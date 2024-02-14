Publication : le 16 février 2024
Contributeurs : Annie Badman, Amber Forrest
L'analyse légale numérique est le processus de collecte et d'analyse de preuves numériques d'une manière qui en conserve l'intégrité et la recevabilité devant les tribunaux.
L’analyse légale numérique est un domaine de l'informatique légale. Elle est utilisée pour enquêter sur les cybercrimes, mais peut également être utile dans le cadre d'enquêtes pénales et civiles. Par exemple, les équipes de cybersécurité peuvent utiliser l'analyse légale numérique pour identifier les cybercriminels à l'origine d'une attaque par logiciel malveillant, tandis que les forces de l'ordre peuvent l'utiliser pour analyser les données provenant des appareils d'un suspect de meurtre.
L'analyse légale numérique a de nombreuses applications, car elle traite les preuves numériques comme toute autre forme de preuve. Tout comme les autorités appliquent des processus spécifiques pour collecter des preuves matérielles sur une scène de crime, les enquêteurs en analyse légale numérique suivent un processus d'informatique légale strict (également appelé chaîne de possession) lorsqu'ils manipulent des preuves numériques afin d'éviter toute falsification.
Les termes «analyse légale numérique» et « informatique légale » sont souvent utilisés de manière interchangeable. Cependant, l'analyse légale numérique implique techniquement la collecte de preuves à partir de tout appareil numérique, tandis que l’informatique légale se concentre spécifiquement sur les preuves provenant d'appareils informatiques tels que les ordinateurs, les tablettes, les téléphones portables et les appareils dotés d'un processeur central.
L'analyse légale numérique et la réponse aux incidents (DFIR) est une discipline de cybersécurité émergente qui intègre l’informatique légale et les activités de réponse aux incidents afin d'accélérer la remédiation des cybermenaces tout en garantissant que les preuves numériques associées ne soient pas compromises.
L'analyse légale numérique, ou science d'informatique légale numérique, est apparue pour la première fois au début des années 1980 avec l'essor des ordinateurs personnels et a gagné en importance dans les années 1990.
Cependant, ce n'est qu'au début du 21e siècle que des pays comme les États-Unis ont officialisé leurs politiques d'analyse légale numérique. Ce passage à la normalisation a résulté de l'augmentation des cybercrimes dans les années 2000 et de la décentralisation des forces de l'ordre à l'échelle nationale.
Avec un nombre croissant de crimes impliquant des appareils numériques (et un nombre croissant d'individus impliqués dans la poursuite de ces crimes), les autorités avaient besoin de procédures pour garantir que les enquêtes criminelles traitent les preuves numériques d'une manière recevable devant un tribunal.
Aujourd'hui, l'analyse légale numérique n'est devenue que plus pertinente. Pour comprendre pourquoi, il suffit de considérer la quantité massive de données numériques disponibles sur pratiquement tout et tout le monde.
Alors que la société continue de s'appuyer davantage sur les systèmes informatiques et les technologies de cloud computing, les individus mènent une part croissante de leur vie en ligne sur un nombre croissant d'appareils, notamment les téléphones portables, les tablettes, les appareils IdO, les appareils connectés, etc.
Il en résulte plus de données (provenant de plus de sources et dans plus de formats que jamais auparavant) que les enquêteurs peuvent utiliser comme preuves numériques pour analyser et comprendre un éventail croissant d'activités criminelles, y compris les cyberattaques, les violations de données et les enquêtes pénales et civiles.
De plus, comme toutes les preuves, physiques ou numériques, les enquêteurs et les forces de l'ordre doivent les collecter, les manipuler, les analyser et les stocker correctement. Dans le cas contraire, les données peuvent être perdues, falsifiées ou rendues irrecevables devant un tribunal.
Les experts en informatique légale sont chargés de mener des enquêtes d'analyse légale numérique, et à mesure que la demande pour ce domaine grandit, les possibilités d'emploi augmentent également. Le Bureau of Labor Statistics des États-Unis estime que le nombre d'offres d'emploi en criminalistique informatique augmentera de 31 % d'ici 2029 (lien externe à ibm.com).
Le National Institute of Standards and Technology (NIST) (lien externe à ibm.com) décrit quatre étapes dans le processus d’analyse légale numérique.
Ces étapes comprennent :
Identification des appareils numériques ou des supports de stockage contenant des données, des métadonnées ou d'autres informations numériques pertinentes pour l'enquête d'analyse légale numérique.
Dans le cadre d'affaires pénales, les forces de l'ordre saisiront les preuves sur une scène de crime potentielle afin d'assurer une chaîne de possession stricte.
Pour préserver l'intégrité des preuves, les équipes d'informatique légale font une copie légale des données à l'aide d'un duplicateur de disque dur ou d'un outil d'imagerie d'informatique légale.
Après le processus de duplication, elles sécurisent les données originales et effectuent le reste de l'enquête sur les copies afin d'éviter toute falsification.
Les enquêteurs analysent minutieusement les données et les métadonnées à la recherche de signes d'activité cybercriminelle.
Les enquêteurs en informatique légale peuvent récupérer des données numériques à partir de diverses sources, notamment l'historique des navigateurs web, les journaux de discussion, les périphériques de stockage à distance, l'espace supprimé, les espaces disque accessibles, les caches du système d'exploitation et pratiquement toute autre partie d'un système informatisé.
Les analystes d’informatique légale utilisent différentes méthodologies et outils d'analyse légale numérique pour extraire des données et des informations à partir de preuves numériques.
Par exemple, pour découvrir des données ou des métadonnées « cachées », ils peuvent utiliser des techniques d'informatique légale spécialisées, telles que l'analyse en direct, qui évalue les systèmes encore en fonctionnement à la recherche de données volatiles, ou la , qui révèle des données cachées à l'aide de la stéganographie (une méthode permettant de dissimuler des informations sensibles dans des messages en apparence ordinaires).
Les enquêteurs peuvent également s'appuyer sur des outils propriétaires et open source pour relier leurs conclusions à des acteurs de la menace spécifiques.
Une fois l'enquête terminée, les experts en informatique légale créent un rapport formel qui décrit leur analyse, y compris ce qui s'est passé et qui pourrait être responsable.
Le contenu du rapport varie en fonction de l'affaire. Dans le cas de cybercriminalité, il peut inclure des recommandations pour combler les vulnérabilités afin de prévenir de futures cyberattaques. Les rapports sont également fréquemment utilisés pour présenter des preuves numériques devant un tribunal et sont partagés avec les forces de l'ordre, les assureurs, les organismes de réglementation et d'autres autorités.
À l'apparition de l'analyse légale numérique au début des années 1980, il existait peu d'outils formels dédiés à ce domaine. La plupart des équipes d'informatique légale s'appuyaient sur l'analyse en direct, une pratique notoirement délicate qui présentait un risque élevé d'altération des preuves.
Vers la fin des années 1990, la demande croissante de preuves numériques a conduit au développement d'outils plus sophistiqués tels qu'EnCase et FTK, qui permettaient aux analystes d'informatique légale d'examiner des copies de supports numériques sans recourir à l'analyse en direct.
Aujourd'hui, les experts en informatique légale utilisent une large gamme d'outils d'analyse légale numérique. Ces outils peuvent être basés sur du matériel ou des logiciels et analysent les sources de données sans les altérer. Parmi les exemples courants, on trouve les outils d'analyse de fichiers, qui extraient et analysent des fichiers individuels, et les outils de registre, qui collectent des informations auprès des systèmes informatiques Windows, qui conservent un historique de l'activité des utilisateurs dans les registres.
Certains fournisseurs proposent également des outils open source dédiés à des fins d'analyse légale numérique spécifiques, tandis que des plateformes commerciales, comme EnCase et CAINE, offrent des fonctions complètes et des capacités de reporting. CAINE, en particulier, propose une distribution Linux entière adaptée aux besoins des équipes d’informatique légale.
L'analyse légale numérique regroupe des branches distinctes en fonction des différentes sources de données d’informatique légale.
Voici quelques-unes des branches les plus courantes de l'analyse légale numérique :
Lorsque l’informatique légale et la réponse aux incidents (détection et atténuation des cyberattaques en cours) sont menées séparément, elles peuvent interférer l’une avec l’autre, avec des conséquences néfastes pour l’organisation.
Les équipes de réponse aux incidents peuvent altérer ou détruire des preuves numériques tout en éliminant une menace du réseau. Les enquêteurs en informatique légale peuvent retarder la résolution de la menace au cours de la recherche et la collecte de preuves.
L’investigation numérique et la réponse aux incidents, ou DFIR, associent l’informatique légale et la réponse aux incidents dans un workflow intégré qui peut aider les équipes de sécurité des informations à mettre fin plus rapidement aux cybermenaces tout en préservant les preuves numériques qui pourraient être perdues dans l’urgence de l’atténuation de la menace.
Les 2 principaux avantages de la DFIR sont les suivants:
La DFIR peut permettre d’atténuer plus rapidement les menaces, d’assurer une récupération plus efficace et d’améliorer les preuves dans le cadre d’enquêtes sur des affaires criminelles, des cybercrimes, des demandes d’indemnisation et d'autres incidents de sécurité.
