Large panorama des m�thodes informatiques criminalistiques

L'expert en informatique l�gale

Pr�sentation

Nous allons maintenant nous int�resser � ce m�tier, son r�le et son degr� d�intervention dans une enqu�te.

L�expert en informatique l�gale n�est pas une star hollywoodienne mais une personne comme vous et moi. C�est un professionnel sp�cialis� dans l�informatique, qui, par devoir de secret professionnel, tente de respecter le silence et l�anonymat, ce qui garantit aucune fuite sur une enqu�te en cours et permet de prot�ger ses proches du danger. L�informatique �volue � tr�s grande vitesse, il se doit donc de garder ses comp�tences � jour. D�clar� sur une liste d�experts judiciaires aupr�s d�une Cour, il a les connaissances n�cessaires pour travailler en regard des contraintes l�gales. Un juge peut faire appel � ses comp�tences pour analyser les preuves d�une enqu�te en cours et r�diger un rapport d�expertise.

Pour aider la justice, l�expert va analyser et faire parler les preuves qui ont �t� trouv�es sur la sc�ne. Une preuve peut �tre physique (tout objet possible), digitale (un document num�rique), chimique (une odeur) � Les preuves seront pr�sent�es aux juges en cour de justice d�o� la n�cessit� de les collecter et de les �tudier en laboratoire de la mani�re la plus efficace qui soit. L�expert souhaite conserver les preuves de mani�re durable pour qu�elles servent lors d�un proc�s (qui peut durer, �tre retard�, �tre report�). En effet, une preuve peut �tre p�rissable soit par sa nature (sang, poison, etc �) soit par l�interaction avec son environnement (le feu, l�humidit�, l�air, les animaux, les insectes �). Elle peut �tre d�truite avant, au cours ou apr�s l�intervention d�o� la n�cessit� de figer les preuves en prenant des photographies, des empreintes, des documents, ... et en les num�risant.

Types de mission

Un expert en informatique l�gale peut intervenir � des moments pr�cis d�une enqu�te et �tre sollicit� par diff�rentes personnes. On peut faire appel � lui dans les situations suivantes :

Lors d�une instruction ou d�un proc�s par un juge : c'est par exemple le cas d'une affaire o� le mari, apr�s avoir offert un t�l�phone portable � sa femme, espionne sa messagerie par m�fiance de s'�tre fait tromp�. Comme il est question principalement d'atteinte � la vie priv�e de la femme, non-respect des droits du mariage et droit de propri�t� puisque la facture du-dit portable est au nom du monsieur, l'affaire reste sensible en tout point. Cela va donc d�pendre de la d�cision du juge de faire r�aliser ou non une expertise sur le contenu de la messagerie pour en savoir plus.
Lors de l�enqu�te pr�liminaire par un procureur ou officier de police : C'est le cas de l�employeur suspectant un employ� d�avoir vendu des donn�es confidentielles de l'entreprise � un concurrent. Jusqu'� l'�lucidation de l'affaire, la pr�somption d'innocence doit �tre de mise. S'il s'av�re que le coupable est bien cet employ�, l'affaire se r�gle au p�nal. Si toutefois, l'employ� est accus� � tort (s'il y a eu usurpation d'identit� par exemple), cela se termine chez les Prud'Hommes contre l'employeur.
Lors d'une enqu�te de flagrance par un officier de police : C'est le cas du pirate pris en flagrant d�lit d'attaque informatique sur les donn�es d'une TPE. L'expert et les forces de l'ordre sont d�p�ch�s sur le terrain dans l'entreprise pour diagnostiquer l'environnement attaqu�, remonter � la source, s�curiser le syst�me et effectuer les sauvegardes et restaurations. L'expert est le bouclier de l'entreprise tandis que l'officier de police est l'�p�e. Le premier intervient pour enqu�ter, d�tecter la source et r�soudre le probl�me. Le dernier intervient pour s'assurer que tout est fait en regard de la loi, attester des preuves fournies et pour appr�hender le coupable.

P�rim�tre et domaines d'intervention

En r�gle g�n�rale, les professionnels qui approchent la sc�ne suivent les d�marches suivantes :

Processus d'investigation en enqu�te pr�liminaire

Soigner les bless�s.
Identifier les victimes et les t�moins de cette sc�ne.
D�finir un p�rim�tre de s�curit� autour de la sc�ne et ne laisser personne obstruer l�enqu�te qui va avoir lieu.
Une course contre la montre d�marre, les preuves peuvent � tout moment dispara�tre. D�o� la n�cessit� d�agir vite pour les conserver au mieux. Les experts concern�s (les Techniciens d�Investigation Criminelle = TIC) vont collecter toutes les donn�es utiles. Elles seront analys�es en laboratoire par des experts et permettront d�en savoir plus sur l�affaire.
Des interrogatoires permettront de proc�der par �limination afin d�identifier si les suspects sont coupables ou non.

L'expert en informatique l�gale intervient lors de la 4�me �tape pour collecter et analyser les preuves. Les autres �tapes concernent principalement les enqu�teurs et forces de l�ordre. Il est parfois n�cessaire de r�p�ter les phases 1 � 4 pour que l�affaire soit r�solue.

Processus d'investigation en enqu�te de flagrance

La d�marche diff�re lors d�une enqu�te de flagrance car l�officier de police et l�expert doivent :

Identifier et comprendre ce qu�il s�est pass� sur le syst�me ou l'environnement (acteurs, actions, causes et cons�quences).
Mettre en place des outils adapt�s pour localiser le probl�me et sa source.
Collecter et analyser les preuves (�couter le r�seau, effectuer des tests d'intrusion, collecter les logs, tracer les paquets �).

D�s qu�ils ont une piste, ils vont tenter de saisir la flagrance de l�acte en enregistrant num�riquement le d�lit comme preuve. Une fois qu�ils sont remont�s jusqu�� la source du probl�me, ils peuvent identifier le coupable et l�inculper. L'expert en informatique l�gale intervient aux �tapes 1 � 5 avant l�inculpation. Seul l�officier de police se charge d�inculper le coupable. Enfin, il est parfois n�cessaire de r�p�ter les phases 1 � 4 pour que l�affaire soit r�solue.

L'expert en informatique l�gale travaille pour la loi. Par cons�quent, il se doit de la respecter. Un certain nombre de contraintes viennent alors s'ajouter aux difficult�s de son travail comme notamment le respect de la vie priv�e ou encore la pr�somption d'innocence. Ces contraintes peuvent g�n�ralement �tre respect�es en se posant les questions suivantes :

Puis-je lire un email ?
Puis-je consulter les appels t�l�phoniques pass�s ?
Puis-je obtenir une copie d�une facture t�l�phonique ?
Puis-je consulter le contenu d�une archive chiffr�e ?
Comment formuler le fait qu�on ait trouv� des documents compromettants illicites ou ill�gaux sur un ordinateur scell� lors d�une enqu�te ?

Jusqu�au terme d�une enqu�te, il ne faut jamais accuser une personne. Ce m�tier n�cessite donc une prise de recul et de la diplomatie. En effet, la personne suspect�e d�un d�lit ou d'un crime peut tr�s bien �tre victime d�une usurpation d�identit�. Dans le cadre d'une enqu�te, les actions � prendre d�pendent souvent de la d�cision d'un juge qui va demander � l'expert de briser ou non une contrainte afin de lever le voile sur un fait � partir d'une preuve. Malgr� ces exemples succints de contraintes, le leitmotiv de l'expert reste le suivant : "Tout ce qui doit �tre affirm� doit �tre prouv� scientifiquement".

Bienvenue

Informatique criminalistique

L'expert en informatique l�gale

Outils et m�thodologies informatiques

Techniques

Finalit� de la pr�sentation

R�f�rences

Large panorama des m�thodes informatiques criminalistiques

L'expert en informatique l�gale

Pr�sentation

Types de mission

P�rim�tre et domaines d'intervention

Contraintes l�gales