Informatique légale
Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.

On désigne par informatique légale ou investigation numérique légale l'application de techniques et de protocoles d'investigation numériques respectant les procédures légales et destinée à apporter des preuves numériques à la demande d'une institution de type judiciaire par réquisition, ordonnance ou jugement.

Ce concept, construit sur le modèle plus ancien de médecine (La médecine (du latin medicus, « qui guérit ») est la science et la pratique (l'art) étudiant l'organisation du corps humain (anatomie), son...) légale, correspond à l'anglais " computer forensics ".

Nombreux termes employés

L'investigation numérique (Une information numérique (en anglais « digital ») est une information ayant été quantifiée et échantillonnée, par opposition à une information dite « analogique » qui...) peut se retrouver sous des formulations diverses en langue française, dont les sens (SENS (Strategies for Engineered Negligible Senescence) est un projet scientifique qui a pour but l'extension radicale de l'espérance de vie humaine. Par une évolution progressive allant du...) ne sont toujours exactement les mêmes. Les concepts de "Investigation informatique légale (On désigne par informatique légale ou investigation numérique légale l'application de techniques et de protocoles d'investigation numériques respectant les procédures...)", "Expertise technico-légale d'ordinateurs", "Criminalistique informatique (L´informatique - contraction d´information et automatique - est le domaine d'activité scientifique, technique et industriel en rapport avec le traitement automatique de l'information par des machines...)" sont proches de celui d'informatique légale. Les concepts de "Analyse post-mortem" ou de "Autopsie (L'autopsie (ou examen post-mortem ou nécropsie) est l'examen médical des cadavres. Le terme vient du grec « Le voir de vos propres yeux ».) informatique" (terme peu usité) ne désignent qu'une partie de l'informatique légale — L'autre partie concerne les investigations sur des systèmes en cours de fonctionnement —.

Terminologie

La compréhension de l'informatique légale requiert celle des concepts qui lui sont liés. La terminologie française peut être mise en rapport avec les travaux de l'Anti-Cartel Enforcement Manuel, Chapter 3 : Digital Evidence Gathering, April 2006, avec lesquels elle est en parfaite cohérence. Il s'agit toutefois d'une adaptation et non d'une traduction.

La terminologie suivante est proposée par le LERTI (Laboratoire d'expertise et de recherche (La recherche scientifique désigne en premier lieu l’ensemble des actions entreprises en vue de produire et de développer les connaissances scientifiques. Par extension métonymique, la...) de traces (TRACES (TRAde Control and Expert System) est un réseau vétérinaire sanitaire de certification et de notification basé sur internet sous la...) informatiques) [1].

Investigation numérique

Terme adapté de l'anglais " computer forensics ", l'expression " investigation numérique " représente l'utilisation de techniques spécialisées dans la collecte, l'identification, la description, la sécurisation, l'extraction, l'authentification (L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur...), afin...), l'analyse, l'interprétation et l'explication de l'information numérique. Ces techniques sont mises en œuvre quand une affaire comporte des questions relatives à l'usage (L’usage est l'action de se servir de quelque chose.) d'un ordinateur (Un ordinateur est une machine dotée d'une unité de traitement lui permettant d'exécuter des programmes enregistrés. C'est un ensemble de circuits électroniques permettant de manipuler des données sous...) et de tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou l'univers.) autre support d'information, ainsi qu'à l'examen et l'authentification de données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.) en faisant appel aux techniques d'analyse du fonctionnement des ordinateurs ou à la connaissance des structures de données. L'investigation numérique est une branche spécialisée de l'informatique qui requiert des compétences allant au-delà de celles nécessaires à la maintenance et à la sécurité informatique.

Information numérique

Terme adapté de l'anglais " digital information ", l'expression " information numérique " représente toute information présentée de manière digitale (Les digitales forment le genre Digitalis, environ 20 espèces de plantes herbacées classiquement placées dans la famille des Scrofulariacées. Les études...) et qui peut être divisée entre l'information proprement dite – constituant les données – (texte, dessin, image, son, base de données (En informatique, une base de données (Abr. : « BD » ou « BDD ») est un lot d'informations stockées dans un dispositif informatique. Les technologies existantes permettent...) …) et les informations relatives à cette information proprement dite appelées métadonnées (nom de fichier ( Un fichier est un endroit où sont rangées des fiches. Cela peut-être un meuble, une pièce, un bâtiment, une base de données informatique. Par exemple : fichier...), nom de répertoire, date et heure (L’heure est une unité de mesure du temps. Le mot désigne aussi la grandeur elle-même, l'instant (l'« heure qu'il...) de création, de modification ou d'édition d'un document (Dans son acception courante un document est généralement défini comme le support physique d'une information.), expéditeur d'un courrier électronique (Le courrier électronique, courriel ou email/e-mail, est un service de transmission de messages envoyés électroniquement via un réseau informatique (principalement l'Internet) dans la boîte aux...) …). La connaissance d'une métadonnée peut être le moyen de la découverte de l'information proprement dite. Inversement, les métadonnées peuvent constituer des preuves numériques (datation d'un événement, expéditeur d'un email …).

Preuve numérique

Terme adapté de l'anglais " digital evidence ", l'expression " preuve numérique " représente toute information numérique pouvant être utilisée comme preuve numérique dans une affaire de type judiciaire. La collecte de l'information numérique peut provenir de l'exploitation de supports d'information, de l'enregistrement et de l'analyse de trafic de réseaux (informatiques, téléphoniques …) ou de l'examen de copies numériques (copies-images, copies de fichiers …). Les copies-écran d'informations numériques ne sont pas des preuves numériques au sens de la présente définition, mais elles peuvent servir de point (Graphie) de départ pour la recherche ultérieure de preuves numériques.

Support d'information

Terme adapté de l'anglais " data carrier ", l'expression " support d'information " représente tout dispositif permettant la transmission ou l'enregistrement de l'information numérique et comportant notamment les disques durs, les disques amovibles, les assistants personnels (PDA), les clés USB, les téléphone (Le téléphone est un système de communication, initialement conçu pour transmettre la voix humaine.) portable et leurs cartes SIM, les mémoires flash (appareils photographiques), les routeurs, serveurs et autres appareils pour les réseaux, les cartes à puce ou à pistes (bancaires ou non).

Rapport d'investigation

Terme adapté de l'anglais " chain of evidence ", l'expression " rapport d'investigation " représente un enregistrement des étapes d'une investigation numérique permettant de garantir qu'une preuve numérique est issue de manière irrévocable d'une information numérique. Ce rapport décrit comment l'information numérique originale a été préservée, donne son empreinte numérique, décrit les moyens logiciels et matériels de blocage en écriture utilisés, décrit les opérations réalisées et les logiciels mis en œuvre, expose les éventuels incidents rencontrés et notamment les modifications de l'information numérique analysée, énonce les preuves réunies et donne les numéros de série des supports d'information utilisés pour leur enregistrement. Ce rapport est un rapport judiciaire si et seulement s'il est produit à la demande d'une institution de type judiciaire et s'il est associé à un rapport de garde.

Rapport de garde

Terme adapté de l'anglais " chain of custody ", l'expression " rapport de garde " représente un rapport ou procès-verbal établi lors de la saisie ou de la réception d'une information numérique et de son support, comportant toute information sur le détenteur antérieur (propriétaire, usager, gardien), les lieux et conditions d'acquisition (En général l'acquisition est l'action qui consiste à obtenir une information ou à acquérir un bien.) (saisie, transmission), la nature du support d'information (description physique (La physique (du grec φυσις, la nature) est étymologiquement la « science de la nature ». Dans un sens général et ancien, la physique...) avec photographie, numéro de série), la description éventuelle de l'information numérique (méta-données, structure des données, empreinte numérique), la situation (En géographie, la situation est un concept spatial permettant la localisation relative d'un espace par rapport à son environnement proche ou non. Il inscrit un lieu dans un cadre plus général afin de le qualifier à...) d'accès aux données (accessibles ou non), la présence de sceau (avec identification), le libellé de l'étiquette d'accompagnement, les dates d'ouverture et de fermeture (Le terme fermeture renvoie à :) du support, la mention des modifications éventuelles (suppression de mot de passe) et l'état de restitution du support (scellé, accessibilité aux données, étiquette) avec photographie.

Empreinte numérique

Terme adapté de l'anglais " hash value ", l'expression " empreinte numérique " représente une empreinte digitale d'une information numérique produite par un algorithme mathématique appliqué à cette information (disque physique ou logique (La logique (du grec logikê, dérivé de logos (λόγος), terme inventé par Xénocrate signifiant à la fois raison, langage, et raisonnement)...), fichier). Cet algorithme – par essence à sens unique – doit être tel qu'il soit impossible (en pratique) de changer l'information numérique sans changer la valeur de l'empreinte. Autrement dit, si l'empreinte numérique d'un fichier n'a pas changé, alors ce fichier n'a pas été modifié et réciproquement. Pour être certaine, l'empreinte numérique doit être calculée de deux manières indépendantes (pour les disques durs en particulier). Parfois désigné par "valeur de hachage".

Copie-image

Terme adapté de l'anglais "  forensic copy ", l'expression " copie-image " représente une copie bit à bit intégrale (Une intégrale est le résultat de l'opération mathématique, effectuée sur une fonction, appelé intégration. Une intégrale est donc composée d'un intégrande (la fonction à...) de l'information numérique présente sur un support d'information, y compris espaces non utilisés, espaces non alloués et queues de clusters, effectuée à l'aide d'un logiciel (En informatique, un logiciel est un ensemble d'informations relatives à des traitements effectués automatiquement par un appareil...) spécifique. Réalisée dans le cadre d'une investigation numérique légale, une copie-image doit être pure et parfaite ; dans le cas contraire, le rapport d'investigation explique les raisons de l'impureté ou de l'imperfection.

Copie pure et parfaite

Une copie est dite " pure " quand son empreinte numérique est identique à celle – confirmée – de l'information numérique dont elle est la copie ; elle est en outre dite " parfaite " quand cette information numérique originale n'a pas été modifiée par l'opération de copie.

Démarche

Les PC, PDA (assistants personnels), téléphones mobiles et appareils photos numériques, sont des média (On nomme média un moyen impersonnel de diffusion d'informations (comme la presse, la radio, la télévision), utilisé pour communiquer. Les médias permettent de diffuser une information...) qui contiennent de nombreuses informations produites ou (et) échangées avec des tiers, qu'un expert peut retrouver, quand bien même les fichiers originaux auraient été effacés.

La recherche d'éléments ou de traces peut conduire à la constitutions d'indices, des faisceaux d'indices, voire de preuves. L'expert est neutre : les indices et preuves peuvent être à charge (La charge utile (payload en anglais ; la charge payante) représente ce qui est effectivement transporté par un moyen de transport donné, et qui donne lieu à un paiement ou un bénéfice non pécuniaire...) ou à décharge.

Informations et traces recherchées

Les informations et traces recherchées peuvent être :

  • Des images
  • Des documents bureautiques (lettres, documents, feuilles de calcul …)
  • Les adresses email
  • Les courriers électroniques ou SMS envoyés et reçus (si cela a été explicitement autorisé par le Magistrat)
  • Les sites Internet (Internet est le réseau informatique mondial qui rend accessibles au public des services variés comme le courrier électronique, la messagerie instantanée et le World Wide Web, en utilisant le protocole de...) visités
  • Des mots de passe mémorisés
  • Les cookies (informations personnelles d’accès à un site Internet donné)
  • Les logiciels installés
  • Les dates d’activité du PC (dates de création et de dernière modification d’un fichier …)
  • Les numéros appelés ou reçus.

Les informations présentes sur un ordinateur, peuvent être visibles, mais aussi être délibérement cachées ou détruites (certaines pouvant être restaurées).

Exploitation des traces

L’identité de l’auteur est parfois difficile à établir. Il est nécessaire d’effectuer des recoupements, si possible avec des indices externes au média (On nomme média un moyen impersonnel de diffusion d'informations (comme la presse, la radio, la télévision), utilisé pour communiquer. Les médias...) analysé. En effet, les indices découverts sur un PC peuvent avoir été produits par un tiers qui aurait alors pris son contrôle (Le mot contrôle peut avoir plusieurs sens. Il peut être employé comme synonyme d'examen, de vérification et de maîtrise.) à l’insu de son propriétaire (Par exemple par un accès à distance via Internet). On dit alors que le PC a été compromis. Il est assez difficile de prouver qu’un ordinateur n’a pas été compromis, car un intrus avisé peut avoir effacé les traces de son intrusion. La nécessité du recoupement des indices est un nouveau défi technologique car il faut établir les liens reliant l'indice aux différents médias utilisés.

Les informations mémorisées peuvent être incompréhensibles car chiffrées (disque dur des ordinateurs portables, fichiers encryptés proposés par les nouvelles versions de Windows (Windows est une gamme de systèmes d'exploitation produite par Microsoft, principalement destinées aux machines compatibles PC. C'est le remplaçant de MS-DOS. Depuis les années...) (XP Professionnel). Le décryptage est une science (La science (latin scientia, « connaissance ») est, d'après le dictionnaire Le Robert, « Ce que l'on sait pour l'avoir appris, ce que l'on tient pour vrai au sens large....) et une pratique plus ou moins difficile selon le système de chiffrement (En cryptographie, le chiffrement (parfois appelé à tort cryptage) est le procédé grâce auquel on peut rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de...) utilisé. Banal dans de nombreux cas, le décryptage peut s'avérer très difficile dans d'autres.

Page générée en 0.113 seconde(s) - site hébergé chez Amen
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
Ce site est édité par Techno-Science.net - A propos - Informations légales
Partenaire: HD-Numérique