En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookie.
J'accepte. En savoir plus, paramétrer et ou s'opposer à ces cookies.

« Forensics ?! »

Les séries télévisées comme « Les Experts », « Bones » ou encore « Preuve à l’appui » dans lesquelles nos héros arborent fièrement des vestes avec l’inscription « FORENSICS » ont largement contribué à la reconnaissance en France de ce terme anglais peu répandu jusqu’alors. Il n’existe toutefois pas, pour l’heure, de traduction française officielle de ce concept qui trouve donc son origine dans la médecine légale mais qui peut également s’appliquer à d’autres domaines d’expertises et notamment à l’informatique. La multiplication des supports d’information a facilité l’apparition de nouvelles pratiques et fraudes de la part des tiers mais également des préposés des entreprises. Ces dérives, souvent médiatisées, sont de plus en plus courantes et ont contribué à mettre en avant cette matière souvent idéalisée mais encore peu connue.

Ainsi, il est préférable d’utiliser les terminologies « computer forensics » ou « cyber forensics » lorsqu’il s’agit d’appliquer cette notion à l’informatique. Plusieurs traductions françaises ont ainsi émergé pour la qualifier en français. C’est notamment le cas de l’informatique légale ou de l’inforensique. L’inforensique se définit comme l’ensemble des connaissances qui permet de collecter, conserver et analyser des preuves issues de supports d’information (disques durs, clés USB, téléphones mobiles, tablettes, PDA, GPS, mémoires flash etc.) en vue de les produire dans le cadre d’une action en justice. Il est donc nécessaire pour obtenir une preuve numérique, « digital evidence », valable et utilisable dans le cadre d’une procédure judiciaire, de respecter un certain nombre de diligences techniques qui s’inscrivent dans une méthodologie plus globale adaptée à chaque cas d’espèce. Le respect de ces diligences est un préalable à l’admissibilité de la preuve, peu importe l’objet du litige (contentieux ou non) ou la procédure en cours (expertise judiciaire ou privée).

Généralement, quatre étapes différentes mais complémentaires composent cette méthodologie probatoire. La première est une étape d’évaluation c’est-à-dire une phase au cours de laquelle il est notamment nécessaire de délimiter la problématique en identifiant les enjeux juridico-techniques et les matériels visés, d’envisager les actions en justice possibles etc.

Après cette étape préparatoire intervient la phase dite de collecte c’est-à-dire de copie ou d’acquisition des matériels, objets de l’expertise. Suivants les cas, on distingue deux types d’informations numériques, « digital information », pouvant faire l’objet de cette collecte : les informations numériques persistantes (ex : données d’un disque dur) et les informations numériques volatiles (ex : données de la mémoire vive). Les premières font référence aux informations qui subsistent même lorsque l’appareil est mis hors tension. A contrario, les secondes ont une existence limitée subordonnée à l’alimentation de l’appareil dont elles émanent. Cette collecte, intégrale de préférence mais pouvant être parcellaire, s’effectue par le biais de matériels de duplication (duplicateurs forensics) ou de logiciels d’acquisition (logiciels forensics) dédiés qui permettent de garantir l’authenticité et l’intégrité des supports originaux et des copies réalisées.

A cette étape succède la phase d’analyse des données collectées, dite « analyse post-mortem » ou « à froid » c’est-à-dire la recherche, l’identification, la description et l’extraction des informations numériques tendant à démontrer les faits litigieux. Une analyse « live » ou « à chaud » d’un système est fortement déconseillée, sans copie forensic préalable, car elle pose de réelles problématiques d’authenticité et d’intégrité affectant la force probante des résultats de l’expertise. Toutefois, les circonstances de l’expertise justifient parfois cette analyse ; à charge pour l’expert de respecter les règles de l’art en la matière pour ne pas vicier la procédure.

Enfin, la dernière étape est une phase de synthèse et de corrélation d’informations matérialisée par l’établissement d’un rapport d’investigation, « chain of custody », consignant toutes les opérations effectuées et les résultats obtenus afin d’en garantir la traçabilité et la pérennité. Une fois extraites et conservées selon les règles de l’art, ces données peuvent être utilisées à titre de preuve, « digital evidence », dans le cadre de procédures judiciaires ou disciplinaires.

Attention toutefois à éviter une erreur fréquente : un administrateur réseau ou un directeur technique n’est pas un expert en matière de preuve numérique. Cette procédure doit être réalisée par un professionnel expérimenté à l’aide d’outils matériels et logiciels dédiés. Le recours à un tiers spécialiste choisi en dehors du personnel de l’entreprise est donc un prérequis indispensable à la validité de la preuve recueillie et donc à l’établissement de la vérité.

Besoin d'un conseil ou d'informations complémentaires ? Contactez-nous !

CELOG vous propose une large gamme de services et solutions dans les domaines de la recherche et la collecte de preuves dans l’environnement numérique.
N’hésitez plus, contactez nous :

+33 (0)1.43.59.60.61

Ou cliquez ici…