Qu’est-ce que l’informatique légale ?

Tout comme les forces de l’ordre qui passent les scènes de crime au peigne fin à la recherche d’indices, les enquêteurs en informatique légale cherchent des preuves sur les appareils numériques que les avocats peuvent ensuite utiliser dans le cadre d’enquêtes criminelles, d’affaires civiles, d’enquêtes sur la cybercriminalité et autres questions relatives à la sécurité des entreprises et à la sécurité nationale. Tout comme leurs homologues des forces de l’ordre, les enquêteurs en informatique légale doivent être experts non seulement dans la recherche de preuves numériques, mais également dans la collecte, la manipulation et le traitement de ces preuves afin de garantir leur fidélité et leur validité devant les tribunaux.

L’informatique légale est étroitement liée à la cybersécurité. Les résultats de l’informatique légale peuvent permettre aux équipes de cybersécurité d’accélérer la détection et la résolution des cybermenaces et de prévenir de futures cyberattaques. Une discipline émergente de la cybersécurité, l’investigation numérique et la réponse aux incidents (DFIR), intègre les activités d’investigation informatique et de réponse aux incidents afin d’accélérer la résolution des cybermenaces tout en veillant à ce que les preuves numériques correspondantes ne soient pas compromises.

L’informatique légale a gagné en importance au début des années 1980 avec l’invention de l’ordinateur personnel. La technologie devenant un élément essentiel de la vie de tous les jours, les criminels ont détecté une ouverture et ont commencé à commettre des délits sur les appareils électroniques.

Peu après, du jour au lendemain, Internet a connecté presque tout le monde, ouvrant la voie à l’accès par e-mails et à distance aux réseaux informatiques des entreprises et des organisations, ainsi qu’à des logiciels malveillants et des cyberattaques plus complexes. Face à cette nouvelle facette de la cybercriminalité, les forces de l’ordre avaient besoin d’un système d’investigation et d’analyse des données électroniques. C’est ainsi que l’informatique légale a vu le jour.

Au début, la plupart des preuves numériques se trouvaient sur des systèmes informatiques et des dispositifs informatiques : ordinateurs personnels, serveurs, téléphones portables, tablettes et dispositifs de stockage électronique. Mais aujourd’hui, un nombre croissant d’appareils et de produits industriels et commerciaux (de l’Internet des objets (IoT) et des appareils de technologie opérationnelle (OT) en passant par les voitures et les appareils électroménagers, les sonnettes de porte et les colliers pour chiens) génèrent et stockent des données et des métadonnées qui peuvent être collectées et exploitées en vue d’obtenir des preuves numériques.

Prenons l’exemple d’un accident de voiture. Par le passé, les forces de l’ordre auraient examiné la scène du crime à la recherche de preuves matérielles, telles que des traces d’embardée ou des éclats de verre. Elles auraient également vérifié le téléphone des conducteurs pour y trouver des preuves d’envoi de textos au volant.

Aujourd’hui, les nouvelles voitures génèrent et stockent toutes sortes de données numériques horodatées et de métadonnées qui créent un enregistrement détaillé de l’emplacement, de la vitesse et de l’état de fonctionnement de chaque véhicule à un instant T. Ces données transforment les véhicules modernes en puissants outils de police scientifique, permettant aux enquêteurs de reconstituer les événements qui ont précédé, accompagné et suivi un accident. Elles peuvent même permettre d’identifier le responsable de l’accident, et ce, y compris en l’absence de preuves matérielles traditionnelles ou de témoins oculaires.

Tout comme les preuves matérielles recueillies sur les scènes de crime, les preuves numériques doivent être collectées et traitées correctement. Autrement, les données et les métadonnées peuvent être perdues ou jugées irrecevables par un tribunal.

Par exemple, les enquêteurs et les procureurs doivent prouver que la chaîne de possession des preuves numériques est correcte : ils doivent documenter la façon dont elles ont été manipulées, traitées et stockées. Ils doivent également savoir comment collecter et stocker les données sans les altérer, ce qui constitue un véritable défi étant donné que des actions apparemment inoffensives telles que l’ouverture, l’impression ou l’enregistrement de fichiers peuvent modifier les métadonnées de façon permanente.

C’est pour cette raison que la plupart des organisations engagent ou sous-traitent des enquêteurs en informatique légale (également connus sous le nom d’experts en informatique légale, d’analystes en informatique légale ou d’examinateurs en informatique légale) pour collecter et traiter les preuves numériques liées à des enquêtes criminelles ou cybercriminelles.

Les professionnels de l’informatique légale détiennent généralement une licence en informatique ou en justice pénale, et possèdent une solide connaissance fonctionnelle des principes fondamentaux des technologies de l’information (IT) (systèmes d’exploitation, sécurité des informations, sécurité des réseaux, langages de programmation), ainsi qu’une connaissance des implications juridiques des preuves numériques et de la cybercriminalité. Certains peuvent se spécialiser dans des domaines tels que la criminalistique mobile ou la criminalistique des systèmes d’exploitation.

Les enquêteurs en informatique légale sont experts dans la recherche et la préservation de données légalement recevables. Ils savent collecter des données à partir de sources que le personnel informatique interne pourrait ignorer, comme les serveurs hors site et les ordinateurs personnels. Ils peuvent aider les organisations à mettre en place une politique solide en matière d’informatique légale qui leur permettra de ne pas perdre de temps et d’argent lors de la collecte de preuves numériques, d’atténuer les conséquences de la cybercriminalité et de protéger leurs réseaux et leurs systèmes d’information contre de futures attaques.

L’informatique légale comporte quatre étapes principales.

Il existe plusieurs domaines dans lesquels les organisations ou les autorités chargées de l’application de la loi peuvent lancer une enquête d’informatique judiciaire :

• Enquêtes criminelles : les forces de l’ordre et les spécialistes de l’informatique légale peuvent utiliser l’informatique légale pour résoudre des crimes liés à l’informatique, comme la cyberintimidation, le piratage ou l’usurpation d’identité, ainsi que des crimes commis dans le monde physique, comme le vol, l’enlèvement, le meurtre et bien d’autres encore. Les forces de l’ordre peuvent par exemple utiliser l’informatique légale sur l’ordinateur personnel d’un suspect de meurtre pour trouver d’éventuels indices ou preuves cachés dans l’historique de ses recherches ou dans ses fichiers effacés.
• Litiges civils : les enquêteurs peuvent également utiliser l’informatique légale dans les affaires civiles, comme les fraudes, les litiges liés à l’emploi ou les divorces. Par exemple, dans une affaire de divorce, l’équipe juridique d’un conjoint peut utiliser l’informatique légale sur un appareil mobile pour prouver l’infidélité d’un partenaire et obtenir une décision plus favorable.
• Protection de la propriété intellectuelle : l’informatique légale peut aider les forces de l’ordre à mener des enquêtes sur le vol de la propriété intellectuelle, comme le vol de secrets professionnels ou de documents protégés par des droits d’auteur. Certaines des affaires les plus médiatisées concernent la protection de la propriété intellectuelle, notamment lorsque des employés quittant l’entreprise volent des informations confidentielles en vue de les vendre à une autre organisation ou de créer une société concurrente. En analysant les preuves numériques, les enquêteurs peuvent identifier le coupable et le tenir pour responsable.
• Sécurité des entreprises : les entreprises ont souvent recours à l’informatique légale suite à une cyberattaque, telle qu’une violation de données ou une attaque par ransomware, afin de comprendre ce qui s’est passé et de corriger d’éventuelles failles de sécurité. L’exemple type est celui de pirates informatiques qui exploitent une faille dans le pare-feu d’une entreprise pour voler des données sensibles ou essentielles. Le recours à l’informatique légale pour lutter contre les cyberattaques va se poursuivre, car la cybercriminalité continue d’augmenter. En 2022, le FBI a estimé que les crimes informatiques coûtaient aux Américains 10,3 milliards de dollars de pertes annuelles, contre 6,9 milliards de dollars l’année précédente. 
• Sécurité nationale : avec la multiplication des actes de cybercriminalité dans les pays, l’informatique légale est devenue un outil important de la sécurité nationale. Les gouvernements ou les organismes chargés de l’application de la loi, comme le FBI, utilisent désormais des techniques d’informatique légale à la suite de cyberattaques afin de trouver des preuves et de combler les failles de sécurité.

Là encore, l’informatique légale et la cybersécurité sont étroitement liées et travaillent souvent en tandem pour protéger les réseaux numériques contre les cyberattaques. La cybersécurité est à la fois proactive et réactive, se concentrant sur la prévention et la détection des cyberattaques, ainsi que sur la réponse aux cyberattaques et la remédiation.

L’informatique légale est presque entièrement réactive, intervenant en cas de cyberattaque ou de crime. Toutefois, les enquêtes criminalistiques fournissent souvent des informations précieuses que les équipes de cybersécurité peuvent exploiter pour prévenir de futures cyberattaques.

Lorsque l’informatique légale et la réponse aux incidents (détection et atténuation des cyberattaques en cours) sont menées séparément, elles peuvent interférer l’une avec l’autre, avec des conséquences néfastes pour l’organisation.

Les équipes de réponse aux incidents peuvent altérer ou détruire des preuves numériques tout en éliminant une menace du réseau. Les enquêteurs en informatique légale peuvent retarder la résolution de la menace au cours de la recherche et la collecte de preuves.

L’investigation numérique et la réponse aux incidents, ou DFIR, associent l’informatique légale et la réponse aux incidents dans un flux de travaux intégré qui peut aider les équipes de sécurité à mettre fin plus rapidement aux cybermenaces tout en préservant les preuves numériques qui pourraient être perdues dans l’urgence de l’atténuation de la menace. Dans le cadre de la DFIR,

• La collecte de données légales se fait parallèlement à l’atténuation des menaces. Les intervenants en cas d’incident utilisent des techniques d’informatique légale pour collecter et préserver les données pendant qu’ils contrôlent et éliminent la menace, en veillant à ce que la chaîne de responsabilité soit respectée et à ce que les preuves précieuses ne soient pas modifiées ou détruites.

• L’examen post-incident comprend l’examen des preuves numériques. En plus de conserver les preuves en vue d’une action en justice, les équipes de la DFIR les utilisent pour reconstituer les incidents de cybersécurité du début à la fin afin de savoir ce qui s’est passé, comment cela s’est produit, l’étendue des dégâts et la manière d’éviter des attaques similaires.

La DFIR peut permettre d’atténuer plus rapidement les menaces, d’assurer une récupération plus efficace et d’améliorer les preuves dans le cadre d’enquêtes sur des affaires criminelles, des cybercrimes, des demandes d’indemnisation, etc.