Conception et réalisation d'une plateforme d'investigation numérique

? 2.2.4. Preuve numérique (Digital evidence)

Définition 2.2.4.

La preuve numérique est définie comme toute donnée qui peut établir qu'un crime a eu lieu ou fournit un lien entre un crime et sa victime ou un crime et son coupable.^16(*)

Définition 2.2.4. Est toute information numérique de valeur probante stockée ou transmise sous forme numérique. Elle peut être facilement modifiée, reproduite, restaurée ou détruite.^17(*)

La preuve numérique comprend :

- Les données utilisateur

- Les métadonnées associées aux données de l'utilisateur

- Logs d'activité

- Logs du système

Les données utilisateur se rapportent aux données directement créées ou modifiées ou accessibles par un ou plusieurs utilisateurs participant à une enquête. Les métadonnées se rapportent aux données qui fournissent le contexte de comment, quand, qui et sous quelle forme les données des utilisateurs ont été créées ou modifiées ou accessibles. Les journaux d'activité sont des enregistrements de l'activité des utilisateurs par un système ou une application et les actions spécifiques menées par un ou plusieurs utilisateurs. Les journaux du système se rapportent à des variations dans le comportement du système fondé sur une ou plusieurs actions menées par les utilisateurs.

Le 3227 RFC (Research Forensics Computer) décrit les considérations juridiques liées à la collecte de preuves. Les règles exigent les preuves numériques d'être :

- Admissible : Se conformer à certaines règles juridiques avant qu'il puisse être mis devant une cour.

- Authentique : C'est l'intégrité qui permet le suivi de la chaîne des éléments de preuves qui doivent être intactes.

- Crédible : Les preuves doivent être claires, faciles à comprendre et précises. La version de la preuve présentée au tribunal doit être reliée avec la preuve binaire d'origine dans le cas contraire il n'y a aucun moyen de savoir si la preuve a été fabriquée.

- Complète : Toutes les preuves soutenues ou contredisent une preuve qui incrimine un suspect doivent être examinées et évaluées. Il est également nécessaire de recueillir des preuves qui éliminent les autres suspects.

- Fiable : Les procédures et les outils de la collection des évidences, l'examen, l'analyse, la préservation et la présentation doivent être en mesure de reproduire les mêmes résultats au fil du temps. Les procédures ne doivent pas douter sur l'authenticité de la preuve ou sur les conclusions tirées après l'analyse.

Lors de la recherche de preuves sur des supports numériques, il existe différents types de données à rechercher, parmi ces types on trouve principalement :

- Les données actives : sont des données qui résident sur des supports de stockage et qui sont facilement visibles par le système d'exploitation et accessibles aux utilisateurs.

Ces données comprennent les fichiers de traitement de texte, les tableurs, les programmes et les fichiers de système d'exploitation. Celui-ci, y compris les fichiers temporaires, les fichiers internet temporaires, cookies et les métadonnées du système de fichiers, etc.^18(*)

- Données résiduelles : Ce sont des données qui semblent avoir été supprimées, mais peuvent encore être récupérées. Les exemples les plus courants sont les fichiers d'échange et des fragments de fichiers récupérés dans l'espace non alloué.^19(*)

* ¹⁶ E. Casey. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Second Edition, Elseiver Academic Press, Great Britain, (2004).

* ¹⁷ KL. Fei. Data Vizualisation in Digital Forensics, Magister Scientia in computer science. Department of Computer Science, University of Pretoria, South Africa, (2007).

* ¹⁸ P. Motion. Hidden evidence. In JLSS'05, The Journal of the Law Society of Scotland, Vol. 50, No. 2, pp.32-34, Scotland, (2005).

* ¹⁹ Idem