PROJET AUTOBLOG


Zythom

Site original : Zythom
⇐ retour index

Les innocents

lundi 15 juillet 2013 à 17:50
Lorsqu'un enquêteur me confie un scellé, celui-ci est bien entendu accompagné d'une mission, comme par exemple : "fournir tous les éléments en rapport avec les faits". Ce type de mission présente une particularité redoutable : il est impossible de prévoir le temps que l'on va mettre pour analyser le contenu du scellé...

Prenons un exemple. Je suis contacté par téléphone par un enquêteur, en général un gendarme ou un policier. Celui-ci évoque quelques éléments de son dossier en rapport avec la mission qu'il compte me confier. Souvent l'enquêteur me demande conseil sur la rédaction exacte de la mission, pour ne pas faire de bourde (exemple de bourde : "imprimer sur papier toutes les images retrouvées". Je DOIS effectuer la mission, même s'il y a 20 000 images !).

L'enquêteur aime également être précis sur les termes techniques qu'il va utiliser pour décrire la mission, surtout dans un domaine qu'il ne maîtrise pas forcément. Encore que dans le domaine de l'informatique, gendarmes, policiers et magistrats ont énormément progressé ces dernières années. Je trouve de moins en moins de scellés sans disque dur... Et de plus en plus de scellés avec leurs périphériques USB !

Mais je n'arrive quasiment jamais à avoir une réponse à cette question simple : quelle est la taille du ou des disques durs.

Prenons un exemple plus précis : l'enquêteur m'explique que le propriétaire de l'ordinateur est soupçonné d'échanger des images pédopornographiques. Son ordinateur a été placé sous scellé et ma mission, si je l'accepte, est la suivante (vous remarquerez qu'en fait, il y a plusieurs missions):
- réceptionner le scellé et le briser
- faire une copie des données numériques présentes sur les disques durs présents dans le scellé
- rechercher toutes traces d'images pédopornographiques
- rechercher tous les échanges effectués en rapport avec ces images (emails, sites internet, chat, etc.)
- fournir tous les éléments en rapport avec les faits
- placer sur cédérom ou dvd tous les éléments trouvés, en deux exemplaires
- reconstituer le scellé et rédiger un rapport.
En général, l'enquêteur arrive assez vite sur ce qu'il a en tête depuis le début de la conversation : "acceptez-vous la mission ?".

A ce stade, j'essaye d'en savoir un peu plus : système d'exploitation, taille des disques durs... En général sans succès. J'essaye aussi de négocier la livraison du scellé à mon domicile (souvent possible, mais de moins en moins).

Mais avant tout cela, il me faut accepter la mission et établir un devis, qui doit aussi être accepté par le magistrat qui supervise l'enquête pour que l'expertise démarre. Autant vous dire que le devis est parfaitement pifométrique au nez doigt mouillé. Dans l'affaire qui m'intéresse, j'ai estimé l'analyse à environ 20 heures de travail, parce que je suis un grand naïf et que je me refuse à établir des devis plus réalistes...

Après prise de rendez-vous et dépôt d'une demi-journée de congés payés, le jour J, à l'heure H prévue, l'enquêteur est à ma porte, avec le scellé. Il vérifie mon identité avec un lecteur d'empreinte rétinienne en me demandant mon nom, et je signe les papiers d'acceptation de mission et de réception du scellé.

Il ne me reste plus qu'à jeter le scellé sur un mur pour le briser, et ma première mission est terminée. Je plaisante. J'ouvre le scellé en coupant le cordon de l'étiquette jaunie par le temps (ce type d'étique date probablement du milieu du siècle dernier) attachée subtilement autour de l'ordinateur. Sache, jeune padawan enquêteur, que je m'amuse beaucoup à essayer d'accéder à l'ordinateur SANS briser le scellé. Seul un Chevalier Jedi sait emmailloter correctement un scellé pour que PERSONNE ne puisse l'ouvrir sans le briser.

On s'amuse comme on peut.

C'est à ce moment-là, dans l'affaire en question, que je me suis rendu compte que le scellé contenait un disque dur de 3 To...

Bien bien bien. Je m'équipe comme il faut d'un nouveau NAS pour absorber l'image du disque dur, plus toutes les données extraites. Soit environ 6 To. Rien que ce travail là m'a pris un mois. Entre réglages, tests divers, hésitations, mesures de performances, le temps s'écoule très vite le soir et les week-ends (n'oubliez pas que le reste du temps j'ai un vrai métier).

Je procède, la main tremblante, à la copie du disque dur. Tout est fait pour qu'il ne tombe pas en panne à ce moment là : ventilateur, onduleur, encens et divers rites liés à ma foi. La copie a duré 48h pendant lesquelles j'ai très mal dormi.

Voici venu le temps de l'exploration préalable de la copie du disque dur. C'est un moment que j'aime bien : en effet, au cœur des ténèbres, j'aime l'odeur du napalm au petit matin... Je me promène l'air de rien sur le disque dur pour regarder à qui j'ai affaire.

Ce disque dur avait l'air d'appartenir à quelqu'un de normal.
Mince.

Je procède alors à la récupération de toutes les images présentes sur le disque dur, effacées ou non. Me voici à la tête de dizaine de milliers d'images. Pendant des jours (en fait des nuits), je trie, je regarde, je cherche des images pédopornographiques: rien !

Je vérifie la présence de logiciels de chiffrage, de stéganographie. J'étudie en profondeur la base de registre qui garde trace de... tout en fait: clefs et disques durs USB installées et branchés, logiciels installés, supprimés, etc. Rien d'intéressant !

Je lis tous les documents doc, pdf, txt, cvs, odt, le contenu des zip, 7z, rar, etc. Nenio !

Je cherche tous les fichiers de grandes tailles, je vérifie la présence de containers TrueCrypt ou équivalent. Niente !

Je dresse la liste de tous les logiciels de communication présents (il y en a beaucoup) : Skype, Windows Live, Outlook, Firefox, Chrome, Internet Explorer... Pour chacun, je dis bien POUR CHACUN, il me faut étudier leurs traces, les messages échangés, leurs bases de données, souvent chiffrées d'une manière propriétaire.

Je commence par les outils de messagerie : déchiffrage des bases, analyse des échanges. Patiemment, outils après outils, avec l'aide des sites spécialisés en inforensique, avec les outils développés par la communauté, je cherche des échanges entre pédopornographes, des éléments en rapport avec les faits. Nichts !

L'enquêteur m'appelle de temps en temps pour me presser connaître l'état d'avancement de mes investigations. Je le tiens au courant. Si je trouve quelque chose, j'ai sa ligne directe et un forfait illimité.

J'attaque ensuite les historiques de navigation. Entre les différents comptes des utilisateurs de l'ordinateur, et les fichiers effacés, je me suis retrouvé avec 800 000 fichiers à analyser ! Cookies, URL, données des caches... Un confrère m'a orienté vers un logiciel que je ne connaissais pas : NetAnalysis. Test de la version d'essai, achat à mes frais de la licence, attente de la réception du dongle. Une fois le dongle reçu, j'analyse les données, je reconstitue les pages consultées à partir des données en cache, y compris les caches effacés. Un mois passe. Nada !

L'utilisation de l'ordinateur semble normale : du surf sur des sites pornographiques (internet, c'est pour le porno), des photos de famille, des films d'amateur, de la musique, des accès Youtube, le bon coin, Meetic. Rien d'anormal. Dim !

Je suis dans le cas de figure où l'on creuse partout sans savoir ce que l'on cherche réellement comme cadavre, dans une affaire où il n'y a pas de corps... Il faut me rendre à l'évidence, j'ai affaire à un innocent !

Mince.
Enfin.

300 heures de travail, à la recherche de preuves ignobles, la peur au ventre de tomber sur des images immondes, pour finalement me dire que l'ordinateur semble normal. Que son propriétaire est normal. Que ses utilisateurs sont normaux.

Soulagement.

Je n'ai pas pu m'empêcher néanmoins d'avoir un petit pincement au cœur quand j'ai rédigé ma note de frais et honoraires dans laquelle je mentionne 20 heures de travail. Mais j'ai travaillé pour la France, j'ai blanchi un innocent, je dispose de deux NAS performants et d'une clim pour mon bureau, j'ai appris à me servir d'un logiciel efficace acheté à mes frais. J'ai occupé mes soirées et mes week-ends.

Je suis heureux.
Mais ce sont quand même les innocents qui demandent le plus d'efforts.

------------------------------------
Source image MegaPortail.

Source : http://zythom.blogspot.com/feeds/3438633191615059077/comments/default


Je cherche un job !

mercredi 3 juillet 2013 à 13:38
Plus qu'un mois avant le cap des 50 ans ! Jamais je n'aurais cru que le fait que l'être humain ait dix doigts et qu'il compte les grandes durées en nombre de rotation de la Terre autour du Soleil, puissent avoir autant d'influence sur moi...

J'ai vécu le passage à 10 ans avec insouciance.
Mes 20 ans ont été solitaires et travailleurs.
L'arrivée des 30 ans a été synonyme de bonheur et nouvelle vie.
Le passage des 40 ans me laisse un souvenir de projets aux possibilités multiples, qui pour la plupart ont réussi !

Et voilà les 50 ans qui se profilent.

50 ans. Le moment où l'on commence à regarder en arrière et à faire le bilan, en tout cas professionnellement. Le moment où l'on sent que la richesse des choix possibles s'amenuise.

Pourtant, je me sens encore productif ! J'ai encore beaucoup de challenges à relever dans mon entreprise. J'aime mon travail, j'ai la confiance de mon patron, j'aime faire progresser mes équipes et les former à prendre ma place !

J'ai parfaitement conscience d'être un privilégié : j'ai un (bon) travail, j'en connais relativement bien les tenants et aboutissants tout en ayant une marge de progrès et de découverte, mes collègues sont dynamiques et motivés, mon entreprise me forme et me soutient, j'y suis entré 3 ans après sa création, j'ai contribué à son essor et à sa réussite. Je suis fier du résultat obtenu collectivement. Elle a un bel avenir devant elle.

Mais cela fait 20 ans que j'y travaille, d'abord comme enseignant-chercheur, puis comme responsable des systèmes d'information et maintenant comme responsable informatique et technique.

A 49 ans et 11 mois, je me sens à la croisée des chemins: soit je change de route, soit je continue tout droit. Et, sauf catastrophe imprévisible, il n'y aura plus de changement possible ensuite: si je re-signe, c'est pour 15 ans. J'ai conscience de fermer définitivement toutes les autres portes.

Alors, je profite de la modeste audience de ce blog pour lancer un message : je cherche un nouveau job !

Si possible en investigations informatiques.

Grand groupe, petite structure, PME, tout est possible !
J'ai encore de l'énergie pour continuer à apprendre, j'ai de l'expérience pour éviter de faire trop d'erreurs, j'ai une bonne capacité d'écoute, j'ai les pieds sur terre... Enfin, vous me connaissez déjà un peu à travers ce blog.

J'étudierai toutes propositions sérieuses qui me seront faites par l'intermédiaire de la page Contact de ce blog. Après tout, je suis un grand rêveur...

Comme je ne suis pas très fort en "personal branding" et en réseautage, n'hésitez pas à en parler autour de vous pour me donner un coup de pouce ;-)

Si cela ne donne rien, je pourrai me désinscrire sereinement de Cadremploi et autres CadresOnLine, et me consacrer à l'apothéose de ma carrière. Fidèle je suis, fidèle je resterai.

J'écris ce billet pour ne pas avoir de regrets.
Au moins, j'aurais essayé.
Fingers crossed...

Source : http://zythom.blogspot.com/feeds/4251389126288795823/comments/default


Tome 4

samedi 29 juin 2013 à 19:02
Après pas mal de rebondissements, le tome 4 du blog est enfin prêt :-)

Le bébé fait 242 pages et le papa se porte bien...

Vous le trouverez au format papier pour un prix modique chez mon éditeur (cliquez sur le lien). Il agrémentera avec élégance votre bibliothèque, ou fera l'objet d'un cadeau original pour vos parents et vos amis ;-)

C'est une autre façon de lire le blog et de le faire partager.

Parce que j'aime l'esprit de partage qui règne sur internet, il est également disponible sans DRM dans les formats suivants (cliquez pour télécharger) :

- Pdf (2166 Ko)
- Epub (278 Ko)
- Fb2 (543 Ko)
- Lit (413 Ko)
- Lrf (532 Ko)
- Mobi (578 Ko)
- Papier (242 pages ;-)


Bien sûr, les tomes précédents sont encore disponibles, en format papier ou électronique sur la page publications.


Avertissements :

Les habitués du blog le savent, mais cela va mieux en l'écrivant: la publication des billets de mon blog, sous la forme de livres, est surtout destinée à ma famille et à mes proches. C'est la raison pour laquelle j'ai choisi la démarche d'une autopublication. J'ai endossé tous les métiers amenant à la publication d'un livre, et croyez moi, ces personnes méritent amplement leurs salaires! Mise en page, corrections, choix des titres, choix des couvertures, choix du format, choix des polices de caractère, marketing, numérisation, etc., sont un aperçu des activités qui amènent à la réalisation d'un livre. Je ne suis pas un professionnel de ces questions, je vous prie donc de m'excuser si le résultat n'est pas à la hauteur de la qualité que vous pouviez attendre. Le fait d'avoir travaillé seul (avec Mme Zythom-mère pour la relecture, merci à elle), explique aussi le faible prix de la version papier pour un livre de 242 pages.

Je me dois également, par honnêteté envers les acheteurs du livre, de dire que les billets en question sont encore en ligne et le resteront. Les billets sont identiques, à part les adaptations indiquées ci-après.

Le passage d'un billet de blog à une version papier nécessite la suppression des liens. J'ai donc inséré beaucoup de "notes de bas de page" pour expliquer ou remplacer les liens d'origine. Dans la version électronique, j'ai laissé les liens ET les notes de bas de page. Je vous incite à lire les notes de bas de page le plus souvent possible car j'y ai glissé quelques explications qui éclaireront les allusions obscures.

J’espère que ce tome 4 vous plaira. En tout cas, je vous en souhaite une bonne lecture.

Source : http://zythom.blogspot.com/feeds/2928991948810609365/comments/default


Fujiyo LAPUCE 1748-1792

lundi 24 juin 2013 à 17:07
Au détour d'une promenade dans le charmant petit village de Moncrabeau, en pleine Gascogne et à 35 km d'Agen, je suis tombé sur cette plaque à la mémoire de Fujiyo LAPUCE :
Bien peu de gens connaissent Fujiyo LAPUCE et pourtant son influence a été très importante sur son temps (1748-1792). Même encore à présent les schémas directeurs informatiques des grandes multinationales s'appuient sur les fondements politico-macro-économiques qu'il avait mis en exergue de son vivant.

C'est lui qui, au reçu de son relevé de taxe sur la gabelle, avait dit et écrit (1772) cette phrase qui reste encore d'actualité "ça, c'est tout faux, c'est encore l'informatique qui débloque".

Qui de nos jours n'a pas entendu cette judicieuse remarque passée à la postérité!

Né de père et de mère inconnus, il a été trouvé, un beau matin d'août 1748 devant l'entrée du relais des postes de Moncrabeau. Agé de quelques jours, il n'était pas tatoué et n'avait pour toute fortune que son linge de coprs marqué de son prénom en grec "FUJIYO". L'utilisation de cette langue laisse à penser que ses parents étaient soit des érudits soit des émigrés venus pour le ramassage des prunes.

Élevé par le receveur de l'époque, le sieur LAPUCE qui lui donna son nom, il passa une petite enfance heureuse à Moncrabeau. Il fit des études brillantes chez les jésuites de Nérac où il fut remarqué par le Comte de Pomarède qui l'emmène à Versailles et le présente à la cour en juin 1769.

Passionné de serrurerie, le Roi Louis lui passa commande d'une serrure de sécurité informatisée dont le fonctionnement ne serait connu que de lui seul. Fujiyo se mit au travail et trois mois plus tard proposa au Roi une serrure codée mue par l'électricité statique (très abondante à l'époque). Pour actionner le mécanisme, il fallait frotter treize fois un bâtonnet d'ambre sur un pourpoint de soie et introduire le bâtonnet dans un réceptacle aménagé à cet effet. L'électricité accumulée attirait un cliquet de métal qui débloquait le penne et permettait l'ouverture.

Le Roi fut enthousiasmé et, après avoir fait jurer le secret à Fujiyo, fit installer immédiatement la serrure sur la porte d'accès à la chambre de la Reine Marie-Antoinette. En récompense, le souverain signa une ordonnance conférant à Fujiyo LAPUCE le titre inaliénable "d'informaticien du Roi" (14 juillet 1774).


Le secret du système d'ouverture, découvert dans les archives de la Reine défunte, nu fut dévoilé que 5 ans après la mort de Fujiyo LAPUCE, en 1797, par Camille Desmoulins à la tribune de l'Assemblée Nationale.
Vous trouverez dans le même village, le crâne d'Henri IV enfant (voir photo ci-après, réalisée par votre serviteur).

Cliquez sur l'image pour l'agrandir


N'hésitez pas à aller visiter Moncrabeau ;-)

Source : http://zythom.blogspot.com/feeds/2172293650442465199/comments/default


Teasing tome 4

lundi 24 juin 2013 à 15:21

Le tome 4 du blog est en primo-impression papier pour un tirage de vérification. Le bébé fait 242 pages et le papa se porte bien... Le livre définitif devrait être disponible dans quelques jours si tout va bien.

Stay tuned ;-)

Source : http://zythom.blogspot.com/feeds/1451584670532909292/comments/default