Assistance à Huissier
Zythom - Blog d'un informaticien expert judiciaire - Zythom, 20/11/2012
La tension est palpable dans la pièce trop petite pour tout ce monde. Je suis assis devant l'ordinateur en train de regarder son contenu. A côté de moi, l'huissier prend des notes sur toutes les manipulations que j'effectue. En face de moi, le salarié, assisté d'un délégué du personnel. Dans un coin de la pièce, le directeur de l'usine, très remonté. A ses côtés, un informaticien bien embêté.
Je suis en pleine mission d'assistance à huissier.
Tout le monde attend beaucoup de moi.
Je préviens tout de suite les personnes présentes que je ne suis pas Dieu, que je vais avoir besoin d'un certain nombre d'informations pour pouvoir faire mes recherches sur le poste de travail... Le responsable informatique hoche la tête.
Je demande si le PC ne peut pas être mis sous scellé pour une analyse inforensique différée. Non, l'ordinateur contient des données importantes pour la production de l'entreprise, des clefs matérielles permettant de faire fonctionner des logiciels vitaux. Il faut faire une analyse in situ, là maintenant.
J'allume le PC. Le système d'exploitation est un classique Windows XP en mode domaine. Je demande les mots de passe des comptes utilisateur et administrateur concernés. L'huissier prend des notes, me demande d'aller doucement. Je me connecte en tant qu'administrateur local de la machine.
L'huissier note tout ce que je fais. Il me demande d'expliquer en termes simples la manipulation que j'effectue et pourquoi je la fais. On n'est pas sortie de l'auberge. Surtout que je ne sais pas vraiment ce que je dois chercher.
"Cela fait deux fois que le fichier des clients est modifié alors que je suis absent et que je suis le seul à pouvoir y accéder !" Tonne le directeur de l'usine. L'informaticien m'explique que les fichiers de log du serveur montrent des accès en provenance de cet ordinateur, sur lequel le directeur affirme n'avoir jamais travaillé.
Tout le monde parle en même temps, le salarié accusé, le délégué du personnel, le directeur de l'usine... Je ne suis pas là pour animer la réunion, ni l'huissier d'ailleurs. Je regarde tout le monde s'énerver. Je suis l'observateur privilégié d'un drame interne de l'entreprise.
Je n'ai aucune idée de la méthode que je dois suivre pour prouver l'utilisation frauduleuse d'un compte sur l'ordinateur. Pourtant on attend de moi une tâche impossible: dire qui a piraté le compte du directeur et comment. Je demande les logs d'accès au serveur Windows 2003. L'informaticien est un peu embêté. Il m'explique que du fait d'une panne de disque dur et d'un remplacement à la va vite par un disque plus petit, il a fallu faire de la place, que la réinstallation du serveur a été faite très vite, que les logs d'accès sont minimalistes. Bref, une sécurité bâclée. Mais je sais que le compte informatique a été utilisé sur le poste devant lequel je me trouve. En tout cas, semble l'avoir été. En fait, je sais très peu de chose, mais qu'un salarié est accusé.
J'ai été appelé la veille, par l'huissier de justice, qui voulait savoir si j'étais disponible pour une intervention en entreprise prévue le lendemain matin.
Z : "Mais une intervention sur quel type de matériel et pour y rechercher quoi ?"
H : "Un salarié est accusé d'avoir modifié des données sur le serveur."
Z : "Ah bon ? Mais quel type de serveur, quel système informatique ?"
H : "Ah ça, je ne sais pas. Mais il faut qu'on y soit à 8h demain matin."
Z : "Gmblmblmbl. Je vérifie mon agenda et j'appelle mon patron pour voir si je peux me libérer et je vous rappelle."
Me voilà donc à 8h dans un bureau où tout le monde me regarde. Je regarde les logiciels installés sur l'ordinateur. Je demande des explications pour certains d'entre eux. L'informaticien me renseigne. L'huissier prend des notes. Rien ne semble anormal.
Je demande au directeur de l'usine de me donner son mot de passe: "Vlehd233" me répond-il. Je note scrupuleusement, en faisant répéter. Il me précise qu'il a changé le mot de passe depuis, mais que c'est celui-là qu'il utilisait depuis longtemps.
Je lance une recherche de cette chaîne de caractères sur tous les fichiers du disque dur. J'explique à l'huissier qui prend bonne note. Rien. Je procède à la récupération de tous les fichiers effacés de l'ordinateur et regarde la liste des fichiers.
Un exécutable attire mon attention: unshadow.exe
A partir de mon ordinateur portable, j'effectue une petite recherche sur internet... John The Ripper. Ce bon vieux JTR, que j'utilisais il y a des années pour tester la fiabilité des mots de passe de mes étudiants. Je note la date du fichier. Je trie par ordre des dates la liste des fichiers récupérables. Je repère tout un groupe de fichiers ayant la même date. Je restaure le répertoire parent. Dans le dossier, je retrouve des fichiers textes, dont un contenant la chaîne de caractères "Vlehd233".
Je lève les yeux sur le salarié et lui demande pourquoi je trouve trace du logiciel "John The Riper" sur son poste de travail, ainsi que la présence du mot de passe du directeur de l'usine dans le même répertoire.
L'huissier prend note de ses explications.
J'ai fini mon intervention. Je range mon matériel en mesurant le bol que j'ai eu. Depuis, je refuse de travailler ainsi au petit bonheur la chance. Chacun son métier.
Je ne suis pas spécialiste en sécurité informatique.
Je suis en pleine mission d'assistance à huissier.
Tout le monde attend beaucoup de moi.
Je préviens tout de suite les personnes présentes que je ne suis pas Dieu, que je vais avoir besoin d'un certain nombre d'informations pour pouvoir faire mes recherches sur le poste de travail... Le responsable informatique hoche la tête.
Je demande si le PC ne peut pas être mis sous scellé pour une analyse inforensique différée. Non, l'ordinateur contient des données importantes pour la production de l'entreprise, des clefs matérielles permettant de faire fonctionner des logiciels vitaux. Il faut faire une analyse in situ, là maintenant.
J'allume le PC. Le système d'exploitation est un classique Windows XP en mode domaine. Je demande les mots de passe des comptes utilisateur et administrateur concernés. L'huissier prend des notes, me demande d'aller doucement. Je me connecte en tant qu'administrateur local de la machine.
L'huissier note tout ce que je fais. Il me demande d'expliquer en termes simples la manipulation que j'effectue et pourquoi je la fais. On n'est pas sortie de l'auberge. Surtout que je ne sais pas vraiment ce que je dois chercher.
"Cela fait deux fois que le fichier des clients est modifié alors que je suis absent et que je suis le seul à pouvoir y accéder !" Tonne le directeur de l'usine. L'informaticien m'explique que les fichiers de log du serveur montrent des accès en provenance de cet ordinateur, sur lequel le directeur affirme n'avoir jamais travaillé.
Tout le monde parle en même temps, le salarié accusé, le délégué du personnel, le directeur de l'usine... Je ne suis pas là pour animer la réunion, ni l'huissier d'ailleurs. Je regarde tout le monde s'énerver. Je suis l'observateur privilégié d'un drame interne de l'entreprise.
Je n'ai aucune idée de la méthode que je dois suivre pour prouver l'utilisation frauduleuse d'un compte sur l'ordinateur. Pourtant on attend de moi une tâche impossible: dire qui a piraté le compte du directeur et comment. Je demande les logs d'accès au serveur Windows 2003. L'informaticien est un peu embêté. Il m'explique que du fait d'une panne de disque dur et d'un remplacement à la va vite par un disque plus petit, il a fallu faire de la place, que la réinstallation du serveur a été faite très vite, que les logs d'accès sont minimalistes. Bref, une sécurité bâclée. Mais je sais que le compte informatique a été utilisé sur le poste devant lequel je me trouve. En tout cas, semble l'avoir été. En fait, je sais très peu de chose, mais qu'un salarié est accusé.
J'ai été appelé la veille, par l'huissier de justice, qui voulait savoir si j'étais disponible pour une intervention en entreprise prévue le lendemain matin.
Z : "Mais une intervention sur quel type de matériel et pour y rechercher quoi ?"
H : "Un salarié est accusé d'avoir modifié des données sur le serveur."
Z : "Ah bon ? Mais quel type de serveur, quel système informatique ?"
H : "Ah ça, je ne sais pas. Mais il faut qu'on y soit à 8h demain matin."
Z : "Gmblmblmbl. Je vérifie mon agenda et j'appelle mon patron pour voir si je peux me libérer et je vous rappelle."
Me voilà donc à 8h dans un bureau où tout le monde me regarde. Je regarde les logiciels installés sur l'ordinateur. Je demande des explications pour certains d'entre eux. L'informaticien me renseigne. L'huissier prend des notes. Rien ne semble anormal.
Je demande au directeur de l'usine de me donner son mot de passe: "Vlehd233" me répond-il. Je note scrupuleusement, en faisant répéter. Il me précise qu'il a changé le mot de passe depuis, mais que c'est celui-là qu'il utilisait depuis longtemps.
Je lance une recherche de cette chaîne de caractères sur tous les fichiers du disque dur. J'explique à l'huissier qui prend bonne note. Rien. Je procède à la récupération de tous les fichiers effacés de l'ordinateur et regarde la liste des fichiers.
Un exécutable attire mon attention: unshadow.exe
A partir de mon ordinateur portable, j'effectue une petite recherche sur internet... John The Ripper. Ce bon vieux JTR, que j'utilisais il y a des années pour tester la fiabilité des mots de passe de mes étudiants. Je note la date du fichier. Je trie par ordre des dates la liste des fichiers récupérables. Je repère tout un groupe de fichiers ayant la même date. Je restaure le répertoire parent. Dans le dossier, je retrouve des fichiers textes, dont un contenant la chaîne de caractères "Vlehd233".
Je lève les yeux sur le salarié et lui demande pourquoi je trouve trace du logiciel "John The Riper" sur son poste de travail, ainsi que la présence du mot de passe du directeur de l'usine dans le même répertoire.
L'huissier prend note de ses explications.
J'ai fini mon intervention. Je range mon matériel en mesurant le bol que j'ai eu. Depuis, je refuse de travailler ainsi au petit bonheur la chance. Chacun son métier.
Je ne suis pas spécialiste en sécurité informatique.