Informatique légale - Définition

Terminologie

La compréhension de l'informatique légale requiert celle des concepts qui lui sont liés. La terminologie française peut être mise en rapport avec les travaux de l'Anti-Cartel Enforcement Manuel, Chapter 3 : Digital Evidence Gathering, April 2006, avec lesquels elle est en parfaite cohérence. Il s'agit toutefois d'une adaptation et non d'une traduction.

La terminologie suivante est proposée par le LERTI (Laboratoire d'expertise et de recherche de traces informatiques).

Investigation numérique

Terme adapté de l'anglais « computer forensics », l'expression « investigation numérique » représente l'utilisation de techniques spécialisées dans la collecte, l'identification, la description, la sécurisation, l'extraction, l'authentification, l'analyse, l'interprétation et l'explication de l'information numérique. Ces techniques sont mises en œuvre quand une affaire comporte des questions relatives à l'usage d'un ordinateur et de tout autre support d'information, ainsi qu'à l'examen et l'authentification de données en faisant appel aux techniques d'analyse du fonctionnement des ordinateurs ou à la connaissance des structures de données. L'investigation numérique est une branche spécialisée de l'informatique qui requiert des compétences allant au-delà de celles nécessaires à la maintenance et à la sécurité informatique.

Information numérique

Terme adapté de l'anglais « digital information », l'expression « information numérique » représente toute information présentée de manière digitale et qui peut être divisée entre l'information proprement dite – constituant les données – (texte, dessin, image, son, base de données …) et les informations relatives à cette information proprement dite appelées métadonnées (nom de fichier, nom de répertoire, date et heure de création, de modification ou d'édition d'un document, expéditeur d'un courrier électronique …). La connaissance d'une métadonnée peut être le moyen de la découverte de l'information proprement dite. Inversement, les métadonnées peuvent constituer des preuves numériques (datation d'un événement, expéditeur d'un courrier électronique…).

Preuve numérique

Terme adapté de l'anglais « digital evidence », l'expression « preuve numérique » représente toute information numérique pouvant être utilisée comme preuve dans une affaire de type judiciaire. La collecte de l'information numérique peut provenir de l'exploitation de supports d'information, de l'enregistrement et de l'analyse de trafic de réseaux (informatiques, téléphoniques …) ou de l'examen de copies numériques (copies-images, copies de fichiers …). Les copies-écran d'informations numériques ne sont pas des preuves numériques au sens de la présente définition, mais elles peuvent servir de point de départ pour la recherche ultérieure de preuves numériques.

Support d'information

Terme adapté de l'anglais « data carrier », l'expression « support d'information » représente tout dispositif permettant la transmission ou l'enregistrement de l'information numérique et comportant notamment les disques durs, les disques amovibles, les assistants personnels (PDA), les clés USB, les téléphone portable et leurs cartes SIM, les mémoires flash (appareils photographiques), les routeurs, serveurs et autres appareils pour les réseaux, les cartes à puce ou à pistes (bancaires ou non).

Rapport d'investigation

Terme adapté de l'anglais « chain of evidence », l'expression « rapport d'investigation » représente un enregistrement des étapes d'une investigation numérique permettant de garantir qu'une preuve numérique est issue de manière irrévocable d'une information numérique. Ce rapport décrit comment l'information numérique originale a été préservée, donne son empreinte numérique, décrit les moyens logiciels et matériels de blocage en écriture utilisés, décrit les opérations réalisées et les logiciels mis en œuvre, expose les éventuels incidents rencontrés et notamment les modifications de l'information numérique analysée, énonce les preuves réunies et donne les numéros de série des supports d'information utilisés pour leur enregistrement. Ce rapport est un rapport judiciaire si et seulement s'il est produit à la demande d'une institution de type judiciaire et s'il est associé à un rapport de garde.

Rapport de garde

Terme adapté de l'anglais « chain of custody », l'expression « rapport de garde » représente un rapport ou procès-verbal établi lors de la saisie ou de la réception d'une information numérique et de son support, comportant toute information sur le détenteur antérieur (propriétaire, usager, gardien), les lieux et conditions d'acquisition (saisie, transmission), la nature du support d'information (description physique avec photographie, numéro de série), la description éventuelle de l'information numérique (méta-données, structure des données, empreinte numérique), la situation d'accès aux données (accessibles ou non), la présence de sceau (avec identification), le libellé de l'étiquette d'accompagnement, les dates d'ouverture et de fermeture du support, la mention des modifications éventuelles (suppression de mot de passe) et l'état de restitution du support (scellé, accessibilité aux données, étiquette) avec photographie.

Empreinte numérique

Terme adapté de l'anglais « hash value », l'expression « empreinte numérique » représente une empreinte digitale d'une information numérique produite par un algorithme mathématique appliqué à cette information (disque physique ou logique, fichier). Cet algorithme – par essence à sens unique – doit être tel qu'il soit impossible (en pratique) de changer l'information numérique sans changer la valeur de l'empreinte. Autrement dit, si l'empreinte numérique d'un fichier n'a pas changé, alors ce fichier n'a pas été modifié et réciproquement. Pour être certaine, l'empreinte numérique doit être calculée de deux manières indépendantes (pour les disques durs en particulier). Parfois désigné par "valeur de hachage".

Copie-image

Terme adapté de l'anglais « forensic copy », l'expression « copie-image » représente une copie bit à bit intégrale de l'information numérique présente sur un support d'information, y compris espaces non utilisés, espaces non alloués et queues de clusters, effectuée à l'aide d'un logiciel spécifique. Réalisée dans le cadre d'une investigation numérique légale, une copie-image doit être pure et parfaite ; dans le cas contraire, le rapport d'investigation explique les raisons de l'impureté ou de l'imperfection.

Copie pure et parfaite

Une copie est dite « pure » quand son empreinte numérique est identique à celle – confirmée – de l'information numérique dont elle est la copie ; elle est en outre dite « parfaite » quand cette information numérique originale n'a pas été modifiée par l'opération de copie.