Analyse post-mortem en laboratoire

Lorsqu’un expert prend connaissance d’une mission d’expertise en informatique ordonnée par la justice, il prend possession des scellés, les brise et commence alors les opérations d’expertise.

L’évolution très rapide des technologies informatiques et l’émergence de nouveaux supports, la diversité des systèmes d’exploitation, l’augmentation de la capacité de stockage des supports numériques, l’impossibilité de maîtriser tous les environnements et les technologies d’investigation, constituent autant de facteurs conduisant à la complexification des techniques de recherches sur les supports numériques dans un cadre judiciaire.

A toutes ces causes, il faut également ajouter différentes méthodes de camouflage des données dites « anti-forensic » qui rendent cette tâche encore plus compliquée.

D’où l’importance de la mise en place d’une procédure bien documentée.

Cette traçabilité garantit à la justice le respect d’une méthode de travail rigoureuse et démontre que l’intégrité de la preuve a été préservée et n’a subi aucune altération pendant les différents processus d’expertise.

La notion de «chain of custody » qui constitue un principe très important dans la procédure pénale américaine, portant sur les procédures relatives à l'admissibilité de la preuve devant la justice, en est une parfaite illustration.

Plusieurs traductions de cette terminologie sont proposées en français, on parle de « rapport de garde », de « chaîne de traçabilité » ou encore de « chaîne de

responsabilité ».

Nous retiendrons la notion de « traçabilité de la preuve » qui nous paraît plus adéquate.

Aux Etats-Unis, l’Institut National de la Justice (NIJ), organisme de recherche, du développement et d’évaluation rattaché au ministère de la justice, définit cette notion comme un « processus utilisé pour maintenir et documenter la traçabilité de la preuve ». Il s’agit d’un suivi de tous les éléments recueillis par les enquêteurs jusqu’à leur présentation devant les tribunaux.

Un procès-verbal établi lors de la réception du matériel informatique à des fins d’expertise, décrit de manière détaillée toutes les étapes de la procédure et les opérations réalisées.

C’est une transparence sur les méthodes de travail qui comporte des descriptions très détaillées des personnes, des lieux, des scellés et tout l’historique des opérations d’expertise.

En France, la pratique de l’expertise en informatique n’est pas très encadrée et notre procédure ne prévoit pas cette règle de traçabilité.

Des guides de bonnes pratiques sont mises en places par les Compagnies d’Experts mais aucune réglementation en la matière exige le respect de ces principes.

Chaque expert reste maître de ses pratiques et de sa propre procédure durant tout le processus d’investigation.

Le respect de plusieurs étapes dans chaque procédure d’investigation informatique reste néanmoins primordial :

Protéger les supports informatiques avec un dispositif de blocage en écriture des données :

Tous les supports informatiques doivent être préservés avec une solution logicielle ou matérielle de blocage en écriture des données du type « Tableau Forensic » ou « FastBloc SE » pour Encase V7.

Cela empêche l’altération du support original et toute éventuelle attaque par un virus ou processus malicieux.

Cette règle connaît des aménagements notamment dans le cadre d’analyse de mémoires volatiles des ordinateurs.

Procéder à des copies physiques des données :

Afin de préserver l’intégrité des supports originaux, il faut toujours réaliser une copie bit-à-bit (identique à l’original) du support examiné et mener les investigations sur des copies de travail.

vérifier l’intégrité des données en produisant les algorithmes MD5 et SHA-1 C’est le calcul de l’empreinte numérique ou le HASH. Après la réalisation de la copie bit-à-bit du support numérique, les données recueillies doivent être contrôlées pour établir la conformité des données copiées par rapport aux données d’origine.

Si on fait une analogie entre l’algorithme MD5 et les empreintes digitales, il y a une chance sur soixante quatre milliards, selon Galton ou une chance sur cent billion, billion selon Osterburg, pour que deux individus aient les mêmes empreintes.

Mais il existe une chance sur trois cent quarante et un décillions pour que deux fichiers différents puissent obtenir la même empreinte.

Analyse et recherche de preuves sur un ordinateur fonctionnant sous Windows : Le tableau ci-dessous reprend les importantes étapes d’analyses et de recherches. Cette liste n’est pas exhaustive, les recherches sont surtout ciblées par la nature de l’affaire et sont conditionnées par rapport aux informations utiles à l’enquête:

Illustration de différentes phases d’analyses et de recherches un ordinateur fonctionnant sous Windows

Analyse des dates de fichiers (MAC times)/Fuseaux horaires

Identification des systèmes de fichiers (FAT, NTFS, EXFAT...), systèmes d’exploitation, informations relatives au disque dur et sessions d’utilisateurs

Identification des virus et malwares Analyse de signatures de fichiers

Analyse des « empreintes numériques » (techniques de hachage et comparaison avec une base de signatures)

Analyse du Registre Analyse des fichiers logs Recherche de mots de passe

Recherche d’utilisation de logiciels d’effacement/ Stéganographie

Recherche de fichiers, volumes cryptés et cachés (techniques de décryptage : attaque par dictionnaire, force brute…)

Récupération des fichiers effacés sur la totalité des secteurs (espaces non alloués, file slacks », fichiers swap et hibernation), « Data Carving »

Récupération de partitions effacées

Recherche par mots clés (recherches avancées GREP) Recherche cache Internet/ historique

Récupération de courriers électroniques

Analyse des traces de messageries instantanées Analyses d’informations relatives aux réseaux sociaux Recherche de fichiers multimédia, programmes spécifiques… Analyses traces adresses IP

Recherches ciblées en fonction de la nature de l’affaire notamment numéros de carte de crédit.