10 mai 2016

Un papa angoissé

Cliquez sur l'image pour l'agrandir
Vous aimez votre enfant, vous l'élevez dans l'amour de son prochain et du travail bien fait, vous lui inculquez des valeurs importantes telles que "range ta chambre" ou "as-tu fait tes devoirs", vous découvrez les nouveautés musicales, comportementales ou lexicales du moment, vous cherchez avec lui les voies professionnelles d'avenir qui lui permettront son épanouissement personnel tout en prenant en compte les dures réalités de la vie, bienvenue au club des parents d'adolescents...

J'ai une chance formidable, j'ai des enfants extraordinaires. Je les aime éperdument et ils m'aiment quand même un peu, bien que je sois un père exigeant, un peu nerd et certainement un peu beaucoup pénible. Surtout que j'ai un énorme défaut : je suis un angoissé de l'avenir (lire le billet "le film d'horreur permanent").

J'ai été élevé par des parents très attentifs au bonheur de leurs enfants et très sensibles à leur réussite scolaire. J'ai reproduit une partie de ces valeurs en étant attaché à l'importance du bien être, associé à la nécessité d'une certaine réussite scolaire, gage d'une certaine maîtrise de son avenir.

Bref, je suis certainement un parent comme les autres : je veux le meilleur pour mes enfants, j'ai conscience qu'il ne faut pas céder à tous leurs caprices, mais j'ai envie de les encourager, mais il faut transmettre l'importance de la valeur travail, mais il faut les écouter, mais j'ai des idées bien arrêtées, mais je suis ouvert à la discussion...

Je suis un papa gâteau qui aime beaucoup les câlins. Les enfants sentent très vite ces choses-là et organisent plus ou moins consciemment une pénurie qui me rend terriblement malheureux à la période de l'adolescence. Pour autant, les voir prendre leur indépendance (politique, matérielle, sociale, philosophique, musicale, informatique...) me remplit de fierté, et c'est les larmes aux yeux que je les vois prendre leur envol dans la vie, avec ses coups durs et ses bonheurs.

Organiser l'indépendance de son enfant commence dès son plus jeune âge : il faut qu'il apprenne à marcher, à être propre, à parler, à se socialiser, etc. Chaque étape est compliquée, et fait l'objet d'une abondante littérature. Là où les choses se compliquent, c'est ce moment où il faut le convaincre de se projeter à plusieurs années dans l'avenir, pour choisir un métier, et donc le chemin d'études qui va avec, le tout à la période compliquée de l'adolescence.

Personnellement, j'ai eu la chance de me découvrir une passion très tôt pour l'électronique et l'informatique balbutiante (lire le billet "lettre à mes 16 ans"). Je voulais quitter la filière classique dès la seconde pour une formation technique, mes parents m'ont conseillé d'aller jusqu'au bac pour faire des études d'ingénieurs. Je les ai écouté, j'ai repoussé mes envies de "toute suite", j'ai choisi de souffrir en prépa, résisté (un peu) à son formatage mental (lire le billet "la prépa"), j'ai choisi une école d'ingénieur généraliste, puis j'ai enfin pu me consacrer à ma passion, l'informatique, qui ne m'a pas quitté depuis.

D'où mon désarroi face à un jeune qui répond "je ne sais pas" à ma question "que veux-tu faire plus tard ?". Après avoir discuté plusieurs fois de ce problème avec mes enfants, il a bien fallu que je me rende compte de mon impuissance : je ne suis pas capable, seul, de les aider à se construire une vision d'avenir. Il a fallu que je me fasse épauler : mon épouse, les amis, la famille, tout le monde est important et les discussions et échanges sur la construction de son propre parcours professionnel s'enrichissent de cette diversité d'opinions et d'expériences.

Il existe également des coachs en orientation qui connaissent toutes les filières, toutes les formations et tous les chemins (avec leurs embûches spécifiques) qui y amènent. L'intérêt du coach est également d'apporter un regard extérieur, indépendant, professionnel et sans affect, qui peut être très structurant pour un adolescent (et ses parents).

Puis vient le temps d'APB.
Tous les parents de terminal tremblent à l'évocation de ces trois lettres.
APB pour Admission Post Bac...
LE site gouvernemental d'entrée dans l'enseignement supérieur.
LE site qu'il faut à tout prix apprivoiser.
LE site dont il faut étudier tous les aspects et entrer toutes les dates dans son agenda, dates qu'il faut IMPÉRATIVEMENT respecter à défaut de perdre UNE ANNÉE.

Je dois reconnaître que tous les défauts du site APB sont gommés par le fait même de son existence : quasiment toutes les formations possibles y sont regroupées. Les procédures, parfois complexes, sont présentées. Les dates clefs de (presque) tous les établissements y sont indiquées.

Si vous ne devez retenir qu'une seule chose de ce modeste billet, c'est qu'il faut absolument étudier le site web APB en profondeur, dès la seconde, avec votre enfant. Le plus tôt est le mieux, surtout qu'il est souvent à genoux lors des dates charnières. N'attendez pas le dernier moment (pour s'y inscrire, pour y faire ses choix, ordonner ses vœux, etc.).

Ma fille aînée a choisi de faire médecine, et est en ce moment en 3e année. Sa sœur puînée, actuellement en terminale, s'oriente vers des études de commerce. Le benjamin s’attelle à essayer de recevoir les félicitations pour le 3e trimestre de 4e, malgré son usage immodéré de jeux vidéos. Trois enfants, trois caractères, trois parcours de vie, trois fiertés pour leurs parents.

Trois angoisses pour leur père, de la seconde à la terminale...

Et toujours la même question : est-ce que je fais ce qu'il faut pour qu'ils soient heureux ?

27 avril 2016

Trop tôt

Je travaille dans une école d'ingénieurs qui propose une formation en cinq ans, avec des étudiants qui ont donc pour la plupart entre 18 et 23 ans. J'ai commencé à enseigner pendant mon doctorat, et si j'ajoute mes propres études, cela fait plus de trente ans que je suis entouré d'étudiants.

La jeunesse croque la vie à pleines dents, et profite de sa formidable énergie. Sur le chemin de l'apprentissage, les jeunes découvrent les succès mais aussi les échecs.Et parfois certains échecs semblent insurmontables.

Stéphane était étudiant avec moi et travaillait avec enthousiasme sur mes problèmes de réseaux de neurones. Nous programmions des heures durant et partions à la chasse aux bugs, entrecoupée de courses poursuites dans les couloirs du labo, à cheval sur nos fauteuils à roulettes et armés de nos vingt ans. J'étais son aîné de quelques années, et je me fichais bien de mon statut de maître de stage.

Quelques mois après la fin de son stage, je recevais une lettre de ses parents qui m'annonçaient son suicide. Stéphane vivait mal une rupture sentimentale qui s'ajoutait à un changement de vie qu'il appréhendait. Derrière lui, il laissait une famille effondrée et une lettre dans laquelle il écrivait que les meilleurs moments de sa courte vie avaient été ceux passés avec moi pendant son stage.

Je n'oublierai jamais le choc de cette disparition, et j'ai une pensée émue pour lui chaque 27 avril.

Stéphane, tu resteras jeune et présent dans mon cœur.

16 avril 2016

Les logiciels de sauvegarde

Je suis toujours en pleine recherche du Graal de la sauvegarde : l'outil universel qui permet de sauvegarder ses données, sur une fenêtre d'environ un mois, de les chiffrer, et de les restaurer facilement.

J'ai équipé la maison d'un magnifique NAS de 12 To que je souhaite dédier aux sauvegardes des différents ordinateurs, du NAS de partage de données, ainsi que des différentes tablettes et téléphones.

Voici où j'en suis de mes réflexions : ce n'est pas si simple...

Le NAS de sauvegarde est géré (très efficacement et très simplement) par OpenMediaVault. Je présente d'ailleurs la solution de principe dans ce billet.


Les ordinateurs.

Les ordinateurs de la maison sont tous de nature différente :
- deux fixes sous Windows
- un fixe sous Windows dans un réseau privée sécurisé (boîtier RPVA)
- deux portables sous Windows
- un fixe sous GNU/Linux

J'utilise le logiciel BackupPC, installé sur le serveur de sauvegarde, qui permet de sauvegarder des environnements hétérogènes. Le principal défaut, je trouve, est sa complexité de configuration, en particulier des inclusions/exclusions. J'ai fini par y arriver, mais j'ai trouvé cela fastidieux...

Je voulais utiliser le système sur tous les postes, quand je me suis rendu compte que l'ordinateur situé derrière le boîtier RPVA (Navista) n'était pas "pingable" et que le serveur de sauvegarde ne pourrait pas le joindre (alors que l'inverse est vrai). J'ai donc choisi de mettre en place un serveur VPN (OpenVPN) dédié à ce poste (sans routage) pour que le serveur puisse le voir. Ça fonctionne plutôt bien.

Puis, un internaute m'a orienté vers le logiciel Veeam Endpoint Backup Free, que je ne connaissais pas alors que j'utilise la version professionnelle au boulot. Du coup, je l'ai installé sur tous les postes sous Windows, avec l'avantage de ne pas avoir à créer un compte "backup" local. Ce logiciel crée des images ISO de boot en cas de panne et sauvegarde l'intégralité du disque dur via le mécanisme Microsoft VSS (ie les fichiers ouverts). C'est simple, gratuit, pratique et facile à utiliser. Seul défaut : la partie serveur est payante. Du coup, j'ai créé un partage Windows sur le serveur de sauvegarde, où sont stockées toutes les sauvegardes Veeam. Pour éviter la contamination par cryptovirus, j'ai préféré créer un partage différent pour chaque PC sauvegardé (avec un user différent, invisible des autres). Exit donc la déduplication...

Enfin, pour le PC sous GNU/Linux (Mint), j'utilise BackupPC qui fonctionne, mais je teste aussi Back In Time qui a l'air très efficace (et très simple à paramétrer).


Le NAS familial.

Il s'agit d'un Synology DS713+ encore pour l'instant sous DSM 5.2 (la v6 vient juste de sortir). Il s'agit d'un système d'exploitation utilisant un noyau Linux, et donc qui possède les outils rsync(d). J'utilise donc BackupPC pour le sauvegarder et cela fonctionne très bien.


Les tablettes et téléphones.

C'est pour l'instant en stand-by... J'utilise les comptes Google créés pour chaque appareil Android, et iTunes/iCloud pour les appareils Apple. Certains vieux téléphones doivent être sauvegardés à la main sur le PC de son propriétaire, le PC étant ensuite sauvegardé par le système décrit précédemment...


La todo list.

L'externalisation des sauvegardes. Vu la masse de données, il faut sélectionner les données intéressantes et les isoler sur un disque dur USB branché sur le serveur de sauvegarde. A moins que je n'utilise mon vieux NAS Synology DS209j, très lent, mais qui pourrait embarquer deux disques 4To en RAID0, soit 8To.

Le chiffrement n'est pas encore traité. Je vise surtout le disque dur qui sera externalisé. La commande gpg devrait faire l'affaire...

Il y a encore beaucoup de logiciels excellents à tester. J'ai plusieurs envies, comme par exemple Duplicity.

Je vais regarder également du côté des outils pro abordables. J'attends en particulier avec impatience la sortie de l'agent Veeam pour Linux.

Enfin, il faudra bien arrêter une politique de sauvegarde, avec une liste restreinte de logiciels et de procédures de restauration. C'est très bien de jouer avec les outils, mais il va falloir décider.

Si vous avez des conseils, des idées, des retours d'expérience, n'hésitez pas à m'en faire part, en commentaires ou par email ;-)

01 avril 2016

L'expert judiciaire et la liberté d'expression

Mon billet intitulé "Mais putain y va bouger son gros cul ce con" m'a valu une avalanche d'emails outrés d'un certain nombre de confrères, et l'affaire a pris une tournure assez inattendue pour moi : j'ai été contacté par le président de la compagnie des experts de justice de ma Cour d'Appel, puis par le Procureur Général près la Cour d'Appel qui m'ont demandé de mesurer mes propos.

Je leur ai expliqué que j'étais le premier concerné par le titre, comme indiqué dans le billet. Je n'ai pas dû être très convainquant puisque, quelques jours plus tard, je recevais un courrier à l'entête du ministère de la Justice me demandant d'exercer mon devoir de réserve et de retirer le billet en question.

Heureusement, sur les conseils avisés de mon avocat, j'ai laissé le billet en ligne et expliqué que, n'étant pas fonctionnaire, je ne suis pas astreint à un devoir de réserve et que je garde toute ma liberté d'expression dans notre beau pays démocratique. Le billet est toujours en ligne et représente toujours le fond de ma pensée et de ma déception politique.

Néanmoins, la pression sur un simple petit blogueur comme moi est assez forte, et je mesure la fragilité de ma position et la difficulté d'assumer une libre parole somme toute assez théorique : je dois penser aussi mon travail. Il est en effet assez simple de perdre son emploi sans espoir d'en retrouver, surtout à mon âge. Je dois aussi penser à mes proches.

J'ai passé l'âge des grandes batailles.

Je vous tiendrai au courant du suivi.


[EDIT de 14h15]

En cette journée de 1er avril, je ne pensais pas semer la panique auprès de mes amis. Il est vrai que je suis plutôt connu pour mon sérieux, un peu coincé, de geek un peu nerd.

Je voudrais donc les rassurer (et surtout qu'ils arrêtent d'essayer de me contacter : je travaille) : personne ne m'a écrit, ni mes confrères, ni le président de la compagnie d'expert de justice de ma Cour d'Appel, ni le Procureur Général, ni le ministère de la Justice...

Ce blog est un petit espace de liberté, mon identité réelle est connue de presque tout le monde (et tout le monde s'en fout), et je ne rougis d'aucun des billets que j'y écris sous mon nom de plume.

Si un jour de devait subir les foudres de la justice, comme lors de l'affaire Zythom, j'attendrais que les cendres soient retombées avant de venir en parler ici.

Enfin, je voudrais rappeler que j'ai parfaitement conscience de l'insignifiance de ce blog, et que rien de ce que je peux écrire ici ne peut changer quoi que ce soit en ce bas monde : je n'ai pas ce talent, cette prétention, et ce n'est pas mon objectif.

Ce matin, j'ai piégé mes enfants en leur faisant croire que leur lycée était fermé pour cause de grève...

Sans rancune (mais merci pour les petits mots ;-)

On the Internet, nobody knows you are a dog, but they sure know if you are a son-of-a-bitch.

PS: ET JE N'AI PAS passé l'âge des grandes batailles ! Je compte bien encore bouger mon gros cul de con...

31 mars 2016

Se protéger des cryptovirus avec un contrôle parental

Depuis quelques semaines, c'est l’hécatombe autour de moi : je ne compte plus les collègues DSI qui subissent des attaques par chiffrement des disques durs (cryptovirus)... Pour l'instant, mon école n'a pas encore été touchée, mais cela ne saurait tarder car aucune défense n'est inviolable.

Pour autant, nous ne restons pas les bras croisés. La meilleure défense, c'est, comme toujours, l'éducation. Il faut (in)former ses utilisateurs, et rappeler qu'il ne faut pas ouvrir une pièce jointe sans s'être posé quelques questions : est-il normal que cette personne m'adresse une pièce jointe, l'email semble-t-il cohérent, est-il rédigé dans un français correct, etc. ? Bref, il faut introduire chez l'utilisateur un peu de saine paranoïa.

Les responsables informatiques ne se contentent pas de former leurs utilisateurs, ils essayent de mettre quelques remparts (de fortune), par exemple en s'assurant que les antivirus sont à jour et en segmentant les données par droits d'accès.

Vous pouvez aussi piocher des solutions intéressantes chez Korben, dans ce billet ou dans celui-ci.

Il existe pourtant un moyen simple permettant d'échapper (pour combien de temps ?) à certaines des attaques : il suffit de mettre en place un logiciel de filtrage de sites.

Voici la méthode que nous avons mise en place :
- un serveur GNU/Linux Debian configuré en passerelle
- le logiciel Squid configuré en proxy transparent
- le logiciel SquidGuard
- la mise à jour quotidienne des sites à partir de la liste noire établie et maintenue par l'Université de Toulouse : http://dsi.ut-capitole.fr/blacklists/
- et tous les ordinateurs du réseau configurés avec ce serveur comme passerelle vers internet.

Parmi les listes noires gérées par l'Université de Toulouse, nous avons choisi de mettre en place "malware" et "phishing" qui bloquent pour l'instant la plupart des utilisateurs ayant cliqué sur les pièces jointes contaminées.

Dans notre établissement, ce serveur est une machine virtuelle hébergée sur notre cluster de virtualisation, mais il était auparavant installé sur un "vieux" PC avec deux cartes réseaux. Il existe également des installations basées sur un Raspberry Pi (voir par exemple cette installation en contrôle parental qui peut facilement être légèrement modifiée pour faire du filtrage des sites de malwares et de phishing). Cet article peut également vous aider. Une fois configuré, le Raspberry Pi peut être branché sur la box du FAI (n'oubliez pas de paramétrer le DHCP de la box pour que la passerelle de tous vos ordinateurs soit le Raspberry PI).

Vous pouvez également installer, si vous le préférez, la distribution Pfsense avec Squid et SquidGuard. Cette solution existe aussi en hardware dédié.

Et n'oubliez pas le dernier rempart, le Mur de glace du Territoire du Nord :
la sauvegarde de vos données.

Mais vous n'y échapperez pas, car nul n'est à l'abri !
Vous allez tous mourir...

Tout sauvegarder (suite)

Le 31 mars est la journée mondiale de la sauvegarde. Faut-il vraiment une journée mondiale pour vous sensibiliser sur ce sujet, je ne pense pas... Pour autant, il est parfois utile de se pencher sur ce problème, et j'en profite pour vous faire un petit retour d'expérience, si ça peut aider quelqu'un. 

Les histoires pour faire peur.

Si je fais appel un peu à ma mémoire, j'ai quelques histoires horribles à raconter :
- un ami qui a perdu définitivement 3 semaines de photos de ses dernières vacances (disque dur externe HS, pas de copie)
- une entreprise qui a fermé parce que son serveur est tombé en panne pendant la sauvegarde (disque dur HS, sauvegarde en cours rendue inutilisable, je raconte cette histoire ici)
- des copains DSI qui m'ont remonté des pertes de données à cause de cryptovirus (données récupérées à partir des sauvegardes, travail de la journée perdu)
- un avocat m'appelant à l'aide après la perte de toutes les données de son cabinet (destruction par vandalisme)
- une collègue dont la maison a entièrement brûlé
- je ne compte plus les messages sur Facebook ou sur Twitter d'un étudiant ayant perdu plusieurs années de travail lors du vol de son ordinateur portable... 

Le problème.

Je souhaite mettre à l'abri les données informatiques de la maison, et qui se trouvent sur les ordinateurs de mes enfants (2 fixes et un portable), sur ceux du cabinet d'avocat de mon épouse, sur ceux de mon cabinet d'expertise informatique, sur les tablettes, sur les téléphones mobiles et sur le système de stockage collectif de la maison (un NAS Synology) qui regroupe toutes les photos et films familiaux. Il faut penser aux pertes de données par incendie (toute la maison brûle), par destruction (in)volontaire, par cambriolage et par attaque virale (j'ai très peur des cryptovirus). 

Ma solution.

Un système local dédié au stockage des sauvegardes, plus un système de synchronisation vers l'extérieur. Les données confidentielles seront chiffrées avant sauvegarde.

Voyons tout cela de plus près. 

Le stockage local.

J'ai testé plusieurs solutions (FreeNAS, OpenMediaVault, NAS4Free, OpenFiler, Amahi, NexentaStor, ZFSguru...) pour finalement retenir celle présentée dans ce précédent billet, à savoir OpenMediaVault. Je voulais éviter une solution Windows, trop sensible aux attaques virales, je cherchais une solution open source bien maintenue par sa communauté, et j'ai un faible pour les solutions sous Debian, distribution que je connais bien et que j'apprécie. J'ai eu un peu peur de me lancer dans des solutions un peu exotiques (même si le système de fichiers ZFS me semble très intéressant).

J'ai donc acheté un MicroServer Gen 8 HP sur Amazon pour 219 euros TTC que j'ai reçu quelques jours plus tard, et que j'ai immédiatement rempli avec deux barrettes mémoires de 8Go, quatre disques de 4 To (disques que j'utilise traditionnellement pour les expertises) et un petit disque SSD de 64 Go. J'ai ensuite procédé à l'installation en suivant la procédure de l'Atelier du Geek décrite dans ce billet.

Me voici donc à la tête d'un NAS DIY magnifique d'une capacité de 10 To répartie sur 4 disques en RAID5, que je vais destiner UNIQUEMENT aux sauvegardes des données familiales (et aussi aux données temporaires volumineuses générées lors de mes expertises judiciaires). 

Le logiciel de sauvegarde.

Là aussi, j'ai fait beaucoup d'essais : Areca Backup, BackupPC, Bonkey, DeltaCopy, FreeFileSync, etc. J'ai lu beaucoup d'articles, suivis les conseils donnés par vos commentaires sous ce billet. J'ai beaucoup rêvé d'un clone GNU/Linux du splendide logiciel Apple Time Machine, mais malheureusement, je n'ai pas trouvé.

J'ai choisi BackupPC pour ses performances, malgré une configuration que je trouve complexe. Il gère très bien la déduplication pour optimiser la place prise par les sauvegardes, il comprime les données, automatise très simplement les sauvegardes et gère très bien les ordinateurs connecté de façon aléatoire (les portables par exemple).

L'installation de BackupPC en parallèle à OpenMediaVault, et sa configuration, feront l'objet d'un billet technique séparé (Travail en cours, mais en gros, j'ai suivi ce billet). 

Le circuit des données.

Tous les ordinateurs de la maison ont accès à un NAS Synology de 4 To (deux disques en RAID1) qui stocke les photos et vidéos familiales, mais qui servait également au stockage des sauvegardes. Aujourd'hui, les sauvegardes de chaque poste sont faites directement vers le nouveau système de sauvegarde, ainsi que la sauvegarde du NAS Synology lui-même.

J'ai fait une exception pour les ordinateurs du cabinet d'avocat dont les données sont chiffrées avant d'être exportées. Je n'ai pas encore modifié ce système qui fonctionne bien. Je n'ai pas encore eu le temps de creuser ce point avec BackupPC. 

L'externalisation en cas d'incendie.

Mes enfants utilisent (ou pas) le Google Drive mis à disposition par le Google/apps familial. Pour ma part, étant sous GNU/Linux, je n'étais pas satisfait des clones permettant d'accéder à mon Google Drive professionnel (pourtant à capacité illimitée ! ). J'ai donc installé sur le NAS familial le logiciel OwnCloud, pour me permettre de synchroniser certaines données avec plusieurs ordinateurs, dont celui que j'utilise au boulot.

Ce système fonctionne très bien, mais ne contient pas toutes les données qui sont sauvegardées par BackupPC. C'est un point sur lequel je dois encore travailler. Je pense tout simplement installer OwnCloud sur le système de sauvegarde OpenMediaVault/BackupPC.

J'ai un disque perso de 4 To qui continue de tourner entre le boulot et la maison, pour l'ensemble des données essentielles (rotation tous les 6 mois). 

Bilan provisoire.

Le cube HP MicroServer Gen8 est très silencieux et son prix vraiment attractif. Son processeur est un peu poussif, et semble être son point faible puisqu'il passe à 100% si deux sauvegardes sont en cours, mais il fait très bien l'affaire.

OpenMediaVault est d'une simplicité remarquable et d'une qualité professionnelle aboutie.

BackupPC est complexe mais efficace. Je pense être encore très loin d'avoir fait le tour de toutes ses possibilités. Par contre, dès qu'un clone fiable de Time Machine sortira...

Quand tout le système sera en place et stabilisé, cela fera un total de 6 disques durs de 4 To destinées aux sauvegardes :
- 4 dans le NAS de sauvegarde
- 1 dans le PC du boulot pour OwnCloud
- 1 hors ligne stocké au boulot.

Cela représente un coût non négligeable, mais qui me paraît dérisoire face à la perte DEFINITIVE des données concernées.

Quelque soit la manière dont vous gérez vos données numériques, le plus important est de veiller à ce que les données les plus chères à vos yeux soient stockées à plusieurs endroits et résistent à un effacement accidentel, à un vol, à une destruction ou à un chiffrement frauduleux.

Pensez-y.



29 mars 2016

Le chiffrement des smartphones

Cliquez pour agrandir l'image
J'ai été contacté par l'étudiant journaliste Olivier Levrault qui souhaitait une interview pour son article de la Tribune du Palais de mars 2016 de l’École de Journalisme de Toulouse. Je publie ici, avec son aimable autorisation, la version complète de l'interview.

Olivier Levrault : Tout d'abord, pouvez-vous expliquer rapidement votre rôle dans une enquête en tant qu'informaticien expert judiciaire ?

Zythom : Chaque enquête est effectuée sous la direction d'un magistrat (du moins en temps normal, c'est-à-dire hors état d'urgence). S'il l'estime nécessaire, ce magistrat peut demander un avis technique à une personne qu'il va choisir sur une liste d'experts pré-sélectionnés. Les personnes inscrites sur cette liste portent le titre d'expert judiciaire. Le magistrat va alors lui donner des missions et poser des questions précises auxquelles l'expert judiciaire répondra dans un rapport dans lequel il donne son avis « en son honneur et en sa conscience » (c'est le serment de l'expert judiciaire). En dehors de ces missions pour la Justice, je reste un citoyen comme les autres, avec un métier, une conscience politique et une liberté d'expression. Ce qui me permet de répondre à vos questions.

Olivier Levrault : Entrons dans le vif du sujet. L'Assemblée nationale a voté, début mars, un amendement visant à condamner les constructeurs de smartphones qui refuseraient de coopérer avec la justice dans les enquêtes terroristes. Trouvez-vous cet amendement fondé ?

Zythom : Je suppose que vous parlez de l'amendement n°90 (rect) porté par M. Goujon etc. et que l'on peut trouver ici : http://www.assemblee-nationale.fr/14/amendements/3515/AN/90.asp De quoi parle-t-on ? Cet amendement modifie trois articles du code de procédure pénale de la manière suivante (j'ai mis les modifications en gras) :
  • Article 60-1 du code de procédure pénale :
Le procureur de la République ou l'officier de police judiciaire peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des informations intéressant l'enquête, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-3, la remise des informations ne peut intervenir qu'avec leur accord.

A l'exception des personnes mentionnées aux articles 56-1 à 56-3, le fait de s'abstenir de répondre dans les meilleurs délais à cette réquisition est puni d'une amende de 3 750 euros. Cette peine est portée à deux ans d'emprisonnement et 15 000 € d’amende lorsque la réquisition est effectuée dans le cadre d’une enquête portant sur des crimes ou délits terroristes définis au chapitre 1er du titre II du livre IV du code pénal.

A peine de nullité, ne peuvent être versés au dossier les éléments obtenus par une réquisition prise en violation de l'article 2 de la loi du 29 juillet 1881 sur la liberté de la presse.

  • Article 60-2 du code de procédure pénale
Sur demande de l'officier de police judiciaire, intervenant par voie télématique ou informatique, les organismes publics ou les personnes morales de droit privé, à l'exception de ceux visés au deuxième alinéa du 3° du II de l'article 8 et au 2° de l'article 67 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, mettent à sa disposition les informations utiles à la manifestation de la vérité, à l'exception de celles protégées par un secret prévu par la loi, contenues dans le ou les systèmes informatiques ou traitements de données nominatives qu'ils administrent.

L'officier de police judiciaire, intervenant sur réquisition du procureur de la République préalablement autorisé par ordonnance du juge des libertés et de la détention, peut requérir des opérateurs de télécommunications, et notamment de ceux mentionnés au 1 du I de l'article 6 de la loi 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, de prendre, sans délai, toutes mesures propres à assurer la préservation, pour une durée ne pouvant excéder un an, du contenu des informations consultées par les personnes utilisatrices des services fournis par les opérateurs.

Les organismes ou personnes visés au présent article mettent à disposition les informations requises par voie télématique ou informatique dans les meilleurs délais.

Le fait de refuser de répondre sans motif légitime à ces réquisitions est puni d'une amende de 3 750 euros. Cette peine est portée à deux ans d'emprisonnement et 15 000 € d’amende lorsque les réquisitions sont effectuées dans le cadre d’une enquête portant sur des crimes ou délits terroristes définis au chapitre 1er du titre II du livre IV du code pénal. 

Le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes définis au chapitre Ier du titre II du livre IV du code pénal des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et 350 000 € d’amende.


Un décret en Conseil d’État, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les catégories d'organismes visés au premier alinéa ainsi que les modalités d'interrogation, de transmission et de traitement des informations requises.

  • Article 230-1 du code de procédure pénale
Sans préjudice des dispositions des articles 60, 77-1 et 156, lorsqu'il apparaît que des données saisies ou obtenues au cours de l'enquête ou de l'instruction ont fait l'objet d'opérations de transformation empêchant d'accéder aux informations en clair qu'elles contiennent ou de les comprendre, ou que ces données sont protégées par un mécanisme d'authentification, le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire, sur autorisation du procureur de la République ou du juge d'instruction, ou la juridiction de jugement saisie de l'affaire peut désigner toute personne physique ou morale qualifiée, en vue d'effectuer les opérations techniques permettant d'obtenir l'accès à ces informations, leur version en clair ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire.

Si la personne ainsi désignée est une personne morale, son représentant légal soumet à l'agrément du procureur de la République, de l'officier de police judiciaire ou de la juridiction saisie de l'affaire le nom de la ou des personnes physiques qui, au sein de celle-ci et en son nom, effectueront les opérations techniques mentionnées au premier alinéa. Sauf si elles sont inscrites sur une liste prévue à l'article 157, les personnes ainsi désignées prêtent, par écrit, le serment prévu au deuxième alinéa de l'article 60 et à l'article 160.

Si la peine encourue est égale ou supérieure à deux ans d'emprisonnement et que les nécessités de l'enquête ou de l'instruction l'exigent, le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire, sur autorisation du procureur de la République ou du juge d'instruction, ou la juridiction de jugement saisie de l'affaire peut prescrire le recours aux moyens de l’État soumis au secret de la défense nationale selon les formes prévues au présent chapitre.

Le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes définis au chapitre 1er du titre II du livre IV du code pénal des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et 350 000 € d’amende.

Pour répondre à votre question (« Trouvez-vous cet amendement fondé ? »), je trouve que ce durcissement de notre législation correspond plutôt à un effet d'annonce permettant de montrer que certains députés suivent avec intérêt le débat américain qui oppose Apple et le FBI, mais à mon avis, ils se trompent de cible et surtout ils montrent encore une fois une incompréhension des concepts techniques mis en jeu. En effet, Apple souhaite mettre en place un système de chiffrement où elle-même n'aurait aucun moyen de pouvoir déchiffrer les données, afin de protéger ses utilisateurs de la curiosité étatique. Apple ne pourra pas techniquement fournir à l'autorité judiciaire les données en clair, et ne pourra pas être condamnée pour cela (sauf à rendre le chiffrement illégal).

Olivier Levrault : Le phénomène de chiffrement des données lors d'enquêtes criminelles et/ou terroristes est-il important ?

Zythom : Depuis les révélations d'Edward Snowden, beaucoup de gens commencent à chiffrer leurs données (à commencer par les journalistes), ce qui gêne les grandes oreilles de l’État. Le phénomène va évidemment augmenter, et rendre moins aisée la surveillance généralisée.

Olivier Levrault : À quel point le chiffrement d'un smartphone freine-t-il l'enquête ?

Zythom : Cela va dépendre du rôle du smartphone dans l'enquête. Si la seule preuve dont vous disposez se trouve chiffrée dans le smartphone (ou dans l'ordinateur), votre enquête est définitivement bloquée. Heureusement, l'activité criminelle se limite rarement au simple usage d'un smartphone, fut-il chiffré. Une enquête s'appuie sur beaucoup d'éléments plus classiques comme des filatures, des fadettes, des éléments financiers, etc. Je n'ai jamais rencontré de dossiers reposant sur un seul élément technologique même si je ne nie pas qu'il soit possible que cela arrive. Faut-il pour autant interdire le chiffrement à tous ? Faut-il demander à tous les citoyens de vivre dans des maisons de verre pour pouvoir faciliter la surveillance des faits et gestes de tout le monde, pour détecter les comportements suspects ?

Olivier Levrault : Le FBI vient d'annoncer qu'ils n'avaient plus besoin d'Apple pour déchiffrer les données du smartphone appartenant à l'auteur de la tuerie. Comment est-ce possible ? Aucun téléphone n'est donc inviolable ?

Zythom : Je ne peux pas prétendre connaître le procédé proposé au FBI par une tierce entreprise, alors même qu'Apple ne le connaît pas. Ce qui semble probable, c'est qu'une entreprise spécialisée dans la recherche de failles de sécurité a (peut-être) trouvé une faille à exploiter pour passer outre le système de blocage d'Apple (qui efface définitivement les données après 10 tentatives infructueuses) ce qui pourrait permettre une attaque par force brute qui est assez facile et rapide sur un code de quelques chiffres. N'oubliez pas qu'au stade des informations disponibles, certains font même l'hypothèse que le FBI fait simplement marche arrière pour éviter une décision de justice qui lui serait défavorable.

Olivier Levrault : Le fait de donner au gouvernement la clé pour accéder au contenu d'un téléphone lors d'une enquête terroriste fragilise-t-il la sécurité de l'ensemble des smartphones ?

Zythom : Oui. Imaginez un fabricant de serrures (coffres forts, portes de maisons, etc.) qui serait obligé de créer une clé permettant d'ouvrir toutes les serrures qu'il fabrique. Vous comprenez bien que cette fameuse clé devrait être protégé de la manière la plus extrême. Car il suffirait qu'une seule personne fasse discrètement une copie de cette clé pour que la sécurité des serrures soit définitivement compromise. Et si vous ne pouvez pas assurer vous-même la protection de cette clé, par exemple parce que l’État vous impose de lui en confier une copie, cela revient à confier toute la sécurité de vos clients à l’État. C'est ce qui a amené Ladar Levison à fermer son service Lavabit plutôt que de donner l'accès aux messages d'Edward Snowden comme la loi américaine le lui obligeait. Le suicide commercial plutôt que la trahison de ses clients...

Olivier Levrault : Est-ce que cela créé les fameuses portes dérobées ? Si oui, quel est le risque ?

Zythom : Lorsque vous proposez à vos clients un système protégeant votre vie privée, mais que vous mettez en place d'un accès réservé, c'est ce que l'on appelle une porte dérobée. On parle également de cheval de Troie. Le risque est l'utilisation de cette porte dérobée de manière abusive, soit par l’État, soit par un criminel. Vous pensez être seul dans l'intimité de votre chambre, alors qu'en fait un œilleton permet de vous observer, de vous photographier, de vous filmer, etc. Allez-vous accepter cela parce qu'on vous affirme que vous serez plus en sécurité ?

Olivier Levrault : Quelle conséquence pour la population dans son ensemble ? La protection des données personnelles ne risque-t-elle pas d'en prendre un coup ?

Zythom : Les défenseurs de la vie privée tirent la sonnette d'alarme depuis longtemps (CNIL, Quadrature du Net, etc.). L’État calme le jeu en prétendant exclure certaines professions de son radar : les avocats, les politiques et les journalistes. Pour le reste, circulez, nous nous occupons de votre sécurité, pour votre bien. Le discours est de dire que de toutes manières, une grande partie de la population a déjà offert une partie de ses données personnelles aux GAFAM (Google, Apple, Facebook, Amazon et Microsoft) en échange de services gratuits et de publicités ciblées. Nous parlons ici de l'abandon à la demande de l’État par le grand public de l'ensemble de ses données personnelles, ce qui est très différent. Personnellement, j'accepte de donner certaines de mes données privées à Google. J'accepte aussi de dévoiler beaucoup d'éléments de ma vie sur mon blog personnel. C'est ma liberté. Pour autant, je chiffre certains messages, j'utilise parfois un VPN, je protège certaines parties de ma vie privée. Parce que j'ai une réticence à tout montrer. Je refuse de faire installer une caméra dans ma chambre à coucher.

Olivier Levrault : Alors que les constructeurs se posent en défenseur des utilisateurs (pour redorer leur image depuis l'affaire Snowden), les données personnelles continuent d'être commercialisées. Les constructeurs de smartphones ne jouent-ils pas à un double jeu ?

Zythom : Il est relativement fascinant de constater qu'aujourd'hui le combat de la protection de nos données personnelles soit mené par une multinationale, contre la curiosité des États. Surtout que je suis assez âgé pour avoir connu la création de la CNIL (j'avais 15 ans en 1978) après les débats autour du projet SAFARI. Les constructeurs jouent double jeu, mais au moins, le consommateur peut décider d'arrêter d'acheter tel ou tel produit. Il a un certain pouvoir. Apple peut se ringardiser en quelques années et disparaître. Qu'en est-il du poids de la voix du citoyen dans le processus démocratique d'aujourd'hui ? Dans quel état sont les contre-pouvoirs traditionnels, tels que la justice et les médias ?

Olivier Levrault : Au final, dans ce débat 2.0 liberté vs sécurité, pensez-vous que le citoyen est perdant ? Cet épisode ne risque-t-il pas de limiter encore davantage la vie privée des citoyens ?

Zythom : Je vois se mettre en place deux catégories de citoyens : ceux qui sauront protéger une partie de leur vie privée et les autres. Et dans chacune de ces deux catégories, vous trouverez toutes les couches de la population : des riches, des pauvres, des criminels, des terroristes, des activistes, des journalistes, des avocats, des informaticiens, des politiques, etc. A chaque fois que nos libertés seront réduites, avec toujours les mêmes faux prétextes (lutte contre le terrorisme, contre la pédophilie, contre le grand banditisme, etc.), vous pouvez être sûr que le citoyen sera perdant. Mais tant qu'il ne s'en rend pas compte… Le grand changement d'aujourd'hui est le monde hyperconnecté dans lequel baigne une partie des citoyens : l'information circule très vite. J'ai l'espoir que si le bon côté de la Force l'emporte, une intelligence collective positive émergera de cette hyperconnection (attention, je ne parle pas d'IA). Le partage des connaissances peut aboutir à une meilleure information de chaque citoyen, et par là même à un meilleur contrôle sur nos représentants. Si le côté obscur l'emporte (il suffit de lire les commentaires haineux postés sous certains articles de journaux en ligne), alors notre comportement moutonnier sera exacerbé pour la plus grande joie des bergers et des loups. L'avenir est entre nos mains, et comme je suis optimiste, je suis persuadé que l'âge d'or est devant nous.
Merci à vous pour cet échange.

21 mars 2016

Le Cloud privé des avocats

Les avocats, ou plutôt le Conseil National des Barreaux (CNB), ont décidé de mettre un coup d'accélérateur à leur évolution vers le numérique en ouvrant un service baptisé "Cloud privé des avocats" (avec une majuscule à Cloud). Voici un extrait de la présentation de ce service sur le site du CNB:
Le Cloud privé des avocats, est une solution à haut niveau de sécurité disponible dès à présent. Dédié exclusivement aux avocats inscrits à un barreau français et en exercice, le Cloud privé garantit la confidentialité des correspondances et le secret professionnel. Inscrivez-vous dès maintenant pour profiter de tous ses avantages !

Le Cloud privé des avocats vous propose :
      une adresse de messagerie @avocat-conseil.fr permettant l’envoi de messages sécurisés vers vos confrères et vos clients ;
      un carnet d’adresses ;
      un agenda ;
      un gestionnaire de tâches ;
      un espace de stockage en ligne ;
      une suite de logiciels de bureautique (en option) ;
      un archivage chiffré ;
      l’envoi de vos courriels chiffrés vers vos clients.
J'ai pu tester ce service (enfin surtout la messagerie), voici quelques unes de mes impressions.

L'installation.
Tout étant en ligne, il n'y a rien à installer sur l'ordinateur: il suffit d'activer le service depuis le site, en suivant les indications que j'ai trouvées bien faites. Seul bémol: l'adresse email au format prénom.nom@avocat-conseil.fr devient l'adresse par défaut de réception des alertes RPVA... Petite suée froide avant de me rendre compte qu'il est possible de reparamétrer le compte afin de rétablir l'adresse habituellement utilisée par le cabinet. Un point positif, qui est de bon augure pour faciliter l'adoption de l'outil par l'ensemble des utilisateurs.

Le concept.
Le CNB souhaite mettre en place, avec le "Cloud privé des avocats", un espace d'échanges et de stockages sécurisés. Il y a plusieurs approches possibles, et celle qui a été retenue est celle de la centralisation dans le nuage. C'est une approche risquée dans la mesure où les cabinets d'avocat ont une pratique de la gestion de la sécurité en général localisée à leur cabinet, où ils doivent assurer un haut niveau de confidentialité. Mais l'arrivée du RPVA a ouvert la profession à une gestion collective de la sécurité, même si l'on peut regretter certains choix techniques. L'importance des échanges par emails dans une majorité de dossiers imposait une avancée sur le problème de leur sécurisation.

Le choix du type de chiffrement.
Le marché des messageries chiffrées est en plein essor depuis les révélations d'Edward Snowden et la mise en évidence d'une surveillance généralisée des communications électroniques. Je peux citer un beau projet tel que Protonmail. qui permet d'envoyer des emails sécurisés, mais reste compatible avec les messageries classiques. Le CNB a fait le choix de l'environnement Open-Xchange et de son extension OX Guard. Ces outils utilisent l'excellent système de clefs PGP. Le système crée pour chaque avocat une clef privée et une clef publique. Tout est fait pour que l'ensemble soit très simple à l'usage: quand vous envoyez un email à un autre avocat, vous choisissez si vous voulez le chiffrer et/ou le signer, en cliquant sur des cases à cocher. Vous pouvez insérer des images (emails au format HTML) ou des pièces jointes, l'ensemble sera chiffré. C'est simple quand on connaît bien les concepts techniques.

Les défauts relevés.
Sans prétendre avoir testé tous les aspects du "Cloud privé des avocats", j'ai fait des essais assez simples qui ont montré qu'il restait quelques problèmes à résoudre:
1) Je n'ai pas remarqué de système d'accusé de réception et d'accusé de lecture.
2) Les clefs privées/publiques ont une durée de validité de 10 ans, ce qui est très long.
3) Je n'ai pas vu de système de révocation des clefs
4) Un couple de clefs est créé pour tous les correspondants extérieurs, même si ceux-ci en disposent déjà ! C'est très gênant pour la majorité des logiciels de messagerie qui vont devoir demander aux utilisateurs quelle clef utiliser parmi plusieurs, pour la même adresse email !
5) Les clefs privées sont gérées par un système centralisé qui, s'il est compromis, va compromettre l'ensemble des correspondances sécurisées. Cela me semble un risque important en matière de sécurité.
6) Les clefs publiques ne sont pas publiées sur un serveur public, ce qui interdit à un correspondant extérieur de contacter facilement un avocat de manière sécurisé.
7) Lorsque l'on insère une image dans un email HTML chiffré destiné à un correspondant extérieur, l'image peut ne pas être transmise dans le message.

Ma conclusion.
Je trouve formidable qu'une profession sensible à la confidentialité fasse l'effort de s'équiper d'un outil numérique assurant celle-ci. Je suis heureux que le CNB ait fait le choix d'un système de cryptographie à clé publique tel que PGP comme méthode de chiffrement. Je pense par contre qu'un gros effort va devoir être fait pour expliquer son fonctionnement et ses limites. Il va falloir rappeler, par exemple, que les sujets des emails ne sont pas chiffrés (ils sont souvent utilisés par les avocats pour rappeler les références de leurs dossiers). Il va falloir faire cohabiter plusieurs adresses emails dans les cabinets ayant déjà leurs noms de domaine.

L'avenir dira si ses écueils seront surmontables.















20 mars 2016

Boot sur une image disque

Je termine une expertise sur laquelle le démarrage de l'ordinateur m'a fait gagner un temps précieux : j'ai pu remarquer pas mal de choses à partir de l'environnement de travail (image de fond d'écran, écran de veille basé sur un diaporama d'images, disposition des icones sur le bureau, etc.). C'est fou ce qu'on peut apprendre de ce genre de petits détails...

Et rien de plus simple à constater qu'en démarrant l'ordinateur. Oui, mais il n'est pas possible de modifier le contenu du disque dur que je dois analyser (afin de permettre à d'éventuelles autres expertises de pouvoir être pratiquées dans les mêmes conditions). Et tout le monde se doute qu'il se passe plein de choses quand on démarre un ordinateur, et que la majorité de ces choses modifient le contenu du disque dur. C'est pour cela qu'il faut toujours travailler sur une copie fidèle du disque dur. Et démarrer l'ordinateur sous la forme d'une machine virtuelle.

J'ai déjà expliqué sur ce blog comment je pratique pour prendre une image bit à bit d'un disque dur (lire par exemple ce billet).

J'ai également expliqué comment je convertissais cette image en machine virtuelle à l'aide d'un logiciel qui s'appelle Live View (lire ce billet). Mais ce logiciel ne semble plus maintenu et je rencontre de plus en plus de difficultés à l'utiliser. Du coup, j'ai souvent utilisé directement les outils en ligne de commande de VirtualBox: il suffit en effet d'une seule ligne de commande pour convertir une image bit à bit en disque exploitable sous VirtualBox:

VBoxManage  convertfromraw  image.dd  image.vdi  --format VDI --variant Fixed

(la dernière option permettant d'avoir un disque de taille fixe, la valeur par défaut de VBoxManage étant un disque de taille dynamique).

Le problème de cette commande est qu'elle est gourmande en temps et en ressources disques, puisqu'elle crée un double de l'image initiale.

Depuis que j'ai migré mon poste de travail personnel de Windows vers la distribution GNU/Linux Mint, j'explore de manière plus systématique les outils de l'univers GNU/Linux.

J'ai ainsi découvert une "vieille" commande disponible sur presque toutes les plateformes: xmount. Cette commande permet de créer un disque VirtualBox directement à partir de l'image bit à bit, sans la modifier, en créant un cache contenant toutes les modifications qui seront apportées sur le disque.

Ma procédure est maintenant la suivante:
mkdir toto
xmount  --out  vdi  --cache  image.cache  image.dd  ./toto

Je trouve ensuite dans le répertoire "toto" le fichier disque que j'utilise dans la machine virtuelle que je crée ensuite dans VirtualBox.

Si je ne connais pas les mots de passe Windows, je démarre la machine virtuelle avec le live cd ophcrack ou avec offline NT password. Si j'ai un écran bleu de la mort (parce que Windows n'aime pas démarrer sur du matériel différent de celui sur lequel il a été installé), j'utilise OpenGates qui fait office de baguette magique (sous Windows).

Je pose ça ici, si cela peut aider quelqu'un à booter sur une image disque. Il y a beaucoup d'autres méthodes et outils, mais ce sont ceux que j'utilise en ce moment.

PS: Je dois être l'un des derniers à utiliser "toto" dans mes exemples informatiques, mais les étudiants en rigolent encore, alors bon :-)

18 mars 2016

Tout sauvegarder

Le sujet des sauvegardes devrait être une source de réflexion permanente, et bien sûr, le reflet de sa propre organisation.

Voici une petite anecdote qui évitera peut-être à quelques un(e)s d'entre vous de subir le même désagrément que moi. Un retour d'expérience négative reste un retour d'expérience...

Je suis l'heureux propriétaire d'un stockage réseau qui permet à tous les membres de ma tribu de mettre leurs données à l'abri des pertes de données intempestives. Le terme savant informatique est NAS, pour Network Attached Storage. C'est un boîtier contenant un ou plusieurs disques durs, relié au réseau familial, allumé 24/7, et accessible en partage avec des droits d'accès individuels et collectifs.

Nous stockons sur ce NAS les photos, musiques et vidéos familiales, mais aussi les sauvegardes de nos postes de travail. Il est constitué d'un boîtier contenant deux disques de 3 To montés en miroir (RAID1) permettant de fonctionner sans perte de données, même si l'un des deux disques tombe en panne.

Un troisième disque dur de 3 To est branché en externe sur la prise USB3 et assure la sauvegarde quotidienne de ce boîtier NAS par réplication. Ce troisième disque tourne tous les six mois avec un quatrième, ce qui me permet d'avoir une copie complète des données, mais hors ligne cette fois.

Mon organisation des données familiales est donc la suivante : les données importantes sont sur le NAS, sur sa sauvegarde quotidienne et sur un disque hors ligne, les données non confidentielles sont sur mon compte Google Drive (à capacité illimitée), synchronisées à la fois sur mon ordinateur personnel et sur mon ordinateur professionnel, et les données "superflues", c'est-à-dire facilement récupérables sont sur mes disques locaux, avec une synchronisation automatique vers le NAS. Tous les ordinateurs de la maison utilisent peu ou prou ce même schéma.

Pour les machines sous Windows, j'utilise le logiciel SyncBack vers le NAS
Pour les machines sous iOS, j'utilise iCloud et iTunes.
Pour les machines sous Android, j'utilise le cloud de Google.
Pour les machines sous GNU/Linux (Raspbian et Mint), j'utilise la commande rsync vers le NAS.

A un moment, je me suis rendu compte que ma zone de sauvegarde personnelle (située sur le NAS) contenait tout un tas de données "obsolètes" car déplacées ou supprimées de mon ordinateur personnel. J'ai donc ajouté l'option "del" à la commande rsync pour garder une copie propre et fidèle des données de mon ordinateur. Cette commande est exécutée à chaque démarrage de mon poste.

J'ai fait plusieurs tests et tout était OK.

Jusqu'à la panne de ce lundi...

Lundi soir, alors que je lisais tranquillement mes flux RSS tout en écoutant la bande son du film d'animation "Métal Hurlant" (si si), j’entends tout à coup un drôle de bruit en provenance de ma tour : cloc, cloc, cloc... L'un des disques durs venait de me lâcher...

J'arrête proprement mon ordinateur, le laisse refroidir un peu, puis le redémarre. Le disque dur, définitivement en panne, refuse d'être monté par le système d'exploitation. Je viens de gagner un nouveau presse-papier design...

Heureusement, j'ai sur le NAS une copie synchronisée de mes données. Je lui jette un coup d’œil pour m'assurer qu'aucun voyant rouge ne vient gâcher définitivement ma soirée. Ouf, tout est en ordre.

Sauf que.

Sauf que je le trouve bien agité pour un NAS qui n'a rien à faire ! Je vérifie les fichiers journaux de mon script de synchronisation : ma super commande rsync était en train de synchroniser l'absence de données (le disque en panne) avec le vieux NAS, et donc elle EFFAÇAIT toutes les données du NAS (logique). Magie de l'option "del"...

J'ai donc stoppé la synchronisation immédiatement et regardé les dégâts : une centaine de fichiers effacés par la synchronisation destructive... Heureusement, toutes ces données sont "superflues" et donc leur perte m'importe peu.

Mais j'étais vexé comme un pou sur la tête d'un chauve...

J'ai bien entendu aussitôt révisé ma stratégie de synchronisation en retirant l'option "del" de la commande rsync.

Puis je me suis posé la question de la pertinence de mon schéma de sauvegarde familial, surtout en cas d'attaque d'un cryptovirus : si l'un d'entre nous ouvre une pièce jointe contaminée qui va chiffrer rapidement tous les fichiers auxquels les droits informatiques lui donnent accès en écriture, quelle solution mes sauvegardes apportent-elles ?

Toutes les zones accessibles en écriture sur le NAS seront chiffrées. Chacun ayant un compte séparé, seules une partie des données seront atteintes. Mais si personne ne me prévient, la sauvegarde par réplication écrasera la copie saine des données dès la nuit suivante. Il ne me restera en clair que les données de mon 4e disque dur (celui mis hors ligne pour six mois). Avec le risque de perdre jusqu'à six mois de données !

J'ai décidé de revoir tout cela en profondeur et d'équiper la maison d'un système de sauvegarde dédié: j'ai fait l'achat d'un NAS spécialement dédié à la sauvegarde. J'ai choisi de suivre les recommandation d'un geek passionné qui tient un blog et recommande l'achat d'un NAS quatre baies de qualité professionnelle pour 219 euros chez Amazon (sans les disques) !


Objectif : installation d'Openmediavault ET de BackupPC sur la même machine, avec mise en place d'une stratégie de sauvegarde incrémentale.

J'attends avec impatience la livraison, et je vous tiens au courant ;-)
A suivre...

11 mars 2016

Mais putain y va bouger son gros cul ce con

Quand j'ai vu que la HADOPI continuait son travail de traque au profit des ayants-trop-de-droits,

Quand j'ai vu que la France refusait d'accueillir Édouard Snowden et de le protéger,

Quand j'ai vu la frayeur de nos dirigeants devant l'arrivée des réfugiés irakiens, libyens ou syriens, poussés par des guerres auxquelles nous avons largement contribué,

Quand j'ai vu le budget de la justice rester anémique,

Quand j'ai vu le cumul des mandats perdurer, y compris chez les ministres,

Quand j'ai vu les seuls médias indépendants poursuivis par le fisc,

Quand j'ai vu des lois de plus en plus liberticides être votées, un état d'urgence permanent se mettre en place,

Je me suis recroquevillé sur moi-même, incrédule.

Moi qui rêvais d'une France accueillante, montrant l'exemple, où le partage non marchand de la culture ferait la joie des cours de récréation, où les lanceurs d'alertes pourraient trouver refuge, où les réfugiés pourraient créer de la richesse et de l'emploi, où la justice pourrait faire son travail, où les cumulards seraient montrés du doigt, où la Liberté serait défendue avec des décisions politiques historiques ("A la terreur, nous répondrons par plus de démocratie")...

Je me suis dit, devant mon écran d'ordinateur, du fond de ma petite vie pénarde : MAIS PUTAIN Y VA BOUGER SON GROS CUL CE CON !

Je ne sais plus si je pensais à moi-même, au Président de la République, au Premier Ministre, ou au contraire au caporal encore sournoisement caché dans une caserne. 

Je suis désespéré par ce ratage historique.
Que vais-je dire à mes enfants ?

09 mars 2016

La logique de l'autre

Quand j'ai reçu cette mission du magistrat, elle m'a semblé classique, presque banale : je dois vérifier la présence (ou pas) d'un ensemble de données commerciales qui intéressent les enquêteurs.

Je reçois quelques jours plus tard le scellé judiciaire : un bel ordinateur fixe emballé dans du papier kraft d'un autre siècle. Je prends des photos, je brise le scellé, je prends des photos, je prends des notes, j'ouvre l'ordinateur, je prends des photos de ses entrailles : il y a plusieurs disques durs de grosses capacités. Aïe.

Trois disques durs de 3 To*.
Je commande rapidement quatre disques de 4 To que j'agrège en RAID0 sur un FreeNAS créé pour l'occasion. Mon bureau ressemble à un capharnaüm de câbles, de PC ouverts, de disques durs en vrac... Plus que tout, je crains une panne matérielle impromptu sur les disques du scellé. J'installe un grand ventilateur et je me dépêche de faire une copie bit à bit de chaque disque.

Je commence mon analyse en bootant une machine virtuelle sur une copie du disque système du scellé. Première étape : comprendre la logique de rangement de l'utilisateur de l'ordinateur. Où se trouvent les données non effacées, y a-t-il un système de chiffrement, quels sont les logiciels utilisés, quels sont les différents mots de passe, etc. Je lance quelques logiciels de recherche basiques pour voir si les données que l'on me demande sont présentes en clair sur l'un des disques durs. Rien.

Je travaille sur le dossier tous les soirs (je suis salarié d'une école d'ingénieurs, j'y travaille de 8h à 19h du lundi au vendredi, je ne peux consacrer du temps à cette analyse que les soirs après 21h et les week-ends). Entre le montage du FreeNAS, les copies des disques durs et les premières analyses des données, il s'est déjà écoulé trois semaines. Le magistrat m'a demandé de rendre mon rapport en deux mois. Je suis encore dans les temps.

Je commence une analyse plus en profondeur des données, avec le logiciel TSK (The Sleuth Kit) et son interface graphique Autopsy. Quelques jours de calculs plus tard, je trouve des traces de fichiers qui concernent le dossier.

Par contre, ces traces sont "bizarres". Les fichiers ne sont pas détectés sur un système de fichiers Windows (alors que l'ordinateur que l'on m'a amené fonctionne sous Windows), mais sous un système GNU/Linux...

C'est curieux.
Je regarde de plus près la zone du disque où j'ai repéré ces traces. Il s'agit d'un gros fichier "vdi". C'est un type de fichier qui, par convention, est utilisé par VirtualBox. Je vérifie : oui, ce logiciel est bien installé sur le scellé.

VirtualBox est un logiciel bien connu, qui permet de gérer et faire fonctionner des machines virtuelles sur un ordinateur. Je l'utilise couramment, surtout depuis que j'ai abandonné Windows 10 pour Mint (j'ai toujours un Windows 7 "sécurisé" que je fais tourner en machine virtuelle pour certains logiciels dont j'ai encore l'usage...).

Mon utilisateur est donc adepte de VirtualBox. Je fais la liste des machines virtuelles présentes sur le scellé (enfin sur les copies des disques, ça fait longtemps que j'ai remonté le scellé et qu'il est rangé, ainsi que mon gros ventilateur), ainsi que la liste des fichiers "vdi" et assimilés.

Il y a plein de fichiers "vdi", tous avec des noms plus ou moins farfelus...

Je récupère les informations des différentes machines virtuelles pour comprendre comment les disques virtuels sont organisés, quelle machine utilise quel(s) disque(s), et quels sont les différents systèmes d'exploitations installés.

Puis, je transfère toutes ces machines virtuelles pour les démarrer une par une sur un ordinateur fraîchement installé pour cela (avec la même version de VirtualBox que celle du scellé).

Et là, je tombe une configuration un peu surprenante : une machine virtuelle avec trois disques durs virtuels, qui, quand on la démarre, affiche une invite "openmediavault login"... OpenMediaVault est un projet open source de gestion de NAS.

Je teste les différents mots de passe récupérés sur l'hôte Windows, pour me connecter sur l'interface web, et je découvre un volume de stockage réparti en RAID1 sur deux fichiers virtuels, eux-même repartis sur deux des trois disques durs physiques. Le tout est accessible "à tout le monde" en mode SMB/CIFS depuis l'hôte Windows...

Évidemment, les données intéressantes étaient stockées à cet endroit là.

Donc je résume : l'utilisateur du scellé sur lequel est installé Windows, a installé un NAS virtuel qui propose du stockage local accessible à tous localement sans mot de passe.

Je n'ai pas compris la logique du truc. Quel est l'intérêt d'utiliser un NAS OpenMediaVault virtuel local pour stocker des données ? Quel est l'intérêt de proposer ensuite un accès "pour tous" à ces données, même localement ? Quel est l'intérêt de monter un RAID1 virtuel Debian sur deux fichiers gérés par Windows ?

J'ai eu beau tourner le problème dans ma tête, je n'ai pas compris la logique de l'autre. Parfois, il vaut mieux ne pas savoir...

J'ai évalué à 200h le temps passé sur ce dossier. Je n'en ai facturé que 30... Et je n'ai pas fait payer le matériel acheté (essentiellement les disques durs, que j'utilise maintenant dans mon système de sauvegarde/stockage). Par contre, j'ai beaucoup galéré pour la rédaction du rapport. Pour rester le plus clair possible, j'ai repoussé mes investigations techniques (et les explications associées) en annexe.

Pas sur qu'elles aient été lues par grand monde ;-)


------------------------------------------
* : le dossier étant ancien, j'ai "actualisé" les valeurs citées, en particulier les capacités des disques.

04 mars 2016

Les russes attaquent

Un billet rapide du vendredi pour vous narrer la petite mésaventure qui nous est arrivée ce matin.

J'ai reçu cette nuit des emails d'alerte de notre serveur de supervision open source Centreon, et de ma sonde Pingdom, m'indiquant que notre serveur web institutionnel montrait des signes de fatigue, avec des temps de réponse très long.

Dès potron-minet (je travaille dans une école, pas dans une banque), je fais le point avec mon équipe pour savoir ce qu'il se passe. Dans un premier temps, nous pensons que notre hébergeur Gandi est en cause, car il semble être sous le coup d'une attaque DDoS, ce qui expliquerait notre difficulté à nous connecter à notre serveur.

Puis, nous mettons le nez dans les logs, pour voir immédiatement qu'une attaque était en cours sur NOTRE machine : quelqu'un s'intéressait drôlement au fichier xmlrpc.php de notre serveur WordPress... Avec plus d'une requête par seconde via ce fichier, notre serveur était au bord de l'effondrement. Nous faisions l'objet d'une attaque DoS basique.

Une seule adresse IP est à l'origine de cette attaque, et semble être basée en Russie. Nous l'isolons rapidement avec une commande "route add -host addrIP reject"

Le serveur retrouve sa vigueur de jeune homme, et notre Social Network Manager le sourire, à moins que ce ne soit l'inverse, bref...

Petit débriefing post attaque. Premier point, y a-t-il eu des dégâts ? Nous vérifions les pages, les accès, les dates de modification des pages, l'état de la base de données, etc. Deuxième point, comment faire pour que cela ne se reproduise pas ? Il faut automatiser la détection et la réaction appropriée. Cela tombe bien, nous avons déjà mis en place le logiciel Fail2Ban, dont c'est la fonction, et qui s'en sort très bien.

Il nous suffit donc de suivre les conseils de cette page pour ajouter le script qui va bien.

Mon technicien (qui a fait tout le boulot) et moi, nous nous regardons avec le sentiment d'avoir été les gardiens civils du Mur (nous n'avons pas prêté le serment de la Garde de Nuit). Le reste de l'école vaque à ses occupations, inconscient du drame qui se jouait sous leurs yeux.

Je peux retourner à mes dossiers d'investissements, je dois réussir à montrer l'importance du remplacement de nos "vieux" SAN. Et c'est vraiment différent de la lutte contre les scripts kiddies.

Jusqu'au jour où...


25 février 2016

L'expert judiciaire et les accords toltèques

Source image Wikipédia
J'ai découvert les accords toltèques lors d'une formation dans mon groupe GERME. J'ai trouvé que cette discipline de vie pouvait remarquablement s'appliquer à l'activité d'expert judiciaire.

Un peu d'histoire :

Miguel Ruiz est un neurochirurgien mexicain qui a failli mourir lors d'un accident de voiture. après ce drame, il change radicalement sa vie : il abandonne la médecine et se consacre aux savoirs anciens de ses ancêtres toltèques. Il a écrit en 1997 un livre qui est devenu rapidement un best-seller mondial : "les quatre accords toltèques". Il est aujourd'hui conférencier à travers le monde et auteurs de plusieurs livres, dont "Le cinquième accord toltèque" en 2010.

Les accords toltèques sont très simples à énoncer, mais derrière cette simplicité se cache une puissance qui peut servir de philosophie de vie, de principe de management ou encore de base personnelle de progrès.

A titre personnel, je suis plutôt bien en phase avec les accords toltèques, mais j'ai beaucoup de marges de progrès sur plusieurs d'entre eux. Ils m'ont été présentés dans le cadre du management (un management avec des valeurs humanistes), mais ce qui m'intéresse ici, c'est de voir comment ils peuvent s'appliquer à l'activité d'expert judiciaire.

Entrons dans le vif du sujet.


Accord n°1 : Que votre parole soit impeccable.
Parlez avec intégrité. Ne dites que ce que vous pensez vraiment. Évitez d'utiliser la parole pour vous exprimer contre vous-même ou pour médire d'autrui. Utilisez la puissance de la parole dans le sens de la vérité et de l'amour.
(source "Pratique de la voie toltèque" par Don Miguel Ruiz)

Lors d'une réunion d'expertise, les mots ont une importance capitale. L'atmosphère est souvent très électrique, voire explosive. Les parties sont en litige, des courriers recommandés ont été échangés, les avocats sont intervenus et ont mis en lumière des accusations souvent douloureuses, le magistrat sollicite votre avis (technique). Si le mot "amour" n'a pas nécessairement sa place dans ce contexte, le mot "vérité" prend une importance toute particulière. Vous n'êtes pas là pour faire de la diplomatie, ni pour juger les parties, mais pour remplir une fonction de la manière la plus objective, la plus scientifique possible, "en votre honneur et en votre conscience".

La parole n'est pas seulement un son mais est aussi un symbole écrit. Le rapport remis par l'expert judiciaire doit être "impeccable", mot qui vient du latin pecatus (péché) avec le radical im- (sans). Un rapport sans péché, sans défaut, qui va dans le sens de la vérité. Le mauvais usage de la puissance de la parole crée l'enfer. On l'utilise pour médire, pour critiquer, pour culpabiliser, pour détruire. Ce n'est pas le rôle attendu de l'expert judiciaire.

Depuis quelques années, je pratique des exégèses expertales, c'est-à-dire des contre-expertises privées, où il m'arrive souvent d'avoir à critiquer le travail réalisé par un confrère. C'est pour moi un exercice difficile, parfois, de bien peser les mots que j'utilise, sans pour autant tomber dans la langue de bois. "Que votre parole soit impeccable" semble être une évidence, mais plus j'y réfléchit, et plus je me rends compte que ce point est important et difficile.


Accord n°2 : Quoiqu'il arrive, n'en faites pas une affaire personnelle.
Vous n'êtes pas la cause des actes d'autrui. Ce que les autres disent et font n'est qu'une projection de leur propre réalité, de leur propre rêve. Lorsque vous êtes immunisé contre les opinions et les actes d'autrui, vous n'êtes plus la victime de souffrances inutiles.(source "Pratique de la voie toltèque" par Don Miguel Ruiz)

Dans un débat contradictoire (au sens "en présence de toutes les parties"), chacun défend sa position, son opinion, ses intérêts. Le devoir de l'expert est dans la recherche de la vérité. Lorsqu'il s'en approche, et qu'il le fait nécessairement savoir, il devient la cible des coups d'une des parties. Pour autant, il ne faut pas en faire une question personnelle. Sauf en cas d'agression, bien entendu (relire le billet "les risques du métier" à ce sujet).

Lorsque vous faites une affaire personnelle de ce qui vous arrive, vous vous sentez offensé et votre réaction consiste à défendre vos croyances, ce qui provoque des conflits. Vous faites tout un plat d'un petit rien, parce que vous avez besoin d'avoir raison et de donner tort à autrui. Vous vous efforcez aussi de montrer que vous avez raison, en imposant votre opinion aux autres.

Le magistrat vous demande votre avis. Cela ne veut pas dire que vous devez arriver à modifier les opinions des autres. Surtout les opinions qu'ils ont sur vous, ou du moins susceptibles de vous atteindre personnellement.

C'est un point sur lequel j'ai encore beaucoup de progrès à faire : je suis par exemple très sensible aux attaques personnelles que le philosophe allemand Arthur Schopenhauer appelle "Argumentum ad personam" dans son ouvrage "l'Art d'avoir toujours raison" :
Extrait de Wikipédia
« Si l’on s’aperçoit que l’adversaire est supérieur et que l’on ne va pas gagner, il faut tenir des propos désobligeants, blessants et grossiers. Être désobligeant, cela consiste à quitter l’objet de la querelle (puisqu’on a perdu la partie) pour passer à l’adversaire, et à l’attaquer d’une manière ou d’une autre dans ce qu’il est : on pourrait appeler cela argumentum ad personam pour faire la différence avec l’argumentum ad hominem. Ce dernier s’écarte de l’objet purement objectif pour s’attacher à ce que l’adversaire en a dit ou concédé. Mais quand on passe aux attaques personnelles, on délaisse complètement l’objet et on dirige ses attaques sur la personne de l’adversaire. On devient donc vexant, méchant, blessant, grossier. C’est un appel des facultés de l’esprit à celles du corps ou à l’animalité. Cette règle est très appréciée car chacun est capable de l’appliquer, et elle est donc souvent utilisée. La question se pose maintenant de savoir quelle parade peut être utilisée par l’adversaire. Car s’il procède de la même façon, on débouche sur une bagarre, un duel ou un procès en diffamation. »

Il est évident que l'expert judiciaire ne doit pas se placer sur ce terrain, ni se laisser y emmener. Quoiqu'il arrive, n'en faites pas une affaire personnelle.


Accord n°3 : Ne faites pas de suppositions.
Ayez le courage de poser des questions et d'exprimer ce que vous voulez vraiment. Communiquez le plus clairement possible avec les autres, afin d'éviter les malentendus, la tristesse et les drames. Avec ce seul accord, vous pouvez complètement transformer votre vie.
(source "Pratique de la voie toltèque" par Don Miguel Ruiz)
Nous avons tendance à faire des suppositions à propos de tout. Le problème est que nous croyons ensuite que ses suppositions sont devenue la vérité. Nous serions parfois prêt à jurer qu'elles sont vraies. Il est très intéressant de voir comment l'esprit humain fonctionne. L'Homme a besoin de tout justifier, de tout expliquer, de tout comprendre, afin de se rassurer. Il y a des millions de questions auxquelles nous cherchons les réponses, car il y a tant de choses que notre esprit rationnel ne peut expliquer. C'est pour cela que nous faisons des suppositions. Le problème est de croire que ses suppositions sont la vérité.

Nous supposons que tout le monde voit le monde comme nous le voyons.
Nous supposons que les autres pensent comme nous pensons, qu'ils ressentent les choses comme nous les ressentons, qu'ils jugent comme nous jugeons.

Il s’agit de prendre conscience que nos suppositions sont des créations de notre pensée.

Il y a des méthodes pour éviter les suppositions. Par exemple, quand quelqu'un vous pose une question, il faut éviter de répondre directement. Il faut d'abord reformuler la question pour s'assurer auprès du questionneur qu'on l'a bien comprise. Cela évite souvent les malentendus et les réponses "à côté".

Pendant longtemps, je coupais souvent la parole, parce que j'avais compris ce que mon interlocuteur voulait me dire et que je voulais réagir, argumenter, expliquer. Il m'a fallu du temps, et du coaching, pour apprendre à écouter. Et de cette écoute, pour apprendre à comprendre ce que voulait vraiment dire mon interlocuteur. Et d'avoir le courage de poser des questions, quitte à passer pour quelqu'un de long à la comprenette. Dans le cadre d'une réunion d'expertise, où plusieurs profils de compétence sont présents - tous experts dans leur domaine - cet accord toltèque n°3 prend tout son sens. Il faut prendre le temps d'éviter les suppositions, les non-dits, les sous-entendus, les contresens culturels.

Il faut exposer ses missions, les expliquer, s'assurer que tout le monde comprend la même chose. Il faut écouter, poser des questions, exposer et expliquer son point de vue. Il faut faciliter la communication entre les personnes, et a minima entre toutes les personnes et soi-même.

J'ai aussi remarqué que ce point permet réellement d'améliorer sa vie, de se rapprocher de ses collègues, de mieux comprendre ses enfants, sa compagne, ses amis... C'est le point que je cherche à travailler le plus : "ne faites pas de suppositions" sans faire de vérifications.


Accord n°4 : Faites toujours de votre mieux.
Votre "mieux" change à chaque instant ; il n'est pas le même selon que vous êtes en bonne santé ou malade. Quelles que soient les circonstances, faites simplement de votre mieux et vous éviterez ainsi de vous juger ultérieurement, de vous maltraiter et d'avoir des regrets.(source "Pratique de la voie toltèque" par Don Miguel Ruiz)
Le pire piège est la course à la perfection. En psychologie positive, les chercheurs étudient la notion de perfection, comme une notion qui entraîne de nombreuses émotions négatives. Nous voulons être parfaits, nous voulons que les autres soient parfaits, etc. Nous construisons des illusions mentales de perfection. La vie quotidienne et la réalité extérieure nous enseignent que la perfection est un but idéal et non une réalité concrète.

Comment être satisfaits, heureux et épanouis tout en sachant que la perfection est par définition, inatteignable car inhumaine ?
Reprendre pieds dans le présent et se donner totalement dans chaque instant. Donner toute son énergie, ses compétences, ses qualités et son temps pour la tâche que nous avons décidé d’accomplir. Un fois accomplie, cette tâche peut nous apporter un sentiment d’accomplissement, même si tout n’est pas parfait.

J'ai compris très jeune comment faire pour ne pas avoir de regrets : il me suffit de bien réfléchir à toutes les options qui s'offrent à moi, lors d'une décision importante, puis de prendre la meilleure option, compte tenu des cartes que j'ai en main. Bien entendu, j'ai parfois fait de mauvais choix, mais très souvent, je ne pouvais me rendre compte du caractère "mauvais" que plus tard, lorsque de nouvelles cartes apparaissaient dans mon jeu. Et à chaque fois, tout en corrigeant les effets de mon mauvais choix, je n'en voulais pas à mon "moi" antérieur puisqu'il avait fait de son mieux, avec les éléments dont il disposait.

Bien entendu, ce point est difficile en expertise judiciaire, où la perfection est attendue. C'est pourquoi l'activité d'expert judiciaire demande autant de travail et de précautions. Il faut garder en tête les regrets du professeur Tardieu qui, en tant qu'expert, a fait condamner tant d'innocents. Pourtant Tardieu ne s'est jamais trompé. Il a simplement subi les ignorances de la science.



Accord n°5 : Soyez sceptique, mais apprenez à écouter.
Ne vous croyez pas vous-même, ni personne d'autre. Utilisez la force du doute pour remettre en question tout ce que vous entendez : est-ce vraiment la vérité ? Écoutez l'intention qui sous-tend les mots et vous comprendrez le véritable message.
Être capable d’écouter signifie, comme dans les groupes de paroles, d’être capable de se taire et de laisser autant de place à la vérité de l’autre qu’à la sienne. Vaste programme.

Au civil et au commerce, l'expert judiciaire doit rendre un avis, sur des questions posées par le juge, et pour cela, il doit organiser des réunions contradictoires où toutes les parties vont pouvoir d'exprimer devant lui. Tous les arguments vont être fournis. Il faut réellement se présenter à cette réunion avec la plus grande ouverture d'esprit possible, pour favoriser l'écoute, tout en doutant de chaque argument. C'est difficile, souvent fastidieux, mais nécessaire pour pouvoir se forger un avis solide.

Là aussi, les mots utilisés ont leurs importances, avec des sens qui ne sont pas forcément les mêmes pour tout le monde. Il faut découvrir l'intention cachée derrière chaque mot, derrière chaque phrase.

Il faut aussi douter de soi-même, de ces certitudes, et arriver à se laisser convaincre par les bons arguments, pour approcher la vérité.

Et ce n'est pas simple.





11 février 2016

Evénement de probabilité nulle

J'ai longtemps cru qu'un événement ayant une probabilité nulle était un événement impossible. Il semblerait qu'il n'en soit rien.

J'aime beaucoup l'explication trouvée sur un forum de discussion :
A priori, un événement de probabilité nulle n'a aucune raison d'être l'ensemble vide (événement impossible). Sur un univers fini, on ne s'intéresse évidemment qu'aux événements élémentaires de probabilité non nulle. Donc on s'arrange pour que seul l'événement vide ait une probabilité nulle. Sur un univers infini, même discret, ce n'est pas toujours une bonne idée, et c'est même impossible à éviter pour les probas continues.

Par exemple, le choix d'un réel entre 0 et 1, uniformément, donne une situation où chacun des réels entre 0 et 1 a la même probabilité d'arriver, mais chacun a une probabilité nulle.
J'ai trouvé ailleurs le même genre d'explication ;
L’événement impossible (il n'y en a qu'un) est par définition l'ensemble vide : c'est l'autre nom qu'on lui donne en calcul des probabilités.
L’événement certain (il n'y en a qu'un dans le contexte d'une expérience aléatoire donnée) est l'ensemble Omega, c'est un autre nom de l'univers.


Dans le langage probabiliste usuel, un événement de probabilité égale à 1 est dit presque sûr ou presque certain, et il est bien vrai qu'un tel événement n'est pas nécessairement égal à Omega; un événement de probabilité nulle est dit négligeable ou presque impossible.
(source discussion sur Wikipédia)
J'ai toujours été fasciné par l'univers mathématique, et en particulier par celui des probabilités. Sans nécessairement être très bon.

Je pose ça ici...

[edit: j'étais presque sur d'avoir déjà lu cela quelque part... J'ai retrouvé, il s'agit d'un commentaire sur le blog d'Eolas : http://www.maitre-eolas.fr/post/2010/08/13/M%C3%B8de-d-emplo%C3%A5 ]

03 février 2016

L'art de la loose

Il y a en France deux niveaux d'experts judiciaires : le niveau régional, avec les personnes inscrites sur les listes des Cours d'Appel, et le niveau national, avec la liste de la Cour de Cassation. 

Comme je n'ai pas trop peur du ridicule, et que j'ai fait mien l'adage "qui ne risque rien n'a rien", j'ai postulé en 2015 pour une inscription sur la prestigieuse liste de la Cour de Cassation. J'ai d'ailleurs publié ici même, dans ce billet, la lettre de motivation qui accompagnait mon dossier de demande d'inscription. Lisez-là, elle montre que je suis super motivé :-)

Depuis fin décembre, je scrute tous les soirs avec impatience la boite aux lettres en rentrant à mon domicile pour avoir la réponse à ma demande.

Il y a quelques jours, je suis tombé sur cette proposition de loi relative au caractère temporaire de l'inscription des experts judiciaires sur la liste nationale, déposée par Monsieur le Député Jean-Luc Warsmann (l'augmentation de graisse est de moi) :
EXPOSÉ DES MOTIFS

Mesdames, Messieurs,

Cette proposition de loi est relative à la durée d’inscription des experts judiciaires sur la liste nationale et reprend les préconisations émises par la Cour de cassation dans son rapport annuel 2014 « Le temps dans la jurisprudence de la Cour de cassation ».

L’article 2 de la loi n° 71-498 du 29 juin 1971 relative aux experts judiciaires a été modifié par la loi n° 2012-409 du 27 mars 2012 de programmation relative à l’exécution des peines afin de permettre l’inscription sur la liste nationale des experts à des personnes ayant exercé de fonctions semblables dans d’autres États membres de l’Union européenne.

Toutefois, la nouvelle rédaction a omis de reprendre la disposition relative au caractère temporaire de cette inscription qui précisait que la durée d’inscription sur la liste nationale des experts est de sept ans. Aussi, désormais et depuis 2012, l’inscription sur cette liste n’est plus limitée dans le temps. Selon le rapport de la Cour de cassation, cette situation pose en pratique un certain nombre de problèmes.

En effet, bien qu’ils soient âgés et n’exercent plus d’activité expertale, un certain nombre d’experts ne demandent pas leur retrait de ladite liste. Ainsi, la Cour constate que cinquante-deux experts âgés de plus de soixante-dix ans figuraient encore sur celle-ci.

De même, en l’absence de demande de retrait ou de réexamen des candidatures au bout de sept ans, seule la procédure disciplinaire est possible à l’encontre d’experts peu diligents dont l’inscription ne semblerait plus souhaitable sans que, pour autant, leur comportement mérite d’être sanctionné disciplinairement.

La liste nationale s’allongeant sans cesse a pour conséquence que certaines rubriques sont largement pourvues et cela empêche l’inscription d’experts plus jeunes.

Enfin, le non-renouvellement de l’inscription sur une liste de cour d’appel n’a plus aucun effet sur l’inscription sur la liste nationale puisque le caractère temporaire de l’inscription sur cette dernière n’existe plus. En conséquence, nous assistons à des situations incohérentes puisque certains experts peuvent figurer sur la liste nationale alors même que leur réinscription leur a été refusée sur une liste de cour d’appel.

Aussi, cette proposition de loi entend mettre en œuvre cette recommandation de la Cour de cassation en réintroduisant le caractère temporaire de l’inscription des experts judiciaires sur la liste nationale.

Tel est l’objet de la proposition de loi qu’il vous est proposé d’adopter.

PROPOSITION DE LOI

Article unique

Le III de l’article 2 de la loi n° 71-498 du 29 juin 1971 relative aux experts judiciaires est complété par une phrase ainsi rédigée :

« Il est procédé à l’inscription sur la liste nationale pour une durée de sept ans et la réinscription, pour la même durée, est soumise à l’examen d’une nouvelle candidature. »

De ce fait, je me disais que j'avais une chance supplémentaire d'être accepté, puisqu'à 52 ans, je me sens plutôt "jeune" sur le coup.

Hélas, voici le courrier que j'ai reçu aujourd'hui, signé du premier président de la Cour de Cassation, et qui douche mes espoirs :
[...]
Mais attendu qu'il ressort de l'instruction du dossier que M. [Zythom] n'a de l'expertise qu'une expérience limitée et ne justifie ni d'une reconnaissance par l'ensemble de la profession au niveau national ni d'une notoriété reconnue par ses pairs ; que dès lors, l'intéressé n'exerce pas son activité dans des conditions lui conférant une qualification suffisante pour prétendre à l'inscription sur la liste nationale.
[...]
La demande d'inscription sur la liste nationale des experts présentée par M. [Zythom] est rejetée.

Ouch.

J'ai voulu me frotter à l'élite, me voici renvoyé dans mes 22... Ça brise un peu mon rêve de participer aux enquêtes de niveau national avec les Roxors de la Cour de Cassation.

Quant à acquérir un jour une notoriété reconnue par mes pairs... Peut-être dans l'art de la loose ?

Il y a toujours des sommets qu'on ne pourra pas atteindre. Cela n'empêche pas d'essayer. Je ne regrette rien.

Je continuerai donc à faire de mon mieux, à mon niveau de petit expert judiciaire de province. Et j'en suis fier :-)

--------------------------------------------------------------------------
Source photos : Mamika de Sacha Goldberger

PS: "L'art de la loose" est (pour moi) une référence clin d’œil à un blog aujourd'hui disparu que j'aimais bien. D'où le choix de cette orthographe pour le mot anglais "lose".