Société d’investigations numériques Analyses de données Audits de systèmes de sauvegardes Conseils et remédiations sur cyberattaques
1 - La réquisition
Un juge va solliciter un expert avant ou après perquisition.
L’expert judiciaire peut aussi être appelé à être présent lors des perquisitions. Il peut donc relever les premières constations par photos et formulaire, chercher, énumérer et identifier tous supports numériques. Il faut parfois vérifier la présence de réseaux wifi ou matériel cachés. Dans certains cas, l’expert peut-être dans l’obligation de faire du ‘triage’(*) sur place. Il peut dans ce cas procéder aux captures de mémoires vives (RAM) des postes encore allumés, faire un relevé d’adresse IP… Les scellés réalisés sont alors confiés à l’expert. Le juge communiquera les principales suspicions de l’affaire, mais voudra surtout des réponses précises aux classiques “qui quoi où quand comment ?”.
Pour une seule affaire, de grandes quantités d’appareils à analyser peuvent être présentes et dans des états quelques fois très dégradés. L’expert, ne devant écarter aucune de pistes, devra en conséquence tout examiner.
(*) Le ‘triage’, c’est la nécessité d’examiner très rapidement sur place si des appareils sont ‘pertinents’ (s’il contient des fichiers ou traces éventuelles de délits) et appartiennent au suspect ou à un de ses proches. Des solutions logicielles dédiées sont utilisées pour cela. Cela permet, par exemple, d’éviter de perquisitionner inutilement un appareil non pertinent appartenant à un enfant du suspect.
2 - L'acquisition
L’investigateur prend en charge les supports numériques à analyser. Ils sont déjà clairement identifiés pendant la saisie.
Si cela n’a pas déjà été fait et que l’appareil est encore en fonctionnement, une capture de la mémoire vive (RAM) sera effectuée. Celle-ci servira si nécessaire à faire une analyse supplémentaire permettant de lister les processus en cours d’exécution. Cela permet de trouver rapidement de potentiels mots de passe. Dans le cas de téléphones ou tablettes, une acquisition du système de fichier sera effectuée ‘en live’ via des outils spécialisés. Pour les autres appareils, l’acquisition se fait ‘à froid’ avec des bloqueurs en écriture. Tout ceci suit des procédures strictes et établies.
Les techniciens procèdent alors à deux copies et duplications intégrales des supports de stockages. Une somme de contrôle (‘Hash’) de chaque support est calculée. Cette empreinte unique doit toujours correspondre parfaitement à l’original. Cela permet de vérifier à tout moment qu’aucun des supports ne sera modifié et que son contenu correspond bien au support source. Une seule de ces copies servira ensuite à l’analyse. Il est recommandé de faire deux copies des disques d’origine et de ne jamais travailler directement sur le disque d’origine. L’autre servira de secours en cas de dysfonctionnement de la première copie.
L’étape de vérification de ‘hash’ est réalisée immédiatement après la duplication.
Si dans l’instruction un appareil n’est pas fonctionnel, seul le juge décidera si une société spécialisée en récupération de données doit intervenir sur le périphérique dans le but de le réparer et d’accéder aux données.
3 - L'investigation
L’investigation est une véritable enquête minutieuse. Les enquêteurs vont procéder en plusieurs passes pour fouiller et trouver les réponses aux questions demandées par le juge. Pour ce faire, on peut procéder comme suit.
- À partir des supports, créer une ‘timeline’ des évènements (frise chronologique ordonné) provenant des dates de tous les fichiers trouvés, des évènements systèmes, des logs d’applications, d’ouverture et fermeture de sessions utilisateurs… Cette ligne de temps donnera des indicateurs qu’il faut suivre et détailler. Il faut bien souvent élargir les recherche pour ne pas passer à côté d’un indice qui pourrait être important.
- La pré-analyse est effectuée par des logiciels, mais le travail de l’enquêteur est essentiel et c’est manuellement qu’il va identifier ce qui est vraiment important. À partir des indicateurs trouvés, il va établir des hypothèses. Il faut ensuite examiner tous les artéfacts, vérifier chaque contenu, pour tenter de confirmer ou infirmer ces hypothèses. Dans le cas d’analyse de plusieurs supports différents, il y a une phase de recoupement des informations afin de corréler les indicateurs. C’est aussi à ce moment que l’analyse ‘à froid’ et l’analyse des captures de mémoires vives sont à croiser.
- À chaque découverte d’un nouvel indice, cela peut engendrer de nouvelles hypothèses qui doivent être vérifiées pour comprendre le comportement et agissement du suspect. En conséquence, il faut recommencer de manière itérative pour ne rien laisser de côté, jusqu’à ce qu’il soit impossible de créer de nouveaux scénarios possibles. Cela permet ainsi d’obtenir toutes les preuves, qui mise bout-à-bout, permettent de dégager un scénario.
- Le scénario final est donc démontré de manière factuelle par l’enchainement logique des événements trouvés et mis en évidences par l’examinateur.
4 - Le rapport
Ce rapport est rédigé par l’analyste, c’est une présentation répondant aux questions initiales du juge, elle est démontrée par la succession de traces numériques, leurs historiques et leurs relations. Parfois, à l’inverse, il y a absence totale de preuve ou encore des preuves prouvant l’innocence du suspect. Ce rapport doit être clair et précis. Il doit aider le juge dans sa prise de décision. L’avis de l’expert judiciaire ne s’impose pas au juge, qui reste libre dans l’appréciation des éléments de preuves.
Dans le cas où l’expert trouve des éléments qui sont pénalement répréhensibles (pédopornographie, atteinte à la sûreté de l’État, etc.). L’expert a le devoir de les porter à la connaissance du juge, même si celui-ci n’avait pas orienté les recherches sur ces éléments découverts durant l’investigation.