sstic

SSTIC 2012 - Zythom: Expert judiciaire en informatique

g4l4drim

g4l4drim

3 min read

Zythom: Expert judiciaire en informatique

fail du wifi de l’université, me voila en train de galérer pour accéder à blogger :/

galère qui n’est rien comparé à ce qu’a pu traver zythom lors du hack de son blog. mais il le prend avec humour, façon « defaced anonymes ».

Bien entendu, personne n’est à l’abris d’un deface, d’un takeover de compte au travers des systèmes de récupération. Effectivement sur le coup, les émotions vous emportent et il est difficile sur le coup de garder son sang froid. Heureusement que c’est un effet qui ne dure pas. Et puis il faut relativiser, ce que Zythom fait avec bravoure :).

Expert judiciaire, ce n’est pas un travail à temps plein, c’est une activité qui requiert d’avoir un travail à temps plein à coté . L’expert judiciaire ne se saisit pas d’un dossier, c’est un juge qui le désigne pour qu’il apporte un éclairage sur une problématique technique complexe.

L’expert est sélectionné sur une liste « un peu au hasard ».

Pour devenir un expert, il faut faire une demande sous la forme du dépot d’un dossier. On explique alors dans quelle rubrique nous sommes expert. C’est une nomenclature ou le mot informatique apparait 4 fois. informatique de gestion, informatique & telecom, informatique & developpement et une 4ième obscure. En suite il faut déclier un CV complet. Il faut aussi mettre en exergue l’ensemble des Moyens qui sont à votre disposition pour mener à bien votre Expertise. La justice française étant bien démunie, elle apprécie plus particulièrement que vous ayez accès à des moyens techniques importants.

La demande est en suite à transmettre au procureur de la république qui va mener son enquête (dont une enquête de bonne moralité effectuée par la gendarmerie ou la police). Puis ces candidatures sont transmise au procureur général et ça part dans un process vogon obscure.

Souvent la première demande est souvent refusée. à 35 ans, il était le plus jeune expert de sa région, le second plus agé avait 55 ans à l’époque.

Bien entendu, traiter des dossier de pédopornographie s’avère dur, violent, choquant et difficile à vivre. de ce fait, pour évacuer, le blog de zythom à permis d’évacuer un peu et d’échanger sur la problématique. et de fils en aiguille, on est arrivé à cette popularitée actuelle. L’expert est là pour répondre aux questions posés par le magistrat pour mieux comprendre le dossier et prendre la meilleur décision au regard des faits.

L’autre cas d’appel à un expert, c’est le cas d’un litige entre un particulier et son marchand lorsque le client le plaint de la qualité de tel ou tel matériel. c’est là aussi un cadre d’intervention de l’expert judiciaire.

La majorité des échanges avec les magistrats se fait par courrier. 99% c’est les magistrats qui font appel à un expert judiciaire. le 1% restant c’est des expertises privés ou un avocat fait appel à un expert pour mieux comprendre un dossier.

Coté outillage, l’analyse inforensique est assez classique pour notre communautée.

Sleuth Kit et Autopsy, Encase Forensic Editions (3000€), Forensic Toolkit (2500€), DEFT Linux, Ophcrack, Live View, Potorec / TestDisk, Connecteurs, bloqueurs d’écriture, salle blanche… alors forcément lorsqu’on est payé 2 ans après avoir donné son rapport, et que de tels outils ne peuvent rentrer dans les frais, ça calme !!!

Lors du déroulement d’une expertise, les problèmes rencontrés sont légion:

Experts judiciaires face aux experts : forcément lorsque deux SSII s’affrontent avec chacune ses experts… ça peut s’avérer compliqué :s et on à pas forcément toutes les connaissances… et l’expert judiciaire peut passer pour un guignol au bout d’un moment au regard des questions qu’il peut poser.

Il n’est pas expert en sécurité, mais il a besoin d’élever ses connaissances du problème pour répondre aux questions du magistrat. Soit en fouillant l’internet, soit en se renseignant auprès d’autres spécialistes ou en se documentant.

Un expert judiciaire n’est pas un justicier, il se doit de mettre en retrait ses opinions politiques, son jugement personnel pour se mettre au service du magistrat ou de la justice.

Les missions mal rédigées peuvent aussi poser problème genre, y a t’il des photo pedopornographiques sur cette machine et si oui merci de les imprimer… bon là forcément il faut mettre la situaiton au clair avec le magistrat. Et ce n’est pas les problèmes insolubles qui manquent. Est-ce que mr machin à fait ça avec son pc… difficile à dire lorsqu’on ne peut déterminer aisémen qui est derrière le pc.

Coté mots de passes, effectivement mr tout le monde utilise rarement plus de 2,3 mots de passes, et ces derniers trainent souvent en clair sur tel ou tel poste.

Read more