Dans le cadre des rediffusions hivernales, le billet d'aujourd'hui a été publié le 25 mai 2009, sous l'intitulé "L'angoisse de l'intervention". J'en ai profité pour mettre à jour quelques éléments de la liste.

--------------------------------------------

Les Officiers de Police Judiciaire qui me contactent dans le cadre d'une enquête ont souvent de mon activité d'expert judiciaire une vision très particulière: je suis celui pour qui l'informatique n'a aucun secret.

C'est assez flatteur au premier abord, mais très stressant dès qu'il s'agit de ne pas décevoir les personnes qui vous font confiance.

Toute cette histoire commence comme d'habitude par un coup de téléphone: il s'agit d'intervenir dans une entreprise dans laquelle un salarié aurait commis une indélicatesse informatique.

Les OPJ me donnent quelques informations sur l'infraction, mais aucun détail technique: ni l'architecture du système informatique, ni le système d'exploitation utilisé, ni le nombre d'ordinateurs...

Me voici donc en route pour une destination technique inconnue.

Le fait de m'aventurer en terrain inconnu présente un certain charme sinon je n'aurais pas été passionné par la spéléologie, ni enseignant-chercheur, ni responsable informatique, ni responsable technique, ni conseillé municipal, ni papa de trois enfants... mais je suis quelqu'un de particulièrement inquiet de nature.

Je sais pourtant que l'inconnu fait parti de la vie. Je dirai même que c'est le sel de la vie. Oui, mais débarquer dans une entreprise pour chercher la trace d'une malversation sans connaitre le moindre élément technique reste pour moi une situation éprouvante.

Je n'aime pas particulièrement intervenir sur un lieu de travail, sous les yeux des salariés, en perturbant leur vie sociale. J'ai toujours l'impression de ne pas être à ma place.

Alors, et si mes collègues experts judiciaires qui le lisent veulent bien compléter cette liste, voici ce que je place dans ma valise:
- le boot CD d'analyse inforensique DEFT (ma distribution favorite depuis qu'HELIX est devenue payante);
- les outils de l'informaticien (tournevis de toutes tailles et de toutes formes)
- stylos et bloc notes (rien de plus gênant que d'avoir à demander sur place)
- un dictaphone numérique
- un ordinateur portable avec carte réseau gigabit et disque de grosse capacité pour la prise d'image en direct (perso j'utilise un disque dur SATA d'3 To dans un boitier externe USB3, qui me sert également de "clé" USB)
- une lampe électrique, un bouchon 50 ohms et un connecteur en T (lire ICI pourquoi)
- quelques uns des outils conseillés par les dieux des réseaux universitaires
- le live CD d'ophcrack, c'est toujours impressionnant de trouver les mots de passe tout seul
- un câble réseau, un prolongateur et un câble croisé
- une boite de DVD à graver (et quelques disquettes formatées, cela sert encore...)
- une bouteille d'eau et un paquet de biscuits
- un appareil photo
- un GPS
- du ruban adhésif toilé et résistant
- des élastiques de toutes tailles et des trombones.

L'expert qui demande un trombone pour faire démarrer l'alim d'un PC passe pour un dieu. Celui qui ne trouve pas de trombone passe pour un c.n

- un clavier souple ne craignant pas l'humidité avec la connectique qui va bien.
- un tabouret en toile
- vis, patafix, colliers...
- un ventilateur pour les disques- une petite imprimante
- toute la connectique pour les organiseurs (Palms, Blackberry, iphone, etc.)
- des étiquettes / pastilles de couleur, des stylos et des feutres.
- un petit switch 10/100/1000
- un câble série
- un câble usb
- une nappe IDE
- une nappe SATA
- des adaptateurs USB, SATA, IDE

Cela n'empêche pas la boule d'angoisse de se former lorsque l'on pousse la porte du lieu d'intervention (c'est une image, je suis loin derrière les forces de l'ordre).

Et bien sur, avant de partir en mission sur les lieux, ne pas oublier de demander s'il y a toujours de l'électricité. C'est une question qui fait toujours son petit effet...

-----------------------
Source photo Yodablog, épisode 132.

Dans le cadre des rediffusions hivernales, le billet d'aujourd'hui a été publié le 29 avril 2009, sous l'intitulé "Plasticité synaptique", le titre étant d'ailleurs un clin d’œil à mon autre moi qui travaillait sur sa thèse sur les réseaux de neurones... Je suis encore aujourd'hui tiraillé par ce problème de réforme de ce que j'ai appris étant jeune. Ce n'est pas un bon signe. Pas plus d'ailleurs le fait que Blogger ne gère toujours pas mieux l'espace insécable.

Le titre de cette re-publication est extrait d'une citation d'Ambrose Bierce: "L'orthographe est une science qui consiste à écrire les mots d'après l'œil et non d'après l'oreille."

----------------------------------------------------

Travailler dans le domaine informatique demande un effort particulier d'apprentissage permanent. Les technologies évoluent vite, ce que vous teniez pour acquis une année devient obsolète l'année suivante, etc.

C'est particulièrement flagrant quand je retravaille mon cours d'introduction à l'informatique, notamment la partie où j'insiste lourdement sur les ordres de grandeur, comme par exemple les caractéristiques d'un PC d'aujourd'hui.

Les méthodes informatiques évoluent, les langages informatiques "nouvelle génération" poussent les anciens, pourtant toujours en activité (et souvent pour longtemps).

Celui qui travaille dans ce domaine, qu'il soit développeur, journaliste, chercheur ou expert, DOIT être une personne capable de faire évoluer ses connaissances et ses gouts.

Mais cette souplesse doit pouvoir être mise à profit dans tous les domaines et parfois avec un effort que je ne soupçonnais pas.

S'il m'est facile d'écouter de la musique avec mes enfants, d'en apprécier la découverte et de voir mes gouts continuer à s'élargir malgré mon statut de "vieux" auprès des moins de 20 ans, il m'est plus difficile d'évoluer dans le domaine de l'orthographe.

Et pourtant, avec ce blog, j'ai pris la décision depuis plusieurs mois, d'essayer d'appliquer la réforme orthographique de 1990. Celle-ci fait référence dans l'Éducation Nationale depuis l'été 2008: sources
ICI page 37 dans la marge "L’orthographe révisée est la référence." et
LA page 2 "Pour l’enseignement de la langue française, le professeur tient compte des rectifications de l’orthographe proposées par le Rapport du Conseil supérieur de la langue française, approuvées par l’Académie française".

Et c'est difficile.

Autant j'ai réussi à me débarrasser des accents circonflexes qui ont disparu d'à peu près tous les "i" et les "u":
on écrit désormais mu (comme déjà su, tu, vu, lu), plait (comme déjà tait, fait), piqure, surpiqure (comme déjà morsure) traine, traitre, et leurs dérivés (comme déjà gaine, haine, faine), et ambigument, assidument, congrument, continument, crument, dument, goulument, incongrument, indument, nument (comme déjà absolument, éperdument, ingénument, résolument).

"Cher Maître" devient donc "Cher Maitre"...

Autant également, je ne m'en sors pas trop mal avec les singuliers et les pluriels des mots empruntés (ils ont un singulier et un pluriel maintenant réguliers): un scénario, des scénarios; un jazzman, des jazzmans; un maximum, des maximums; un média, des médias, etc. On choisit comme forme du singulier la forme la plus fréquente, même s’il s’agit d’un pluriel dans l’autre langue. (Exception cependant, comme il est normal en français, les mots terminés par s, x et z restent invariables (exemples: un boss, des boss; un kibboutz, des kibboutz; un box, des box).

Mais j'ai plus de mal avec les traits d'union dans les nombres. On doit en effet écrire maintenant "elle a vingt-quatre ans, cet ouvrage date de l’année quatre-vingt-neuf, elle a cent-deux ans, cette maison a deux-cents ans, il lit les pages cent-trente-deux et deux-cent-soixante-et-onze, l'état lui doit sept-cent-mille-trois-cent-vingt-et-un euros."

Et j'ai beaucoup de mal avec le participe passé du verbe "laisser" suivi d’un infinitif qui est rendu invariable: on doit écrire maintenant "elle s’est laissé mourir; elle s’est laissé séduire; je les ai laissé partir; la maison qu’elle a laissé saccager."

Mais s'il y a un truc sur lequel je ne cèderai pas, c'est (sur ce blog) sur l'absence d'espace devant les signes ":" ";" "!" et "?". Je ne supporte pas que la mise en page automatique du navigateur poussent ces caractères à l'orphelinat en début de ligne. Et ne me parlez pas du caractère "espace insécable", l'éditeur de ce blog l'élimine lors d'une réédition de billet.

Et puis, considérez cela comme ma signature personnelle (dixit un expert judiciaire dans un débat sur mon identité réelle^^).

Alors, lorsque vous trouvez une faute sur ce blog, il s'agit soit d'une modification de la réforme de 1990 que vous ne connaissez pas, soit d'une faute de frappe, soit d'une faute volontaire, soit d'un manque de plasticité synaptique de ma part.

Maintenant, je peux aussi militer pour le retour à l'écriture d'avant la réforme de 1835: Ma foi, je connois le françois & les savans, les dents de mes parens, &c.

Non mais.

-----------------------
Source photo Megaportail

Dans le cadre des rediffusions hivernales, le billet d'aujourd'hui, publié le 15 avril 2009, sous l'intitulé "La femme sans visage", rappelle aux enquêteurs, et aux experts de tout poil, qu'il faut rester modeste sur ces certitudes, et étudier toutes les pistes, pas uniquement là où il y a de la lumière. Un réflexe bien connu des développeurs...

----------------------------------------------------------


Il y a des affaires sur lesquelles je suis content de ne pas avoir travaillé. Mais si l'on apprend toujours de ses erreurs, il est possible d'apprendre de celles des autres.

Lieselotte Schlenger aimait les chats, les enfants et la pâtisserie. Le 23 mai 1993, elle a mis des gâteaux au citron dans le four, mais n'a pas pu en profiter: son voisin l'a retrouvée morte étranglée avec la corde qui servait à tenir un bouquet de fleurs. C'était la première victime d'un meurtrier en série. L'ADN recueillit sur une tasse de thé allait permettre de découvrir qu'il s'agissait d'une femme et de la suivre à la trace pendant 15 ans sans pouvoir l'arrêter. Faute de pouvoir mettre un nom sur un visage, la police allemande allait l'appeler "la femme sans visage".

Et la tueuse a recommencé, et plusieurs fois. Son ADN a été trouvé sur les lieux d'une triple exécution dans laquelle elle semble être impliquée. Son ADN intervient également dans une affaire de meurtre en 2001 dans la cité universitaire de Fribourg.

Un antiquaire de 61 ans a été retrouvé étranglé, cette fois avec une ficelle de jardin. L'ADN de la meurtrière a été retrouvé sur lui, sur des objets de son magasin, sur la poignée de la porte et sur le petit panneau "fermé" de la porte d'entrée. Le montant du vol a été estimé à 230 euros.

Certains meurtres ont des similitudes: petits montants volés, modus operandi, etc. Mais d'autres sortent du lot et semblent montrer que l'assassin est capable de modifier son comportement criminel. En effet, de nombreux cambriolages sont à mettre à son actif, et à chaque fois en ne laissant que quelques empreintes épithéliales.

Après le cambriolage d'un magasin, le chef de la police avait déclaré "C'est un travail de professionnel: elle n'a laissé aucune empreinte, à part le tout petit fragment de peau qui a permis de la reconnaître".

Enfin, de la reconnaître... Elle reste toujours inconnue, et conserve son surnom de "femme sans visage".

En mai 2005, l'étau se resserre. Un gitan tire au revolver sur son frère. Des traces d'ADN de la femme sans visage sont retrouvés sur l'une des balles. La police passe un message à la télévision pour obtenir des indices. En vain.

Mais ce qui a poussé les policiers à intensifier leur recherche, c'est que la femme sans visage est la seule suspecte dans le meurtre de sang froid d'une policière de 22 ans, sur un parking de la ville de Heilbronn. Cette policière participait à une opération d'infiltration avec un collègue dans une affaire de trafic de médicaments quand deux personnes sont montées à l'arrière de leur voiture pour leur tirer une balle dans la tête à bout portant. La policière est morte sur le coup mais son collègue, qui a survécu miraculeusement, ne se souvient de rien.

Il y a eu en tout plus de trente cambriolages et hold-up en plus des meurtres. Plus de 800 femmes suspectes ont été interrogées dans le cadre des enquêtes, mais aucune n'avait un ADN qui correspondait.

Pendant toute la durée de la traque, la police allemande a mis les moyens: plus de 18 millions d'euros. Mais sans pouvoir mettre la main sur la tueuse.

L'attribution de ces meurtres en une seule et même personne se révélera, en mars 2009, être une erreur de police scientifique due à une contamination du matériel de prélèvement. Les traces d'ADN retrouvées correspondaient en fait à l'ADN d'une femme travaillant à l'emballage du matériel de prélèvement dans l'entreprise fournisseuse (vous savez, les sortes de gros cotons tiges...).

Même Calleigh Duquesne s'y serait laissée prendre.

Mais certainement pas Lilly, et encore moins Greg!

--------------------------
Sources:
Francesoir
Alsapresse
theage.com.au
Bild.de
Wikipedia

Source photo Megaportail

Comme beaucoup d'entre vous, je vais passer quelques jours en famille pour les fêtes de Noël et de Nouvel An. Je vous souhaite à tous un Joyeux Noël et aussi de passer de bonnes fêtes (en famille ou avec des amis).


Tout à ma préparation du tome 4 des billets de ce blog, je délaisse un peu la création de nouveaux billets. Du coup, comme cet été, je vous ai programmé quelques billets qui sont des rediffusions d'anciens billets du blog auxquels je souhaite donner une seconde chance, en général parce qu'ils ont une place particulière dans mon cœur. Pour repérer rapidement ces rediffusions, je commencerai toujours les billets par "Dans le cadre des rediffusions hivernales" ;-)

Felix dies Nativitatis

Dans mon cadre professionnel, je dois gérer à distance l'équipement informatique (ordinateurs, réseaux, serveurs...) d'un deuxième campus situé en Afrique, sans intervention physique possible sauf à prendre l'avion pour changer de continent... Cela fait cinq ans que cela dure, avec plus ou moins de bonheur. Il est temps pour moi de faire un petit retour d'expérience qui pourrait intéresser quelques lecteurs de ce blog.

La première remarque concerne la nécessaire prise de conscience de devoir faire des choix de procédures simples et fiables. Quand on ne peut pas intervenir facilement pour redémarrer un actif réseau ou pour changer un disque dur, le travail à distance peut vite devenir un vrai casse tête. J'ai le souvenir d'un système de stockage qui contenait toutes les sauvegardes, sur lequel j'intervenais via la console web d'administration. Une fois correctement paramétré, j'ai redémarré le système. Sauf qu'au lieu de cliquer sur "redémarrer", j'ai cliqué sur "éteindre". Mon système distant s'est arrêté correctement... Mais il a fallu que j'appelle une personne du site pour lui demander d'aller dans la salle serveur appuyer sur le bouton de démarrage du système de stockage. J'y ai passé plus d'une heure (décalage horaire, clef de la salle serveurs, autorisations, description du système, vérifications...). J'ai maintenant investi dans un système dont le démarrage à distance est simple et/ou programmable à heure fixe.

La deuxième remarque concerne la sécurité informatique. Il faut prévoir dès le départ un budget permettant d'avoir des actifs réseaux particulièrement performants et intelligents. Pour autant, il faut comprendre qu'un système informatique distant devant fonctionner sans informaticien est particulièrement vulnérable et fera la joie de tous les hackers passant par là. Mais la sécurité a un coût et une complexité qu'il faut nécessairement mettre en balance avec la fiabilité et le confort de l'usager. J'ai donc du faire des choix qui feront sans doute pleurer tous les informaticiens un peu sensibles sur le sujet de la sécurité...

Les réseaux :

Rien ne peut se faire à distance si les réseaux informatiques ne fonctionnement pas. Le réseau informatique filaire mis en place est un réseau classiquement encastré dans des goulottes. Il faut insister dans le cahier des charges et lors du suivi de chantier pour obtenir des goulottes suffisamment solides et d'une capacité supérieure au strict nécessaire. Il n'est pas normal qu'une goulotte fraichement installée soit pleine à craquer de câbles réseaux, empêchant l'ajout ultérieur d'une ou plusieurs prises réseaux. J'ai choisi un réseau gigabit, avec des baies de brassage intégrant les actifs réseaux. Là aussi, il faut insister pour que les baies soient suffisamment aérées pour que la chaleur dégagée par les switchs puisse s'évacuer, et qu'une climatisation soit installée, surtout lorsque la température extérieure monte très haut, ce qui est le cas en Afrique. De préférence, les actifs réseaux seront branchés sur un régulateur de tension et un onduleur. Tous les actifs réseaux doivent être configurés pour interdire le branchement de quoi que ce soit qui ne soit pas autorisé explicitement par le service informatique. Pour des raisons de coûts, j'ai choisi une gestion des autorisations d'accès basée sur l'adresse MAC du système informatique que l'on souhaite brancher sur le réseau. Que tout ceux qui connaissent l'expression "MAC Address Spoofing" arrêtent de rigoler... Il y a un VLAN pour l'administration, un VLAN pour les professeurs, un VLAN pour les salles de TP et un VLAN pour les bornes Wifi.

Une fois l'épine dorsale de votre système informatique en place, vous pouvez commencer à brancher dessus quelques éléments clefs.

Première extension: l'accès internet.
Quand un boîtier ADSL tombe en panne, la procédure la plus simple pour un membre du site distant (en général la secrétaire) est d'appeler le fournisseur d'accès pour qu'il envoie quelqu'un rapidement. Un technicien télécom débarque donc sur votre site distant, sans que vous soyez au courant, pour remplacer le modem ADSL. Autant vous dire qu'après plus rien ne marche comme prévu.

Il faut faire SIMPLE. J'ai choisi de mettre de côté le modem fourni par le FAI et d'acheter deux boîtiers que nous avons paramétrés selon nos besoins. L'un des deux sert de secours pour l'autre et est précieusement rangé dans une armoire appropriée, avec référencement précis et "formation" adhoc d'une personne de confiance sur le remplacement d'un modem par un autre. Ne pas oublier de prendre un abonnement ADSL proposant une adresse IP fixe si c'est possible.

Il faut ensuite mettre en place son propre serveur DHCP, avec une politique d'adressage claire. J'ai choisi de réserver ce rôle à une machine virtuelle GNU/linux de distribution Débian. J'ai choisi un masque réseau de 16 par pure habitude et un groupe d'adresses non routables (de type B donc, selon l'ancienne classification). J'ai conscience du risque de broadcasts élevés, mais le nombre total de machines restera relativement faible.

Deuxième extension réseau: le Wifi.
Là aussi, tant que faire se peut, choisir des bornes fiables et opter pour une configuration minimale. Chaque borne doit pouvoir être changée par un fournisseur/livreur qui se contentera de déballer la borne et de la brancher à la place de l'ancienne. Une fois la borne wifi branchée sur le réseau, elle obtiendra son adresse IP locale du serveur DHCP et pourra être utilisée immédiatement, en général en émettant en clair dans tout le voisinage... Pour des raisons pratiques, il est préférable de scanner régulièrement son réseau distant, car il n'est pas rare qu'une personne, toujours bien attentionnée, mette en place sa propre borne wifi. Dans une école, le BYOD est très bien ancré, et depuis longtemps. J'ai opté pour des bornes chiffrées avec un clef facile à retenir et donnée à tout le personnel et tous les étudiants. C'est un peu "open bar". Le réseau Wifi est donc très faiblement protégé. Il faut le cantonner à l'accès internet, mais les étudiants l'apprécient pleinement et apprennent à gérer leur propre sécurité. Et puis, si je peux aider quelques voisins à avoir un accès internet gratuit... Vive le partage ! Hadopi, Dadvsi et Loppsi nous ont un peu rabougri le cerveau.

Le VPN entre les deux campus.
C'est un confort pour l'administration à distance que de pouvoir contacter facilement un serveur ou un poste de travail. Après avoir testé la solution LogMeIn, toujours en place, nous avons mis en place un VPN permanent basé sur la solution OpenVPN sur serveurs Debian. Il faut garder à l'esprit que le lien entre les deux campus est basé d'un côté sur une simple liaison ADSL, donc très limité en bande passante (et asymétrique !).

Les serveurs :

Pour limiter le nombre de machines physiques, et donc le nombre de pannes matérielles, j'ai opté pour un serveur principal sous VMware ESXi contenant tous les serveurs sous forme de machines virtuelles (VM). Le serveur est changé tous les quatre ans et sert ensuite de serveur secondaire, pour héberger des répliques dormantes des VM dans le cadre du PRA. Les répliques sont réalisées toutes les nuit avec l'aide du logiciel Veeam Backup & Replication (version commerciale) qui nous donne pleine satisfaction. Un simple NAS (marque QNAP) permet de stocker les backups quotidiens, hebdomadaires et mensuels des VM sur un horizon de trois mois, largement suffisants pour les besoins de nos utilisateurs. Un backup complet est externalisé à chacun de nos déplacements sur site.

Toutes les machines doivent pouvoir être allumées en cas de problème par un WOL correctement paramétré.

Les logiciels :

Les serveurs physiques sont sous VMware ESXi.
Les serveurs virtualisés (VM) sont sous Windows 2008 R2 (AD et serveur de fichiers) et Debian (VPN, DHCP et Nagios).

Les postes clients physiques sont sous Windows 7, Windows XP SP3 ou Lubuntu, en fonction de leur ancienneté.

Tous les logiciels classiques (OS, bureautique, etc.) sont installés lors de nos déplacements sur site, en général avec le logiciel Clonezilla en mode multicast. Le but est d'avoir un poste client le plus standard possible pour qu'il puisse être remplacé facilement par un fournisseur local, sans avoir à ajouter trop de logiciels. Beaucoup de logiciels sont installés par simple glisser/déposer à partir de solutions de type "LiberKey", "Framakey" ou "PortableApps".

Tous les logiciels lourds (CAO, GPAO, simulations diverses, etc.) sont installés sur un serveur XenApp avec accès par client Citrix, ce qui nous permet de ne les installer qu'une seule fois, ce qui peut être fait à distance. Je vous laisse quand même imaginer l'installation d'un logiciel comme Catia par le mauvais côté d'une liaison ADSL...

La messagerie est externalisée sur Gmail avec un accord "Education" proposé par Google sur son produit "Google Apps". Les besoins de confidentialité sont gérés avec GnuPG pour les emails et TrueCrypt pour le stockage.

Les listes de distribution sont gérées à distance avec un serveur SYMPA qui sert pour les deux campus.

Les licences logicielles sont gérées à distance avec des serveurs FlexNet (ex FlexLM).

La supervision de tout le système est basée sur Nagios (et bientôt Centreon).

En conclusion :

Je n'ai pas la prétention d'avoir mis en place le système le plus performant, ni surtout le plus sur. Par contre, il fonctionne correctement depuis plus de cinq ans avec plus de 40 ordinateurs et 150 utilisateurs. Il semble assez bien adapté aux risques inhérents à un système d'enseignement supérieur. Il protège suffisamment, sans faire peser trop de contraintes sur l'utilisateur. En même temps, les enjeux en matière de confidentialité sont quasi inexistants, en partie parce que toutes les activités de recherches, avec dépôts de brevets, restent sur le campus français.

Beaucoup des systèmes et logiciels cités dans ce billet ont des équivalents chez d'autres éditeurs. Je n'ai pas testés toutes les solutions (Hyper-V, GVPE, etc.), et il y a aussi dans certains choix une part liée à l'histoire de mon service informatique, et aux habitudes et connaissances de mon équipe. Chacun pourra adapter mes solutions avec sa propre culture. Mais si vous avez des remarques complémentaires ou des suggestions, n'hésitez pas à les faire en commentaires pour faire un retour d'expérience pouvant bénéficier à tous. Aidez-moi à faire avancer ma roue de Deming.

Et si tout cela fonctionne, même à distance, c'est avant tout grâce aux personnes qui travaillent avec moi. Le facteur humain reste prépondérant, et ne concerne pas que l'étude des raisons aboutissant à une erreur. C'est ce qui rend notre univers technologique si passionnant, non?