En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookie.
J'accepte. En savoir plus, paramétrer et ou s'opposer à ces cookies.

Traces informatiques et fichiers logs

L’émergence de nouveaux produits et services, désormais accessibles au plus grand nombre, constitue un facteur croissant de risques d’atteintes à la sécurité des systèmes d’information et notamment ceux des entreprises. Il est ainsi devenu indispensable de renforcer la protection de ces systèmes et d’en accroître la surveillance aussi bien interne qu’extérieure.

Autrefois, l’intérêt principal d’enregistrer et conserver des traces répondait à un objectif fonctionnel. A l’origine, le concepteur avait prévu cette option pour permettre à un administrateur de surveiller l’activité d’un produit ou logiciel pour en détecter les anomalies et pouvoir y remédier. Aujourd’hui, cette fonctionnalité s’est généralisée et répond toujours à cet objectif. Seulement, on voit apparaître une réelle volonté de la part des décisionnaires de l’utiliser à des fins connexes. La mise en place de « SIM » ou de solutions de « Log Management » permet d’appréhender des fichiers logs de natures différentes (filtrage, fourniture de service, détection d’alerte, journalisation système ou applicative) et de formats divers (clf, syslog, welf etc.), de les archiver, de les analyser et de les corréler. Ainsi, il est possible d’identifier des anomalies, de les lier à des actions et d’en identifier l’origine.

A ce jour, le législateur n’a toujours pas posé de cadre légal aux fichiers logs, ni même de définition. Pourtant, différents textes nationaux et communautaires tentent d’apporter des éléments de réponse sur les traces à conserver sans réussir à s’accorder sur une terminologie commune ou encore un régime unique. Un fichier log, « audit trail » en anglais, est un fichier de journalisation en temps réel des évènements informatiques liés à l’utilisation d’un matériel ou d’un logiciel. Son contenu diffère donc selon sa nature. Il contient un historique chronologique des actions et opérations réalisées sur un système. Ces traces sont structurées conformément au format du fichier log. Elles peuvent notamment mentionner, outre la date des évènements, des informations relatives aux utilisateurs (identifiants, adresses IP sources, adresses de messagerie électronique etc.), aux actions factuelles et contextuelles opérées (types d’actions, résultats des actions, etc.) ou encore aux systèmes et services concernés (noms et versions, adresses IP de destination etc.).

Malgré ce flou juridique, le fait de conserver des informations de nature à permettre l’identification de la personne à l’origine d’un fait litigieux sur une application (suppression de données, extraction de base de données etc.) ou sur un serveur web par exemple (intrusion, aspiration de contenu, diffamation en ligne etc.) résulte soit d’un choix volontaire de l’administrateur, soit d’une obligation légale. Les fournisseurs d’accès , hébergeurs, éditeurs de contenu et opérateurs de communication électronique sont en effet soumis à cette obligation. Ces informations pouvant être demandées sur réquisition judiciaire, ces prestataires techniques doivent pouvoir les communiquer sur demande. A défaut, certains s’exposent à des sanctions (un an d’emprisonnement et 75000 € d’amende). Selon les acteurs, les textes applicables imposent une durée de conservation des traces de 6 mois à 2 ans.

La preuve d’un fait juridique pouvant se faire par tout moyen, il est par conséquent possible d’utiliser les fichiers logs à titre de preuve dans le cadre de dossiers pré contentieux ou contentieux. Toutefois, la recevabilité d’un fichier log à titre probatoire reste subordonnée à sa fiabilité. Ce critère dépend d’une part, des conditions dans lesquelles le fichier a été collecté puis conservé (comment) et d’autre part, de la qualité de la partie qui a réalisé ces opérations (qui). Les affaires « The Wayback Machine » illustrent bien ce propos. Ainsi, la force probante d’un fichier log sera maximale si son authenticité (origine du fichier et des traces) et son intégrité (contenu non altéré) peuvent être tracées et garanties de sa collecte à sa conservation (pérennité). La mise en place de solutions dédiées aux logs reste le moyen le plus efficace pour répondre à ces impératifs.

Même si le fichier log peut être utilisé à titre de preuve, il reste néanmoins soumis à l’appréciation du magistrat qui peut décider de l’écarter des débats. L’interprétation faite par le juge dépend donc des moyens techniques utilisés pour procéder à son appréhension. De plus, les traces enregistrées pouvant contenir des données à caractère personnel ou des informations indirectement nominatives, le recours aux fichiers logs impose aux entités qui les mettent en œuvre de respecter les formalités de la loi Informatique et Libertés du 6 janvier 1978.

Besoin d'un conseil ou d'informations complémentaires ? Contactez-nous !

CELOG vous propose une large gamme de services et solutions dans les domaines de la recherche et la collecte de preuves dans l’environnement numérique.
N’hésitez plus, contactez nous :

+33 (0)1.43.59.60.61

Ou cliquez ici…

1. Systèmes de filtrage (routeurs, pare-feux), de fourniture de service (serveurs webs, proxies, ftp, résolution NDD, relais de messagerie), de détection d’alerte (intrusion IDS, antivirus, anti-spam), de journalisation système (OS client ou serveur), journalisation applicative (logiciels métiers, tiers) ou de base de données.
2. CA ch. 14e Paris - Section B du 4 février 2005 / CA ch. 2e Aix-en-Provence du 13 mars 2006.
3. Affaires « archive.org » : CA ch. 2e Paris du 2 juillet 2010 / TGI ch. 3e Paris du 27