18 avril 2012

Le plein de pr0n

Le PC de Jean-Pierre est rempli de fichiers images et films pornographiques. Le problème est que cet ordinateur appartient à l'entreprise REKALL pour laquelle Jean-Pierre travaille. Enfin, "était installé" car le PC est maintenant sous scellé dans mon bureau et Jean-Pierre est en procédure aux Prud'hommes contre REKALL pour licenciement abusif.

Mais revenons un peu en arrière dans le temps.

Jean-Pierre travaille tous les jours sur son ordinateur fixe professionnel, comme beaucoup d'employés de la société REKALL. Il se plaint de temps en temps de la lenteur de son PC, mais comme un peu tout le monde. C'est que son ordinateur n'est pas de toute dernière jeunesse, et les investissements de renouvellement peinent à arriver jusqu'à lui. Mais aujourd'hui, son ordinateur semble avoir rendu l'âme: il n'arrive plus à le faire fonctionner, ni à le redémarrer. Il appelle donc le service informatique de REKALL.

Le service informatique envoie un technicien qui constate la réalité du problème. Après quelques procédures magiques, le technicien constate que le disque dur est plein, entrainant le dysfonctionnement du système d'exploitation. Quelques instants plus tard, le technicien constate la présence d'un répertoire rempli de fichiers pornographiques. C'est le début des ennuis de Jean-Pierre avec la société REKALL: convocation à un entretien préalable, mise à pied puis licenciement.

Tout au long de la procédure, Jean-Pierre nie avoir téléchargé ou introduit les fichiers pornographiques. La société REKALL n'en croit pas un mot et tout le monde se retrouve devant les prud'hommes.

Un expert judiciaire est désigné, avec mission d'analyser le disque dur, d'y trouver trace des éventuels fichiers pornographiques et d'en déterminer la provenance. Me voici avec l'ordinateur affecté à Jean-Pierre par REKALL posé sur mon bureau bien enveloppé dans son scellé. Le week-end s'annonce bien...

Je brise le scellé, déballe l'ordinateur et commence mes investigations.

Ma méthode est toujours la même: je note sur un cahier toutes les opérations que j'effectue, je vérifie la présence physique de tous les supports de mémoire possibles (cédéroms dans les lecteurs, clefs USB, disques SSD, disques durs, etc.), prends des photos avant démontage, note la présence de poussières, la position éventuelle des cavaliers, des nappes de câbles... Dans le cas présent, le dossier technique semble simple: un seul disque dur est branché sur la carte mère. Je procède à son extraction, avec précaution. Je démarre l'ordinateur et inspecte les paramètres du Bios pour relever le décalage horaire avec l'heure exacte de l'horloge parlante. Le bios d'un ordinateur peut révéler parfois des informations très intéressantes. Ici, rien de particulier.

Je branche le disque dur sur mon PC de prise d'image, derrière un bloqueur d'écriture. Puis, je procède à la prise d'image proprement dite, comme décrit ici. Mon NAS personnel se remplit toute la nuit d'une image bit à bit d'environ 500 Go, fidèle copie numérique du disque dur d'origine. Je replace le lendemain le disque dur d'origine dans son PC, non sans l'avoir pris en photo et noté toutes ses caractéristiques (numéro de série, marque, modèle, etc.) sur mon petit cahier papier.Promis, dans quelques années, j'achète un encrier, une plume sergent major et le porte-plume de mon enfance ;-)

J'analyse le contenu du disque dur, et sans surprise, je trouve un répertoire intitulé "nvrzkflg" contenant plusieurs centaines de gigaoctets d'images et de films pornographiques. Me voici, porte du bureau fermée, en train de plonger dans ce qui ne constitue effectivement pas des études concernant la prostitution. Je fais le plein de pr0n...

Les fichiers semblent classés par thème, du plus classique au plus exotique, mais certains détails techniques attirent mon attention. L'organisation générale du stockage des fichiers est plutôt curieuse, avec des noms de répertoire d'un seul caractère, et les vidéos sont dans toutes les langues, avec parfois des sous-titres, eux-aussi dans toutes les langues. Je le note en remarque sur mon cahier d'écolier.

Après quelques heures passées à faire le tri, je m'attaque à la question de la provenance de ces fichiers. Jean-Pierre a-t-il abusé de son accès internet, sachant que de toute manière, internet, c'est pour le porno. J'analyse alors les traces de navigation laissées dans les différents caches présents sur le disque dur: rien d'inapproprié. Jean-Pierre a bien effectué quelques courses personnelles sur des sites de VPC, mais rien en rapport avec mes missions. Je recherche des traces d'extractions de fichiers archives compressées (zip, etc.), typique de la manipulation en masse de fichiers, mais là aussi rien de probant: que des documents de la société REKALL.

Je démarre l'image du disque dur dans une machine virtuelle et procède à son analyse avec l'aide de plusieurs antivirus à jour. Bingo! La machine est infectée... Une recherche sur Google m'indique que l'infection en question est un bot d'un cloud de stockage. Autrement dit, le disque dur du pc infecté est relié à un ensemble d'autres ordinateurs (des serveurs de contrôle et d'autres pc infectés) formant une grande zone de stockage à la disposition d'une ou plusieurs personnes. Dans le cas présent, la zone de stockage semble être destinée à de la pornographie.

Pour vérifier mon hypothèse, je relie à internet mon bac à sable où je faisais fonctionner la machine virtuelle, non sans avoir lancé un bon analyseur de trafic réseau.

Je dois dire que j'ai été assez fasciné de voir ma petite machine virtuelle être contactée depuis un ordinateur que j'ai tracé jusqu'à Taïwan (certainement une machine elle-même infectée) et recevoir des commandes à exécuter pour se mettre à jour et faire le plein de pr0n.

Mon rapport a été clair (comme toujours) sur la question: Jean-Pierre pouvait être mis hors de cause. Qui était responsable de sa désagréable situation, l'antivirus inefficace?, non mis à jour?, le service informatique?, heureusement la question ne m'a pas été posée. En tout cas, depuis, je surveille un peu plus les mises à jour des antivirus de mon entreprise, et les comportements suspects de notre parc informatique. Dans une école d'ingénieurs, ce n'est pas toujours facile.

Mais surtout, je n'accuse jamais un utilisateur pour ce que je peux trouver sur son poste de travail.

38 commentaires:

  1. Interressant.. Je m'imaginais vraiment, au début de l'article, que l'employé n'avait pas pensé à supprimer ses répertoires de pron.

    J'ai fais plusieurs stages en bureaux d'études où je devais utiliser des pc d'autres personnes. A chaque fois, l'historique était rempli de pr0n.

    Comme quoi, faut jamais se fier aux premières impressions.

    RépondreSupprimer
  2. Maintenant, imaginez la situation de ce monsieur s'il s'était agi non pas de simple pornographie et d'un licenciement, mais de pédopornographie.

    RépondreSupprimer
  3. c'est dingue ça... le pron a été envoyé de l'extérieur ?

    RépondreSupprimer
  4. Je dois avouer que je ne comprends pas tres bien la reaction de la societe REKALL. Soit Pierre est un employe productif et dans ce cas on s'en fiche qu'il telecharge du pr0n. Soit il n'est pas productif et il fallait s'en debarasser bien avant cet episode. Enfin, peut etres qu'ils voulaient le virer mais ne trouvaient pas une raison legale de le faire.

    Sinon, je dois avouer que plus jeune j'avais pense a programmer un programme qui fairait plus ou moins la meme chose que ce que vous decrivez. Telecharger du or0n au hazard pour cacher les excursion peu avouables qui tentent tant un garcon de 15 ans.

    RépondreSupprimer
  5. Merci, passionnant, comme toujours !

    Et la pub Wonderbra est tout simplement excellente :)

    RépondreSupprimer
  6. Fascinant en effet. On n'imagine pas ce qui peut se cacher dans notre ordinateur!

    RépondreSupprimer
  7. Si vous me le permettez:

    "pr0n" n'EST PAS un mot français. Ce n'est même pas un mot du tout dans quelque langue que ce soit!

    On dit "pornographie" ou, son diminutif "porno". Mais qu'est-ce que c'est que ce massacrage du français?

    RépondreSupprimer
    Réponses
    1. Ouaf ouaf ouaf
      ....
      Massacrage!!!
      ...
      Lol

      Supprimer
  8. @Eudémonix, ça s'appelle la culture Internet...

    Article intéressant comme toujours.

    @DM : mais tellement...

    RépondreSupprimer
  9. "pr0n" est utilisé pour parler couramment de pornographie sur des "chats" sans se faire bannir par des robots qui filtres les mots clés ...

    Au fut et à mesure il a remplacer le simple terme "porno".

    RépondreSupprimer
  10. voir : http://danstonchat.com/2168.html

    RépondreSupprimer
  11. @Eudémonix : http://desencyclopedie.wikia.com/wiki/Pr0n

    RépondreSupprimer
  12. Le mot "pr0n" est utilisé sur les canaux IRC qui censurent ou virent des utilisateurs qui utilisent certains mots vulgaires ou déplacés. Porno (ou Porn en anglais) devient donc pr0n pour passer le filtre de la censure. Depuis, l'expression est resté dans le dictionnaire de l'internet mondial.

    RépondreSupprimer
  13. @Eudemonix
    Ah... parce que "massacrage" c'est français ?

    :)

    RépondreSupprimer
  14. Pr0n c'est du slang pour pornographie.
    http://en.wikipedia.org/wiki/Leet#Pr0n

    A mon avis, ce n'est pas un "massacrage" du français.

    Dominique

    RépondreSupprimer
  15. @Eudémonix : la meilleure définition du pro0n se trouve ici : http://desencyclopedie.wikia.com/wiki/Pr0n

    Bon, je relance spybot sur ma machine, moi.

    Très chouette billet.

    RépondreSupprimer
  16. @Eudémonix : écrire un mot de façon déformée permet de passer outre les filtres de censure de contenu, que ce soit sur les forums ou les blogs.

    Si vous êtes éditeur de blogs (genre overblog, skyblog et autres), vous n'avez peut-être pas envie d'autoriser n'importe quoi et allez empêcher vos utilisateurs de poster "porn/porno", un malin va modifier une lettre, vous allez modifier votre filtre en réaction et on arrive à des mots inexistants auparavant mais reconnu par bien des internautes.

    Exemple de mots interdits qui ont donné lieu à variantes acceptables : mordieu => morbleu pour éviter l'excommunication, "par le sang de Dieu" => palsambleu parce que bon le blasphème c'était pas super bien vu ...

    D'ailleurs ce n'est pas vous qui décidez ce qui est un mot ou pas. Un mot "existe" s'il est inventé par quelqu'un et reconnu par d'autres, en général au sein d'une communauté (un ou plusieurs pays, une région, une ville, un forum sur le net et même un film - si quelqu'un me parle de "cyclimse" je sais très bien à quoi il fait référence...).

    RépondreSupprimer
  17. Eudémonix : c'est de l'argot d'Internet, venu au départ des groupes de discussion, et c'est la forme que l'usage a imposé ; il s'agit de tromper la censure automatique qui nous filtre le réseau, et c'est bien le but ici sur une plateforme mutualisée (sinon, le billet serait interdit au moins de 21 ans).

    Simplement un argotisme, donc, ni un massacrement ni une massacrisation.

    Pour l'auteur : et comment s''appelle ce beau virus ? comment peut-on l'attraper ?

    RépondreSupprimer
  18. Si vous me permettez... :)

    Pr0n est un mot "d'argot" Internet. Pour la petite histoire, les mots "pornographie", "porno" et leurs dérivés sont interdits dans les salons de discussions (IRC, chat,...) et l'utilisateur qui les utilisent est banni.
    Les "habitués" ont donc remplacé la lettre 'O' par le chiffre '0' puis déplacé le 'r', ceci afin d'échapper à la censure.
    C'est comme l'expression "pwned" qui ne veut rien dire mais qui vient du mot "owned" (attrapé) avec une faute de frappe 'p' à la place du 'o'

    RépondreSupprimer
  19. Eudémonix, quand vous croisez sur une page web un mot en mixcase (en casse mixte) ou/et en substitution numérique (le 0 zéro pour la voyelle O) vous croisez un néologisme typique de la culture hacker (bidouilleur).

    Le terme pr0n permettait à l'origine de mentionner "porn" (en anglais donc) sans éveiller les logiciels de contrôle de contenu en ligne.

    Aujourd'hui pr0n fait parti d'un ensemble (non fini) qu'on peut désigner par lol-culture.

    Une culture à part entière, vivante et qui à l'immense bon goût d'être snobé par les Académiciens !

    RépondreSupprimer
  20. Je pense qu'il a compris là lol

    RépondreSupprimer
  21. Très bon article.

    Sinon, les académiciens ne snobent pas du tout les mots nouveau au contraire. Mais ils ne conservent que ceux qui ne dépassent pas l'effet de mode. Aucune utilité d'inscrire dans le dictionnaire un mot qui n'est utilisé que pendant 5 ou 10 ans et que par une tranche d'age.
    pr0n pourrait tout à fait finir dans le dictionnaire. Mais il faut aussi que son écriture soit stable. Avec un zéro 0 ou un "o" majuscule ?

    RépondreSupprimer
  22. Hum parce que l'écriture de "clé/clef" et celle de "cuiller/cuillère" sont stabilisées ? :)

    RépondreSupprimer
  23. Bonjour, vous dites que le "bios d'un ordinateur peut révéler parfois des informations très intéressantes".
    Que peut-il vous dire ? Cordialement,

    RépondreSupprimer
  24. Ca me fait bien marrer ceux qui ici parlent de culture Internet...

    Bon, en effet, le mot pron (ou assimilé) était utilisé il y a 15 ans, quand on voulait placer le mot sur un site censurant certains termes.

    Mais c'est du passé, on peut l'utiliser quasiment partout maintenant. C'est même devenu ringard tellement c'est inutile.

    RépondreSupprimer
  25. @Tous: Don't feed the troll. J'écris comme je l'entends et ceux qui n'aime pas les mots que j'emploie peuvent toujours demander à être remboursés.

    Merci en tout cas pour vos messages d'encouragement qui font toujours plaisir.

    @Anonyme:
    Bonjour, vous dites que le "bios d'un ordinateur peut révéler parfois des informations très intéressantes".
    Que peut-il vous dire ?


    Cela dépend beaucoup des bios, mais par exemple, un bios peut indiquer que les connecteurs SATA ont été "activés", ce qui laisse supposer que des disques supplémentaires ont été ajoutés à un moment. Par ailleurs, certains bios disposent d'un historique.

    RépondreSupprimer
  26. Incroyable comme histoire. Je n'avais pas pensé à cette hypothèse. Pauvre homme qui se retrouve dans des problèmes inutiles et dont il n'est responsable.

    Ne frappez pas mais : Passez à Gnu/Linux les gars ! Il y a beaucoup moins de problèmes du genre.

    Il faut vraiment rester prudent partout de nos jours...

    RépondreSupprimer
  27. Bonjour,

    Je m'interroge sur le rôle du Service Informatique de cette société :
    - Ne sont-ils pas allés un peu trop vite en besogne (constat qui abouti à un licenciement direct?)
    - Sont-ils simplement compétents ? (500go de traffic sur un lien internet cela se voit!)
    - Leur responsabilité peut-elle être mise en cause dans cette affaire du fait de leur négligence ?

    Cordialement

    RépondreSupprimer
  28. Bonjour,


    un service informatique qui attaque avant même de vérifier le plus évident.

    Lol, je ne suis pas professionnel, mais je trouve cela choquant et honteux. Le pouvoir entre de mauvaises mains.

    Vous ne savez pas l'issu de l'histoire, moi j'espère qu'ils ont mangé grave. Et que même le juge, profane comme moi, aura pu se foutre un peu de leur poire. Il n'y a pas de petits plaisirs.


    Tout ça m'a diverti et permis d'oublier que le réseau professionnel de mon employeur est infecté par ConfickerB depuis deux ans et que personne de responsable ne semble s'en soucier...

    RépondreSupprimer
  29. Bravo, monsieur l'expert. Belle perf, comme d'habitude. Je reviens un instant sur le contenu (de 2010) du lien sur la duplication : Il peut-être utile de mentionner pour vos lecteurs que si ils n'utilisent pas le liveCD dédié à l'analyse forensique, ils peuvent utiliser une distribution gnu/linux autre, mais à condition de désactiver l'auto-mount et l'auto-open classiquement actifs. De plus, ddrescue (du paquet gddrescue) remplacera avantageusement dd_rescue (du paquet ddrescue) pour la duplication. Il permet aussi d'éviter les secteurs HS, mais aussi de faire de la copie reverse et globalement est plus efficace et plus "intelligent" dans sa copie que dd_rescue, même utilisé avec son compagnon dd_rhelp.

    RépondreSupprimer
  30. Ce qui n'est pas sans rappeler les techniques qui avait été évoqué dans le livre/interview publié sur wikileaks (juste avant qu'ils ne fassent trop parler d'eux) ou un pédophile expliquait les techniques qu'ils utilisaient pour ne pas se faire prendre, et il semblait dire que c'était déjà assez courant comme pratique. Par contre, il évoquait plutôt des images VPN stocké sur des ordinateurs infectés auxquels les clients se connectaient ce qui garantissait une certaine indectabilité des informations transmises même par DPI.

    RépondreSupprimer
  31. Comme d'habitude.
    Excellent et toujours riche d'apprentissage.

    Merci

    RépondreSupprimer
  32. Une question que je me pose : c'est que dois faire l'informaticien légalement quand il découvre les fichiers ? Encoure-t-il des risques judiciaires s'il ne fait pas un rapport à sa direction ?

    RépondreSupprimer
    Réponses
    1. La pornographie n'est pas illégale en France.

      Supprimer
  33. Bonjour je suis débutant et je suis en train de chercher un logiciel pour faire des enquêtes. Vous avez mentionné Autopsy. Est-ce qu'il existe une version en français? Avez-vous d'autre logiciel à recommender?
    Merci d'avance

    RépondreSupprimer
  34. Effectivement c'est passionnant... et réellement inquiétant!

    Quoique j'en connais un ou deux qui rêveraient de voir leur PC se remplir miraculeusement de vidéos coquines! :-)))

    RépondreSupprimer

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.