Suite à l'avalanche de messages de sympathie et, pour tenir compte des demandes formulées dans le billet précédent, j'ai remis en ligne tous les billets et commentaires du blog avant piratage.

Effectivement, il semble que cela peut intéresser les nouveaux lecteurs d'aller se plonger dans les anciens billets (j'espère autant que les anciens lecteurs dans les nouveaux billets ;-).

J'en ai profité pour donner un coup de balai sur le look du blog, et décidé d'abandonner le fond noir qui faisait si mal aux yeux de beaucoup d'entre vous, mais auquel je tenais tant. Nouvelle époque pour ce blog, nouveau design.

Je relisais le billet que j'avais publié juste avant de venir au SSTIC et je me suis demandé si je n'avais pas un 6e sens...

Il me reste quelques réparations à faire, en particulier le plugin de lecture pour les malvoyants, mais le plus gros du chantier est derrière moi. Je tiens d'ailleurs à remercier encore les équipes de Google pour leur réactivité et leur efficacité. Sans elles, je serai encore en train d'adapter les outils de conversion Json vers Xml à mes besoins propres, faute d'avoir procédé à des tests de restaurations de mes sauvegardes sur un blog de secours... Le B.A.BA. Mais comme je l'indiquais sur Twitter, le dieu des sauvegardes devait veiller sur moi.

Il parait que les chats ont neuf vies. Si ce blog est comme eux, il lui reste huit piratages à subir avant que je n'aille en enfer. Vous n'avez pas fini de rigoler, ni mon égo d'en prendre un coup.

Merci à vous tous.

Jeudi 7 juin 2012, 7h00.
Mon réveil sonne. Comme d'habitude, je mets un peu de temps à émerger.
La veille, j'ai assisté aux conférences du premier jour du SSTIC. Le niveau est élevé pour un simple informaticien comme moi, mais l'ambiance est excellente, et plusieurs personnes viennent me saluer puisque je suis facilement reconnaissable, avec mon badge "Zythom" autour du cou et ma casquette Google. Le soir, après les conférences, j'ai travaillé tard dans ma chambre d'hôtel sur les visuels de la présentation que je dois faire aujourd'hui. Pour donner l'impression d'être à l'aise, il faut répéter, répéter et répéter.

7h15.
Je reçois un SMS de Maître Eolas:
"Vous avez vu votre blog (et votre compte Twitter)?".
Mon sang se glace. J'essaye aussitôt de me connecter sur mon blog, sur la messagerie de mon compte Google et sur mon compte Twitter: impossible, mots de passe incorrects...
Je consulte mon blog: il a été vandalisé, cracké, defaced. Je suis pwned.

Je suis surtout effondré, blessé.
Je me sens humilié.
J'ai du mal à taper sur les touches de mon smartphone car mes doigts tremblent.
Je suis en colère.

7h30.
J'appelle par téléphone Benjamin Morin, l'un des organisateurs du SSTIC qui s'occupe de moi.
Je lui annonce le piratage de mon compte Google, de mon blog et de mon compte Twitter.
Je lui annonce que je vais déposer plainte.
Je lui annonce que je ne suis pas en état de faire ma présentation prévue à 14h45.
Il encaisse ces différentes annonces et me demande de le retrouver dans le hall de l'hôtel.

7h35.
Nous faisons le point des différents problèmes que je rencontre.
Benjamin me prête son ordinateur car le mien est peut-être compromis.
Je contacte le service support en ligne Google pour essayer de récupérer la main sur mon compte.
J'arrive à faire suspendre mon compte, mais le service en ligne m'informe que le traitement de mon dossier prendra 3 à 5 jours ouvrés.

8h.
J'appelle mon épouse pour lui annoncer la nouvelle et lui faire part de mon désarroi.
Elle me soutient et, malgré les centaines de km qui nous séparent, sa présence me réconforte.

9h.
Les substances sécrétées par mon organisme lorsque j'ai découvert le piratage commencent à se diluer. Je retrouve la terre ferme et un peu de lucidité. Je me rends compte que ce qui m'arrive n'est pas très grave.


Benjamin me contacte pour me demander comment je souhaite que soit annoncée ma défection aux participants du SSTIC. Je lui explique que j'ai retrouvé mes esprits, que le mieux est de maintenir mon intervention et que je ne déposerai pas de plainte. Malgré sa parfaite maîtrise de la situation de crise (un organisateur de symposium est en situation de crise permanente), je sens un léger soulagement. Il n'a pas de remplaçant à me trouver, il va pouvoir passer à la gestion des problèmes suivants... Je lui demande quand même s'il est possible d'accélérer la récupération de mon compte Google.

10h.
Benjamin a contacté les personnes ad hoc parmi les organisateurs et les participants au symposium, et me donne les coordonnées d'une personne de Google Europe. J'arrive à contacter cette personne qui déclenche la procédure ad hoc.

Je reçois les procédures à suivre sur mon compte email de secours de mon compte Gmail. Je les suis pas à pas. Je finis par récupérer la main sur mon compte Google.

11h.
Comme l'a fait le pirate, je suis la procédure Twitter d'oubli de mot de passe. Twitter me l'envoie vers mon compte Gmail que je maîtrise à nouveau. Je peux enfin modifier mon mot de passe et accéder à mon compte Twitter que je remets en état.

J'appelle mon épouse. Elle me félicite et m'encourage à rebondir. Je suis fier d'elle. Mon moral remonte.

Je mets un message d'attente sur mon blog pour présenter mes excuses aux internautes et aux participants du SSTIC, tout en avertissant que ma présentation est maintenue.

12h.
Je ne sais pas quels sont mes outils compromis, mais je coupe toutes mes liaisons wifi et 3G.
Je m'isole du monde.
Je me concentre sur ma présentation.

14h30.
Je suis en bas de l'amphithéâtre du SSTIC, un peu penaud.
Plusieurs personnes viennent me voir et me font part des soutiens qui circulent sur Twitter et sur les blogs. L'amphi se remplit, la plupart des visages sont souriants.

14h45.
L'amphithéâtre m'offre un tonnerre d’applaudissements avant même que je n'ai pu ouvrir la bouche.
Des substances très différentes de celles du matin coulent dans mes veines.
Ces gens sont formidables.
Je commence ma présentation, mais je raconterai tout cela dans un autre billet consacré au SSTIC.

---

C'est la première fois que je subis une attaque de cette sorte. Sans vouloir entamer un dialogue impossible avec mon attaquant, voici son texte et mes remarques.

Zythom,
Votre pseudonymat volant en éclat, allez-vous donc enfin faire profil-bas sur notre métier ? Allez-vous donc enfin cesser de détailler méthodes et anecdotes, à ceux que l’on cherche à faire arrêter (criminels, pédopornographes, pédophiles, etc…), ou préférez-vous les aider ? De quel côté êtes-vous, très cher confrère ?!? Vous défouler mentalement, voir susciter l’intérêt du métier suffit bien assez, même dissimulé derrière un postiche ridicule…
NB : en tant que procureur, ou membre de la cour d’appel, que feriez-vous si un expert inforensique était inapte à protéger ses comptes en ligne, ses machines, et donc ses dossiers d’expertises ? Conférerait-il une qualification suffisante ?
Bonne conférence, je vous regarderai.

Tout d'abord, l'auteur de ce texte ne peut pas être expert judiciaire, c'est absolument impossible. Tout expert judiciaire sait que le code pénal punit sévèrement toute intrusion dans un système de traitement automatisé de données. D'ailleurs, tous mes lecteurs policiers, experts judiciaires et magistrats le savent bien. Extrait:
Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.

Circonstance aggravante, l'auteur du piratage a supprimé l'intégralité des 700 billets du blog, ce qui lui vaut d'encourir une peine alourdie. Extrait:
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.

Bien entendu, il s'agit là de peines maximales. Personne, y compris moi-même, ne peut imaginer quelqu'un condamné à de tels niveaux de peine pour m'avoir attaqué, moi simple blogueur. A part mon égo, personne n'a été blessé.

Un expert judiciaire a prêté serment d'apporter son concours à la justice, pas de faire justice soi-même.

Mon blog n'est pas apprécié par tout le monde, c'est une évidence. Je reçois parfois des emails d'experts judiciaires fâchés contre moi et qui contestent ma démarche. Un expert a même contesté la tenue de mon blog en justice, j'ai été interrogé par un conseiller de la Cour d'Appel, j'ai été convoqué devant la commission de discipline de ma compagnie judiciaire, et celle-ci a conclu que mon blog était parfaitement conforme et légal. J'ai déjà raconté tout cela ici-même.
Depuis, les experts judiciaires qui n'aiment pas mon blog font ce que tous les internautes font dans ce cas: ils ne viennent pas le lire. Nous sommes encore dans un pays où l'expression est libre.

L'auteur de cette diatribe n'est donc pas expert judiciaire.

Concernant mon identité réelle, je suis très surpris qu'une personne puisse penser que je souhaite qu'elle soit cachée à tout prix. Je suis fier des billets que j'ai écrit, et j'en assume complètement l'écriture, aussi bien sous mon pseudonyme Zythom que sous ma véritable identité. Je voudrais rappeler encore une fois que l'association du pseudonyme Zythom à ma véritable identité est connue de mon hébergeur, de la justice, de la police, de ma compagnie d'experts judiciaires, des journalistes qui m'ont interviewé, des blogueurs et twittos avec qui j'ai établi des liens de confiance, des organisateurs de conférences qui me font l'honneur de m'inviter, de mes amis et de ma famille. Bref, de beaucoup de monde.
Les autres internautes se moquent complètement de ma véritable identité, sauf ceux qui me contactent quand j'écris un billet où je donne un peu trop de détails facilitant mon identification. Je les rassure alors: je ne cherche pas à rester anonyme à tout prix, j'écris simplement sous pseudonyme, sous un nom de plume.

Je voudrais faire remarquer que mon contradicteur me reproche d'utiliser un pseudonyme, tout en agissant lui-même de façon anonyme, où cette fois le mot anonyme est à prendre sous le sens de "corbeau", de "dénonciateur anonyme" de triste mémoire.

Concernant les détails techniques supposément dévoilés sur mon blog et qui encourageraient les criminels au point que mon contradicteur se demande de quel côté je me trouve, je pense que tous les internautes auront compris l'inanité du raisonnement. Je ne suis pas un expert en sécurité informatique, je ne suis pas un expert en crackage de systèmes, je ne suis pas un white/black hat. Je suis un simple responsable informatique et technique qui met ses connaissances au service de la justice. Les outils dont je parle ici sont accessibles à tous, disponibles et distribués légalement. Les anecdotes dont je parle sont suffisamment romancées pour qu'aucun secret ne soit trahis. C'est un bien grand pouvoir qu'il me donne, et c'est une bien grande erreur qu'il commet en pensant que les criminels, pédopornographes et pédophiles viennent trouver sur mon blog le moindre élément susceptible de les aider. C'est d'ailleurs au contraire l'attaque qu'il a mené contre mon blog qui le décrédibilise en devenant lui même coupable d'un délit.


Comment a-t-il pu obtenir le mot de passe de mon compte Google? Mystère. Et cela restera un mystère parce que j'ai décidé de ne pas déposer plainte. Je suis marié à une avocate et je vois bien avec ses dossiers qu'il y a des gens qui subissent des malheurs bien plus grands que l'attaque de mon petit site internet. Et mon travail avec la justice, la police et la gendarmerie, me montre bien les faibles moyens dont ils disposent pour des affaires toujours plus nombreuses. Alors embarrasser encore plus le système avec mon petit problème...

Je ne saurai donc pas comment il a obtenu mon mot de passe. Réseau Wifi de l'hôtel où je me suis imprudemment connecté sans mon VPN ?  Réseau Wifi de l'amphithéâtre en plein SSTIC, alors que les ondes étaient analysées en permanence par 200 Wiresharks ? Probablement pas.

J'avoue que cela m'intrigue, mais c'est la vie. J'ai depuis mis en place la double authentification proposée par Google et que je recommande (maintenant ;-) à tous ceux qui ont un téléphone et un compte Google.

J'ai toujours segmenté mes activités, chacune avec un compte dédié, et chaque compte avec un mot de passe différent des autres. Mes comptes Twitter et Gmail n'ont pas le même mot de passe, mais l'adresse email de récupération du compte Twitter est celle du compte Gmail, puisque le cœur de mon activité de blogueur est mon compte Google. Une fois mon compte Google déchiré, il était facile de récupérer le contrôle du compte Twitter.

J'ai une sauvegarde complète des billets de mon blog, et des commentaires, mais je me demande si ce n'est pas l'occasion aussi de repartir sur une base vide, puisque la grande partie des billets sont lus dans les quelques jours qui suivent leur publication, pour tomber ensuite dans un trou noir. J'hésite encore et déciderai la semaine prochaine. Ce week-end, je joue avec mes enfants.
Je pense bien sur utiliser cette sauvegarde pour démarrer la rédaction du tome 3 des billets de mon blog, pour mes amis et ma famille. Je remettrai d'ailleurs bientôt en ligne l'accès aux tomes 1 et 2.
Le site sera donc en chantier plusieurs jours.

Pendant quelques heures, les seuls billets de Zythom qui apparaissaient sur Internet étaient ceux acceptés et publiés par Sid et par Maître Eolas sur leurs blogs (Edit du 12/06: également par justice2012,  par Genma et par le Village de la Justice, ici, ici et là). Grâce à eux, je n'avais pas complètement disparu. Qu'ils en soient remerciés ;-)

Mes remerciements vont également à toutes les personnes qui m'ont aidé à reprendre le contrôle du site et du compte Twitter: les équipes de Google, les organisateurs et les participants du SSTIC, avec aux premières loges Benjamin Morin.

Et je remercie chaudement tous ceux qui m'ont adressé un signe de soutien, par email, par SMS, par tweet, par téléphone: experts judiciaires, magistrats, avocats, policiers et bien sur tous les "anonymes".

C'est dans les moments pénibles que tous ces petits signes sont précieux.
Et cela, ça ne s'efface pas.
<3