questions intéressantes qui me sont souvent posées lors des différentes rencontres que j'ai pu avoir IRL avec des internautes, mais que je n'avais jamais abordées ici. Et merci aussi pour le temps passé.


Source : http://zythom.blogspot.com/feeds/1178835992871914363/comments/default


JRES 2013

mercredi 30 octobre 2013 à 19:31
Je suis invité à faire une conférence aux Journées RESeaux (JRES) 2013 !!!
Oui, vous avez bien lu, je vais participer à la conférence de référence réunissant  les acteurs qui contribuent au déploiement et à l'essor des nouvelles technologies de l'information et de la communication dans les établissements d'enseignement supérieur et de recherche (plaquette inside).

Organisées par le GIP RENATER, c'est-à-dire par le REseau NAtional de télécommunications pour la Technologie, l'Enseignement et la Recherche (autrement dit LE RESEAU des chercheurs, le connecteur des savoirs), les JRES sont pour moi les conférences regroupant LES experts réseaux les plus pointus de mon univers professionnel (je vous rappelle qu'avant d'être expert judiciaire en informatique, je travaille dans une grande école d'ingénieurs).

Autant vous dire que je tremble déjà de parler devant un parterre d'illustres spécialistes qui vont tous vouloir manger tout CRU (jeu de mot inside) ce petit informaticien généraliste qui va venir leur parler des "Conséquences réelles d’actes irresponsables dans le virtuel (par Zythom)", le jeudi 12 décembre en plénière, avant le déjeuner...

Je passe juste après Patrick PAILLOUX, le Directeur général de l’ANSSI, ce qui ne manque pas de piquant... Je doute d'avoir le courage de lui glisser un CV, mais, sait-on jamais ;-)

En tout cas, je vais essayer d'être à la hauteur de la confiance qu'ont placée en moi les organisateurs: je tremble déjà rien qu'à l'idée d'être ainsi exposé au regard sévère des spécialistes. C'est quand même bien plus confortable d'être assis devant son clavier à rédiger un article de blog !

Comprenez moi: quand j'étais jeune chercheur, l'INRIA me faisait déjà rêver, le CRU réunissait les meilleurs des meilleurs. Je vous parle d'un temps que les plus jeunes ne peuvent pas comprendre: quand je découvrais Internet en 1989, en ligne de commande sur des stations de travail Apollo, dans un laboratoire d'une grande école parisienne équipé en 110v (véridique). L'unité réseau du CNRS (UREC) a longtemps été pour moi un repaire mythique de barbus, et j'ai assisté à la naissance de RENATER quelques semaines après ma thèse de doctorat.

Et durant toutes les années qui ont passé, je n'ai eu de cesse de travailler avec ces personnes, ou simplement grâce à ces personnes, qui m'ont permis de disposer d'un accès de qualité à internet, ainsi qu'à mes étudiants.

Et alors qu'aujourd'hui encore des équipes de RENATER œuvrent à déployer un nouveau réseau jusqu'à ma porte, en lointaine province, je ne peux que trembler à l'idée de devoir leur imposer une conférence sur mes activités d'expert judiciaire.

J'espère que tout se passera bien (en tout cas les organisateurs des JRES2013 font tout pour, je vous l'assure), et je donne rendez-vous à tous mes lecteurs, les passionnés des réseaux et les autres, à Montpellier, du 10 au 13 décembre 2013.

Il y a certainement de bons restaurants et une rue de la Soif chez les Clapassencs ;-)

Source : http://zythom.blogspot.com/feeds/7167940908623893857/comments/default


Courir contre soi-même

mardi 8 octobre 2013 à 16:10
J'ai eu une enfance sportive: mes parents m'ont encouragé à la pratique du sport, et j'ai répondu à leurs attentes, même si ma curiosité naturelle m'a amené à "papillonner" d'un sport à l'autre. Avec le recul, je pense que ce qui m'intéressait beaucoup, c'était surtout la progression. Dès qu'il fallait faire beaucoup beaucoup d'efforts pour une progression minime, le sport concerné m'intéressait beaucoup beaucoup moins.

J'ai donc pratiqué le foot, la natation, le tennis, le ski et la voile avant mes 18 ans, puis l'aviron et le handball pendant mes années d'étudiants, et enfin la spéléologie, le badminton et le squash pendant mes années parisiennes.

Que s'est-il passé ensuite ?
Le travail, les enfants, le confort et le poil dans la main ont fait que je suis resté sur des acquis physiques que je pensais éternels. Quelques petites alertes m'ont fait changer d'avis: une sortie spéléo dans un gouffre un peu "sportif" duquel j'ai bien cru ne jamais sortir, un essoufflement persistant à la montée des escaliers, une sainte horreur de tout ce qui ressemble de près ou de loin à un effort d'endurance... J'ai donc pris la décision qu'il fallait prendre dans ce cas là: j'ai arrêté tout effort sportif... Exit donc la spéléo, les sports de raquettes, et aussi tout ce qui ressemblait à une compétition. Et pour asseoir cette décision dans la durée sans regret, rapport à l'essoufflement, j'ai pris l'ascenseur.

Dix années ont passé, heureuses et pleines d'occupations. Mon activité professionnelle m'amène à me bouger un peu, essentiellement à pousser sur les bras pour déplacer mon fauteuil à cinq roulettes. J'aime les bons repas et les bonnes bouteilles. Ce qui devait arriver donc arriva: je me suis encroûté.

Heureusement, les enfants, La Femme et les potes sont là pour me faire bouger un peu! Tout a pourtant commencé par une décision que j'ai prise tout seul, et à laquelle mes proches ne croyaient pas un instant: aller au travail tous les jours en vélo, quelque soit le temps. Je me tiens depuis plus de deux ans à cette décision, que j'explique un peu dans ce billet. J'en ai même fait ici le bilan un an après.

Ensuite, j'ai décidé de reprendre l'aviron, une fois par semaine, dans un club très éloigné de celui avec lequel j'avais découvert ce sport: je suis inscrit en loisir, ce qui n'empêche pas les ampoules.

Enfin, mes potes me poussent à travers des défis qui m'apparaissent extrêmes: les 24h du Mans vélos l'année dernière (Vue de ma selle) et cette année (Les défis des potes). Et ce week-end, le marathon de Jersey par équipe.

Si, dans cette longue introduction, vous avez zappé un élément important pour comprendre la suite du billet, je le rappelle ici: je ne suis pas un grand fan des compétitions d'endurance. Et pourtant, MES POTES M'ONT FAIT PARTICIPER A UN MARATHON CE WEEK-END !!!

Le principe du marathon par équipe est très simple: vous courez sur le même parcours que les marathoniens (42,195 km), mais en effectuant des relais. Chaque membre de l'équipe cours un bout du marathon et passe un témoin au suivant. Nous étions cinq dans l'équipe, et j'avais à courir la distance extraordinaire de 7,2 km...

C'était donc ce week-end. Samedi matin, départ pour l'île de Jersey.
Pourquoi Jersey?
Question posée au coach de notre équipe, et beau-frère par la même occasion. Réponse: "parce qu'il y a un marathon, que je n'y étais jamais allé et que les organisateurs proposent à la fois un marathon classique et un marathon par équipe idéal pour un défi des potes".

Samedi, tourisme sur cette île magnifique, si anglaise et pourtant très française. Je vous passe les détails: paysages magnifiques, gens accueillants, histoire très riche, châteaux forts, campagne anglaise et vaches typiques.

Dimanche, nous voici sur la ligne de départ. J'encourage avec enthousiasme la première relayeuse de mon équipe (qui en plus est mon épouse...), avant d'aller prendre le bus qui m'emmène à mon point de relais: je suis 4e coureur de l'équipe.

Une fois sur place, je m'hydrate, je me concentre... et je sens monter une certaine anxiété. C'est une chose de courir pour soi, c'est autre chose de courir pour une équipe. Vais-je savoir donner le meilleur de moi-même ? Et si je pars trop vite ? Vais-je être le boulet de mon équipe ? Je regarde tous les coureurs autour de moi, et je vois beaucoup de jeunes, beaucoup de sportifs, beaucoup d'équipements, et très peu de boulet-like. D'après nos savants calculs, ma relayeuse devrait arriver vers midi pour me transmettre le témoin. Après, bah, ce sera à moi de jouer...

Midi arrive, j'ai le cœur qui bat à 100 à l'heure. Je n'ai qu'une seule envie, c'est de me mettre à courir. Les dernières minutes semblent plus longues que les autres. J'ai vu passer un bon nombre de marathoniens (la course individuelle se fait en même temps que la course par équipe, le départ des individuels se faisant simplement 1/2h avant). Je suis admiratif de l'aisance et du style de la plupart des personnes qui sont passées. Mais plus que les autres, j'admire ceux pour qui c'est dur. Je me dis que ceux qui souffrent vraiment sont plus méritant que ceux pour qui c'est "facile". J'applaudis chaque participant.

Midi 5, ma relayeuse arrive, je suis chaud-bouillant. Elle me donne le bracelet-témoin et je m'élance. C'est à moi de donner. Les 5 premières minutes sont magnifiques, je cours sans effort, emporté par l'adrénaline. Le parcours est sinueux, avec quelques montées, quelques descentes, des virages parmi les arbres. Je rattrape quelques personnes, la plupart courant depuis plus de trois heures, mais aussi quelques relayeurs qui viennent juste de partir comme moi.

Mais très vite mon corps commence à résister. Les muscles envoient des signaux d'alarme au cerveau: "QU'EST CE QUI SE PASSE ???". Je cours pour une cause: la lutte contre le cancer. Mais mon corps ne le sait pas. Chaque pas, chaque mètre, chaque verge anglaise est une lutte contre une envie de s'arrêter, de se mettre à marcher. Au bout d'un quart d'heure, je suis à bout de souffle. Je suis parti trop vite. Mon cœur d'informaticien va exploser. Mes poumons, plus habitués aux rythmes des sports de ma console Wii, crient AU SECOURS. Et cette petite voix lancinante dans ma tête qui se fait de plus en plus pressante: "et si tu marchais un petit peu, juste pour reprendre des forces?".

Une demi-heure s'est écoulée. Le soleil tape fort, je transpire beaucoup. Soudain, je comprends que de mettre un bandana pour éviter la transpiration dans les yeux n'est pas forcément une bonne idée. J'étouffe. Je suis une cocotte minute. J'enlève le bandana. Cela va un peu mieux. A chaque carrefour, un groupe de personne de l'organisation m'encourage en applaudissant et en criant "Well done ! Come on !". C'est fou le bien que cela peut faire. Je leur réponds en français un "Merci ! Merci beaucoup !" qui les fait rire. J'entends parfois en retour un "bienvenue !" ou "bonjour !". Le public nous encourage également. Je cours depuis 1/2h et j'ai l'impression que ça fait une éternité.

Les panneaux indicateurs sont en miles. J'ai vu passer le panneau des 17 miles. J'ai vu aussi celui des 19 miles. Des repères pour les marathoniens individuels... Mais à chaque fois, je suis incapable de répondre à la seule question qui m'intéresse: combien me reste-t-il à faire avant le prochain relais...

Une table de ravitaillement se profile. Un homme au milieu du chemin tient des bouteilles: deux bouteilles d'eau dans une main et deux bouteilles de Gatorade colorées dans l'autre. Je lui crie "orange" et il me tend un Gatorade à l'orange. Je ne savais pas que c'était a priori réservé aux marathoniens individuels. J'aime le sucre, on ne se change pas et les mauvais taux de ma dernière analyse sanguine sont le cadet de mes soucis. J'arrive encore à respirer, à boire maladroitement et à courir. Je me refuse à abandonner la bouteille au bord du chemin, malgré les centaines de cadavres déjà présents. Je trouve une poubelle adhoc quelques centaines de mètres plus loin. Je suis très fier de moi. Petite victoire sur moi-même.

La voix dans ma tête hurle de plus en plus fort: "MAIS ARRÊTE DONC DE COURIR ET MARCHE". Une grande ligne droite me permet de voir qu'il reste encore beaucoup à courir. Mon moral baisse. La ligne droite est en fait une montée. Mon moral baisse encore. Un coureur me double comme une fusée. Mon moral baisse et je me mets à marcher. Un mètre, deux mètres, dix mètres.

Il paraît qu'au bout d'un certain temps d'efforts, le corps du coureur à pied sécrète des substances euphorisantes qui concourent au plaisir du sportif. Soit je n'arrive pas à attendre assez longtemps, soit mon bonheur habituel est tel que je suis déjà saturé d'euphorie, soit mon corps ne sait pas sécréter ce type de produit car j'ai plutôt le sentiment d'une souffrance qui augmente avec le temps d'efforts !!!

Pour moi, courir, c'est surtout courir contre soi-même. Après dix mètres de marche, j'arrive à redonner l'impulsion mentale nécessaire pour reprendre un rythme de course, quel qu'il soit. Je suis un boulet, je suis une brêle, je suis un mauvais, mais purée, ces 7,2 km, je les ferai en courant!

Je double un marcheur. Je l'entends se ressaisir et reprendre la course. Il me double. Je le redouble un peu plus loin quand il s'est remis à marcher. Le jeu se répète encore. Je regarde ma montre: cela fait 45mn que je cours au maximum de mes possibilités. L'arrivée doit être proche. J'accélère. Je suis en vrac, j'ai mal partout. Le temps s'étire. J'entends le haut parleur qui annonce aux relayeurs le numéro du coureur qui arrive. J'accélère. J'entends mon numéro. Je vois ma prochaine relayeuse. Je lui tends le bracelet. C'est fini. Je m'assois dans l'herbe et je cherche mon souffle. 7,2 km en 49 mn...

J'ai probablement été le boulet de mon équipe de filles, mais nous avons fait chacun notre premier marathon à cinq en 4h30 et notre classement général n'est pas ridicule.

Maintenant, deux jours après cette aventure, j'ai les deux jambes dures comme du bois. Le manque d’entraînement sans doute ;-)

Pour moi, courir, c'est avant tout courir contre soi-même.

Source : http://zythom.blogspot.com/feeds/8999769498964077127/comments/default


Nettoyage d'automne et backstage

lundi 30 septembre 2013 à 16:25
Cela faisait longtemps que je n'avais pas changé l'habillage de ce blog. Après avoir hésité à mettre en place le même thème que le blog version américano-anglaise, j'ai finalement opté pour quelque chose de plus léger et toujours dans l'esprit "blog".

J'espère que ce nouvel habit d'automne vous plait.

PS: Il y a deux thèmes pour le blog, un pour la version ordinateur classique, l'autre pour mobiles. N'hésitez pas à me remonter les anomalies que vous constaterez pour l'un comme pour l'autre thème (en précisant).

Pour les curieux des coulisses d'un blog:

Bien que très concerné et intéressé par les technologies internet, je n'ai jamais souhaité m'occuper de l'hébergement de ce blog, ni de son développement. J'ai donc cherché une plateforme d'hébergement offrant de bonnes infrastructures et des outils simples de configuration et d'administration. En 2006, mon choix s'est tourné vers Blogger (racheté depuis par Google) qui présente de plus la particularité d'être entièrement gratuit.

La création d'un blog se fait en quelques minutes, si possible en suivant la procédure suivante:
- se choisir un pseudonyme disponible sur internet
- créer le compte Google correspondant à ce pseudonyme (adresse Gmail, etc.)
- ouvrir le blog sur Blogger
- choisir le modèle de présentation parmi les différents proposés dans l'interface d'administration et découvrir les différents paramétrages
- écrire des billets ;-)

Personnellement, j'ai choisi le tout gratuit, sachant que je serai le produit. Je n'ai pas réservé de nom de domaine, je n'ai pas de mise à jour de système d'exploitation à faire, je ne gère pas de base de données, je n'ai pas de connaissance particulièrement prononcée des langages de mise en forme, je ne m'occupe pas de la bande passante nécessaire ni des attaques DDOS. Bref, c'est cool.

J'ai juste acheté une casquette Google pour faire mes conférences (et pour troller un peu ;-).

Bien sur, je sauvegarde régulièrement le blog par un export XML (avec la console d'administration Blogger) qui m'a été bien utile lors du piratage du blog l'année dernière.

Je n'ai pas accès aux logs du serveur qui m'héberge, et je dois dire que ça ne me manque pas beaucoup. Côté statistiques, j'utilise Google Analytics, paramétrable très facilement dans Blogger, et cela me suffit pour combler mon égo de blogueur. Quand un internaute m'insulte par email, je supprime simplement l'information et l'oublie aussitôt. J'ai gardé quelques remarques déplaisantes de confrères pour mon mur des cons personnel, mais je dois dire que c'est plutôt rare.

Côté référencement, je n'ai fait aucun effort particulier: pas de mot clef acheté, pas de truc ou astuce dans les méta balises... Je compte simplement sur le référencement des blogueurs qui aiment bien mon blog et sur la pertinence des moteurs de recherche.

A ce propos, je vous invite à aller regarder ma blogroll située sur le côté droit du blog. Elle contient tous les sites que je dévore dès que leurs auteurs publient quelques choses. Je place sur Google+ les billets qui m'ont particulièrement intéressé. Elle est organisée selon les rubriques suivantes:
- Le meilleur de la Justice (Me Eolas...)
- Les chapeaux blancs (Sid...)
- Le 4e pouvoir (Aliocha...)
- Les soigneurs (Boule de Fourrure...)
- Cerveau gauche (Dr. Goulu...)
- Cerveau droit (Embruns...)
- Blogs BD (BouletCorp...)
- L'Empire des sens (pardon maman...).

Si vous avez des liens à me conseiller, n'hésitez pas à me le envoyer par email ou en commentaire! Ou alors, ouvrez un blog et mettez les dans votre blogroll ;-)

Sol lucet omnibus
("le soleil luit pour tout le monde", Olibrius dans Astérix et les Normands)

Source : http://zythom.blogspot.com/feeds/4237599086604015885/comments/default


Cracker les mots de passe

mardi 24 septembre 2013 à 17:27
Quand j'étais jeune responsable informatique, dans les années 1990, il existait une "tradition" chez les administrateurs réseaux de l'époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l'on gérait.

C'est ainsi que j'ai découvert le logiciel "crack", librement distribué et partagé sur internet par les administrateurs réseaux.

C'est aussi à cette époque que j'ai compris l'intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer.

Voici donc un billet sur les outils que j'utilise aujourd'hui dans les analyses que j'ai à mener, soit dans le cadre judiciaire, soit dans le cadre professionnel (quel admin n'a pas déjà eu à contourner un mot de passe root, ou un mot de passe BIOS). J'espère qu'il pourra être utile aux experts judiciaires débutants en la matière, ou à tout ceux qui veulent tester leur réseau informatique personnel ou professionnel.

Dernier point: il n’est pas inutile de rappeler que toute utilisation illégale de ce type d'outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l'approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s'en servir à leur insu est réprimandée par la loi.

Bref, ce qui est mal est mal, ce qui est illégal est illégal...
S’il n’était mort il serait encore en vie.

Note à mes lecteurs issus ou nageant déjà dans l'univers de la sécurité informatique, ne vous attendez pas à des découvertes techniques incroyables dans ce qui va suivre, considérez ce billet comme une initiation au B.A.BA pour mes lecteurs "mékeskidis" (© Maître Eolas) ou les simples curieux.

---------------------------------------
0) L'outil magique, celui qui impressionne les amis : Ophcrack

Rendez-vous sur le site de téléchargement d'Ophcrack, récupérez le liveCD qui va bien (Vista/7 par exemple), gravez le et bootez votre machine Windows 7. Regardez et admirez, c'est plug and play.

Ophcrack fonctionne très bien également sur des machines virtuelles, par exemples des images disques créées par la commande "dd" et transformées en VM par liveView.

Pour les plus motivés d'entre vous, il existe des "tables arc en ciel" en téléchargement plus ou moins libre sur internet, permettant d'améliorer les performances de récupération des mots de passe. Attention, ces tables peuvent faire plusieurs gigaoctets. Vous pouvez également les faire vous même (par exemple avec RainbowCrack): prévoir un ordinateur TRES puissant et plusieurs mois de calculs...

Ophcrack est un outil précieux lors des perquisitions, où l'on rencontre souvent du matériel sous Windows XP ou Windows 7.

Conseil aux administrateurs réseaux débutants: bloquez très vite le mode "boot sur CD" de tous les postes que vous administrez...


---------------------------------------
1) L'ancêtre, celui qui fera de vous un barbu : crack

Crack est un logiciel de recherche de mot de passe par création de combinaisons de mots courants stockés dans des fichiers. Je dois à ce logiciel ma plus belle collection de "dictionnaires", le mot étant à prendre ici au sens de "liste de mots" (sans définition). J'ai des dictionnaires de mots dans un grand nombre de langues, des dictionnaires de mots écrits en phonétique, des règles de codage/décodage en langage SMS (t1t1 pour tintin), etc. J'ai également récupéré, quand ils ont été disponibles sur internet, tous les fichiers de mots de passe (parfois plusieurs millions) d'utilisateurs...

Comme indiqué en préambule, c'est le premier programme que j'ai utilisé dans le contexte d'analyse de la sécurité de mon réseau, pour tester la validité des mots de passe choisis par les étudiants. Je précise que je suis barbu avec modération. 20% des mots de passe utilisés par les étudiants ont été trouvés en moins de 5 mn, 80% en moins d'une heure. J'ai affiché dans le couloir du laboratoire informatique la liste des mots de passe par ordre de découverte (sans le nom du compte associé), avec obligation pour chaque étudiant de changer leur mot de passe... Toute une époque ;-)

Crack est un programme conçu pour UNIX et fonctionnant sous UNIX. La rubrique "Troll" de la FAQ est instructive à ce sujet. Ceux qui ont un peu plus de temps, liront avec délice les emails les plus curieux envoyés au développeur de crack.

C'est un programme pédagogique, qui peut encore être utile, même si je dois avouer ne pas m'en être servi depuis longtemps.


---------------------------------------
2) La référence : John l'éventreur

John The Ripper, ou JTR, est l'une des références dans l'univers des briseurs de mots de passe. Bien qu'un peu ancien maintenant, ce logiciel a su évoluer pour utiliser différentes méthodes d'approche.

Il a surtout l'avantage de fonctionner dans beaucoup d'environnements: Windows, Linux, Mac OS, etc. C'est encore un logiciel basé sur des dictionnaires.

Je raconte dans ce billet, une petite anecdote liée à la présence de ce logiciel sur le poste de travail d'un salarié avec le mot de passe du patron dans un fichier texte...


---------------------------------------
3) L'attaque à distance multi-protocoles : Hydra

Si vous devez auditer un ensemble de postes, de serveurs, de protocoles, de services, de trucs à distance, ou tout simplement un ordinateur allumé ciblé, le tout sans bouger de votre poste d'analyse, voici le produit qu'il vous faut: THC-Hydra.

Je reporte ici la description du produit extraite de ce manuel en français: THC Hydra est un crackeur de mot de passe réseau supportant les protocoles suivants: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET, HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA, REXEC, SOCKS5, VNC, POP3, VMware-Auth, NCP, Firebird.

Le logiciel possède deux modes de fonctionnement: l'attaque par dictionnaires ou par force brute. A ce propos, ne pas oublier les fonctionnalités moins connues du couteau suisse des réseaux: nmap et ses possibilités d'attaque par force brute.


---------------------------------------
4) Le mot de passe BIOS oublié : PC CMOS Cleaner

Toute la description est dans le titre. La encore, un liveCD à télécharger pour booter ensuite dessus. Rapide, efficace, mais modifie le scellé ce qui est interdit.

Sinon, la vieille méthode dite de "la pile BIOS à enlever" marche toujours, mais il faut savoir la trouver, surtout sur les ordinateurs portables. Encore une fois, interdit dans le cas d'un scellé.


---------------------------------------
5) Efficace mais long : les emails

La meilleure de toutes les solutions est un constat simple que je fais souvent: la grande majorité des gens n'utilisent qu'un ou deux mots de passe, pour tous les systèmes d'authentification qu'ils rencontrent.

Il est donc très probable que l'utilisateur de l'ordinateur analysé ait choisi son mot de passe "habituel" pour s'enregistrer sur un site quelconque de téléchargement de démos, d'achats en ligne ou de webmail. Parmi tous les sites en question, il n'est pas rare que le mot de passe utilisé lors de la procédure d'inscription soit envoyé EN CLAIR dans l'email de confirmation de création du compte.

Il suffit donc d'analyser les correspondances emails (Outlook, Thunderbird, traces logs des différents navigateurs, etc) pour retrouver un ensemble d'emails du type "votre mot de passe est bien ZorroDu69, merci de conserver cet email" (oui, merci). Quand vous listez ensuite tous les mots de passe ainsi trouvés, le nombre dépasse rarement 3 ou 4. Il ne reste plus qu'à les tester sur le compte ciblé pour trouver le bon.

C'est l'application d'une des bases de l'ingénierie sociale...


---------------------------------------
Conclusion

L'amoureux de la vie privée que je suis commencera par un conseil sur les mots de passe: choisissez les de manière à ce qu'ils ne puissent pas apparaître dans une liste de mots de passe, et suffisamment longs pour qu'ils résistent à une attaque par force brute. Je donne souvent l'exemple des premières lettres des mots d'une chanson ou d'un poème, en mélangeant majuscules et minuscules, ex: LsLdvdLBmCdULm, auxquelles vous ajoutez quelques chiffres (en majuscule, non, je plaisante), ex: LsLdvdL1844BmCdULm1896. C'est beau, c'est long, c'est bon, c'est difficile à deviner quand on vous regarde taper sur le clavier (sauf si vous chantonnez).

Mais attention, ce n'est pas inviolable (cf point n°0 sur Ophcrack et le boot sur cédérom).

Ensuite, un conseil encore plus pénible: choisissez un mot de passe très différent pour chaque compte informatique. Dix comptes, dix mots de passe. 50 comptes, 50 mots de passe. Un mot de passe pour Twitter, un autre pour Facebook, un autre pour Gmail, etc. Évidemment, la nature humaine est ainsi faite que la mémorisation parfaite de tous ces mots de passe devient un tantinet compliquée. Je vous recommande donc le logiciel KeePass pour stocker de façon sécurisé tous vos mots de passe. Ce logiciel est même certifié par l'ANSSI, c'est dire. Il peut également générer des mots de passe très long aléatoirement, avec la possibilité de faire des copier/coller, ce qui revient à ne même pas connaître le mot de passe que vous utilisez.

Du coup, vous n'avez à retenir vraiment qu'un seul mot de passe, jamais mis par écrit: celui de l'accès à KeePass. De plus, ce logiciel est à double authentification (présence d'un fichier à choisir + mot de passe). Vous pouvez même placer KeePass sur le Cloud pour pouvoir y accéder de partout !

Cracker des mots de passe est une activité assez amusante, un petit défi technique accessible à tous. Il est par contre plus difficile pour certains étudiants de garder à l'esprit que tout ce savoir technique doit servir du bon côté de la Force. Quoi qu'il en soit: sit vis vobiscum !


Source : http://zythom.blogspot.com/feeds/1237580151024824801/comments/default