14 avril 2015

GNU/Linux et la vente liée

J'ai découvert GNU/Linux en 1993, avec une distribution qui s'appelait Yggdrasil. Il s'agissait pour moi de trouver un remplacement à l'HP-UX que j'avais connu dans ma vie professionnelle précédente. Puis, toujours pour des raisons professionnelles, j'ai adopté pendant plusieurs années la distribution Slackware, pour migrer ensuite vers le Chapeau Rouge et enfin vers la distribution Debian qui équipe maintenant tous mes serveurs GNU/Linux pro.

En parallèle, j'ai joué avec Nextstep, FreeBSD, Solaris et NetBSD, pour différentes raisons, mais c'est surtout l'univers des différentes distributions GNU/Linux qui m'a attiré : j'aime bien de temps en temps installer une distribution pour voir comment elle fonctionne. Je teste un peu de tout, mais pas tout, car vous trouverez une liste impressionnante des différentes distributions sur cette page Wikipédia.

Certaines distributions sont spécialisées dans l'inforensique, comme DEFT. D'autres dans la protection de la vie privée, comme Tails. Enfin, certaines sont adaptées à un usage grand public, comme Ubuntu, que j'ai choisie pour mon ordinateur personnel.

Tout est affaire de choix, et chaque distribution a sa communauté et ses passionnés. Mais, si je suis un utilisateur converti depuis longtemps, je n'ai jamais fait parti des contributeurs, c'est-à-dire que je n'ai jamais participé au développement, aux tests, à la documentation, aux traductions, etc. Peut-être puis-je me targuer d'en avoir parlé autour de moi, et d'avoir incité mes étudiants à s'en servir. Mais le fait de ne pas contribuer me rend un peu mal à l'aise...

C'est pourquoi, le jour où un avocat m'a contacté pour me demander de faire une analyse technique en tant qu'expert, avec comme objectif de lutter contre la vente forcée du système d'exploitation lors d'un achat de matériel informatique, j'ai tout de suite répondu présent.

C'était la chance de ma vie pour apporter ma pierre à l'édifice.
C'était le projet qui allait marquer ma vie d'expert de justice.
C'était le moyen de détrôner Windows de son hégémonie et rendant le choix possible pour le consommateur.

J'étais chaud bouillant.

Hélas, le problème est plus complexe qu'il n'y paraît. Comment évaluer la simplicité d'installation d'une distribution sur un ordinateur ? Quelle distribution faut-il tester ? Sur quels ordinateurs faut-il faire les tests pour prétendre être exhaustif ? Combien d'ordinateurs, quelles marques ? Etc.

Est-il possible d'écrire un rapport technique objectif prouvant la vente liée ?

Il est beaucoup plus simple de trouver un ordinateur récent et d'installer plusieurs distributions pour en trouver quelques unes qui ne s'installent pas correctement... Il y a souvent un "truc" propriétaire sur l'ordinateur (par exemple des boutons sur un portable) qui ne sera pas reconnu par le système d'exploitation si le constructeur ne fournit pas le bout de programme ad-hoc. Et le temps que la communauté développe le pilote manquant, un certain nombre de consommateurs peuvent s'estimer floués...

En 2008, Darty avait été poursuivi par l'association UFC-Que Choisir pour vente liée PC et logiciels, mais le tribunal l'avait déboutée (lire ici). La société Darty avait quand même été condamnée à détailler le prix des logiciels installés sur un PC. Cette obligation avait été retirée en appel.

Le jugement d'appel peut être lu ici (pdf).

J'en reproduit ici un extrait qui me semble intéressant :
Darty justifie d'ailleurs que ces ordinateurs, ainsi équipés, lui sont facturés globalement, sans distinction entre le prix de l'ordinateur et celui des logiciels, et que ses demandes pressantes adressées le 26 juin 2008 à ses fournisseurs (Toshiba, Asus, Apple, Packard Bell, Sony, Hewlett Packard, Fujitsu-Siemens et Acer), dans le but de satisfaire à l'injonction du tribunal, sont demeurées vaines, Apple ayant répondu que ses logiciels, conçus par elle, ne sont pas vendus séparément, Hewlett Packard ayant fait valoir que "les logiciels qu'(elle) se procure en très grandes quantités pour en équiper ses ordinateurs doivent être distingués de ceux disponibles dans le commerce et que ces composants ne font pas l'objet d'une commercialisation séparée" et qu'elle estimait en conséquence que "le prix des logiciels dont elle équipe ses machines et dont elle n'est pas par ailleurs revendeur est un élément de la structure du coût de ses ordinateurs et relève du secret des affaires", et les autres n'ayant tout simplement pas accédé à sa requête;
Où en est-on en 2015 ? Je ne suis pas juriste, donc, je ne peux pas vous dire dans quel sens les textes de loi ont évolué. J'espère que le moment est venu de se reposer la question de la vente liée.

Il faudrait sans doute définir dans la loi plusieurs sortes de consommateurs : celui qui souhaite une machine "clef en main" et celui qui peut accepter une machine nue, avec une réduction de prix, même modique. Il faudrait que les constructeurs fournissent les pilotes de leur matériel propriétaire. Il faudrait que les constructeurs acceptent d'installer plusieurs systèmes d'exploitation en OEM pour assurer la pleine exploitation de leurs machines et l'égalité des armes.

La gratuité annoncée de Windows 10 va peut-être débloquer cette situation, développer les parts d'utilisation des OS alternatifs et permettre au consommateur d'avoir le choix. La guerre des OS n'est pas prête de s'arrêter.

Pour l'instant, ce projet d'expertise est en attente, et je me contente de contribuer au point n°10 de cette liste, et d'acheter mes ordinateurs nus sur les sites qui le proposent.

En attendant mieux.
Désolé.

-------------------------------------------------
Source dessin : Bruno Bellamy

07 avril 2015

Scam parlementaire

Attention, il est possible que ce message circule sur certaines boites aux lettres, restez vigilant...

--------------------------------------------------

Monsieur le Député,

Je vous écris dans le but d’obtenir votre coopération et votre confiance en vue d’effectuer une affaire urgente avec vous, c’est une proposition sincère et noble que je vous fais. Je souhaite solliciter votre aide dans la migration technique et l'investissement dans votre pays l’héritage qu’a pu me léguer mon Père.

Brièvement, je suis une libyenne âgée de 51 ans et  fille unique du défunt Dr Serge Alexandre Stavisky. Jusqu'à sa mort, mon père était le Directeur général d'une société informatique dans la région de Tajoura en Libye. Le 6 Avril 2002 les forces militaires fidèles au gouvernement ont envahi la société et ont assassiné mon père, le confondant avec son demi frère Helg de la Brache qui est le député du révolutionnaire FODAY BRACHE. Quand ma mère, absente car venue me voir en Chine où j'étudie dans une grande école a appris la nouvelle, elle est retournée au pays malgré tous les risques et a récupéré certaines des affaires qu'elle jugeait sacrées pour mon père dans notre villa familiale. Parmi les objets récupérés figurait un dossier contenant des détails d'un dépôt que mon père a fait dans une société de compagnie de sécurité à Tajoura. Il y a déposé une quantité importante de boites noires contenues dans une caisse métallique en son nom.

Il n'a pas révélé le vrai contenu de la boîte à cette société. Néanmoins il  a déclaré le dépôt comme biens de famille pour des raisons de sécurité. C'est l’épargne qu’a pu constituer mon Père à l’issue de la vente des brevets pendant son temps comme Directeur général. Compte tenu du climat politique instable en Libye, j'ai décidé de chercher un partenaire afin d'investir cette technologie hors de la Libye dans des domaines rentables,  c'est donc la raison pour laquelle je viens vers vous pour solliciter votre assistance et nous aider à introduire cette technologie dans votre pays. La meilleure méthode pour conclure cette transaction vue la tension politique en Libye, serait d'expédier la caisse contenant les boites noires dans votre pays.

La compagnie  de sécurité a la possibilité de nous faciliter les choses en expédiant cette caisse dans votre pays par la voie diplomatique que j'apprécie beaucoup. Dès l'arrivée de ces outils dans votre pays, vous allez les récupérer et les sauvegarder et engager les démarches pour nous aider à venir s'établir dans votre pays. Ici en raison de sa proximité à notre pays et de la guerre, notre statut de réfugié ici ne peut pas faciliter les affaires pour nous. Nous vous demandons également de rechercher des affaires fiables et lucratives, de sorte que nous puissions investir sagement. Nous avons à l'esprit de vous donner 15 % de toute la somme et la part de 25% dans n'importe quel investissement que nous ferons au moment venu si vous acceptez de nous aider. Cette fortune que nous vous avons indiquée devrait demeurer confidentielle.

Cher partenaire restant à votre entière disposition pour d'amples informations fiables, recevez l'assurance de mes sincères salutations.

Bien à vous, et votez bien,

Victoria Lustig

--------------------------------------------------

Pourvu que personne ne se fasse avoir...
Pour éviter ce genre de piège, surtout quand on est député, toujours relire la notice.

31 mars 2015

Face à TrueCrypt

Il y a un grand nombre de cas où l'on souhaite protéger efficacement des données : c'est vrai pour un journaliste, pour un avocat, pour un activiste des droits de l'Homme, pour un médecin, pour un homme politique... C'est vrai aussi tout simplement pour toutes les personnes qui souhaitent protéger des regards envahissants certaines de leurs données privées.

Car je pense réellement que la vie privée mérite d'être protégée, et qu'il faut que chacun apprenne à sécuriser les données personnelles qu'il souhaite garder confidentielles. Personne ne souhaite voir l’État placer un micro et une caméra dans sa chambre à coucher. Nous avons tous beaucoup de choses à cacher, à commencer par notre vie intime. Je pense d'ailleurs que les choses seraient plus claires si l'on parlait de "vie intime" plutôt que de "vie privée" (c'est à cela que l'on voit que je ne suis pas juriste).

Sur ce sujet, j'ai écris en 2010 un billet consacré à ceux qui ont peur de se faire voler leur ordinateur, et dans lequel je conseillais l'utilisation du logiciel TrueCrypt. Je continue d'ailleurs à utiliser la version 7.1a de ce logiciel pour mes besoins personnels, avec containers cachés (ou pas ;-), malgré l'arrêt brutal du développement de ce logiciel et la sortie d'une version 7.2 bridée. Ceux qui souhaitent apprendre à utiliser ce logiciel, peuvent suivre cette série de billet de la blogueuse Kozlika après avoir téléchargé la version 7.1a sur ce site.

J'utilise TrueCrypt v7.1a pour protéger des disques complets, mais aussi créer de petits espaces de stockage de quelques gigaoctets sous forme de fichiers.

Je suis régulièrement contacté par des lecteurs qui me demandent si je suis déjà tombé sur des fichiers ou des disques chiffrés par TrueCrypt et si j'ai déjà réussi à ouvrir ces fichiers, sans que le propriétaire n'ait fourni le(s) mot(s) de passe.

Avant de répondre à cette question, je tiens à rappeler que je suis un informaticien tout ce qu'il y a de plus normal : je suis salarié dans une entreprise privée de formation où j'occupe un poste d'ingénieur en informatique.

Je n'ai pas suivi de formation particulière en cryptanalyse.
Je n'ai pas accès à des outils secrets.
Aucun gouvernement ne m'a confié l'accès à d'éventuelles portes dérobées.
Je ne suis pas un spécialiste en sécurité informatique.

Bref, je suis parfois déçu quand je me regarde dans une glace, mais je suis un informaticien normal : j'aime bien bidouiller un ordinateur, peaufiner une configuration, installer un nouveau système d'exploitation. J'aime bien les jeux vidéos, la science fiction, l'espace, la spéléo, l'aviron... J'aime les ordinateurs, Windows 98, j'ai fait des concours de calculatrices, je suis vraiment trop con, j'ai fait le concours du robot, qui balancera des balles en haut... (source).

Je n'ai pas plus de moyens qu'un informaticien lambda.

Que se passe-t-il alors lorsque je tombe sur un scellé qui contient des données chiffrées avec TrueCrypt ?

Réponse : rien. Je ne peux rien faire sans avoir le mot de passe. Et encore, je peux avoir un mot de passe qui ouvre le container TrueCrypt, mais pas le container caché. Je n'ai pas de code secret universel, ni de logiciel spécial me permettant d'accéder aux données. Je ne dis pas qu'ils n'existent pas, je dis que je n'y ai pas accès.

Pour autant, je ne baisse pas les bras immédiatement :
- je peux regarder si des données non chiffrées sont présentes et accessibles sur le disque dur (lire le billet intitulé "disque dur chiffré").
- je peux chercher tous les mots de passe de l'utilisateur, mots de passe stockés sur internet ou sur d'autres ordinateurs non chiffrés. Sachant que beaucoup de personnes n'utilisent que quelques mots de passe, la probabilité de trouver des mots de passe ouvrant les containers TrueCrypt est forte. Lire par exemple ce billet intitulé "Perquisition".
- je peux passer par l'enquêteur pour qu'il demande les différents mots de passe à l'utilisateur.
- je peux suspecter un fichier d'être un container TrueCrypt (avec TCHunt par exemple).

Mais si je découvre un mot de passe ouvrant un container TrueCrypt, je n'aurais pas la certitude qu'il n'existe pas un container caché (ie utilisant un autre mot de passe). J'ai une petite astuce qui me permet de flairer la présence d'un container caché : si les dates des quelques fichiers présents sur le container que j'ai réussi à ouvrir sont toutes anciennes, c'est bizarre...

Vous l'aurez compris, la protection de la vie privée et de la confidentialité assurée par TrueCrypt est exemplaire, sauf révélation surprise de l'audit de sécurité de son code [Edit du 03/04/2015: rapport d'audit (source)]. C'est à double tranchant : cela permet à un innocent de protéger ses données confidentielles, mais cela permet également à un coupable de soustraire des preuves à la justice.

Et comme la protection absolue n'existe pas, le coupable sera toujours démasqué un jour ou l'autre. C'est ce que savent également ceux qui luttent contre des régimes totalitaires et tentent de cacher des documents à des yeux trop curieux... Deux tranchants.

Quelques remarques pour finir :

Est-on obligé de fournir les mots de passe ?
Les députés français ont décidé que oui : article 434-15-2 du Code Pénal
Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 75 000 euros d'amende.
La jurisprudence de la Cour Européenne des Droit de l'Homme sur la Convention de sauvegarde des droits de l'Homme et des libertés fondamentales rappelle, elle, le droit de ne pas participer à sa propre incrimination, et en particulier le droit de garder le silence et de ne pas communiquer des documents s'incriminant.

L'article 132-79 du Code Pénal français, augmente les peines encourues (texte en gras modifié par mes soins pour plus de clarté) :
Lorsqu'un moyen de cryptologie au sens de l'article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue est relevé ainsi qu'il suit :
1° trente ans de réclusion criminelle perpétuité ;
2° vingt ans trente ans ;
3° quinze ans → vingt ans ;
4° dix ans → quinze ans ;
5° sept ans → dix ans ;
6° cinq ans → sept ans ;
7° Il est porté au double lorsque l'infraction est punie de trois ans d'emprisonnement au plus.
Les dispositions du présent article ne sont toutefois pas applicables à l'auteur ou au complice de l'infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.
Enfin, l'article 230-1 du Code Pénal français précise dans son dernier alinéa :
Si la peine encourue est égale ou supérieure à deux ans d'emprisonnement et que les nécessités de l'enquête ou de l'instruction l'exigent, le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire, sur autorisation du procureur de la République ou du juge d'instruction, ou la juridiction de jugement saisie de l'affaire peut prescrire le recours aux moyens de l’État soumis au secret de la défense nationale selon les formes prévues au présent chapitre.
Je précise n'avoir jamais eu accès aux "moyens de l’État soumis au secret de la défense nationale" (en dehors de mon service militaire, mais bon, c'était au millénaire précédent). Je ne vous cache pas que je n'ai aucune idée des moyens en question et que probablement je ne le saurai jamais.

Quand je n'arrive pas à accéder à des données à cause d'un chiffrement trop puissant, je l'indique dans mon rapport.
A l'impossible nul n'est tenu.
Et parfois, ce n'est sans doute pas plus mal, au moins pour moi.

24 mars 2015

Le prix de la liberté

Je suis un grand naïf...

Quand j'ai décidé de mettre mes compétences au service de la justice, je ne pensais pas qu'un expert judiciaire pouvait se faire payer pour cela. Depuis, j'ai appris et compris que j'allais engager des frais, parfois élevés, qui me seraient remboursés, peut-être, avec un ou deux ans de retard.

Bien.

Comme j'aime raconter des histoires, j'ai ouvert ce blog pour parler de moi et faire mon intéressant. J'ai expliqué ma manière de faire mes notes de frais et honoraires, dans ce billet. J'ai découvert, comme tout le monde, la complexité du monde lorsque l'on perçoit des revenus (voir ce billet). J'ai donné ma vision des choses sur les coûts des expertises, dans cet autre billet.

Bref, j'ai usé de la possibilité merveilleuse d'internet de pouvoir m'exprimer, dans les limites de ma liberté d'expression.

Ces limites ont été étudiées lors d'une procédure devant la justice, lancée par un confrère qui n'appréciait pas qu'un expert judiciaire use de sa liberté d'expression en toute indépendance. J'ai raconté tout cela dans la série de billet que j'ai sobrement intitulé "l'affaire Zythom". Cette triste affaire m'a néanmoins permis de continuer à tenir ce journal en ligne, au grand dam de certains experts judiciaires. J'ai du régler seul les honoraires et frais de mon avocat.

Bien, bien.

J'ai eu la chance de pouvoir être invité à une conférence sur la sécurité informatique où les organisateurs m'ont demandé de présenter l'activité d'expert judiciaire. Une personne se faisant passer pour un expert judiciaire mécontent a piraté mon blog, effaçant l'intégralité des billets écrits et expliquant sa désapprobation de ma démarche. Ceux qui veulent en savoir plus sur cette histoire pénible peuvent relire ce billet. Le prix à payer cette fois était d'encaisser sans broncher le ridicule de ma situation, avec heureusement le soutien chaleureux des personnes qui m'aiment. De remettre en ligne la sauvegarde du blog... Et d'assumer mes failles.

Bien, bien, bien.

J'ai ensuite décidé de mettre mes compétences au service des avocats. J'explique la création de ma petite entreprise dans ce billet où j'indique que je propose mes services aux avocats selon trois axes :
- assistance technique pendant les réunions d'expertise judiciaire;
- assistance dans la rédaction des dires;
- analyse critique d'un rapport d'expertise judiciaire.
Je me doute bien que certains experts ne voient pas d'un très bon œil ce type de prestations... pas très confraternelles.

Et donc, PAF, j'ai reçu assez vite des courriers en provenance de certaines associations d'experts judiciaires m'indiquant qu'il fallait que je cesse toute publicité relative à cette activité, car j'enfreins les règles déontologiques de la grande famille des experts judiciaires...

Cela mérite quelques explications.

Lorsque j'ai prêté le serment de l'expert judiciaire, j'ai juré d'apporter mon concours à la Justice, d'accomplir ma mission, de faire mon rapport, et de donner mon avis en mon honneur et en ma conscience.

En mon honneur et en ma conscience.

Je réalise personnellement les missions que les magistrats me confient. Je mène mes analyses avec mon savoir faire, puis je donne mon avis. Je suis libre et indépendant.

Beaucoup d'experts judiciaires ont choisi de se regrouper en association loi 1901 pour (extraits d'un exemple de statuts) : améliorer les conditions de l’intervention des experts dans les missions que [les] juridictions leur confieront, contribuer au développement et au rayonnement de l’état de droit en France, en Europe et dans le monde, promouvoir et transmettre les valeurs morales et éthiques de dignité, d’indépendance et de probité qui doivent être la règle de conduite des experts judiciaires, soumettre à cet effet, ses membres à une discipline librement acceptée et étudier toutes les questions pouvant se rattacher à l’exercice de leurs missions...

soumettre ses membres à une discipline librement acceptée

Il n'est pas obligatoire d'adhérer à une compagnie d'experts judiciaires, mais de nombreux experts le font, et je le recommande chaudement, au moins pour des questions d'assurance et de formation. Mais une fois adhérent, l'expert est tenu aux règles de fonctionnement de sa compagnie, voire aux règles de l'organisme auquel est adhérente sa compagnie. En effet, il existe un conseil national des compagnies d'experts de justice (le CNCEJ) qui édicte des règles de déontologie qui s'appliquent à tous les experts membres d'une compagnie adhérente au CNCEJ. Vous pouvez lire ces règles de déontologie sur leur site dans ce document.

Voici la règle I.11 : "L’expert s’interdit toute publicité en relation avec sa qualité d’expert de justice. Il peut porter sur son papier à lettre et ses cartes de visite la mention de son inscription sur une liste ou un tableau dans les termes prévus par les textes en vigueur."

TADAM ! En proposant mes services aux avocats, services qui, je le rappelle, sont les suivants :
- assistance technique pendant les réunions d'expertise judiciaire ;
- assistance dans la rédaction des dires ;
- analyse critique d'un rapport d'expertise judiciaire.
je ne peux pas faire état de ma qualité d'expert judiciaire... sauf à démissionner de ma compagnie d'experts judiciaires, puisque ces règles ne s'appliquent pas aux experts judiciaires non membres.

Et bien entendu, cela a un coût : mon assurance en responsabilité civile (non obligatoire mais fortement conseillée) va quelque peu augmenter. L'assureur applique le tarif de 120 euros pour un expert membre d'une compagnie d'experts judiciaires, et... 1200 euros pour un expert qui n'adhère pas à une compagnie et qui veut s'assurer seul, pour les mêmes prestations.

1200 euros... le prix de la liberté.

Je suis persuadé qu'on peut aider la justice, aider les avocats, sans être membre d'une quelconque association. Mais avouez que ça fait un peu mal.

Pourtant, je garde cet esprit naïf. Je pense que le système peut fonctionner avec des experts judiciaires indépendants, ayant sur leur propre rôle un regard critique (et naïf). C'est dans cet esprit que j'ai envoyé ma candidature à l'inscription sur la liste des experts agréés par la Cour de Cassation (lire ce billet). Ma candidature sera examinée en décembre 2015.

Je vous tiendrai au courant du suivi.

En attendant, je continuerai à utiliser ce magnifique outil qu'est internet et à partager avec vous mes états d'âme.

En espérant ne pas me faire écraser par le système.

16 mars 2015

Le disque dur chiffré

Le gendarme arrive parfaitement à l'heure au rendez-vous. Les présentations sont rapidement faites, ainsi que la vérification d'identité. Il me remet le paquet. Je lui propose de prendre un rafraîchissement, mais il décline mon offre car il a un dossier urgent en attente. Nous nous quittons sur le pas de ma porte.

Le paquet qu'il m'a remis est plutôt léger. L'étiquette marron clair so 19e indique qu'il s'agit d'un ordinateur portable de marque Apple. Une fois dans mon bureau, je brise le scellé et ouvre le paquet. Je note scrupuleusement la date et l'heure dans mon cahier de notes d'investigation.

Je sors du papier kraft un magnifique ordinateur portable que je pose délicatement sur mon bureau, dégagé pour l'occasion. La bête est superbe. Je prends quelques photos pour l'état des lieux. Aucune éraflure, aucune trace d'usure, la machine est comme neuve.

Je note la marque, le modèle, le numéro de série dans mon carnet de notes. Je regarde l'objet sous toutes les coutures : comment vais-je bien pouvoir le démonter pour pouvoir en extraire le disque dur ?

Je cherche sur internet de l'aide et, après quelques instants, trouve le site d'un passionné qui explique comment entreprendre l'opération chirurgicale. Première étape : fabriquer les outils de démontage. J'applique la devise d'Hippocrate, bien connu des médecins, et qui devrait aussi être inscrite au mur de toutes les salles serveurs : Primum non nocere, deinde curare (D'abord ne pas nuire, ensuite soigner). Comme à chaque fois, je ne dois laisser aucune trace : le matériel qui m'est confié ne doit pas être endommagé. Dans ce cas particulier, aucune vis n'apparaît. Il va falloir ouvrir l’œuvre d'art par petites pressions délicates pour déclipser les différents éléments.

Le site me conseille de fabriquer des leviers à base de plastique mou... à partir de vieilles brosses à dents. Me voilà dans mon garage à meuler des brosses à dents pour en faire des sortes de tournevis mous... Mes enfants pensent parfois que je suis fou.

Après moultes précautions et quelques litres de transpiration, j'arrive à ouvrir les entrailles de la bête et à en extraire le disque dur. Quatre heures ont déjà passé, et j'en suis à peine à photographier l'étiquette du disque dur. Le sol de mon bureau est jonché de toutes les pièces que j'ai dû démonter pour en arriver là, positionnées sur un ensemble de feuilles de papier indiquant la place de chaque pièce... Ménage interdit avant le remontage complet !

Je place le disque dur dans ma station d'analyse et démarre le processus de copie numérique avec blocage d'écriture. Il va durer toute la nuit. Pendant ce temps, je prie pour que le disque dur ne choisisse pas ce moment là, juste là, pour tomber en panne. Je n'ai nulle envie de faire jouer mon assurance d'expert judiciaire, ni d'appeler l'officier de police judiciaire pour lui annoncer ce type de nouvelle...

Nous sommes dimanche : la copie numérique s'est terminée, les hashs MD5 ante et post copie montrent que le contenu disque dur n'a pas été modifié et que la copie est fidèle. Je souffle un peu.

Je commence l'analyse inforensique de la copie numérique pour répondre à la mission. Et là, surprise : l'ensemble du disque dur est chiffré.

Aïe.

Il me faut le mot de passe pour déchiffrer et accéder au contenu du disque dur. Sans ce sésame, pas d'accès possible. Pas de porte dérobée connue, pas de contournement possible...

Je relie attentivement la procédure qui m'a été donnée : il n'y a pas de mot de passe fourni par le propriétaire, celui-ci refusant toute aide en ce sens.

Je tente alors ce que tout le monde fait dans ce cas là : essayer tous les outils de cryptanalyse en ma possession, et j'en ai une jolie collection. Je prépare un ordinateur avec le processeur le plus puissant, et la carte graphique la plus performante que j'ai, et je lance mes programmes d'attaque par force brute, avec réglages sur une grosse semaine de calculs. Je ventile la pièce pour chauffer un peu la maison...

Tous les soirs, en rentrant du boulot, je vérifie si la chance est de mon côté. Rien. Même au bout d'une semaine. La mort dans l'âme, je commence à rédiger un rapport d'expertise expliquant mon échec. Comme je le dis souvent, à l'impossible nul n'est tenu. Un bon chiffrement associé à un bon mot de passe n'est pas déchiffrable, même avec des moyens illimités. Alors, moi, avec mes petits ordinateurs de simple particulier...

Je relis une n-ième fois la mission que la justice me demande de remplir : je dois indiquer si oui ou non le fichier SECRETINDUS.xls est ou a été présent sur l'ordinateur. Impossible de le savoir si je n'arrive pas à accéder en clair aux données stockées sur le disque dur.

Et là, une idée saugrenue, parfaitement irrationnelle, me vient à l'esprit : chercher la chaîne de caractère "SECRETINDUS" sur l'ensemble du disque dur. Je lance la commande idoine. Quelques minutes se passent pendant lesquelles je me dis que je dois être bien fatigué pour chercher une chaîne en clair dans des données chiffrées. J'essaye de calculer la probabilité que cette suite de caractères apparaisse aléatoirement dans une soupe de caractères...

Puis bingo : la chaîne est présente sur le disque ! En vérifiant l'endroit où apparaît la chaîne de caractères, je trouve tout le chemin de stockage d'un fichier "SECRETINDUS.xls"... La preuve est là, sous mes yeux. Mais par quel miracle ?

Je pousse un peu plus loin mes investigations. Comment ai-je pu trouver des données en clair au milieu d'un disque dur chiffré ? Après quelques heures d'analyse avec mon éditeur hexadécimal, je comprends que le système d'exploitation de l'ordinateur portable que j'ai à analyser a un petit défaut (corrigé par Apple depuis) : lorsque les batteries de l'ordinateur arrivent au bout du bout, l'ordinateur fait en urgence une copie non chiffrée de la mémoire sur le disque dur, pour permettre une récupération des données de l'ordinateur lors du redémarrage. C'est ce dump que je peux explorer en clair, avec la chance d'y trouver la trace d'accès au fichier demandé...

Je dois admettre que j'ai eu beaucoup de chance sur ce coup là, comme la fois où erazer avait été utilisé sur l'ordinateur, effaçant tout sur son passage, sauf le contenu de petites bases MySql bien pratiques...
 
Par contre, je ne vous raconte pas le temps que j'ai passé sur cette expertise, sans commune mesure avec le temps que j'ai indiqué sur ma note de frais et honoraire. Ah, et le remontage du scellé s'est bien passé. Je n'ai laissé aucune trace ni fait de rayures et toutes les vis ont retrouvé leur place. Le propriétaire a du être content.
 

13 mars 2015

Implication politique

Comme la justice, la politique est une notion polysémique. D'après Wikipédia, les différents sens du mot peuvent être :
- le cadre général d'une société organisée et développée (Politikos)
- la structure et le fonctionnement d'une communauté, d'une société, d'un groupe social (Politeia)
- la pratique du pouvoir, les luttes de pouvoir et de représentativité entre des hommes et femmes de pouvoir (Politikè).

Quand j'ai pris conscience de cette polysémie, j'ai mieux compris les quiproquos de mes différentes conversations. Car, quand on prononce le mot de "politique", beaucoup des personnes de mon entourage ont plutôt le poil qui se hérisse et des images en tête de magouilles, de vestes qui se retournent, d'opportunistes individualistes et d'animaux politiques plus ou moins sauvages.

Mais l'engagement politique, cela peut être autre chose.

Prenons un groupe d'une dizaine de personnes, des bons copains par exemple. Il y a toujours un leader qui sort un peu de groupe, et les copains le suivent avec enthousiasme et un peu d'ironie. Cela se passe plutôt bien.

Prenons un autre groupe d'une dizaine de personnes, des voisins par exemple. L'entente naturelle est moins évidente. Les intérêts sont parfois différents, voire opposés. Ceux qui ont assisté à une assemblée de copropriétaires peuvent témoigner de la dureté des interactions humaines. Celui ou celle qui se propose de représenter le groupe prend beaucoup plus de risques et devient souvent le point de convergence des critiques.

Prenons maintenant une petite ville, par exemple de 5500 habitants. Chacun vaque à ses occupations. Personne ne souhaite voir les impôts augmenter, tout le monde veut une voirie impeccable, que le bus ne s'arrête pas trop loin et toutes les 5 mn, pas trop de voitures devant chez soi, mais une place de parking pour chacune de ses voitures (et celles de ses amis lorsqu'ils sont invités). Le maire et ses adjoints deviennent des cibles de choix. Tous pourris, tous incapables, tous magouilleurs.

Quand j'ai commencé à m'intéresser à la vie de ma commune, j'ai regardé ça de loin, via le journal municipal. Puis je me suis approché, un peu par hasard, en assistant à plusieurs séances du conseil municipal. J'ai accepté de donner un coup de main à l'organisation des élections, puis, des bancs du public je suis passé au siège de conseiller municipal.

Je suis quelqu'un de relativement naïf, et de particulièrement inexpérimenté en matière d'interactions sociales directes. J'ai l'esprit d'escalier pour tout ce qui sort de mon champ d'expertise. J'ai besoin de temps pour réfléchir, je suis un très mauvais débatteur, j'ai l'esprit lent. C'est peu de dire la terreur que m'inspire la perspective d'un débat politique public.

Alors, j'occupe une place de petit soldat au quartier général, d'où je peux sans trop de danger observer les batailles terribles qui se déroulent sous mes yeux en essayant de rester sous les radars, d'éviter les balles, les Scuds, les Exocets, les rafales de Kalachnikov.

Ce qui me fascine le plus, c'est le désintérêt total du citoyen pour la vie de sa commune, jusqu'au moment où il y voit un intérêt personnel direct

Untel souhaite créer une sortie sur la rue depuis son jardin. Il comprend bien qu'il doit prendre en charge la découpe de son mur et la pose de son portail. Mais il ne comprend pas le refus de la commune de modifier le trottoir, d'abattre l'arbre qui dérange et de déplacer le lampadaire inopportun.

Untel se gare devant chez lui sur le trottoir sans vouloir voir qu'il empêche la circulation des poussettes ou des fauteuils d'handicapé. "Ils n'ont qu'à changer de trottoir, c'est chez moi ici."

Untel voudrait que la rue principale de la commune devienne piétonne, mais que les commerçants de la rue restent ouverts (et pouvoir y aller, lui, en voiture).

Untel veut un sens unique dans sa rue pour que les voitures roulent moins vite (alors qu'il est démontré que les automobilistes vont plus vites quand ils se sentent moins en danger), ou un gendarme couché, mais pas devant chez moi parce que ça fait du bruit...

Je croise parfois des hommes ou des femmes politiques connus, lors de manifestations diverses. Je les regarde avec un mélange de fascination, d'admiration et d'incompréhension. Parce que je me dis que ces personnes prennent des coups, des crachats, des quolibets en permanence. Parce que je trouve ce prix à payer bien trop élevé pour les satisfactions qu'ils peuvent en tirer. Parce que je réalise la résistance colossale qu'il faut avoir pour résister à toute cette haine ordinaire.

Finalement, je me rends compte que ma propre implication se limite à mettre mes connaissances à la disposition de l'équipe qui dirige la commune (par "équipe", j'entends le maire, les adjoints et le directeur général des services). J'aime donner mon avis, et je ne suis pas vexé quand il n'est pas suivi. Je fais un peu "tâche" dans ce paysage où il faut s'imposer pour exister.

Je ne suis pas fait pour la vie politique.
Trop fragile.
Je suis un n-1 ou un n-2, fait pour travailler dans l'ombre.
Et cela me va.

02 mars 2015

L'intimidation

L'avocat me lance un regard noir, il est furieux.
Je viens de donner mon avis en réunion d'expertise, et celui-ci est très défavorable à son client.

La tension est palpable dans la salle de réunion, les esprits sont fatigués, la réunion dure déjà depuis plus de six heures (avec une pause déjeuner d'une heure, je ne suis pas un monstre).

Je sais que le moment est délicat, mais je sais aussi que c'est le travail et le rôle de l'expert que d'expliquer aux parties où il en est de ses réflexions, même si elles ne font pas plaisir à tout le monde. Je ne suis pas là pour faire plaisir à tout le monde, je suis là pour comprendre les enjeux techniques et donner un avis écrit en répondant aux questions (écrites) posées par le magistrat (qui n'est pas présent).

L'avocat se lève et range ses affaires. Il fulmine.

Il me regarde en partant et me lance : "Nous nous reverrons !"

La violence du propos et les sous-entendus qu'il laisse planer m'atteint de plein fouet. Ma formation GERME m'aide à gérer la situation. De toute manière, la réunion d'expertise est terminée.

Reste une question qui m'obsède sur le chemin de retour vers mon havre de paix sucré : "qui protège l'expert judiciaire contre les tentatives d'intimidation ?".

La base de ses protections est l'article 434-8 du Code Pénal français :
"Toute menace ou tout acte d'intimidation commis envers un magistrat, un juré ou toute autre personne siégeant dans une formation juridictionnelle, un arbitre, un interprète, un expert ou l'avocat d'une partie en vue d'influencer son comportement dans l'exercice de ses fonctions est puni de trois ans d'emprisonnement et de 45 000 euros d'amende."
En théorie.
En pratique, cela relève souvent du fonctionnement gris des relations interpersonnelles : il faut savoir fermer les oreilles et ne pas monter sur ces grands chevaux à chaque provocation, et encore moins en voir derrière chaque mot ou sous-entendus.

Il faut encaisser les coups, et ne pas les rendre.
Il faut laisser glisser les critiques et ne pas prendre la mouche.
Il faut gérer son égo et celui des autres.

Bien sur, il n'est pas possible d'excuser une agression physique, ni une agression tout court, fut-elle psychologique.

Pourtant, qui pour me dire de stopper toutes opérations d'expertise et de déposer une plainte pour menace ou agression, sur les bases de ce bel article 434-8 du Code Pénal ?

Qui pour me dire alors ce qu'il en sera du travail réalisé ?
Qui pour me dire si je dois déposer mon rapport en l'état ?
Mon travail pourra-t-il être payé, et par qui, surtout s'il n'est pas fini ?

Il faut surtout savoir qu'en déposant plainte contre l'une des parties, l'expert n'est plus indépendant. Son rapport pourrait-il être considéré comme objectif ?

Je n'ai pas les réponses à toutes ces questions. Il me faut donc prier et me souvenir du serment solennel que je voulais faire il y a maintenant de longues années :
"La nuit se regroupe, et voici que débute ma garde. Jusqu'à ma mort, je la monterai. Je ne prendrai femme, ne tiendrai terres, n'engendrerai. Je ne porterai de couronne, n'acquerrai de gloire. Je vivrai et mourrai à mon poste. Je suis l'épée dans les ténèbres. Je suis le veilleur au rempart. Je suis le feu qui flambe contre le froid, la lumière qui rallume l'aube, le cor qui secoue les dormeurs, le bouclier protecteur des royaumes humains. Je voue mon existence et mon honneur à l'Expertise, je les lui voue pour cette nuit-ci comme pour toutes les nuits à venir."
Je n'ai jamais revu cet avocat.
J'ai pris femme et j'ai engendré trois enfants.
J'ai une grande épée deux mains.
Mais j'ai prêté un autre serment !
Pour cette nuit comme pour les autres, il est encore inscrit sur le fronton de ce blog...

25 février 2015

La justice et le temps de travail

Le 9 mai dernier, je publiais sur ce blog un billet intitulé "Expert près la Cour Administrative d'Appel", dans lequel je racontais ce qu'est une cour administrative d'appel, la création d'un tableau des experts auprès de la cour et des tribunaux administratifs du ressort, et la procédure d'inscription.

Dans les délais préconisés, j'ai déposé un dossier de candidature. Puis le temps a passé, jusqu'au jour où j'ai reçu ce courrier :
La commission de sélection des experts
Madame, Monsieur,

Dans le cadre de l'instruction du dossier de candidature que vous avez déposé en vue de votre inscription au tableau des experts dont la cour administrative d'appel de [Tandaloor] doit se doter au 1er janvier 2015, je vous remercie de bien vouloir me communiquer le(s) renseignement(s) suivant(s) :
Autorisation de l'employeur à réaliser les missions d'expertises durant le temps de travail
Je vous prie de croire, Madame, Monsieur, en l'assurance de mes sentiments les meilleurs.
Pour le Président de la commission de sélection des experts, le rapporteur désigné.

J'en suis resté estomaqué.
Quel employeur accepterait de signer un document dans lequel il autorise un de ses salariés à travailler pour quelqu'un d'autre pendant qu'il le rémunère pour travailler pour lui ?

J'ai aussitôt appelé à l'aide sur Twitter quelques magistrats qui m'ont répondu qu'ils trouvaient cela normal, et qu'ils avaient besoin de s'assurer que les personnes sur lesquelles ils allaient s'appuyer soient bien disponibles et ne puissent pas se cacher derrière des arguments du type "je ne peux pas, je n'ai pas le temps"...

Grmblrgmgmblgmbl.

J'ai aussi relu un certain nombre des courriers de lecteurs du blog qui me demandent mon aide pour arriver à convaincre leurs services RH de les autoriser à faire acte de candidature à l'inscription sur les listes d'experts. Finalement, je me retrouvais simplement devant le même cas de figure que beaucoup de ces personnes.

Alors j'ai appliqué la solution que je préconise à chaque fois : je suis allé voir mon service RH, j'ai expliqué ma problématique et j'ai obtenu une autorisation de mon employeur "à réaliser des missions d'expertises". Point.

J'ai la chance de travailler dans une entreprise qui me fait bénéficier de six semaines de congés payés, et de la plupart de mes samedis et dimanches. Lorsque j'ai besoin d'une journée complète en pleine semaine pour faire une expertise, il me suffit de poser une demande de congés payés, puis d'organiser la réunion d'expertise dès ma demande acceptée. Je peux ainsi réaliser "les missions d'expertises pendant les jours ouvrés durant le temps de travail mes vacances" ;-)

En tout cas, l'attestation a suffi, puisque j'ai eu l'honneur d'être inscrit sur la liste des experts près la Cour Administrative d'Appel de [Tandaloor] ;-)

Il faut savoir interpréter les textes et les intentions, et se souvenir que la justice est aussi une administration...
Et qu'elle a bien besoin de bonnes volontés.

-------------------------------------------------------------------------
Source image : l'excellent YODABLOG (épisode 373) de Thierry Vivien

23 février 2015

La dématérialisation de l'expertise judiciaire

Je me fais écho de ce courriel transmis il y a quelques temps par le Conseil National des Compagnies d'Experts de Justice (CNCEJ) et que de nombreux internautes m'ont relayé :
Paris, le 18 décembre 2014

Le Conseil national des compagnies d'experts de justice a répondu à  la demande  de la Chancellerie  d’intégration d’une expertise dématérialisée dans le processus aujourd’hui très engagé de la dématérialisation des procédures judiciaires.

Débutée en 2003 avec CertEurope, désormais une société du groupe Oodrive, avec la création d’un logiciel de dématérialisation, après une expérimentation dans un premier temps à Bordeaux, après un audit de David ZNATY en juillet 2012, la dématérialisation s’est organisée autour d’un comité de pilotage réunissant la Chancellerie, Oodrive et le CNCEJ.

Ce comité de pilotage, avec une bonne représentation des trois acteurs a permis la construction d’un véritable projet d’entreprise de taille nationale, sur des bases financières saines et acceptables par les différentes parties, sur des conditions techniques et de sécurité évoluées de haut niveau élaborées par Oodrive.

Des étapes importantes ont été franchies en 2014, l’accord avec Oodrive et la refonte complète d’Opalexe, afin de vous fournir un système sécurisé, convivial et facile à utiliser.

Ce projet est accompagné par la Chancellerie et le CNB qui participent aux comités de pilotage et dont des représentants étaient présents au colloque organisé récemment par la compagnie pluridisciplinaire de Grenoble sur la dématérialisation. La plus large information y a été déployée.

Après l’étape très importante intervenue en juin dernier de formalisation des relations contractuelles entre le CNCEJ et Oodrive, le développement de la version 2 d’Opalexe se poursuit et  Oodrive a confirmé que celle-ci devrait être achevée à la fin du premier trimestre 2015.

Chaque expert aura donc l’opportunité sur sa simple et propre décision, d’utiliser un système de dématérialisation moderne, sécurisé, reconnu par la Chancellerie, compatible avec les certificats déployés, dans les tribunaux pour les Magistrats et les Greffes, via les barreaux auprès des avocats.

Dans un souci de transparence absolue, nous avons communiqué les avancées de ce projet en temps constant dans chaque lettre du CNCEJ, à chaque conseil d’administration et à chaque assemblée générale avec intervention de la société Oodrive pour une parfaite information de tous les présidents de compagnie, qui vous ont, sans nul doute, transmis ces informations.

Un membre de chaque compagnie est en relation avec la compagnie Oodrive pour le déploiement de cartes sécurisées, la formation nécessaire à l’utilisation du logiciel ; votre président de compagnie peut vous mettre en relation avec celui-ci pour toute information technique complémentaire.

A noter, un expert qui ne fait plus partie d’une compagnie adhérente au CNCEJ, diffuse largement par internet des considérations aussi péremptoires qu’inexactes sur l’avancement du projet CNCEJ  de dématérialisation de l’expertise.

Cette initiative individuelle, qui aurait dû rester sans portée, a été relayée par le Président d’une des compagnies parisiennes d’experts, souhaitant sans nul doute promouvoir un logiciel partiellement concurrent car n’offrant pas des conditions de sécurité suffisantes. Ce président pourtant absent des dernières assemblées générales au cours desquelles l’état d’avancement du projet a été présenté, se retranche derrière les propos de cet expert qu’il conduit ainsi à crédibiliser.

Le CNCEJ n’a pas vocation à polémiquer avec un expert, a fortiori non adhérent d’une compagnie et à réfuter des arguments inconsistants.

D’autres étapes sont devant nous et la conduite du changement qu’implique ce projet créera nécessairement des résistances et réactions diverses auxquelles il ne faut pas donner plus d’importance qu’elles n’en ont.

Docteur Marc TACCOEN
Président du CNCEJ

Je précise à l'égard de mes lecteurs que je ne suis pas l'expert visé à la fin de cet email (enfin j'espère...), même si j'estime qu'il serait plutôt positif que les compagnies engagent un dialogue plus ouvert, en particulier vers l'ensemble des experts non adhérents.

Ceci étant, je pense par ailleurs comme mon confrère Marc Taccoen que la résistance au changement est une des causes majeures d'échec d'un projet informatique. J'ajouterai qu'une autre cause d'échec est le coût supporté par les utilisateurs.

J'ai écrit récemment un billet sur la dématérialisation des échanges faisant écho à une table ronde organisée par le Cneaf (Collège national des expert architectes français) et dans laquelle je partage la position de l'avocat Me Lebon :
L'avocat Me Lebon tranche de son côté plutôt « contre » les deux systèmes, parlant de solutions existantes bien plus simples que ces plates-formes. Une messagerie électronique sécurisée ne suffirait-elle pas ? « Si vous arrivez déjà à cela, ce serait énorme. À être trop ambitieux, on prend le risque d'échouer. Un espace de travail collaboratif qui convienne à tous demeure très compliqué à construire. Vos plates-formes forcent tout le monde à penser de la même façon. »
Je suis effaré, à chaque fois que je le demande, par les coûts pour l'expert judiciaire des systèmes proposés. Cela fait très cher pour ceux qui ont très peu d'expertises chaque année, ou pour les experts probatoires. Alors qu'une messagerie sécurisée pourrait ne rien coûter ou presque.

Chaque expert judiciaire, chaque avocat, chaque magistrat et plus généralement chaque internaute, devrait mettre dans sa signature email, à côté de ses prénom et nom, l'empreinte de sa clef publique GPG.

J'y reviendrai dans la suite de ma série de billets sur le chiffrement des emails que j'espère bien terminer un jour.

En attendant, quand on voit le coût de RPVA supporté par les avocats, je n'ai pas hâte d'être obligé d'utiliser un système onéreux qui m'aura été imposé par quelques uns...

Il faut parfois savoir faire simple et avoir des objectifs réalistes.

19 février 2015

Lettre de motivation

Madame, Monsieur,

Expert judiciaire depuis janvier 1999, j’ai travaillé depuis 16 ans sur un total de 81 affaires judiciaires. Sur chacune d’entre elles, j’ai donné le meilleur de moi-même, tant du point de vue technique, que du point de vue du respect des délais. J’ai travaillé à l’instruction sur des analyses de scellés informatiques, souvent en matière de recherches d’images et de vidéos pédopornographiques. J’ai également travaillé pour les tribunaux de commerce, dans des litiges typiques des dossiers informatiques : le triangle entreprise/SSII/éditeur, qui demande du savoir-faire en réunion d’expertise afin de permettre à tout le monde de s’exprimer, tout en répondant clairement aux questions posées par le magistrat. J’ai travaillé aux prud’hommes dans des litiges employeur/employé. J’ai assisté des huissiers de justice et des officiers de police judiciaire dans leurs enquêtes. A chaque fois, j’ai eu à cœur de mettre mes connaissances et mon expérience au service des magistrats et de la justice.


Je dois cette longévité également à mon épouse, avocate au barreau de [Belle province], qui m’a conseillé sur les aspects juridiques parfois délicats de certaines expertises. Elle m’a guidé pour éviter les embûches, et ses connaissances juridiques sans cesse renouvelées me permettent de rester informé des dernières avancées du droit. Je crois beaucoup au couple juriste/expert comme garantie de la qualité des rapports d’expertises et du respect des procédures.


En février 2014, j’ai créé le cabinet d’expertises informatiques [Ma petite entreprise], afin de mettre mon expérience technique au service des avocats. Mon indépendance reconnue et mes compétences en analyse critique des rapports d’expertises informatiques font le succès de ce cabinet.


Enseignant-chercheur en intelligence artificielle, puis enseignant en informatique, et maintenant directeur informatique et technique dans une grande école d’ingénieurs à [Belle province], j’aime le contact avec les élèves-ingénieurs et le travail pédagogique de la transmission du savoir. J’essaie de rester clair dans les concepts que j’enseigne, tout en restant rigoureux dans l’approche scientifique.


Conseiller municipal délégué au développement numérique de ma commune de 5500 habitants, je suis depuis sept ans au service de la collectivité et de mes concitoyens. Je travaille sur tous les dossiers numériques avec l’objectif de faciliter la communication entre les élus et les citoyens, tout en respectant des contraintes budgétaires strictes.


En 2015, j’ai eu l’honneur d’être accepté sur la première liste des experts près la Cour Administrative d’Appel de [Grosse province].


Enfin, je tiens depuis 2006 un journal en ligne sur internet (un blog) sur lequel je partage mon expérience des expertises judiciaires, avec l’accord de ma compagnie pluridisciplinaire d’experts judiciaires. Cette activité, à laquelle se prêtent avec bonheur de nombreux avocats et magistrats, me permet d’échanger avec un public curieux du fonctionnement de la justice.


Être inscrit sur la liste des experts près la Cour de Cassation, c’est pouvoir proposer ses connaissances et son expérience au niveau national au service de la justice. C’est pourquoi, je sollicite, Madame, Monsieur, votre soutien dans ma démarche et l’acceptation de mon inscription sur cette liste.


Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.


----------------------------------------
Courrier envoyé ce jour avec mon dossier de demande d'inscription sur la prestigieuse liste des experts judiciaires près la Cour de Cassation.
Pas facile de faire du marketing personnel, mais "qui ne tente rien, n'a rien".
Je croise les doigts en priant Isidore de Séville.

----------------------------------------
Image: Justitia, déesse du panthéon romain, statue érigée à Francfort.
Source image : Wikimédia, auteur de la photo Mylius

04 février 2015

News en vrac

Je n'oublie pas ma série consacrée au chiffrement des emails "pour débutant", je prépare la suite mais je manque de temps. Je ferai un billet "chapeau" qui récapitulera tous les autres billets. J'aimerais parler de la signature électronique des messages, des serveurs de clefs, de la longueur des clefs, de leur date de validité, de la révocation... Bref, patience.

--o0o--

En relisant les anciens billets du blog pour préparer le tome 6, je me suis rendu compte que je n'avais jamais fait le comparatif des VPN que je voulais tester. Il est trop tard maintenant (les tests que j'ai faits sont trop anciens). Mais pour ceux que cela intéresse, j'ai choisi Freedom-IP. C'est gratuit pour les fonctionnalités de base, géré par une communauté sympathique et compétente, ils proposent des serveurs un peu partout, de l'OpenVPN, du PPTP, cela fonctionne dans tous les environnements que j'utilise (Windows, GNU/Linux, iOS, Android). Si vous avez besoin de protéger votre vie privée, je vous les recommande. Je ne peux pas néanmoins garantir qu'il ne s'agisse pas d'un groupe affilié à la NSA qui fait croire à un service protecteur pour mieux vous surveiller... Bon, sinon, vous pouvez mettre en place votre propre serveur VPN (la plupart des NAS le proposent) pour surfer en toute tranquillité lors de vos déplacements, comme si vous étiez chez vous.

Mais, pour être vraiment tranquille, je vous recommande d'utiliser tails (sur un live cédérom ou sur une clef USB), avec l'option "la connexion internet de cet ordinateur est censurée, filtrée ou passe par un proxy". Très pratique pour visiter le "deep web", en particulier lors d'une expertise judiciaire consacrée à des choses pas jolies-jolies... mais aussi pour sortir des radars de surveillance qui semblent se multiplier. Évidemment, si c'est pour aller sur votre compte Facebook, Twitter ou Gmail, cela me paraît superflu ;-)

--o0o--

J'ai eu comme cadeau de Noël une vraie épée deux mains que j'ai commandée chez Rêves d'Acier. Il s'agit d'un rêve de gosse que j'ai fini par réaliser. Tout mon entourage me croit fou, mais quand je ferme les yeux et que je prends mon épée dans les mains, je me sens... différent. J'ai choisi cette épée de tournoi, d'une longueur d'1,20m... Dans mon bureau, lorsque je travaille sur une expertise, cela se passe comme ça maintenant. C'est un peu cher le caprice, mais quand on aime on ne compte pas. Prochaine étape, cette armure de cuir... Mes voisins vont croire que je suis dingue. Déjà que tout le monde me regarde en biais quand j'utilise mon petit drone Parrot (je ne survole pourtant pas les habitations)...

--o0o--

J'ai eu l'honneur d'être accepté comme expert sur la liste de ma Cour Administrative d'Appel (lire ce billet pour le début de l'histoire). Je suis très fier de l'honneur que m'ont fait les magistrats, d'autant plus que je n'ai pas caché la tenue de ce blog sous le pseudonyme Zythom. Je suis donc à la fois "expert judiciaire près ma Cour d'Appel" et "expert près ma Cour Administrative d'Appel". Quand j'ai appris la nouvelle, j'ai voulu sabrer le champagne (avec mon épée deux mains ;-) mais ma femme m'a dit "bah, c'est normal, non ?". Je n'ai pas osé demander si elle pense que je suis le meilleur, ou s'il suffisait de faire le dossier de demande d'inscription pour être accepté.


--o0o--

Je découvre l'art et la manière de faire de la publicité et du marketing pour ma société de service. C'est un univers que je ne connais pas et qui demande des efforts particuliers. Mais je suis curieux de nature et j'aime bien apprendre, donc c'est passionnant. J'ai de plus en plus de dossiers, grâce à des avocats qui me font confiance, grâce au bouche à oreille, grâce aux réseaux sociaux et enfin grâce à ce blog. Je croise les doigts.

--o0o--

L'activité de conseiller municipal délégué au développement numérique de la commune est prenante, avec pas mal de réunions le soir (et malheureusement dans la journée aussi). J'essaye de limiter le nombre de projets pour pouvoir les mener à bien correctement. J'observe aussi un peu les jeux de pouvoir entre l'opposition et la majorité municipale, c'est très drôle parfois et un peu triste aussi.


Voilà, c'était un billet un peu fourre tout, comme j'en fait de temps en temps pour ceux qui ne me suivent pas sur Twitter.


01 février 2015

Septième Journée de l'Informatique Légale

J'ai eu la chance de participer aux premières journées de l'informatique légale, il y a déjà quelques années. Cela avait été pour moi l'occasion de rencontrer les roxors du LERTI, dont j'avais parlé dans le billet "Un laboratoire informatique prête serment".

Aussi, c'est avec plaisir que je peux annoncer sur ce blog l'organisation de la 7e journée de l'informatique légale qui aura lieu à Grenoble (INRIA Montbonnot) le jeudi 24 septembre 2015.

Attention, cette journée n'est pas accessible au grand public, mais réservée, sur invitation, aux spécialistes en informatique des institutions publiques et en particulier ceux de la gendarmerie, de la police et de la douane judiciaire et à ceux des autorités administratives indépendantes. Elle est ouverte aux universitaires, chercheurs, ingénieurs et techniciens des instituts et laboratoires publics ainsi qu'aux experts judiciaires du LERTI et ses correspondants. Les magistrats férus d'informatique sont chaleureusement accueillis (prendre contact avec le LERTI).

La journée comprend six ou sept exposés en français suivis d'un débat avec les participants.

APPEL À CONTRIBUTION

Si vous n'êtes pas invité, le meilleur moyen de participer est encore de contribuer... Voici les informations pratiques :
Soumission : 1er juin 2015
Notification aux auteurs : 20 juin 2015
Version finale : 1er septembre 2015
Présentation : 25 septembre 2015

Les contributeurs pourront choisir une durée courte (30 minutes dont 5 de débat), moyenne (45 minutes dont 10 de débat) ou, exceptionnellement et si le sujet l'impose, longue (60 minutes dont 10 de débat).

Les auteurs soumettront leur projet de communication au plus tard le 1er juin sous forme d'une synthèse accompagnée de la durée d'intervention souhaitée. Format de fichier de soumission : PDF. Le comité de programme notifiera le 20 juin les communications retenues. Les versions définitives devront parvenir le 1er septembre sous format Powerpoint ou PDF.

L'adresse de soumission est : contact [4r0b4s3] lerti.fr

Tous les thèmes relatifs à l'informatique légale seront pris en considération : aspects nouveaux, résultat de recherches, présentation d'outils d'investigation, retour d'expérience, voire bonne actualisation des connaissances. A titre d'information, les desiderata des participants de la sixième journée sont rappelés ci-dessous. Le contenu des communications doit rester technique : publicité, discours institutionnel, promotion d'une personne ou d'un produit seront refusés. Les auteurs peuvent toutefois utiliser les couleurs et les bannières de leur institution de rattachement.

Les communications sont faites bénévolement : les possibilités des organisateurs se limitent à l'invitation des auteurs au déjeuner. Toutefois la prise en charge des frais de transport et d'hébergement pourra être étudiée dans quelques cas particuliers.

Rappel des desiderata des participants de la Sixième journée
* Sujets plus techniques, retours d'expériences
* Magistrats, techniciens et experts de l'informatique légale : point de la situation
* DarkWeb, Tor : la reconnaissance légale des investigations pour identifier les auteurs d'infraction
* Comparaison des matériels et logiciels d'analyse des téléphones : forces et faiblesses de chacun
* Saisie des données d'une machine virtuelle
* Cloud, investigation, aspects judiciaires
* Modes d'attaque des codes verrous des téléphones mobiles, obtention ou contournement des codes de verrouillage
* Interception des réseaux sociaux (Facebook, ...)
* NFC : escroqueries, accès, outils d'analyse, ...
* Exploitation des smartphones, en particulier Windows, et des tablettes
* Données géographiques
* Analyse légale en live, applications ?
* Investigation sur Tor
* Analyse du piratage d'une liaison WiFi (fausse borne)
* Windows 8
* RFID
Cette année encore, je vais essayer d'y aller, mais je ne garantis rien. Si vous voyez quelqu'un avec des cheveux "poivre et sel" et une casquette, ce sera peut-être moi ;-)

-----------------------
Dessin de Pfelelep pour Zythom (cœur)

26 janvier 2015

Le temps qu'il faut

La liberté d'expression s'use quand on ne s'en sert pas.
L'histoire c'est un juriste, l'écriture c'est moi. Si vous voulez raconter, écrivez ICI.

--o0o--

Mon histoire commence, comme celles de bon nombre d'experts judiciaires, par la réception d'un courrier de magistrat qui me décrit la mission qu'il souhaite me confier, ainsi que les noms des personnes et sociétés concernées. Dans le courrier sont indiqués les avocats, les personnes privées et les sociétés.

L'affaire me semble parfaitement relever de mes compétences, aussi je réponds positivement au magistrat : j'accepte la mission.

Me voici donc en train de contacter les avocats pour déterminer la date de première réunion, en fonction de leurs agendas et du mien. Je contacte ensuite les sociétés et les personnes privées, pour finir, après plusieurs tours de coup de téléphone, par trouver un créneau de plusieurs jours libres pour presque tout le monde. Presque tout le monde, car l'un des avocats a une incertitude : il sait que l'une des journées du créneau sera bloquée par un autre dossier, mais il ne sait pas encore laquelle.

J'adresse à tout le monde un courrier recommandé avec avis de réception contenant la convocation à la premier réunion d'expertise, en précisant qu'elle se tiendra entre le 28 septembre et le 1er octobre. J'envoie les courriers un mois avant, c'est-à-dire fin août, pour que tout le monde puisse bloquer les dates.

La réunion d'expertise s'approchant, j'obtiens enfin de l'avocat incertain une date fixe. Je me dépêche alors d'adresser un autre courrier en recommandé à tout le monde, courrier précisant que la réunion d'expertise se tiendra le 28 septembre.

La jour de la première réunion arrive, tout le monde se présente. Enfin, presque, puisque l'une des personnes, Monsieur Venport, se présente seul, sans avocat. En effet, pour une raison qui lui appartient, il a déconstitué l'avocat qui l'assistait, sans me prévenir. Heureusement pour moi, il a quand même reçu, le jour même, sa convocation pour la réunion d'expertise, ce qui lui permet d'être présent et d'émarger.

Je lui demande le nom de son nouvel avocat, nom qu'il me donne. Par précaution, je lui demande si l'on peut démarrer sans la présence de son nouvel avocat (que je n'ai pas pu convoquer, car j'ignorais qu'il en avait changé), et il me répond que cela ne lui pose pas de soucis.

Je démarre donc la réunion d'expertise qui durera toute la journée. En fin de journée, me rendant compte que les investigations n'étaient pas terminées, nous nous mettons tous d'accord pour faire une deuxième réunion d'expertise, le 1er octobre.

Le 1er octobre, tout le monde est présent, y compris cette fois l'avocat de Monsieur Venport. En début de réunion, je résume les investigations menées lors de la première réunion d'expertise et m'assure auprès des avocats présents qu'ils valident l'aspect contradictoire des deux réunions d'expertise, ce qu'ils font tous.

Dans toutes les formations que j'ai suivies, les intervenants insistaient longuement sur l'importance du contradictoire, c'est-à-dire sur la présence de tous les acteurs concernés. Avec cette histoire d'avocat absent lors de la première réunion, je tenais absolument à ce que les choses soient claires. Et tous les avocats m'ont rassuré sur ce point : les opérations d'expertise du 28 septembre et du 1er octobre ont bien été menées de façon contradictoire.

Je rédige donc mon pré-rapport, je l'adresse à tout le monde en recommandé avec avis de réception en donnant à chacun un délai suffisant pour qu'il me fasse ses remarques. Je reçois quelques remarques, que j'intègre dans mon rapport définitif, avec mes réponses. J'adresse ce rapport définitif, ainsi que ma note de frais et honoraires, au tribunal qui m'a désigné, ainsi qu'une copie aux différentes parties à la cause.

Une année passe, et je reçois le paiement de ma note de frais et honoraires. Je classe le dossier.

Les années passent, je suis désigné dans d'autres affaires, je démarre et termine d'autres expertises.

Un jour, six ans après ces deux réunions d'expertise, je reçois un courrier m'informant d'un arrêt de la Cour de Cassation concernant mon ancienne affaire. Extraits (les gras sont de moi) :
Attendu que l'expert a l'obligation de convoquer dans un délai suffisant les parties à toutes les opérations d'expertise ;

Attendu que, pour rejeter la demande de nullité du rapport de M. X [X, c'est moi] et considérer qu'il n'y avait pas eu atteinte au principe de la contradiction, l'arrêt [de la cour d'appel] retient que l'expert avait adressé à M. Venport une lettre pour l'informer que les opérations d'expertise [etc.]

Qu'en statuant ainsi, alors qu'elle constatait que M. Venport avait reçu le 28 septembre une convocation pour une réunion d'expertise ayant lieu le même jour, la cour d'appel a violé le texte susvisé ;

PAR CES MOTIFS et sans qu'il y ait lieu de statuer sur les autres griefs du pourvoi :

CASSE ET ANNULE, dans toutes ses dispositions, l'arrêt rendu le 1er avril, entre les parties, par la cour d'appel de [Framboisy] ; remet, en conséquence, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel de [Busab] ;
Mon rapport d'expertise est annulé, ainsi que l'ensemble des travaux et investigations menés pendant les réunions d'expertise. Je dois rembourser les frais que j'ai engagés, ainsi que le montant des honoraires que j'ai perçus.

Je sais maintenant qu'une convocation envoyée un mois avant doit contenir la date précise de la réunion, et non pas un créneau de dates possibles. Et bien sur, que la convocation contenant la date précise, ne doit pas être reçue le jour même de la date prévue.

Bienvenu dans l'univers impitoyable du droit.

---------------------------------
Source image Wikipédia : Chronos, dieu du temps de la mythologie grecque, par Ignaz Günther, Bayerisches Nationalmuseum à Munich.

16 janvier 2015

La liberté d'expression s'use quand on ne s'en sert pas

Il m'est difficile de reprendre le chemin de l'écriture après les événements de la semaine dernière.

Après plusieurs heures de sidération, j'ai participé dans ma ville à la marche blanche spontanée du mercredi 7 janvier, alors que les terroristes courraient toujours. Puis j'ai discuté avec mes enfants des événements pour m'assurer qu'ils en comprenaient bien les enjeux et l'importance. Ils m'ont rassuré sur ce point - je suis très fier d'eux.

Puis les jours ont passé, les meurtriers ont été cernés puis abattus (justice ne sera pas faite), un grand élan d'émotion a eu lieu le dimanche suivant. Et si mes yeux soupçonneux y ont vu le début d'une grande récupération politique de tous bords, j'ai ressenti cet élan collectif.

Avec émotion.

J'ai conscience d'être dans un pays où l'on a le droit de s'exprimer. J'utilise avec gourmandise cette liberté. J'ai également conscience que, dès lors que l'on prend la parole de manière publique, un certain nombre de personnes entendent bien vous empêcher de parler, ou limiter votre liberté d'expression. Je l'ai vécu à ma modeste échelle lors de l'Affaire Zythom quand quelqu'un a cherché à faire fermer ce blog. J'ai mal vécu les convocations devant la justice et devant ma compagnie d'experts judiciaires, réunie en session disciplinaire. 

Alors, quand des personnes m'informent avoir été fortement conseillées par leur président de compagnie d'experts judiciaires, de ne pas bloguer, même sous pseudonyme, et de ne pas évoquer leurs expertises judiciaires, je me dis que dans l'univers de l'expertise, beaucoup de monde a encore des progrès à faire. Je suis abonné à de nombreux blogs de médecins qui racontent leurs expériences, leurs anecdotes, leurs passions. Des magistrats, des avocats, des policiers font de même. Pourquoi pas les experts judiciaires ?

Ce blog n'est même pas un blog dédié à l'expertise judiciaire. C'est un blog personnel où je parle essentiellement des événements qui rythment ma petite vie. Rien d'encombrant, de palpitant, de choquant ou de révolutionnaire. Rien de gênant. Quand on n'aime pas, il suffit d'un clic pour aller voir ailleurs.

Je me doute bien que cela en agace quelques uns de voir mon petit blog apparaître avant leur site web dans certains résultats sur les moteurs de recherche. Mais je n'empêche personne de publier des billets, de faire des retours d'expérience, de partager des rapports d'étonnement. Il faut encourager les gens à utiliser cette liberté d'expression, dans le respect des lois qui l'encadrent.

La liberté d'expression s'use quand on ne s'en sert pas.

Et pour celles et ceux qui hésitent à se lancer, je rappelle, comme je l'indiquais il y a un mois, dans le billet intitulé "Il n'existe rien de constant", qu'il vous suffit de me raconter, avec vos mots, votre anecdote en rapport avec une expertise judiciaire informatique et de me l'envoyer via ma page contact. Je rédigerai à ma façon votre histoire, en la modifiant et en l'adaptant à mes mots et mon style. Les billets en question commenceront par "L'histoire c'est X, l'écriture c'est moi". 

Je reprends ainsi l'idée de Baptiste Beaulieu, blogueur talentueux, et je vais essayer d'en être à la hauteur. On verra bien.