Informatique légale - Définition

Introduction

On désigne par informatique légale ou investigation numérique légale l'application de techniques et de protocoles d'investigation numériques respectant les procédures légales et destinée à apporter des preuves numériques à la demande d'une institution de type judiciaire par réquisition, ordonnance ou jugement. On peut donc également la définir comme l'ensemble des connaissances et méthodes qui permettent de collecter, conserver et analyser des preuves issues de supports numériques en vue de les produire dans le cadre d'une action en justice.

Ce concept, construit sur le modèle plus ancien de médecine légale, correspond à l'anglais computer forensics.

Nombreux termes employés

L'investigation numérique peut se retrouver sous des formulations diverses en langue française, dont les sens ne sont pas toujours exactement les mêmes. Les concepts de "Investigation informatique légale", "Expertise technico-légale d'ordinateurs", "Inforensique", "Criminalistique informatique" sont proches de celui d'Informatique légale. Les concepts d' "Analyse post-mortem" ou d' "Autopsie informatique" (terme peu usité) ne désignent qu'une partie de l'Informatique légale — L'autre partie concerne les investigations sur des systèmes en cours de fonctionnement —.

Démarche

Les PC, PDA (assistants personnels), téléphones mobiles et appareils photos numériques, sont des média qui contiennent de nombreuses informations produites ou (et) échangées avec des tiers, qu'un expert peut retrouver, quand bien même les fichiers originaux auraient été effacés.

La recherche d'éléments ou de traces peut conduire à la constitutions d'indices, des faisceaux d'indices, voire de preuves. L'expert est neutre : les indices et preuves peuvent être à charge ou à décharge.

Informations et traces recherchées

Les informations et traces recherchées peuvent être :

• Des images
• Des documents bureautiques (lettres, documents, feuilles de calcul …)
• Les adresses électroniques
• Les courriers électroniques ou SMS envoyés et reçus (si cela a été explicitement autorisé par le Magistrat)
• Les sites Internet visités
• Des mots de passe mémorisés
• Les cookies (informations personnelles d’accès à un site Internet donné)
• Les logiciels installés
• Les dates d’activité du PC (dates de création et de dernière modification d’un fichier …)
• Les numéros appelés ou reçus.

Les informations présentes sur un support numérique, peuvent être visibles, mais aussi être délibérément cachées ou détruites (certaines pouvant être restaurées).

Validité de la preuve numérique

La preuve apportée est à sens unique : l'absence de preuve n'est pas la preuve de l'absence.

L'investigation numérique peut en effet déboucher sur le constat de l'absence des informations recherchées. Compte tenu des techniques d'enregistrement des données numériques, ces informations peuvent pourtant avoir été présentes sur le support analysé et avoir été recouvertes ensuite par d'autres.

Autrement dit, si l'investigation numérique ne trouve pas l'information recherchée, cette preuve ne vaut qu'en l'état du support et au moment de son analyse. Il ne peut en aucun cas en être déduit que ce support n'a jamais comporté l'information en cause.

Exploitation des traces

L’identité de l’auteur est parfois difficile à établir. Il est nécessaire d’effectuer des recoupements, si possible avec des indices externes au média analysé. En effet, les indices découverts sur un PC peuvent avoir été produits par un tiers qui aurait alors pris son contrôle à l’insu de son propriétaire (Par exemple par un accès à distance via Internet). On dit alors que le PC a été compromis. Il est assez difficile de prouver qu’un ordinateur n’a pas été compromis, car un intrus avisé peut avoir effacé les traces de son intrusion. La nécessité du recoupement des indices est un nouveau défi technologique car il faut établir les liens reliant l'indice aux différents médias utilisés.

Les informations mémorisées peuvent être incompréhensibles car chiffrées (disque dur des ordinateurs portables, fichiers encryptés proposés par les nouvelles versions de Windows XP Professionnel). La cryptanalyse est une science et une pratique plus ou moins difficile selon le système de chiffrement utilisé. Parfois banal (mais désormais dans de rares cas), le décryptage s'avère généralement impossible, ou à tout le moins très difficile, les algorithmes de génération de clé et de chiffrement actuels étant très efficaces.

Plusieurs logiciels, dont EnCase, WinHex, Forensic Toolkit (FTK), SMART, The Coroner's Toolkit (TCT), The Sleuth Kit (TSK), Safeback, Snapback et matériels dédiés, dont Forensic Recovery of Evidence Device (FRED), gamme Logicube, ainsi que X-Ways, CelleBrite (pour les téléphones) ont été développés pour répondre à la forte croissance des besoins (justice, police et gendarmerie, services secrets, officines privées,...).