Alors que de plus en plus d’utilisateurs se déplacent et utilisent des appareils interconnectés, les ordinateurs sont souvent au centre des incidents et des enquêtes. Les preuves devant un tribunal sont souvent recueillies grâce aux compétences d’experts en médecine légale numérique capables d’extraire des données cruciales des appareils électroniques appartenant aux parties concernées. Les responsables du droit dépendent parfois du témoignage d’analystes judiciaires en informatique spécialisés dans la découverte électronique; ces experts sont appelés à travailler directement avec les policiers et les détectives pour aider à identifier, préserver, analyser et présenter des preuves numériques pour aider à résoudre les affaires criminelles.
L’objectif de l’article est de fournir un aperçu de la criminalistique informatique et des méthodes appliquées dans l’acquisition de preuves numériques à partir de systèmes informatiques et d’appareils mobiles pour l’analyse d’informations impliquées dans des enquêtes criminelles. Il aborde également les derniers défis de la médecine légale: criminalistique mobile, criminalistique cloud et anti-criminalistique.
Experts légistes en informatique
Le travail des experts légistes consiste à « aider à identifier les criminels et à analyser les preuves contre eux », explique Hall Dillon dans un article sur les perspectives de carrière pour le Bureau of Labor Statistics des États-Unis.
Des personnes formées et qualifiées travaillent pour les forces de l’ordre publiques ou dans le secteur privé pour effectuer des tâches liées à la collecte et à l’analyse de preuves numériques. Ils sont également responsables de la rédaction de rapports significatifs à utiliser dans des contextes d’enquête et juridiques. En plus de travailler en laboratoire, les experts médico-légaux appliquent des techniques d’enquête numériques sur le terrain pour découvrir des métadonnées qui ont de l’importance dans un tribunal.
Les analystes judiciaires informatiques d’aujourd’hui sont capables de récupérer des données qui ont été supprimées, cryptées ou cachées dans les plis de la technologie des appareils mobiles; ils peuvent être appelés à témoigner devant le tribunal et rapporter les preuves trouvées lors des enquêtes. Ils peuvent être impliqués dans des cas difficiles, notamment la vérification des alibis des délinquants, l’examen de l’abus d’Internet, de l’utilisation abusive des ressources informatiques et de l’utilisation du réseau pour proférer des menaces liées à l’informatique. Des experts médico-légaux peuvent être appelés pour soutenir des affaires majeures impliquant des violations de données, des intrusions ou tout autre type d’incident. En appliquant des techniques et des applications médico-légales de logiciels propriétaires pour examiner les appareils ou les plates-formes du système, ils pourraient être en mesure de fournir des découvertes clés pour identifier qui était / était responsable d’un crime faisant l’objet d’une enquête.
La discipline en pleine expansion de la criminalistique informatique est devenue son propre domaine d’expertise scientifique, avec des formations et certifications d’accompagnement (CCFE, CHFI). Selon Computer Forensics World, une communauté de professionnels impliqués dans l’industrie de la criminalistique numérique, les personnes certifiées dans ce domaine sont responsables de l’identification, de la collecte, de l’acquisition, de l’authentification, de la conservation, de l’examen, de l’analyse et de la présentation des preuves à des fins de poursuite.
Le processus de criminalistique informatique
Le but d’un examen médico-légal informatique est de récupérer les données des ordinateurs saisis à titre de preuves dans le cadre d’enquêtes criminelles. Les experts utilisent une approche systématique pour examiner les éléments de preuve qui pourraient être présentés au tribunal pendant la procédure. L’implication d’experts médico-légaux doit être précoce dans une enquête car ils peuvent aider à collecter correctement le matériel technique de manière à permettre de restaurer le contenu sans nuire à son intégrité.
Les efforts d’enquête médico-légale peuvent impliquer plusieurs (ou toutes) des étapes suivantes:
- Collecte – recherche et saisie de preuves numériques et acquisition de données
- Examen – application de techniques pour identifier et extraire des données
- Analyse – utilisation de données et de ressources pour prouver un cas
- Rapport – présentation des informations recueillies (par exemple, rapport de cas écrit)
Bill Nelson, l’un des auteurs contributeurs du Guide to Computer Forensics and Investigations (troisième éd.) livre, souligne l’importance des trois A de la criminalistique informatique: Acquérir, Authentifier et Analyser. Il dit que le processus de criminalistique informatique, en fait, implique d’adopter une approche systématique, qui comprend une évaluation initiale, l’obtention de preuves et leur analyse, pour compléter un rapport de cas (2008, pp. 32-33).
Les cas médico-légaux varient considérablement; certains traitent d’intrus informatiques volant des données; d’autres impliquent des pirates informatiques qui pénètrent sur des sites Web et lancent des attaques DDoS, ou tentent d’accéder à des noms d’utilisateur et des mots de passe pour le vol d’identité avec des intentions frauduleuses, dit le FBI. Certains cas impliquent du cyber-harcèlement ou des malfaiteurs qui visitent des sites interdits (p. ex., des sites de pornographie juvénile). Un légiste peut explorer la cyber-piste laissée par le délinquant.
Quelle que soit la raison de l’enquête, les analystes suivent des procédures étape par étape pour s’assurer que les conclusions sont solides. Une fois qu’une affaire pénale est ouverte, des ordinateurs et d’autres équipements et logiciels de médias numériques seront saisis et/ou feront l’objet d’une enquête pour obtenir des preuves. Au cours du processus de récupération, tous les éléments essentiels sont collectés afin de donner à l’analyste médico-légal ce dont il a besoin pour témoigner devant le tribunal.
Ensuite, il est temps d’extraire et d’analyser les données. Un enquêteur médico-légal en informatique prend en compte les 5W (Qui, Quoi, Quand, Où, Pourquoi) et Comment un crime ou un incident informatique s’est produit. En utilisant des critères d’évaluation standard, l’examinateur peut identifier les manquements liés à la sécurité dans un environnement réseau à la recherche de trafic suspect et de tout type d’intrusion, ou il peut collecter des messages, des données, des images et d’autres informations à attribuer de manière unique à un utilisateur spécifique impliqué dans un cas.
Le processus de criminalistique comprend également la rédaction de rapports. Les légistes informatiques sont tenus de créer de tels rapports pour que l’avocat discute des preuves factuelles disponibles. Il est important de préparer des preuves médico-légales pour le témoignage, en particulier lorsque les affaires sont jugées et que l’examinateur est appelé comme témoin technique / scientifique ou témoin expert.
Moyens d’obtenir des preuves médico-légales
Traditionnellement, les enquêtes médico-légales informatiques étaient effectuées sur des données au repos, par exemple en explorant le contenu des disques durs. Chaque fois qu’un médecin légiste a besoin d’une analyse plus approfondie (par exemple pour effectuer une imagerie — la copie de disques durs, de lecteurs flash, de disques, etc.), cela se faisait normalement dans un environnement de laboratoire contrôlé. L’analyse morte (également connue sous le nom d’acquisition médico-légale morte ou simplement d’acquisition statique) est la possession de données qui est effectuée sur des ordinateurs qui ont été éteints. En d’autres termes, cela implique des examens du système (et de certaines parties de celui-ci) au repos (morts). La technique d’analyse en direct consiste plutôt à collecter des données à partir d’un système avant de l’éteindre. Une analyse morte est jugée nécessaire pour avoir le temps de récupérer également des preuves physiques comme l’ADN (empreintes digitales sur le matériel); cependant, c’est l’acquisition en direct sur le terrain qui est actuellement au centre de l’attention des experts médico-légaux.
Effectuer une « analyse en direct » sur le terrain fournit des preuves rapides et immédiates; elle peut être effectuée grâce à des outils d’analyse qui sont maintenant portables et peuvent être transportés par les analystes sur les lieux du crime pour commencer immédiatement l’enquête.
Même si un légiste peut avoir besoin du laboratoire du crime pour une analyse plus approfondie ou pour effectuer un processus répétitif (ce qui n’est pas possible avec des acquisitions réelles), tous les cas ne l’exigent pas. Néanmoins, il est important que l’examinateur judiciaire recueille juste assez d’informations pour déterminer la prochaine étape appropriée de l’enquête. Cette approche garantit l’absence de perte ou d’endommagement de preuves numériques, de perte de données volatiles ou la nécessité d’un mandat de saisie de l’équipement.
Des enquêtes en direct sont déjà effectuées depuis des années. À l’ère numérique actuelle et à l’augmentation de la criminalité informatique, il n’est pas surprenant qu’il soit nécessaire d’employer des analystes judiciaires pour l’analyse et l’interprétation des preuves numériques (par exemple, les systèmes informatiques, les supports de stockage et les appareils), explique Marcus K. Rogers, Département d’informatique et de technologie de l’information de l’Université Purdue. Dans un article sur le Modèle de processus de triage sur le terrain de la Cyber-criminalistique (CFFTPM) en 2006, il a noté que « Le CFFTPM propose une approche sur place ou sur le terrain pour fournir l’identification, l’analyse et l’interprétation des preuves numériques dans un court laps de temps, sans avoir à ramener le ou les systèmes / supports au laboratoire pour un examen approfondi ou acquérir une ou des images médico-légales complètes. »
Quelques outils de forensique informatique
Outils logiciels de forensique complets (tels que Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD, etc.) sont utilisés par les enquêteurs des lieux de crime pour fournir leur collecte, leur indexation et leur analyse détaillée.
Une enquête médico-légale consiste à collecter des informations médico-légales informatiques; le processus peut commencer par analyser le trafic réseau avec un analyseur de paquets ou un outil de reniflage comme Wireshark capable d’intercepter le trafic et de le consigner pour une analyse plus approfondie. NetworkMiner, un autre outil d’analyse médico-légale du réseau (NFAT), est une alternative à Wireshark pour extraire ou récupérer tous les fichiers. Snort, au contraire, est un outil précieux pour traquer les intrus du réseau en temps réel.
Le logiciel NFAT contient également des fonctionnalités médico-légales en effectuant des analyses sur le trafic réseau stocké, comme son nom l’indique. En ce qui concerne la réponse aux incidents et l’identification, une boîte à outils médico-légale, ou FTK, peut être utilisée pour identifier les fichiers supprimés et les récupérer; alors que, EnCase est apte à une utilisation médico-légale, de cybersécurité et de découverte électronique.
Le besoin de nouveaux outils médico-légaux
La mise en œuvre et la croissance rapide des nouvelles technologies ont créé pas mal de problèmes aux analystes médico-légaux qui sont maintenant confrontés à la tâche de rechercher des informations non seulement sur les ordinateurs personnels et les ordinateurs portables, mais aussi (et plus souvent) sur les tablettes et les smartphones.
« La criminalistique des appareils mobiles est la science qui consiste à récupérer des preuves numériques à partir d’un appareil mobile dans des conditions médico-légales en utilisant des méthodes acceptées », déclare le NIST dans ses « Directives sur la criminalistique des appareils mobiles. »Le guide souligne comment les analystes judiciaires doivent avoir une compréhension ferme, aujourd’hui, du caractère unique du monde mobile et comprendre la plupart des fonctionnalités technologiques derrière tout modèle et type d’appareil que l’on peut trouver sur une scène de crime.
La prolifération des systèmes d’exploitation propriétaires, des technologies de cryptage et des outils de protection développés par des sociétés de smartphones comme Nokia, Samsung, LG, Huawei, Apple et plus oblige les analystes à suivre les derniers développements à un rythme plus rapide que jamais. Les nouveaux appareils avancés d’aujourd’hui sont produits à des taux plus élevés et leur extraction d’informations, même après avoir contourné les fonctionnalités de sécurité évidentes qui les protègent, présente des défis uniques.
En travaillant avec des ordinateurs autonomes, un analyste savait où chercher des données (RAM, BIOS, HHD…). Dans un stockage d’appareil mobile, il n’est pas aussi clair et des informations pertinentes peuvent être trouvées à plusieurs endroits, de la mémoire NAND à la mémoire flash NOR en passant par la RAM d’une carte SIM, par exemple.
Il est important de travailler de manière à préserver les données en tenant compte, par exemple, de problèmes tels que les effets du drainage de l’énergie sur la mémoire volatile de l’appareil qui pourraient révéler des informations importantes sur les exécutions de programmes sur l’appareil. De plus, « Les systèmes d’exploitation fermés rendent difficile l’interprétation de leur système de fichiers et de leur structure associés. De nombreux appareils mobiles avec le même système d’exploitation peuvent également varier considérablement dans leur mise en œuvre, ce qui entraîne une myriade de permutations de systèmes de fichiers et de structures. Ces permutations créent des défis importants pour les fabricants d’outils médico-légaux mobiles et les examinateurs. »(Publication spéciale 800-101 du NIST, Révision 1)
Comme l’explique le National Institute of Standards and Technology (NIST), nombreuses sont les techniques que les analystes peuvent utiliser pour collecter des données médico-légales à partir d’appareils mobiles, de l’extraction manuelle moins intrusive à la micro-lecture invasive, sophistiquée et coûteuse. L’extraction manuelle signifie obtenir des informations en utilisant simplement l’interface utilisateur et l’affichage de l’appareil. La deuxième étape est encore basique et implique une extraction logique. Le troisième niveau implique des méthodes d’extraction hexadécimale / JTAG; il nécessite une approche de collecte de données plus difficile – réalisée par l’acquisition physique de la mémoire de l’appareil. Le quatrième niveau est la méthode de suppression de puce qui implique la suppression réelle de la mémoire et le cinquième, la méthode la plus difficile et la plus sophistiquée est la technique de Micro-lecture dans laquelle les analystes utilisent un microscope sophistiqué pour visualiser l’état physique de toutes les portes.
Le NIST travaille non seulement à une approche commune de la criminalistique mobile, mais aussi à fournir un forum pour recueillir des idées sur la criminalistique du cloud. Le cloud computing est une technologie à croissance rapide maintenant utilisée par la plupart des utilisateurs d’appareils mobiles et de nombreuses entreprises. Sa flexibilité et son évolutivité en font un choix attrayant pour la plupart des utilisateurs, mais pose également des défis médico-légaux uniques.
En plus des défis techniques, en fait, le cloud computing pose des problèmes de compétence et de droit. En fait, les données peuvent être stockées et accessibles n’importe où et il peut être problématique pour les enquêteurs d’accéder aux données dans différents pays ou d’une manière qui préserve les droits à la vie privée des autres utilisateurs du cloud.
De plus, il est parfois difficile d’attribuer des données et des actions à un utilisateur particulier. La récupération des données pourrait également être problématique en raison de l’écrasement et de la réutilisation de l’espace dans un environnement cloud.
Les enquêteurs doivent également connaître les techniques, outils et pratiques anti-criminalistique qui peuvent rendre l’analyse médico-légale non concluante, en particulier dans un environnement cloud. Certains types de logiciels malveillants et de techniques d’obscurcissement peuvent compromettre l’intégrité des preuves recueillies et rendre les conclusions difficiles à présenter au tribunal.
Conclusion
Comme l’explique Infosec sur son site Web, « Les entreprises d’aujourd’hui ont besoin de spécialistes de la criminalistique informatique pour déterminer la cause première d’une attaque de pirates informatiques, recueillir des preuves légalement admissibles devant les tribunaux et protéger les actifs et la réputation de l’entreprise. »
Avec des cybercrimes (i.e., tout acte criminel concernant les ordinateurs et les réseaux) à la hausse et menaçant les données organisationnelles, ainsi que l’utilisation accrue des appareils numériques par la population en général, l’analyse des preuves numériques devient un élément crucial sur de nombreuses scènes de crime.
L’informatique judiciaire est maintenant une profession passionnante qui met l’accent sur l’élément humain, mais pose également des défis en raison de la nécessité de découvrir des preuves numériques dans un environnement en constante évolution. Les progrès technologiques et le passage à des environnements en réseau et cloud où les méthodes anti-forensiques peuvent facilement entrer en jeu obligent les professionnels du domaine à se tenir au courant et à réviser en permanence les procédures opérationnelles standard.
Rebecca T. Mercuri, fondatrice de Notable Software, Inc., a noté dans un article scientifique sur les défis de l’informatique légale que « la maturité continue de ce domaine apportera invariablement une certaine stabilisation des meilleures pratiques, de la formation, de la certification et des ensembles d’outils, mais de nouveaux défis émergeront toujours en raison de la nature dynamique de la technologie à sa racine. »Néanmoins, comme l’indique le FBI sur son site Web, « cette discipline médico-légale émergente doit rester un outil efficace et fiable dans le système de justice pénale. »
Sources
Lignes directrices sur la criminalistique des appareils mobiles
Faire la différence entre la Criminalistique informatique et la Découverte électronique
Rationaliser le flux de travail Médico-légal numérique: Partie 3
Acquisition Médico–légale en direct plus sûre
Surveillance de la sécurité – Défis de l’informatique Médico-légale
Guide pour Criminalistique informatique et enquêtes. (3e éd.). Boston, MA
Modèle de processus de triage sur le terrain en criminalistique Informatique.
Blog sur les innovations: La poussée pour la criminalistique en direct.
La criminalistique numérique n’est pas seulement COMMENT mais POURQUOI