Récupérer des données effacées volontairement, rechercher l’adresse IP d’un « corbeau », montrer que des fichiers ont été téléchargés par tel ou tel utilisateur, que des sites au contenu illicite ont été visités, qu'un virus a été créé sur un poste, qu’un employé est en contact avec un concurrent, qu’un contrat a été anti-daté, etc. Ces missions sont quelques unes des missions de recherche de preuves informatiques traitées dans notre laboratoire.
La « recherche de preuves informatiques » consiste en la recherche d’informations sur un support informatique (le disque dur étant le plus courant) pouvant le cas échéant être utilisées devant un tribunal.
Ces recherches doivent être réalisées par des spécialistes respectant des méthodes « scientifiques ». En dehors des aspects juridiques liés à leur obtention, la « qualité » des preuves et donc leur recevabilité dépendront naturellement de la méthode employée et du respect de certaines règles, tant par le client que par nos spécialistes.
Mise en quarantaine du support suspect
Tout comme sur une scène de crime où seuls les services spécialisés de la police judiciaire peuvent intervenir, l’ordinateur suspect doit être isolé pour ne plus être utilisé (ni être utilisable fortuitement). La preuve est ainsi protégée des actions pouvant la détruire, la modifier avant l’arrivée des spécialistes.
Agir vite pour une qualité de preuve optimale
Windows garde une trace de la plupart des opérations effectuées par un ordinateur, mais avec le temps, celles-ci s’étiolent. Cela dit, il n’est pas toujours nécessaire de recueillir des éléments complets. En ce qui concerne les documents effacés, le disque dur en conserve parfois longtemps des traces, ce qui peut être dans certains cas suffisant : par exemple pour prouver que deux personnes se sont échangé des courriers électroniques, qu'un document a été créé, etc.
Le respect d'une procédure stricte
Tout comme la police scientifique porte des gants pour éviter d’effacer des empreintes ou d’en créer de supplémentaires, nos spécialistes respectent des procédures strictes visant à ne pas modifier ou détruire la preuve.
Première règle : effectuer les investigations sur une copie parfaite du disque dur incriminé, (nous préconisons deux copies pour pouvoir travailler sur la première tout en tenant la seconde à disposition de la justice) et jamais sur l’original.
Deuxième règle : journaliser toutes nos actions et interventions, afin que l’expertise puisse être reproduite dans les mêmes conditions si nécessaire.
Le respect de la loi
Nous conseillons aux clients de consulter leur service juridique et/ou leur avocat avant d’entamer toute recherche, ceci afin de respecter la loi et de donner aux preuves recueillies les meilleures chances d’être recevables devant un tribunal.
Le travail en laboratoire
Les spécialistes de Kroll Ontrack mènent les investigations en laboratoire, avec des logiciels utilisés par les services de police scientifique, qui permettent de consulter, extraire, visualiser tous les fichiers et traces de fichiers sans altérer ni modifier le support examiné.
Nous disposons par ailleurs de la puissance technologique du groupe pour :
- réaliser des images fidèles et de très haute qualité du support investigué (copies dites « bit à bit »)
- récupérer des documents perdus ou effacés, y compris dans les messageries électroniques
- effectuer des recherches par mots clés ou par « concepts » (dérivé de l’intelligence artificielle) sur des fichiers ou des traces de fichiers.
Les résultats sont consignés dans un rapport circonstancié (disponible en français ou en anglais) que nous nous efforçons de rendre le plus accessible possible à des non informaticiens.
La recherche de preuves au service de la Justice
Nous mettons notre laboratoire parisien au service de la police judiciaire, des experts judiciaires et des magistrats, pour les assister dans des missions d’investigation, en particulier lorsqu’elles nécessitent d’être réalisées dans des délais extrêmement brefs ou avec des moyens techniques de laboratoire.
Kroll Ontrack entend ainsi participer à la lutte contre la cybercriminalité, et la délinquance en général.
Voici quelques exemples d’interventions :
- assistance à perquisition, destinée à recueillir des copies de supports informatiques destinés à être expertisés
- récupération de données sur des supports endommagés, ou dont les données sont inaccessibles ou corrompues
- analyse des messages, carnets d’adresses, répertoires conservés dans les mémoires et cartes des téléphones portables
Pour laisser un message à nos experts : preuve@ontrack.fr ou par téléphone au 0800 774 877.
|
Imprimer cette page