Article de reference

informatique légale

Un expert en criminalistique examine un appareil mobile saisi lors d'une enquête. Types de supports utilisés pour l'analyse forensique informatique : un appareil photo numérique...

Un expert en criminalistique examine un appareil mobile saisi lors d'une enquête.
Types de supports utilisés pour l'analyse forensique informatique : un appareil photo numérique Fujifilm FinePix , deux cartes mémoire flash , une clé USB , un iPod de 5 Go , un CD-R ou un DVD enregistrable et un Mini CD .
criminalistique numérique qui traite des preuves trouvées sur les ordinateurs et les supports de stockage numériques . Son objectif est d’examiner les supports numériques de manière rigoureuse afin d’identifier, de préserver, de récupérer, d’analyser et de présenter les faits et les conclusions relatifs aux informations numériques.

Bien qu'elle soit le plus souvent associée aux enquêtes sur les infractions informatiques , l'informatique légale peut également être utilisée dans le cadre de procédures civiles. Cette discipline fait appel à des techniques et des principes similaires à ceux de la récupération de données , mais avec des directives et des pratiques supplémentaires visant à constituer une piste d'audit légale .

Les preuves issues des enquêtes informatiques sont généralement soumises aux mêmes règles et pratiques que les autres preuves numériques. Elles ont été utilisées dans plusieurs affaires médiatisées et sont reconnues comme fiables par les systèmes judiciaires américains et européens.

fins criminelles (notamment pour commettre des fraudes ). Parallèlement, plusieurs nouvelles infractions informatiques ont été identifiées (comme le piratage informatique ). La discipline de l'informatique légale a émergé à cette époque comme une méthode de récupération et d'analyse des preuves numériques en vue de leur utilisation devant les tribunaux. Depuis, la cybercriminalité et les infractions connexes ont connu une forte croissance : le FBI a recensé 791 790 infractions présumées sur Internet en 2020, soit une augmentation de 69 % par rapport à 2019. Aujourd'hui, l'informatique légale est utilisée pour enquêter sur un large éventail d'infractions, notamment la pédopornographie , la fraude, l'espionnage , le cyberharcèlement , le meurtre et le viol. Cette discipline intervient également dans les procédures civiles comme outil de collecte d'informations (par exemple, la preuve électronique ).

Les techniques d'investigation numérique et l'expertise sont utilisées pour expliquer l'état actuel d'un artefact numérique , tel qu'un système informatique, un support de stockage (par exemple, un disque dur ou un CD-ROM ) ou un document électronique (par exemple, un courriel ou une image JPEG). L'étendue d'une analyse forensique peut varier de la simple récupération d'informations à la reconstitution d'une série d'événements. Dans leur ouvrage de 2002, *Computer Forensics *, Kruse et Heiser définissent l'informatique forensique comme englobant « la préservation, l'identification, l'extraction, la documentation et l'interprétation des données informatiques ». Ils décrivent cette discipline comme « davantage un art qu'une science », soulignant que la méthodologie forensique repose sur la flexibilité et une connaissance approfondie du domaine . Cependant, bien que plusieurs méthodes puissent être utilisées pour extraire des preuves d'un ordinateur donné, les stratégies employées par les forces de l'ordre sont relativement rigides et manquent de la flexibilité que l'on trouve dans le monde civil.

cybersécurité

L'informatique légale est souvent confondue avec la cybersécurité . La cybersécurité se concentre sur la prévention et la protection, tandis que l'informatique légale est plus réactive et proactive, impliquant des activités telles que le traçage et la détection des intrusions. La sécurité des systèmes repose généralement sur deux équipes : la cybersécurité et l'informatique légale, qui travaillent de concert. L'équipe de cybersécurité conçoit des systèmes et des programmes pour protéger les données ; en cas de défaillance, l'équipe d'informatique légale récupère les données et enquête sur l'intrusion et le vol. Ces deux domaines requièrent des connaissances en informatique.

crimes liés à l'informatique

L'informatique légale permet de condamner les auteurs de crimes physiques et numériques. Parmi ces crimes informatiques figurent l'interception, l'interception de données, la violation de droits d'auteur et la falsification de preuves. L'interception consiste à détruire ou à voler des composants informatiques et des fichiers numériques. L'interception est l'accès non autorisé à des fichiers et des informations stockés sur des appareils technologiques. La violation de droits d'auteur désigne l'utilisation, la reproduction et la distribution d'informations protégées par le droit d'auteur, y compris le piratage de logiciels. La falsification de preuves consiste à accuser une personne d'utiliser de fausses données et informations insérées dans le système par une source non autorisée. L'affaire Bank NSP, l'affaire Sony.Sambandh.com et les escroqueries par compromission de messagerie professionnelle sont des exemples d'interceptions.

Utiliser comme preuve

Devant les tribunaux, les preuves informatiques sont soumises aux exigences habituelles applicables aux preuves numériques . Celles-ci exigent que les informations soient authentiques, obtenues de manière fiable et admissibles. Différents pays ont des directives et des pratiques spécifiques en matière de collecte de preuves. Au Royaume-Uni , les experts suivent souvent les directives de l'Association des chefs de police (ACPO) qui contribuent à garantir l'authenticité et l'intégrité des preuves. Bien que facultatives, ces directives sont largement acceptées par les tribunaux britanniques.

L’informatique légale est utilisée comme preuve en droit pénal depuis le milieu des années 1980. Voici quelques exemples notables :

  • Le tueur BTK : Dennis Rader a été reconnu coupable d’une série de meurtres commis sur une période de seize ans. Vers la fin de cette période, Rader a envoyé des lettres à la police sur une disquette. Les métadonnées contenues dans les documents impliquaient un auteur nommé « Dennis » à l’« église Christ Lutheran », ce qui a contribué à l’arrestation de Rader.
  • Joseph Edward Duncan : Une feuille de calcul retrouvée sur l’ordinateur de Duncan contenait des preuves démontrant qu’il planifiait ses crimes. Les procureurs s’en sont servis pour prouver la préméditation et obtenir la peine de mort .
  • Sharon Lopatka : Des centaines de courriels trouvés sur l'ordinateur de Lopatka ont conduit les enquêteurs à son meurtrier, Robert Glass.
  • Groupe Corcoran : Dans cette affaire, l’expertise informatique a confirmé l’obligation des parties de préserver les preuves numériques dès le début du litige ou dès qu’il était raisonnablement prévisible. Des disques durs ont été analysés, mais l’expert n’a trouvé aucune trace de suppression. Les éléments de preuve ont démontré que les défendeurs avaient intentionnellement détruit des courriels.
  • Dr Conrad Murray : Le Dr Conrad Murray, le médecin de Michael Jackson , a été condamné en partie grâce à des preuves numériques, notamment des documents médicaux montrant des quantités mortelles de propofol .
  • Mark Twitchell , alias le « tueur de Dexter », a été condamné grâce à un document supprimé, retrouvé sur son ordinateur portable et intitulé « SKConfessions ». Ce fichier, qui détaillait ses activités criminelles, a constitué une pièce à conviction essentielle dans cette affaire.

Processus médico-légal

Un bloqueur d'écriture portable Tableau connecté à un disque dur

Les enquêtes en informatique légale suivent généralement le processus standard d'investigation numérique, qui comprend quatre phases : acquisition, examen, analyse et rédaction du rapport. Elles sont habituellement menées sur des données statiques ( images acquises ) plutôt que sur des systèmes en fonctionnement. Cela diffère des pratiques d'investigation numérique antérieures, où le manque d'outils spécialisés obligeait souvent les enquêteurs à travailler sur des données en temps réel.

laboratoire d'informatique légale

Le laboratoire d’informatique légale est un environnement sécurisé où les données électroniques peuvent être conservées, gérées et consultées dans des conditions contrôlées, minimisant ainsi le risque d’endommagement ou d’altération des preuves. Les experts en informatique légale disposent des ressources nécessaires pour extraire des données pertinentes des appareils qu’ils examinent.

Techniques

Diverses techniques sont utilisées dans les enquêtes informatiques, notamment :

Analyse de la transmission croisée
Cette technique met en corrélation des informations trouvées sur plusieurs disques durs et peut être utilisée pour identifier des réseaux sociaux ou détecter des anomalies.
Analyse en direct
L’examen des ordinateurs depuis le système d’exploitation à l’aide d’outils d’analyse forensique ou d’outils d’administration système existants permet d’extraire des preuves. Cette technique est particulièrement utile pour les systèmes de fichiers chiffrés dont les clés de chiffrement peuvent être récupérées, ou pour l’acquisition d’une image du volume logique du disque dur (acquisition en direct) avant l’arrêt de l’ordinateur. L’analyse en direct est également avantageuse pour l’examen des systèmes en réseau ou des dispositifs cloud inaccessibles physiquement.
Fichiers supprimés
Une technique courante d'analyse forensique consiste à récupérer des fichiers supprimés. La plupart des systèmes d'exploitation et des systèmes de fichiers ne suppriment pas physiquement les données des fichiers, ce qui permet aux enquêteurs de les reconstituer à partir des secteurs physiques du disque . Les logiciels d'analyse forensique peuvent « récupérer » les fichiers en recherchant des en-têtes de fichiers connus et en reconstituant les données supprimées.
criminalistique stochastique
Cette méthode exploite les propriétés stochastiques d'un système pour étudier des activités sans artefacts numériques traditionnels, ce qui est souvent utile en cas de vol de données .
Stéganographie
La stéganographie consiste à dissimuler des données au sein d'un autre fichier, par exemple en cachant du contenu illégal dans une image. Les experts en criminalistique numérique détectent la stéganographie en comparant les empreintes numériques des fichiers, car toute donnée cachée modifie la valeur de hachage du fichier.

Analyse forensique des appareils mobiles

Journal d'appels
Les compagnies de téléphone conservent généralement des journaux d'appels reçus, ce qui peut aider à établir des chronologies et à déterminer l'emplacement des suspects au moment d'un crime.
Contacts
Les listes de contacts sont utiles pour restreindre le nombre de suspects en fonction de leurs liens avec la victime.
SMS
Les SMS contiennent un horodatage et restent sur les serveurs de l'entreprise, souvent indéfiniment, même s'ils sont supprimés de l'appareil. Ces enregistrements constituent des preuves précieuses pour reconstituer les communications entre individus.
Photos
Les photos peuvent fournir des preuves cruciales, confirmant ou infirmant les alibis en montrant le lieu et l'heure de leur prise.
Enregistrements audio
Certaines victimes ont pu enregistrer des moments cruciaux, capturant des détails comme la voix de l'agresseur, ce qui pourrait fournir des preuves essentielles.

Données volatiles

Les données volatiles sont stockées en mémoire ou en transit et sont perdues lorsque l'ordinateur est éteint. Elles résident dans des emplacements tels que le registre, le cache et la RAM. L'analyse des données volatiles est appelée « analyse forensique en temps réel ».

Lors de la saisie de preuves, si une machine est encore en fonctionnement, les données volatiles stockées exclusivement dans la RAM risquent d'être perdues si elles ne sont pas récupérées avant l'arrêt du système. L'analyse en temps réel permet de récupérer les données de la RAM (par exemple, à l'aide des outils Microsoft COFEE , WinDD ou WindowsSCOPE ) avant le retrait de la machine. Des outils comme CaptureGUARD Gateway permettent l'acquisition de données en mémoire physique d'un ordinateur verrouillé.attaque par redémarrage à froid exploitent cette propriété. Des températures plus basses et des tensions plus élevées augmentent les chances de récupération, mais il est souvent difficile de mettre en œuvre ces techniques lors d'enquêtes sur le terrain.

Les outils d'extraction de données volatiles nécessitent souvent que l'ordinateur soit placé dans un laboratoire d'analyse forensique afin de préserver la chaîne de preuves. Dans certains cas, un ordinateur en fonctionnement peut être transporté à l'aide d'outils tels qu'un dispositif de vibration de la souris pour empêcher la mise en veille et un onduleur pour garantir l'alimentation.

Les fichiers d'échange des systèmes de fichiers dotés de fonctions de journalisation, tels que NTFS et ReiserFS , peuvent également être réassemblés pour récupérer les données RAM stockées pendant le fonctionnement du système.

Outils d'analyse

qu'Autopsy , Forensic Toolkit (FTK) et EnCase sont largement utilisés en informatique forensique.

Formation professionnelle et carrières

analyste en criminalistique numérique

Un analyste en criminalistique numérique est chargé de préserver les preuves numériques, de les cataloguer, de les analyser en lien avec l'affaire en cours, d'intervenir en cas de cyberattaques (souvent en entreprise), de rédiger des rapports et de témoigner devant les tribunaux. On peut également le désigner par les appellations suivantes : analyste en criminalistique informatique, expert en criminalistique numérique, analyste en cybercriminalité, technicien en criminalistique, ou encore par d'autres titres similaires, bien que ces fonctions soient analogues.

Certifications

Plusieurs certifications en informatique forensique sont disponibles, telles que l'examinateur informatique certifié ISFCE, le professionnel des enquêtes numériques forensiques (DFIP) et l'examinateur informatique forensique certifié IACRB. La certification la plus reconnue et indépendante des fournisseurs, notamment au sein de l'UE, est celle de professionnel certifié en cybercriminalité (CCFP).

De nombreuses sociétés commerciales de logiciels d'investigation numérique proposent également des certifications propriétaires.