On désigne par informatique légale ou investigation numérique légale l'application de techniques et de protocoles d'investigation numériques respectant les procédures légales et destinée à apporter des preuves numériques à la demande d'une institution de type judiciaire par réquisition, ordonnance ou jugement.
Ce concept, construit sur le modèle plus ancien de médecine (La médecine (du latin medicus, « qui guérit ») est la science et la...) légale, correspond à l'anglais " computer forensics ".
L'investigation numérique (Une information numérique (en anglais « digital ») est une information...) peut se retrouver sous des formulations diverses en langue française, dont les sens (SENS (Strategies for Engineered Negligible Senescence) est un projet scientifique qui a pour but...) ne sont toujours exactement les mêmes. Les concepts de "Investigation informatique légale (On désigne par informatique légale ou investigation numérique légale...)", "Expertise technico-légale d'ordinateurs", "Criminalistique informatique (L´informatique - contraction d´information et automatique - est le domaine...)" sont proches de celui d'informatique légale. Les concepts de "Analyse post-mortem" ou de "Autopsie (L'autopsie (ou examen post-mortem ou nécropsie) est l'examen médical des cadavres. Le...) informatique" (terme peu usité) ne désignent qu'une partie de l'informatique légale — L'autre partie concerne les investigations sur des systèmes en cours de fonctionnement —.
La compréhension de l'informatique légale requiert celle des concepts qui lui sont liés. La terminologie française peut être mise en rapport avec les travaux de l'Anti-Cartel Enforcement Manuel, Chapter 3 : Digital Evidence Gathering, April 2006, avec lesquels elle est en parfaite cohérence. Il s'agit toutefois d'une adaptation et non d'une traduction.
La terminologie suivante est proposée par le LERTI (Laboratoire d'expertise et de recherche (La recherche scientifique désigne en premier lieu l’ensemble des actions entreprises en vue...) de traces (TRACES (TRAde Control and Expert System) est un réseau vétérinaire sanitaire de...) informatiques) [1].
Terme adapté de l'anglais " computer forensics ", l'expression " investigation numérique " représente l'utilisation de techniques spécialisées dans la collecte, l'identification, la description, la sécurisation, l'extraction, l'authentification (L'authentification est la procédure qui consiste, pour un système informatique, à...), l'analyse, l'interprétation et l'explication de l'information numérique. Ces techniques sont mises en œuvre quand une affaire comporte des questions relatives à l'usage (L’usage est l'action de se servir de quelque chose.) d'un ordinateur (Un ordinateur est une machine dotée d'une unité de traitement lui permettant...) et de tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou...) autre support d'information, ainsi qu'à l'examen et l'authentification de données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent...) en faisant appel aux techniques d'analyse du fonctionnement des ordinateurs ou à la connaissance des structures de données. L'investigation numérique est une branche spécialisée de l'informatique qui requiert des compétences allant au-delà de celles nécessaires à la maintenance et à la sécurité informatique.
Terme adapté de l'anglais " digital information ", l'expression " information numérique " représente toute information présentée de manière digitale (Les digitales forment le genre Digitalis, environ 20 espèces de plantes herbacées...) et qui peut être divisée entre l'information proprement dite – constituant les données – (texte, dessin, image, son, base de données (En informatique, une base de données (Abr. : « BD » ou...) …) et les informations relatives à cette information proprement dite appelées métadonnées (nom de fichier ( Un fichier est un endroit où sont rangées des fiches. Cela peut-être un meuble, une pièce, un...), nom de répertoire, date et heure (L’heure est une unité de mesure du temps. Le mot désigne aussi la grandeur...) de création, de modification ou d'édition d'un document (Dans son acception courante un document est généralement défini comme le support physique d'une...), expéditeur d'un courrier électronique (Le courrier électronique, courriel ou email/e-mail, est un service de transmission de messages...) …). La connaissance d'une métadonnée (Une métadonnée (mot composé du préfixe grec meta, indiquant...) peut être le moyen de la découverte de l'information proprement dite. Inversement, les métadonnées peuvent constituer des preuves numériques (datation d'un événement, expéditeur d'un email …).
Terme adapté de l'anglais " digital evidence ", l'expression " preuve numérique " représente toute information numérique pouvant être utilisée comme preuve numérique dans une affaire de type judiciaire. La collecte de l'information numérique peut provenir de l'exploitation de supports d'information, de l'enregistrement et de l'analyse de trafic de réseaux (informatiques, téléphoniques …) ou de l'examen de copies numériques (copies-images, copies de fichiers …). Les copies-écran d'informations numériques ne sont pas des preuves numériques au sens de la présente définition, mais elles peuvent servir de point (Graphie) de départ pour la recherche ultérieure de preuves numériques.
Terme adapté de l'anglais " data carrier ", l'expression " support d'information " représente tout dispositif permettant la transmission ou l'enregistrement de l'information numérique et comportant notamment les disques durs, les disques amovibles, les assistants personnels (PDA), les clés USB, les téléphone (Le téléphone est un système de communication, initialement conçu pour transmettre la voix...) portable et leurs cartes SIM, les mémoires flash (appareils photographiques), les routeurs, serveurs et autres appareils pour les réseaux, les cartes à puce ou à pistes (bancaires ou non).
Terme adapté de l'anglais " chain of evidence ", l'expression " rapport d'investigation " représente un enregistrement des étapes d'une investigation numérique permettant de garantir qu'une preuve numérique est issue de manière irrévocable d'une information numérique. Ce rapport décrit comment l'information numérique originale a été préservée, donne son empreinte numérique, décrit les moyens logiciels et matériels de blocage en écriture utilisés, décrit les opérations réalisées et les logiciels mis en œuvre, expose les éventuels incidents rencontrés et notamment les modifications de l'information numérique analysée, énonce les preuves réunies et donne les numéros de série des supports d'information utilisés pour leur enregistrement. Ce rapport est un rapport judiciaire si et seulement s'il est produit à la demande d'une institution de type judiciaire et s'il est associé à un rapport de garde.
Terme adapté de l'anglais " chain of custody ", l'expression " rapport de garde " représente un rapport ou procès-verbal établi lors de la saisie ou de la réception d'une information numérique et de son support, comportant toute information sur le détenteur antérieur (propriétaire, usager, gardien), les lieux et conditions d'acquisition (En général l'acquisition est l'action qui consiste à obtenir une information ou à acquérir un...) (saisie, transmission), la nature du support d'information (description physique (La physique (du grec φυσις, la nature) est étymologiquement la...) avec photographie, numéro de série), la description éventuelle de l'information numérique (méta-données, structure des données, empreinte numérique), la situation (En géographie, la situation est un concept spatial permettant la localisation relative d'un...) d'accès aux données (accessibles ou non), la présence de sceau (avec identification), le libellé de l'étiquette d'accompagnement, les dates d'ouverture et de fermeture (Le terme fermeture renvoie à :) du support, la mention des modifications éventuelles (suppression de mot de passe) et l'état de restitution du support (scellé, accessibilité aux données, étiquette) avec photographie.
Terme adapté de l'anglais " hash value ", l'expression " empreinte numérique " représente une empreinte digitale d'une information numérique produite par un algorithme mathématique appliqué à cette information (disque physique ou logique (La logique (du grec logikê, dérivé de logos (λόγος),...), fichier). Cet algorithme – par essence à sens unique – doit être tel qu'il soit impossible (en pratique) de changer l'information numérique sans changer la valeur de l'empreinte. Autrement dit, si l'empreinte numérique d'un fichier n'a pas changé, alors ce fichier n'a pas été modifié et réciproquement. Pour être certaine, l'empreinte numérique doit être calculée de deux manières indépendantes (pour les disques durs en particulier). Parfois désigné par "valeur de hachage".
Terme adapté de l'anglais " forensic copy ", l'expression " copie-image " représente une copie bit (Le bit est un chiffre binaire, c'est-à-dire 0 ou 1. Il est donc aussi une unité de mesure...) à bit intégrale (Une intégrale est le résultat de l'opération mathématique, effectuée sur une fonction, appelé...) de l'information numérique présente sur un support d'information, y compris espaces non utilisés, espaces non alloués et queues de clusters, effectuée à l'aide d'un logiciel (En informatique, un logiciel est un ensemble d'informations relatives à des traitements...) spécifique. Réalisée dans le cadre d'une investigation numérique légale, une copie-image doit être pure et parfaite ; dans le cas contraire, le rapport d'investigation explique les raisons de l'impureté ou de l'imperfection.
Une copie est dite " pure " quand son empreinte numérique est identique à celle – confirmée – de l'information numérique dont elle est la copie ; elle est en outre dite " parfaite " quand cette information numérique originale n'a pas été modifiée par l'opération de copie.
Les PC, PDA (assistants personnels), téléphones mobiles et appareils photos numériques, sont des média (On nomme média un moyen impersonnel de diffusion d'informations (comme la presse, la radio, la...) qui contiennent de nombreuses informations produites ou (et) échangées avec des tiers, qu'un expert peut retrouver, quand bien même les fichiers originaux auraient été effacés.
La recherche d'éléments ou de traces peut conduire à la constitutions d'indices, des faisceaux d'indices, voire de preuves. L'expert est neutre : les indices et preuves peuvent être à charge (La charge utile (payload en anglais ; la charge payante) représente ce qui est effectivement...) ou à décharge.
Les informations et traces recherchées peuvent être :
Les informations présentes sur un ordinateur, peuvent être visibles, mais aussi être délibérement cachées ou détruites (certaines pouvant être restaurées).
L’identité de l’auteur est parfois difficile à établir. Il est nécessaire d’effectuer des recoupements, si possible avec des indices externes au média (On nomme média un moyen impersonnel de diffusion d'informations (comme la presse, la radio, la...) analysé. En effet, les indices découverts sur un PC peuvent avoir été produits par un tiers qui aurait alors pris son contrôle (Le mot contrôle peut avoir plusieurs sens. Il peut être employé comme synonyme d'examen, de...) à l’insu de son propriétaire (Par exemple par un accès à distance via Internet). On dit alors que le PC a été compromis. Il est assez difficile de prouver qu’un ordinateur n’a pas été compromis, car un intrus avisé peut avoir effacé les traces de son intrusion. La nécessité du recoupement des indices est un nouveau défi technologique car il faut établir les liens reliant l'indice aux différents médias utilisés.
Les informations mémorisées peuvent être incompréhensibles car chiffrées (disque dur des ordinateurs portables, fichiers encryptés proposés par les nouvelles versions de Windows (Windows est une gamme de systèmes d'exploitation produite par Microsoft, principalement destinées...) (XP Professionnel). Le décryptage est une science (La science (latin scientia, « connaissance ») est, d'après le dictionnaire...) et une pratique plus ou moins difficile selon le système de chiffrement (En cryptographie, le chiffrement (parfois appelé à tort cryptage) est le procédé grâce auquel...) utilisé. Banal dans de nombreux cas, le décryptage peut s'avérer très difficile dans d'autres.