+1 (888) 440-2404

Blog de DriveSavers

Analyse du processus de criminalistique numérique

Par John Ahearne, analyste médico-légal

Cet article fait partie d'une série qui examine chaque étape du processus de criminalistique numérique. Si vous avez manqué l'un des articles précédents, vous pouvez les lire en cliquant sur les liens ci-dessous :

Analyse des preuves numériques

L'analyse numérique légale est l'analyse et l'examen approfondis d'informations stockées électroniquement (ESI), dans le but d'identifier des informations susceptibles d'étayer ou de contester des éléments dans le cadre d'une enquête civile ou pénale et/ou d'une procédure judiciaire.

Lorsque l'analyse médico-légale est l'objectif final, il est impératif que les preuves stockées électroniquement soient traitées avec le plus grand soin. Les preuves doivent être préservées et rien ne doit être fait qui puisse altérer les ESI au cours du processus d'analyse. C'est pourquoi le meilleur résultat juridique sera obtenu en analysant une image médico-légale ou une copie de l'appareil plutôt que l'appareil ou la source d'origine. Une source de preuves numériques peut également être basée sur le cloud.

Comme nous l'avons expliqué dans l'article précédent de cette série, la première étape du processus de criminalistique numérique est la suivante identification. Cette étape va de pair avec la détermination de votre champ d'application de l'analyse.

Champ d'application de l'analyse

La portée de l'analyse commence par l'identification des acteurs clés et de l'endroit où se trouvent les preuves stockées électroniquement. Ces informations sont recueillies au cours de la identification étape du processus de criminalistique numérique et nécessite une communication claire avec le client.

Dans la mesure du possible, le champ d'application initial doit être clairement identifié, mais ce n'est pas toujours le cas. Dans certains cas, nous recherchons une "aiguille dans une botte de foin", de sorte que le champ d'application peut être élargi ou réduit au fur et à mesure que l'analyse progresse. C'est la partie de l'examen qui porte sur le "qui", le "quoi", le "quand" et éventuellement le "où" et le "pourquoi".

La documentation et la communication devraient inclure

  1. Objet de l'examen
  2. Caractère général de la question
  3. Durée de la chaîne d'événements
  4. Données logiques et/ou supprimées
  5. Fuite de données
  6. Mots clés

Objet de l'examen

Quel est l'objet de l'examen ?

Identifier les personnes impliquées dans les deux parties du litige et celles qui sont au centre de l'examen.

Voir notre article, Processus de criminalistique numérique - Identification.

Nature générale de la question

Quelle est la nature générale de la question ? S'agit-il d'un testament ou d'une fiducie, ou d'une conception d'entreprise ? De nombreuses affaires juridiques ont également porté sur des listes de clients, qui peuvent être considérées comme des éléments de propriété intellectuelle de grande valeur.

La mauvaise conduite d'un employé, le détournement d'informations de l'entreprise, la fraude ou le divorce n'en sont que quelques exemples. Connaître la nature de l'affaire permet d'identifier le type de données ou de fichiers que l'expert judiciaire doit rechercher et l'endroit où ces données peuvent être trouvées.

Durée de la chaîne d'événements

Quand la chaîne d'événements s'est-elle produite ?

Les heures et les dates, ou une fourchette de dates, auxquelles un événement présumé a eu lieu permettent de limiter l'examen. Dans l'exemple de l'inconduite d'un employé, quelle a été la dernière date de travail de l'employé ? Quand l'appareil a-t-il été utilisé pour la dernière fois par l'employé ou rendu à l'entreprise ?

Dans ce cas et dans d'autres situations similaires, résistez à la tentation de vous connecter à l'ordinateur d'un employé, car vous compromettriez des preuves potentielles, en particulier les horodatages.

Données logiques et/ou supprimées

Données logiques Il s'agit de données qui ne sont pas supprimées et qui ne nécessitent pas de récupération de données ou de logiciel spécial pour accéder à l'information. Déterminez les types de données à inclure dans l'examen, tels que les documents Word, les feuilles de calcul Excel, les PDF Acrobat, les photographies et les courriels. L'utilisation des médias sociaux, tels que Snapchat, WhatsApp, Facebook et YouTube, peut nécessiter une analyse, selon le cas.

Une corbeille ou une poubelle vidée est appelée effacement brutal. Les données supprimées et l'historique web effacé sont des signes de dissimulation des traces. En ce qui concerne les données supprimées, nous ne pouvons pas nous limiter à une collecte ciblée des seules données logiques. Il faut réaliser une image légale de l'ensemble de l'appareil, secteur par secteur. Une bonne pratique consiste à extraire préventivement une image légale des appareils des employés lorsqu'ils quittent l'entreprise.

En établissant un champ d'analyse et en comprenant où les données sont stockées, les experts en criminalistique sont en mesure de fournir au client des résultats précis et rapides.

Fuite de données

Le transfert non autorisé d'informations de l'intérieur vers l'extérieur d'une organisation est connu sous le nom de fuite de données.

Des disques durs externes ou d'autres appareils connectés étaient-ils branchés sur l'ordinateur ? Il peut s'agir par exemple de clés USB, d'appareils mobiles ou de dispositifs de sauvegarde. Veillez à identifier tout partage éventuel de données vers un autre appareil.

L'internet des objets (IdO) est de plus en plus présent dans nos vies et devrait également être pris en compte. Il s'agit par exemple des technologies portables, des voitures de société/de location, des caméras de surveillance ou des assistants domestiques.

Les serveurs de messagerie et les systèmes de stockage en nuage sont-ils surveillés et sauvegardés par le service informatique ? Existe-t-il une responsabilité légale en matière de conservation des données ?

Mots clés

Quels sont les noms, les phrases et les mots qui pourraient être utiles pour localiser les données qui vous intéressent ? Il peut s'agir par exemple de contacts, d'adresses électroniques personnelles, de noms de projets ou d'entreprises en concurrence directe.

Limites du champ d'application

Des limitations peuvent être en vigueur en raison de la protection de la vie privée ou d'intérêts opposés.

Dans les affaires impliquant des intérêts opposés, une partie ou un tribunal peut limiter l'étendue des informations à analyser ou même à collecter. Il est toujours préférable de mettre cela par écrit sous la forme d'une stipulation ou d'une ordonnance de protection. L'analyste en criminalistique numérique doit participer à la création de cette documentation afin de s'assurer que les limitations sont possibles, compte tenu de la manière dont les ESI sont stockées et dont les logiciels de criminalistique acquièrent et traitent les données.

Le temps peut être un problème. Y a-t-il des dates d'audience ou des dépositions prévues dans l'immédiat ?

Les communications privilégiées entre avocat/client, médecin/patient et mari/femme sont des limitations courantes à prendre en compte lorsqu'il s'agit de fournir des preuves dans une affaire. Ce n'est pas parce qu'une femme remet le téléphone portable de son mari qu'elle est automatiquement autorisée à l'analyser. Les employés peuvent s'attendre à un certain degré de confidentialité même lorsqu'ils utilisent un ordinateur portable fourni par l'entreprise. La politique de l'entreprise définit-elle clairement la protection de la vie privée à laquelle l'employé peut s'attendre, et l'employé la comprend-il ?

Les informations personnelles identifiables (IPI), telles que les dossiers des patients, les numéros de sécurité sociale et les dossiers fiscaux, sont des ESI qui doivent être protégées. Il est important d'enquêter sur toute équipe de criminalistique numérique tierce à laquelle vous pourriez faire appel afin de vous assurer que toutes les données sont protégées par les certifications de sécurité nécessaires, telles que SOC 2 Type II et HIPAA.

Outils et logiciels de police scientifique

Un processus reproductible et défendable est le thème récurrent de cette série d'articles. Les logiciels d'investigation et d'eDiscovery ne font pas exception à la règle. Il existe de nombreux outils d'investigation et d'eDiscovery sur le marché. Des outils gratuits et open source sont également disponibles. Un expert en criminalistique numérique expérimenté saura quel outil ou quels outils conviennent le mieux au type d'appareil et au type de données.

Validation des logiciels de police scientifique

Quel que soit l'outil ou le logiciel utilisé, il doit être validé. Je n'entrerai pas ici dans le détail de la norme Daubert ; une recherche rapide vous fournira de nombreux documents à lire. Toutefois, l'expert en criminalistique numérique doit être certain que les informations produites par le logiciel de criminalistique sont exactes.

Un examinateur judiciaire doit savoir où les informations sont stockées et comment l'outil judiciaire choisi analyse ces informations. Il n'y a pas de raccourci pour répondre à cette exigence. Vous ne pouvez pas vous fier à des analyses criminalistiques "presse-bouton", qui consistent simplement à exécuter un logiciel et à recracher les résultats.

La formation, l'expérience et une bonne assistance technique sont quelques-uns des moyens dont dispose un examinateur judiciaire pour acquérir les connaissances nécessaires à la validation de ses outils. Les forums, les podcasts et les articles sur la criminalistique sont d'autres moyens de se tenir au courant des nouvelles tendances et technologies.

En même temps, il faut avoir une certaine confiance dans le logiciel de criminalistique. Si nous devions valider chaque étape, nous ne pourrions jamais travailler. L'objectif principal d'une application est d'améliorer la productivité et la précision. Un logiciel d'investigation leader sur le marché ne reste pas en tête si ses abonnés trouvent des erreurs dans son produit. Il est important que les analystes judiciaires soient formés et certifiés en matière de criminalistique numérique et d'administration de la preuve électronique par les principaux fournisseurs de logiciels, car ce sont les outils qui donnent généralement les meilleurs résultats.

Logiciels libres et logiciels commerciaux

Les logiciels libres ont certainement leur place. Parfois, si un examinateur judiciaire voit quelque chose qui ne semble pas correct ou qui n'a pas de sens, le logiciel libre peut être utilisé pour valider un logiciel commercial en comparant les résultats. Si les résultats des différents logiciels varient de manière inattendue, il est temps de faire des recherches et/ou de faire appel à un service d'assistance technique.

Une chose est sûre à propos des logiciels libres : il n'y a pas d'assistance technique. Vous êtes seul avec les logiciels libres. Si vous avez payé pour un logiciel, quel qu'il soit, profitez de l'assistance technique (elle est payante !).

Le budget est également important. Les logiciels de pointe et la formation en criminalistique ne sont pas bon marché. Un grand nombre de bons logiciels libres sont gratuits et de nombreux fournisseurs de premier plan proposent des outils gratuitement, en particulier aux services de police.

Vous disposez peut-être déjà d'un logiciel, comme Google Vault ou Takeout, qui peut être utile à votre équipe de recherche légale/eDiscovery. BlackBag Technology propose une formation gratuite de deux jours. L'institut SANS propose une boîte à outils gratuite et des webinaires gratuits qui donnent droit à des crédits CPE. Tenez-vous informé des prochaines offres de ce type.

Tout bon laboratoire de police scientifique devrait disposer d'un bon équilibre entre les logiciels de police scientifique de qualité proposés par les principaux fournisseurs et les logiciels libres, et les connaissances nécessaires pour les soutenir.

Précis, reproductible et défendable

Que vous travailliez dans le domaine de l'application de la loi, en mettant des criminels derrière les barreaux, ou dans le monde de l'entreprise/civil, où une personne peut perdre son emploi ou la garde de ses enfants, nous, en tant qu'examinateurs et analystes médico-légaux, devons toujours être sûrs que nos résultats sont exacts.

Avec DriveSavers, vous pouvez être sûr que nos résultats sont précis, reproductibles et défendables, ainsi que sécurisés et traités avec le respect et l'intégrité que vous exigez.

Restez à l'écoute pour la leçon de Présentation!

Articles connexes

Haut de page
Rechercher