mardi 25 novembre 2008

Julie Amero enfin libre !

Vous vous souvenez peut-être de cet évènement judiciaire survenu en 2004. Une enseignante américaine de 40 ans, Julie Amero, se trouvait dans une salle de classe avec ses élèves et un ordinateur, lorsque le navigateur Internet Explorer de ce dernier s'est mis à ouvrir de multiples fenêtres (pop ups) contenant de la pornographie.Je schématise beaucoup mais vous pourrez trouver de nombreux articles sur le net si vous voulez en savoir plus (wikipedia).

Plainte fût déposée, et l'affaire s'est éternisée.

Ma réaction de l'époque fut de me dire que l'on risquait de voir se profiler de nombreuses plaintes du même type, étant donné le nombre d'utilisateurs à qui cela arrive à des moments plus ou moins incongrus. Je pensais que l'affaire allait être jugée rapidement et que Julie s'en tirerait sans trop de soucis. Je me trompais lourdement.

L'affaire a duré jusqu'à maintenant. Le jugement définitif a été rendu lundi dernier et Julie est enfin débarassée de ce poids et de cette honte qui planait sur elle.

Néanmoins, bien que cette partie de l'histoire soit intéressante, la partie cachée l'est tout autant : les analyses forensic pratiquées sur le poste de travail concerné.

Alex Eckelberry de Sunbelt, expert qu'il n'est plus nécessaire de présenter, a réuni une équipe de bénévoles pendant le procès afin de proposer leur expertise forensic. L'équipe composée d' Alex, Glenn Dardick, Joel A. Folkers, Alex Shipp, Eric Sites, Joe Stewart, et Robin Stuart, s'est donc retrouvée avec une image de type "ghost" à analyser. Alex et son équipe ont fourni un travail de qualité, qui est résumé succintement dans un excellent document publié par Alex sur le blog de Sunbelt.

Ce document, très bien rédigé, est clair et précis, même pour l'utilisateur moyen. Sa lecture est très plaisante, et éducative. Alex explique une bonne partie des recherches effectuées, et les résume en termes très simples. Je ne peux que lui tirer mon chapeau, me rappellant certains moments de ma propre expérience professionnelle au cours desquels je devais expliquer de façon très schématique et claire certains concepts de sécurité informatique à des personnes qui n'avaient aucune connaissance particulière. Mais revenons-en à nos moutons.

Ce document montre à quel points certaines pratiques peuvent être nuisibles à l'enquête forensic, et nous rappelle quelques bonnes pratiques. Je tiens à souligner quelques points évoqués largement dans le document:

  • L'image fournie pour analyse à l'équipe était un "ghost". Bien que ce genre d'image puisse être générée de façon assez précise, il n'en reste pas moins souhaitable de *toujours* faire une image saine du disque à analyser au moyen d'outils reconnus, pas forcément très chers d'ailleurs : un "dd" (ou un "dd rescue") est gratuit et efficace par exemple. Une image EnCase est également une bonne chose. Le but est d'avoir une image *complète* et *bit à bit* du disque.
  • Certaines données manquaient à l'équipe forensic, notamment les logs de Firewall. Une analyse forensic ne fournit pas forcément les mêmes résultats quand il manque de l'info...
  • La présence de documents dans le "Temporary Internet Files" n'est qu'un élément à charge, pas une preuve. Le fait qu'il y ait des images pornos dedans ne veut pas forcément dire qu'elles sont arrivées par une navigation volontaire de l'utilisateur.
  • En l'absence d'éléments tangibles, on ne doit jamais "supposer". Quand je lis qu'une personne dit des énormités dans un procès du genre "je n'ai jamais vu ça, donc ça ne doit pas exister", j'ai les cheveux qui se hérissent... (pour certaines mauvaises langues, il m'en reste encore un peu :-p)
  • Le manque de compétences et de connaissances de certains "IT managers" et autres, confrontés à la défense, se révèlent désastreux. Que dire d'autre, quand on lit que "un lien html qui devient rouge quand on clique dessus et qu'on visite une page, c'est parce que c'est javascripté" ... No comment.


Je vais en rester là, n'ayant pas envie de passer ma soirée à troller sur certains aspects de cette affaire. Notre pauvre Julie, dont je n'imagine même pas la souffrance morale qu'elle a subi, peut néanmoins remercier des personnes intègres et compétentes comme les analystes forensic qui ont travaillé bénévolement pour elle, sans quoi le procès aurait pu prendre une toute autre tournure :-/