Informatique légale

On désigne par informatique légale, investigation numérique légale ou informatique judiciaire l'application de techniques et de protocoles d'investigation numériques respectant les procédures légales et destinée à apporter des preuves numériques à la demande d'une institution de type judiciaire par réquisition, ordonnance ou jugement. On peut donc également la définir comme l'ensemble des connaissances et méthodes qui permettent de collecter, conserver et analyser des preuves issues de supports numériques en vue de les produire dans le cadre d'une action en justice.

Ce concept, construit sur le modèle plus ancien de médecine légale, correspond à l'anglais computer forensics.

Nombreux termes employés

L'investigation numérique peut se retrouver sous des formulations diverses en langue française, dont les sens ne sont pas toujours exactement les mêmes. Les concepts de « investigation informatique légale », « expertise technico-légale d'ordinateurs », « inforensique », « criminalistique informatique » sont proches de celui d'Informatique légale. Les concepts d' « Analyse post-mortem » ou d' « Autopsie informatique » (terme peu usité) ne désignent qu'une partie de l'Informatique légale — L'autre partie concerne les investigations sur des systèmes en cours de fonctionnement —.

Terminologie

La compréhension de l'informatique légale requiert celle des concepts qui lui sont liés. La terminologie française peut être mise en rapport avec les travaux de l'Anti-Cartel Enforcement Manuel, Chapter 3 : Digital Evidence Gathering, April 2006, avec lesquels elle est en parfaite cohérence. Il s'agit toutefois d'une adaptation et non d'une traduction.

Investigation numérique

Terme adapté de l'anglais « computer forensics », l'expression « investigation numérique » représente l'utilisation de techniques spécialisées dans la collecte, l'identification, la description, la sécurisation, l'extraction, l'authentification, l'analyse, l'interprétation et l'explication de l'information numérique. Ces techniques sont mises en œuvre quand une affaire comporte des questions relatives à l'usage d'un ordinateur et de tout autre support d'information, ainsi qu'à l'examen et l'authentification de données en faisant appel aux techniques d'analyse du fonctionnement des ordinateurs ou à la connaissance des structures de données. L'investigation numérique est une branche spécialisée de l'informatique qui requiert des compétences allant au-delà de celles nécessaires à la maintenance et à la sécurité informatique.

Information numérique

Terme adapté de l'anglais « digital information », l'expression « information numérique » représente toute information présentée de manière numérique et qui peut être divisée entre l'information proprement dite – constituant les données – (texte, dessin, image, son, base de données…) et les informations relatives à cette information proprement dite appelées métadonnées (nom de fichier, nom de répertoire, date et heure de création, de modification ou d'édition d'un document, expéditeur d'un courrier électronique…). La connaissance d'une métadonnée peut être le moyen de la découverte de l'information proprement dite. Inversement, les métadonnées peuvent constituer des preuves numériques (datation d'un événement, expéditeur d'un courrier électronique…).

Preuve numérique

Terme adapté de l'anglais « digital evidence », l'expression « preuve numérique » représente toute information numérique pouvant être utilisée comme preuve dans une affaire de type judiciaire. La collecte de l'information numérique peut provenir de l'exploitation de supports d'information, de l'enregistrement et de l'analyse de trafic de réseaux (informatiques, téléphoniques…) ou de l'examen de copies numériques (copies-images, copies de fichiers…). Les copies-écran d'informations numériques ne sont pas des preuves numériques au sens de la présente définition, mais elles peuvent servir de point de départ pour la recherche ultérieure de preuves numériques.

Support de données

Terme adapté de l'anglais « data carrier », l'expression « support de données » représente tout dispositif permettant la transmission ou l'enregistrement de l'information numérique et comportant notamment les disques durs, les disques amovibles, les assistants personnels (PDA), les clés USB, les tablettes graphiques, les GSM et leurs cartes SIM, les mémoires flash (appareils photographiques), les GPS, les routeurs, serveurs et autres appareils pour les réseaux, les cartes à puce ou à pistes (bancaires ou non).

Rapport d'investigation

Terme adapté de l'anglais « chain of evidence », l'expression « rapport d'investigation » représente un enregistrement des étapes d'une investigation numérique permettant de garantir qu'une preuve numérique est issue de manière irrévocable d'une information numérique. Ce rapport décrit comment l'information numérique originale a été préservée, donne son empreinte numérique, décrit les moyens logiciels et matériels de blocage en écriture utilisés, décrit les opérations réalisées et les logiciels mis en œuvre, expose les éventuels incidents rencontrés et notamment les modifications de l'information numérique analysée, énonce les preuves réunies et donne les numéros de série des supports d'information utilisés pour leur enregistrement. Ce rapport est un rapport judiciaire si et seulement s'il est produit à la demande d'une institution de type judiciaire et s'il est associé à un rapport de garde.

Rapport de garde

Terme adapté de l'anglais « chain of custody », l'expression « rapport de garde » représente un rapport ou procès-verbal établi lors de la saisie ou de la réception d'une information numérique et de son support, comportant toute information sur le détenteur antérieur (propriétaire, usager, gardien), les lieux et conditions d'acquisition (saisie, transmission), la nature du support d'information (description physique avec photographie, numéro de série), la description éventuelle de l'information numérique (méta-données, structure des données, empreinte numérique), la situation d'accès aux données (accessibles ou non), la présence de sceau (avec identification), le libellé de l'étiquette d'accompagnement, les dates d'ouverture et de fermeture du support, la mention des modifications éventuelles (suppression de mot de passe) et l'état de restitution du support (scellé, accessibilité aux données, étiquette) avec photographie.

Empreinte numérique

Terme adapté de l'anglais « hash value », l'expression « empreinte numérique » représente une empreinte digitale d'une information numérique produite par un algorithme mathématique appliqué à cette information (disque physique ou logique, fichier). Cet algorithme – par essence à sens unique – doit être tel qu'il soit impossible (en pratique) de changer l'information numérique sans changer la valeur de l'empreinte. Autrement dit, si l'empreinte numérique d'un fichier n'a pas changé, alors ce fichier n'a pas été modifié et réciproquement. Pour être certaine, l'empreinte numérique doit être calculée de deux manières indépendantes (pour les disques durs en particulier). Parfois désigné par "valeur de hachage".

Copie-image

Terme adapté de l'anglais « forensic copy », l'expression « copie-image » représente une copie bit à bit intégrale de l'information numérique présente sur un support d'information, y compris espaces non utilisés, espaces non alloués et queues de clusters, effectuée à l'aide d'un logiciel spécifique. Réalisée dans le cadre d'une investigation numérique légale, une copie-image doit être pure et parfaite ; dans le cas contraire, le rapport d'investigation explique les raisons de l'impureté ou de l'imperfection.

Copie pure et parfaite

Une copie est dite « pure » quand son empreinte numérique est identique à celle – confirmée – de l'information numérique dont elle est la copie ; elle est en outre dite « parfaite » quand cette information numérique originale n'a pas été modifiée par l'opération de copie.

Démarche

Les PC, PDA (assistants personnels), téléphones mobiles et appareils photos numériques, sont des médias qui contiennent de nombreuses informations produites ou (et) échangées avec des tiers, qu'un expert peut retrouver, quand bien même les fichiers originaux auraient été effacés.

La recherche d'éléments ou de traces peut conduire à la constitution d'indices, des faisceaux d'indices, voire de preuves. L'expert est neutre : les indices et preuves peuvent être à charge ou à décharge.

Informations et traces recherchées

Les informations et traces recherchées peuvent être :

• Des images
• Des documents bureautiques (lettres, documents, feuilles de calcul…)
• Les adresses électroniques
• Les courriers électroniques ou SMS envoyés et reçus (si cela a été explicitement autorisé par le Magistrat)
• Les sites Internet visités
• Des mots de passe mémorisés
• Les cookies (informations personnelles d’accès à un site Internet donné)
• Les logiciels installés
• Les dates d’activité du PC (dates de création et de dernière modification d’un fichier…)
• Les numéros appelés ou reçus.

Les informations présentes sur un support numérique, peuvent être visibles, mais aussi être délibérément cachées ou détruites (certaines pouvant être restaurées).

Validité de la preuve numérique

La preuve apportée est à sens unique : l'absence de preuve n'est pas la preuve de l'absence.

L'investigation numérique peut en effet déboucher sur le constat de l'absence des informations recherchées. Compte tenu des techniques d'enregistrement des données numériques, ces informations peuvent pourtant avoir été présentes sur le support analysé et avoir été recouvertes ensuite par d'autres.

Autrement dit, si l'investigation numérique ne trouve pas l'information recherchée, cette preuve ne vaut qu'en l'état du support et au moment de son analyse. Il ne peut en aucun cas en être déduit que ce support n'a jamais comporté l'information en cause.

Exploitation des traces

L’identité de l’auteur est parfois difficile à établir. Il est nécessaire d’effectuer des recoupements, si possible avec des indices externes au média analysé. En effet, les indices découverts sur un PC peuvent avoir été produits par un tiers qui aurait alors pris son contrôle à l’insu de son propriétaire (Par exemple par un accès à distance via Internet). On dit alors que le PC a été compromis. Il est assez difficile de prouver qu’un ordinateur n’a pas été compromis, car un intrus avisé peut avoir effacé les traces de son intrusion. La nécessité du recoupement des indices est un nouveau défi technologique car il faut établir les liens reliant l'indice aux différents médias utilisés.

Les informations mémorisées peuvent être incompréhensibles car chiffrées (disque dur des ordinateurs portables, fichiers encryptés proposés par tous les systèmes d'exploitation. La cryptanalyse est une science et une pratique plus ou moins difficile selon le système de chiffrement utilisé. Parfois banal (mais désormais dans de rares cas), le décryptage s'avère généralement impossible, ou à tout le moins très difficile, les algorithmes de génération de clé et de chiffrement actuels étant très efficaces.

Plusieurs logiciels, dont EnCase, WinHex, Forensic Toolkit (FTK), SMART, The Coroner's Toolkit (TCT), The Sleuth Kit (TSK), Snapback et matériels dédiés, dont X-Ways, et, pour les téléphones, XRY-XACT par la société Suédoise Micro Systemation, Cellebrite par la société israélienne éponyme, MPE+, ont été développés pour répondre à la forte croissance des besoins (justice, police et gendarmerie, services secrets, armée, laboratoires privés, etc.)

Publications

• Journal of Digital Investigation
• International Journal of Digital Evidence
• International Journal of Forensic Computer Science
• Journal of Digital Forensic Practice
• Cryptologia
• Marie Barel, Fraude informatique et preuve : la quadrature du cercle ? Actes du symposium SSTIC05

Références

Voir aussi

• Cyber-investigation
• Suppression de fichier
• Récupération de données
• The Coroner's Toolkit
• Cross-drive analysis

•   Portail du droit
•   Portail de la sécurité informatique