L’investigation numérique, ou forensic en anglais, consiste en l’analyse d’un ordinateur pour comprendre les évènements passés et en extraire des conclusions. Le terme forensic, initialement lié au domaine scientifique et notamment à la médecine légale, trouve aujourd’hui sa place dans le domaine digital. Ainsi, l’investigation numérique, ou digital forensic, utilise des techniques spécialisées dans la recherche, la collecte et l’analyse de données issues de supports numériques. Le point sur le sujet dans la suite de cet article.

Investigation légale informatique : de quoi parle-t-on ?

L’informatique légale ou l’informatique judiciaire, ou Computer / Digital Forensics, consiste en l’analyse de l’information dans les systèmes informatiques pour trouver des preuves numériques qui peuvent être utilisées dans le cadre de procédures judiciaires, ou encore pour découvrir la cause d’un incident. En d’autres termes, l’investigation numérique est le processus par lequel on extrait des données et des informations des systèmes informatiques dans le cadre d’enquêtes judiciaires. C’est notamment le cas lorsque des supports numériques sont impliqués dans un crime, menant à des perquisitions liées à des actes de cybercriminalité.

Cela dit, l’investigation numérique doit être réalisée par un expert judiciaire, et nécessite d’être assermentée pour que les preuves deviennent recevables. De plus, la collecte de preuves devra respecter des besoins spécifiques. Globalement, on peut diviser l’investigation numérique en trois activités distinctes :

L’analyse forensic judiciaire

L’analyse forensic judiciaire est principalement utilisée dans le cadre d’enquêtes judiciaires. Son but : rechercher toutes les preuves numériques lors des perquisitions par exemple, pour collecter un maximum de preuves qui incriminent ou innocentent le ou les suspects.

L’analyse forensic en réponse à un incident

Comme son appellation le laisse entendre, l’analyse forensic en réponse à un incident vise à identifier les conditions et les origines d’une attaque informatique, les machines infectées, mais aussi le vecteur d’attaque qui a été utilisé. Par exemple, lors des intrusions, ce type d’analyse va permettre de jouer le rôle de pompier, en identifiant rapidement les systèmes informatiques compromis. Ultimement, le but est d’éliminer les failles et les malwares éventuels.

L’analyse forensic scientifique

Souvent réalisées dans des sandbox, une sorte d’environnements contrôlés ou maîtrisés, les analyses forensic scientifiques étudient les mécanismes et les aspects techniques d’un malware ou de tout autre logiciel malveillant. Le but est d’identifier les méthodes utilisées par les cybercriminels pour compromettre un système informatique.

Vous l’aurez compris, l’investigation numérique se déroule en plusieurs étapes distinctes mais d’égale importance. Partons à leur découverte !

Les preuves issues de supports numériques

Contrairement à ce que l’on pourrait croire, les supports numériques ne se limitent pas aux ordinateurs et smartphones, ils incluent également les clés USB, les cartes mémoires, les appareils photo numériques, les consoles de jeu, les imprimantes…. En bref, tout appareil ayant une mémoire digitale peut être étudié. Par ailleurs, il y a trois types de preuves recherchées dans le cadre d’une investigation numérique :

  • Les fichiers générés par les utilisateurs. Ceux-ci incluent les documents, les messages, les carnets d’adresses, le liste des favoris… ;
  • Les fichiers générés par le système d’exploitation, comme les sauvegardes, les fichiers de configuration, l’historique des fichiers ouverts… ;
  • Tout ce qui n’est pas stocké sous forme de fichiers ; RAM, métadonnées, espace non alloué…

Par conséquent, les preuves peuvent se situer dans tout le contenu de la mémoire d’un support numérique. Notons toutefois que la saisie a lieu à un moment donné, et que l’absence de preuve n’est pas synonyme de preuve de l’absence.

La collecte

Généralement, la collecte correspond à une copie bit-à-bit, appelée image. Celle-ci doit être pure et parfaite. En d’autres termes, elle doit être une copie exacte du support original. L’empreinte numérique (MD5 et / ou SHA1) doit correspondre parfaitement à celle de l’original. De plus, le processus de copie ne doit pas modifier l’original. Au cas où il est impossible d’effectuer une copie pure et parfaite, il faut absolument le documenter.

La préservation

A ce niveau, il faut se demander par quelle manière on manipule, transporte, et stocke les images. Il s’agit aussi de mettre en place les procédures adéquates. Il est courant de porter un bracelet antistatique, ou ESD, pour éviter les décharges électrostatiques qui peuvent survenir en manipulant un disque dur ou tout autre matériel électronique possédant des composants apparents. Eu égard au transport, on utilise des sacs de protection antistatique, qui existent dans tous les formats. Et lorsqu’il s’agit d’un smartphone, on ne l’allume que quand il est placé dans une cage de Faraday.

L’identification et l’analyse

Il s’agit d’abord de rechercher les fichiers ou les éléments en relation avec la demande. Les enquêteurs commencent par identifier l’organisation de l’utilisateur pour regarder les fichiers existants. On peut d’ores et déjà, à ce stade, trouver des données intéressantes, mais on ne peut pas s’en contenter. Il faudra ensuite essayer de récupérer les fichiers effacés, ou des fragments de fichiers. Notons que la recherche peut être conduite d’une multitude de façons. On peut, par exemple, effectuer des recherches par empreintes, par extensions ou par signatures. La recherche est également possible par mots clés ou expressions régulières. Mais attention, il ne suffit pas d’extraire les données, il faut aussi les interpréter en les liant aux métadonnées (date, auteurs…) et à leurs origines (réseau, clé USB…). Enfin, il faut savoir que cette phase d’identification et d’analyse est la plus délicate, et aussi la plus longue. La crainte est de passer à côté d’éléments qui pourraient être pertinents.

La présentation

La phase la plus importante d’une investigation numérique est celle de la présentation des résultats. Généralement, elle prend la forme d’un rapport qui doit être accessible à tous. Ainsi, ce rapport doit être assez détaillé pour inclure tous les éléments pertinents trouvés, tout en veillant à rester compréhensible et intelligible à toute personne, sans que celle-ci ne soit spécialiste de l’informatique. Vous l’aurez compris, rédiger un tel rapport n’est pas donné à tout le monde !