- Technico-legale
-
Informatique légale
On désigne par informatique légale ou investigation numérique légale l'application de techniques et de protocoles d'investigation numériques respectant les procédures légales et destinée à apporter des preuves numériques à la demande d'une institution de type judiciaire par réquisition, ordonnance ou jugement. On peut donc également la définir comme l'ensemble des connaissances et méthodes qui permettent de collecter, conserver et analyser des preuves issues de supports numériques en vue de les produire dans le cadre d'une action en justice.
Ce concept, construit sur le modèle plus ancien de médecine légale, correspond à l'anglais « computer forensics ».
Sommaire
Nombreux termes employés
L'investigation numérique peut se retrouver sous des formulations diverses en langue française, dont les sens ne sont pas toujours exactement les mêmes. Les concepts de "Investigation informatique légale", "Expertise technico-légale d'ordinateurs", "Inforensique", "Criminalistique informatique" sont proches de celui d'Informatique légale. Les concepts d' "Analyse post-mortem" ou d' "Autopsie informatique" (terme peu usité) ne désignent qu'une partie de l'Informatique légale — L'autre partie concerne les investigations sur des systèmes en cours de fonctionnement —.
Terminologie
La compréhension de l'informatique légale requiert celle des concepts qui lui sont liés. La terminologie française peut être mise en rapport avec les travaux de l'Anti-Cartel Enforcement Manuel, Chapter 3 : Digital Evidence Gathering, April 2006, avec lesquels elle est en parfaite cohérence. Il s'agit toutefois d'une adaptation et non d'une traduction.
La terminologie suivante est proposée par le LERTI (Laboratoire d'expertise et de recherche de traces informatiques) [1].
- Investigation numérique
Terme adapté de l'anglais « computer forensics », l'expression « investigation numérique » représente l'utilisation de techniques spécialisées dans la collecte, l'identification, la description, la sécurisation, l'extraction, l'authentification, l'analyse, l'interprétation et l'explication de l'information numérique. Ces techniques sont mises en œuvre quand une affaire comporte des questions relatives à l'usage d'un ordinateur et de tout autre support d'information, ainsi qu'à l'examen et l'authentification de données en faisant appel aux techniques d'analyse du fonctionnement des ordinateurs ou à la connaissance des structures de données. L'investigation numérique est une branche spécialisée de l'informatique qui requiert des compétences allant au-delà de celles nécessaires à la maintenance et à la sécurité informatique.
- Information numérique
Terme adapté de l'anglais « digital information », l'expression « information numérique » représente toute information présentée de manière digitale et qui peut être divisée entre l'information proprement dite – constituant les données – (texte, dessin, image, son, base de données …) et les informations relatives à cette information proprement dite appelées métadonnées (nom de fichier, nom de répertoire, date et heure de création, de modification ou d'édition d'un document, expéditeur d'un courrier électronique …). La connaissance d'une métadonnée peut être le moyen de la découverte de l'information proprement dite. Inversement, les métadonnées peuvent constituer des preuves numériques (datation d'un événement, expéditeur d'un courrier électronique…).
- Preuve numérique
Terme adapté de l'anglais « digital evidence », l'expression « preuve numérique » représente toute information numérique pouvant être utilisée comme preuve dans une affaire de type judiciaire. La collecte de l'information numérique peut provenir de l'exploitation de supports d'information, de l'enregistrement et de l'analyse de trafic de réseaux (informatiques, téléphoniques …) ou de l'examen de copies numériques (copies-images, copies de fichiers …). Les copies-écran d'informations numériques ne sont pas des preuves numériques au sens de la présente définition, mais elles peuvent servir de point de départ pour la recherche ultérieure de preuves numériques.
- Support d'information
Terme adapté de l'anglais « data carrier », l'expression « support d'information » représente tout dispositif permettant la transmission ou l'enregistrement de l'information numérique et comportant notamment les disques durs, les disques amovibles, les assistants personnels (PDA), les clés USB, les téléphone portable et leurs cartes SIM, les mémoires flash (appareils photographiques), les routeurs, serveurs et autres appareils pour les réseaux, les cartes à puce ou à pistes (bancaires ou non).
- Rapport d'investigation
Terme adapté de l'anglais « chain of evidence », l'expression « rapport d'investigation » représente un enregistrement des étapes d'une investigation numérique permettant de garantir qu'une preuve numérique est issue de manière irrévocable d'une information numérique. Ce rapport décrit comment l'information numérique originale a été préservée, donne son empreinte numérique, décrit les moyens logiciels et matériels de blocage en écriture utilisés, décrit les opérations réalisées et les logiciels mis en œuvre, expose les éventuels incidents rencontrés et notamment les modifications de l'information numérique analysée, énonce les preuves réunies et donne les numéros de série des supports d'information utilisés pour leur enregistrement. Ce rapport est un rapport judiciaire si et seulement s'il est produit à la demande d'une institution de type judiciaire et s'il est associé à un rapport de garde.
- Rapport de garde
Terme adapté de l'anglais « chain of custody », l'expression « rapport de garde » représente un rapport ou procès-verbal établi lors de la saisie ou de la réception d'une information numérique et de son support, comportant toute information sur le détenteur antérieur (propriétaire, usager, gardien), les lieux et conditions d'acquisition (saisie, transmission), la nature du support d'information (description physique avec photographie, numéro de série), la description éventuelle de l'information numérique (méta-données, structure des données, empreinte numérique), la situation d'accès aux données (accessibles ou non), la présence de sceau (avec identification), le libellé de l'étiquette d'accompagnement, les dates d'ouverture et de fermeture du support, la mention des modifications éventuelles (suppression de mot de passe) et l'état de restitution du support (scellé, accessibilité aux données, étiquette) avec photographie.
- Empreinte numérique
Terme adapté de l'anglais « hash value », l'expression « empreinte numérique » représente une empreinte digitale d'une information numérique produite par un algorithme mathématique appliqué à cette information (disque physique ou logique, fichier). Cet algorithme – par essence à sens unique – doit être tel qu'il soit impossible (en pratique) de changer l'information numérique sans changer la valeur de l'empreinte. Autrement dit, si l'empreinte numérique d'un fichier n'a pas changé, alors ce fichier n'a pas été modifié et réciproquement. Pour être certaine, l'empreinte numérique doit être calculée de deux manières indépendantes (pour les disques durs en particulier). Parfois désigné par "valeur de hachage".
- Copie-image
Terme adapté de l'anglais « forensic copy », l'expression « copie-image » représente une copie bit à bit intégrale de l'information numérique présente sur un support d'information, y compris espaces non utilisés, espaces non alloués et queues de clusters, effectuée à l'aide d'un logiciel spécifique. Réalisée dans le cadre d'une investigation numérique légale, une copie-image doit être pure et parfaite ; dans le cas contraire, le rapport d'investigation explique les raisons de l'impureté ou de l'imperfection.
- Copie pure et parfaite
Une copie est dite « pure » quand son empreinte numérique est identique à celle – confirmée – de l'information numérique dont elle est la copie ; elle est en outre dite « parfaite » quand cette information numérique originale n'a pas été modifiée par l'opération de copie.
Démarche
Les PC, PDA (assistants personnels), téléphones mobiles et appareils photos numériques, sont des média qui contiennent de nombreuses informations produites ou (et) échangées avec des tiers, qu'un expert peut retrouver, quand bien même les fichiers originaux auraient été effacés.
La recherche d'éléments ou de traces peut conduire à la constitutions d'indices, des faisceaux d'indices, voire de preuves. L'expert est neutre : les indices et preuves peuvent être à charge ou à décharge.
- Informations et traces recherchées
Les informations et traces recherchées peuvent être :
- Des images
- Des documents bureautiques (lettres, documents, feuilles de calcul …)
- Les adresses électroniques
- Les courriers électroniques ou SMS envoyés et reçus (si cela a été explicitement autorisé par le Magistrat)
- Les sites Internet visités
- Des mots de passe mémorisés
- Les cookies (informations personnelles d’accès à un site Internet donné)
- Les logiciels installés
- Les dates d’activité du PC (dates de création et de dernière modification d’un fichier …)
- Les numéros appelés ou reçus.
Les informations présentes sur un support numérique, peuvent être visibles, mais aussi être délibérément cachées ou détruites (certaines pouvant être restaurées).
- Validité de la preuve numérique
La preuve apportée est à sens unique : l'absence de preuve n'est pas la preuve de l'absence.
L'investigation numérique peut en effet déboucher sur le constat de l'absence des informations recherchées. Compte tenu des techniques d'enregistrement des données numériques, ces informations peuvent pourtant avoir été présentes sur le support analysé et avoir été recouvertes ensuite par d'autres.
Autrement dit, si l'investigation numérique ne trouve pas l'information recherchée, cette preuve ne vaut qu'en l'état du support et au moment de son analyse. Il ne peut en aucun cas en être déduit que ce support n'a jamais comporté l'information en cause.
- Exploitation des traces
L’identité de l’auteur est parfois difficile à établir. Il est nécessaire d’effectuer des recoupements, si possible avec des indices externes au média analysé. En effet, les indices découverts sur un PC peuvent avoir été produits par un tiers qui aurait alors pris son contrôle à l’insu de son propriétaire (Par exemple par un accès à distance via Internet). On dit alors que le PC a été compromis. Il est assez difficile de prouver qu’un ordinateur n’a pas été compromis, car un intrus avisé peut avoir effacé les traces de son intrusion. La nécessité du recoupement des indices est un nouveau défi technologique car il faut établir les liens reliant l'indice aux différents médias utilisés.
Les informations mémorisées peuvent être incompréhensibles car chiffrées (disque dur des ordinateurs portables, fichiers encryptés proposés par les nouvelles versions de Windows XP Professionnel). Le décryptage est une science et une pratique plus ou moins difficile selon le système de chiffrement utilisé. Banal dans certains cas, le décryptage peut s'avérer très difficile dans d'autres.
Plusieurs logiciels (EnCase, WinHex, Forensic Toolkit (FTK), SMART, The Coroner's Toolkit (TCT), The Sleuth Kit (TSK), Safeback, Snapback,...) ou même matériels informatiques dédiés (Forensic Recovery of Evidence Device (FRED), gamme Logicube,...) ont été développés pour répondre à la forte croissance de ce marché (services secrets, polices, officines privées,...).
Annexes
Voir aussi
Liens externes
- Le site du LERTI
- Le site de Recovery Labs
- Le site de KrollOntrack
- Le site du Celog
- AFSIN Association Francophone des Spécialistes de l'Investigation Numérique
- Le blog de Eric Freyssinet
- Le site de Lexfo
- iBou.fr Editeur de logiciels forensics
Références
Publications
- Journal of Digital Investigation [1]
- International Journal of Digital Evidence [2]
- International Journal of Forensic Computer Science [3]
- Journal of Digital Forensic Practice [4]
- Cryptologia [5]
- Marie Barel, Fraude informatique et preuve : la quadrature du cercle ?, Actes du symposium SSTIC05 [lire en ligne]
- Portail du droit
- Portail de la sécurité informatique
Catégorie : Informatique légale
Wikimedia Foundation. 2010.