L’informatique légale, également connue sous le nom d’analyse légale, informatique judiciaire ou cybercriminalité, associe l’informatique (computer science) et l’analyse légale pour recueillir des preuves numériques recevables devant un tribunal.
Tout comme les forces de l’ordre qui passent les scènes de crime au peigne fin à la recherche d’indices, les enquêteurs en informatique légale cherchent des preuves sur les appareils numériques que les avocats peuvent ensuite utiliser dans le cadre d’enquêtes criminelles, d’affaires civiles, d’enquêtes sur la cybercriminalité et autres questions relatives à la sécurité des entreprises et à la sécurité nationale. Tout comme leurs homologues des forces de l’ordre, les enquêteurs en informatique légale doivent être experts non seulement dans la recherche de preuves numériques, mais également dans la collecte, la manipulation et le traitement de ces preuves afin de garantir leur fidélité et leur validité devant les tribunaux.
L’informatique légale est étroitement liée à la cybersécurité. Les résultats de l’informatique légale peuvent permettre aux équipes de cybersécurité d’accélérer la détection et la résolution des cybermenaces et de prévenir de futures cyberattaques. Une discipline émergente de la cybersécurité, l’investigation numérique et la réponse aux incidents (DFIR), intègre les activités d’investigation informatique et de réponse aux incidents afin d’accélérer la résolution des cybermenaces tout en veillant à ce que les preuves numériques correspondantes ne soient pas compromises.
L’informatique légale a gagné en importance au début des années 1980 avec l’invention de l’ordinateur personnel. La technologie devenant un élément essentiel de la vie de tous les jours, les criminels ont détecté une ouverture et ont commencé à commettre des délits sur les appareils électroniques.
Peu après, du jour au lendemain, Internet a connecté presque tout le monde, ouvrant la voie à l’accès par e-mails et à distance aux réseaux informatiques des entreprises et des organisations, ainsi qu’à des cyberattaques plus complexes menées à l’aide de logiciels malveillants. Face à cette nouvelle facette de la cybercriminalité, les forces de l’ordre avaient besoin d’un système d’investigation et d’analyse des données électroniques. C’est ainsi que l’informatique légale a vu le jour.
Au début, la plupart des preuves numériques se trouvaient sur des systèmes informatiques et des dispositifs informatiques : ordinateurs personnels, serveurs, téléphones portables, tablettes et dispositifs de stockage électronique. Mais aujourd’hui, un nombre croissant d’appareils et de produits industriels et commerciaux (de l’Internet des objets (IoT) et des appareils de technologie opérationnelle (OT) en passant par les voitures et les appareils électroménagers, les sonnettes de porte et les colliers pour chiens) génèrent et stockent des données et des métadonnées qui peuvent être collectées et exploitées en vue d’obtenir des preuves numériques.
Prenons l’exemple d’un accident de voiture. Par le passé, les forces de l’ordre auraient examiné la scène du crime à la recherche de preuves matérielles, telles que des traces d’embardée ou des éclats de verre. Elles auraient également vérifié le téléphone des conducteurs pour y trouver des preuves d’envoi de textos au volant.
Aujourd’hui, les nouvelles voitures génèrent et stockent toutes sortes de données numériques horodatées et de métadonnées qui créent un enregistrement détaillé de l’emplacement, de la vitesse et de l’état de fonctionnement de chaque véhicule à un instant T. Ces données transforment les véhicules modernes en puissants outils de police scientifique, permettant aux enquêteurs de reconstituer les événements qui ont précédé, accompagné et suivi un accident. Elles peuvent même permettre d’identifier le responsable de l’accident, et ce, y compris en l’absence de preuves matérielles traditionnelles ou de témoins oculaires.
Tout comme les preuves matérielles recueillies sur les scènes de crime, les preuves numériques doivent être collectées et traitées correctement. Autrement, les données et les métadonnées peuvent être perdues ou jugées irrecevables par un tribunal.
Par exemple, les enquêteurs et les procureurs doivent prouver que la chaîne de possession des preuves numériques est correcte : ils doivent documenter la façon dont elles ont été manipulées, traitées et stockées. Ils doivent également savoir comment collecter et stocker les données sans les altérer, ce qui constitue un véritable défi étant donné que des actions apparemment inoffensives telles que l’ouverture, l’impression ou l’enregistrement de fichiers peuvent modifier les métadonnées de façon permanente.
C’est pour cette raison que la plupart des organisations engagent ou sous-traitent des enquêteurs en informatique légale (également connus sous le nom d’experts en informatique légale, d’analystes en informatique légale ou d’examinateurs en informatique légale) pour collecter et traiter les preuves numériques liées à des enquêtes criminelles ou cybercriminelles.
Les professionnels de l’informatique légale détiennent généralement une licence en informatique ou en justice pénale, et possèdent une solide connaissance fonctionnelle des principes fondamentaux des technologies de l’information (IT) (systèmes d’exploitation, sécurité des informations, sécurité des réseaux, langages de programmation), ainsi qu’une connaissance des implications juridiques des preuves numériques et de la cybercriminalité. Certains peuvent se spécialiser dans des domaines tels que la criminalistique mobile ou la criminalistique des systèmes d’exploitation.
Les enquêteurs en informatique légale sont experts dans la recherche et la préservation de données légalement recevables. Ils savent collecter des données à partir de sources que le personnel informatique interne pourrait ignorer, comme les serveurs hors site et les ordinateurs personnels. Ils peuvent aider les organisations à mettre en place une politique solide en matière d’informatique légale qui leur permettra de ne pas perdre de temps et d’argent lors de la collecte de preuves numériques, d’atténuer les conséquences de la cybercriminalité et de protéger leurs réseaux et leurs systèmes d’information contre de futures attaques.
L’informatique légale comporte quatre étapes principales.
La première étape consiste à identifier les appareils ou les dispositifs de stockage susceptibles de contenir des données, des métadonnées ou d’autres artefacts numériques utiles à l’enquête. Ces appareils sont collectés et placés dans un laboratoire de police scientifique ou dans une autre installation sécurisée afin de respecter le protocole et de garantir une récupération appropriée des données.
Les experts en informatique légale créent une image, ou une copie bit à bit, des données à préserver. Ils stockent ensuite en toute sécurité l’image et l’original afin de les mettre à l’abri de toute modification ou destruction. Les experts collectent deux types de données : les données persistantes, stockées sur le disque dur local d’un appareil, et les données volatiles, situées dans la mémoire ou en mouvement (par exemple, les registres, le cache et la mémoire vive (RAM)). Les données volatiles doivent être traitées avec une attention particulière car elles sont éphémères et peuvent être perdues si l’appareil s’éteint ou subit une coupure d’alimentation.
Les enquêteurs en informatique légale analysent ensuite l’image afin d’identifier des preuves numériques pertinentes. Il peut s’agir de fichiers supprimés intentionnellement ou non, de l’historique de la navigation sur Internet, des e-mails, etc. Pour trouver des données « cachées » ou des métadonnées que d’autres n’auraient pas remarquées, ils utilisent des techniques spécialisées, notamment l’analyse en direct, qui permet d’évaluer les systèmes encore en fonctionnement à la recherche de données volatiles, et la stéganographie inversée, qui dévoile les données cachées à l’aide de la stéganographie, une technique qui permet de dissimuler des informations sensibles par le biais de messages d’apparence banale.
Pour finir, les experts en informatique légale rédigent un rapport officiel qui décrit leur analyse et partage les résultats de l’enquête ainsi que les conclusions ou les recommandations. Bien que les rapports varient d’un cas à l’autre, ils sont souvent utilisés pour présenter des preuves numériques devant un tribunal.
Il existe plusieurs domaines dans lesquels les organisations ou les autorités chargées de l’application de la loi peuvent lancer une enquête d’informatique judiciaire :
Enquêtes criminelles : les forces de l’ordre et les spécialistes de l’informatique légale peuvent utiliser l’informatique légale pour résoudre des crimes liés à l’informatique, comme la cyberintimidation, le piratage ou l’usurpation d’identité, ainsi que des crimes commis dans le monde physique, comme le vol, l’enlèvement, le meurtre et bien d’autres encore. Les forces de l’ordre peuvent par exemple utiliser l’informatique légale sur l’ordinateur personnel d’un suspect de meurtre pour trouver d’éventuels indices ou preuves cachés dans l’historique de ses recherches ou dans ses fichiers effacés.
Litiges civils: les enquêteurs peuvent également utiliser l’informatique légale dans les affaires civiles, comme les fraudes, les litiges liés à l’emploi ou les divorces. Par exemple, dans une affaire de divorce, l’équipe juridique d’un conjoint peut utiliser l’informatique légale sur un appareil mobile pour prouver l’infidélité d’un partenaire et obtenir une décision plus favorable.
Protection de la propriété intellectuelle : l’informatique légale peut aider les forces de l’ordre à mener des enquêtes sur le vol de la propriété intellectuelle, comme le vol de secrets professionnels ou de documents protégés par des droits d’auteur. Certaines des affaires les plus médiatisées concernent la protection de la propriété intellectuelle, notamment lorsque des employés quittant l’entreprise volent des informations confidentielles en vue de les vendre à une autre organisation ou de créer une société concurrente. En analysant les preuves numériques, les enquêteurs peuvent identifier le coupable et le tenir pour responsable.
Sécurité des entreprises : les entreprises ont souvent recours à l’informatique légale suite à une cyberattaque, telle qu’une violation de données ou une attaque par ransomware, afin de comprendre ce qui s’est passé et de corriger d’éventuelles failles de sécurité. L’exemple type est celui de pirates informatiques qui exploitent une faille dans le pare-feu d’une entreprise pour voler des données sensibles ou essentielles. Le recours à l’informatique légale pour lutter contre les cyberattaques va se poursuivre, car la cybercriminalité continue d’augmenter. En 2022, le FBI a estimé que les crimes informatiques coûtaient aux Américains 10,3 milliards de dollars de pertes annuelles, contre 6,9 milliards de dollars l’année précédente (PDF ; lien externe à ibm.com).
Sécurité nationale : avec la multiplication des actes de cybercriminalité dans les pays, l’informatique légale est devenue un outil important de la sécurité nationale. Les gouvernements ou les organismes chargés de l’application de la loi, comme le FBI, utilisent désormais des techniques d’informatique légale à la suite de cyberattaques afin de trouver des preuves et de combler les failles de sécurité.
Là encore, l’informatique légale et la cybersécurité sont étroitement liées et travaillent souvent en tandem pour protéger les réseaux numériques contre les cyberattaques. La cybersécurité est à la fois proactive et réactive, se concentrant sur la prévention et la détection des cyberattaques, ainsi que sur la réponse aux cyberattaques et la remédiation. L’informatique légale est presque entièrement réactive, intervenant en cas de cyberattaque ou de crime. Toutefois, les enquêtes criminalistiques fournissent souvent des informations précieuses que les équipes de cybersécurité peuvent exploiter pour prévenir de futures cyberattaques.
Lorsque l’informatique légale et la réponse aux incidents (détection et atténuation des cyberattaques en cours) sont menées séparément, elles peuvent interférer l’une avec l’autre, avec des conséquences néfastes pour l’organisation. Les équipes de réponse aux incidents peuvent altérer ou détruire des preuves numériques tout en éliminant une menace du réseau. Les enquêteurs en informatique légale peuvent retarder la résolution de la menace au cours de la recherche et la collecte de preuves.
L’investigation numérique et la réponse aux incidents, ou DFIR, associent l’informatique légale et la réponse aux incidents dans un flux de travaux intégré qui peut aider les équipes de sécurité à mettre fin plus rapidement aux cybermenaces tout en préservant les preuves numériques qui pourraient être perdues dans l’urgence de l’atténuation de la menace. Dans le cadre de la DFIR,
La collecte de données légales se fait parallèlement à l’atténuation des menaces. Les intervenants en cas d’incident utilisent des techniques d’informatique légale pour collecter et préserver les données pendant qu’ils contrôlent et éliminent la menace, en veillant à ce que la chaîne de responsabilité soit respectée et à ce que les preuves précieuses ne soient pas modifiées ou détruites.
L’examen post-incident comprend l’examen des preuves numériques. En plus de conserver les preuves en vue d’une action en justice, les équipes de la DFIR les utilisent pour reconstituer les incidents de cybersécurité du début à la fin afin de savoir ce qui s’est passé, comment cela s’est produit, l’étendue des dégâts et la manière d’éviter des attaques similaires.
La DFIR peut permettre d’atténuer plus rapidement les menaces, d’assurer une récupération plus efficace et d’améliorer les preuves dans le cadre d’enquêtes sur des affaires criminelles, des cybercrimes, des demandes d’indemnisation, etc.
Déjouez les cyberattaques grâce à une Suite sécurité connectée et modernisée. Le portefeuille QRadar est doté d’une IA de niveau professionnel et offre des produits intégrés pour la sécurité des points de terminaison, la gestion des journaux, le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des flux de travaux connectés.
La recherche proactive des menaces, la surveillance continue et l’examen approfondi des menaces ne sont que quelques-unes des priorités auxquelles doit faire face un service informatique déjà très occupé. En disposant d’une équipe de réponse aux incidents fiable, vous pouvez réduire votre temps de réponse, minimiser l’impact d’une cyberattaque et vous rétablir plus rapidement.
Pour prévenir et contrer les menaces par ransomware modernes, IBM exploite 800 To de données relatives à l’activité des menaces, des informations sur plus de 17 millions de spams et d’attaques par hameçonnage et des données de réputation sur près d’un million d’adresses IP malveillantes provenant d’un réseau de 270 millions de points de terminaison.
La DFIR associe deux domaines de la cybersécurité afin de rationaliser la réponse aux menaces tout en préservant les preuves contre les cybercriminels.
Les cyberattaques sont des tentatives indésirables de vol, d’exposition, de modification, de désactivation ou de destruction d’informations par le biais d’un accès non autorisé aux systèmes informatiques.
La gestion des informations et des événements de sécurité (SIEM) offre une surveillance et une analyse en temps réel des événements, ainsi qu’un suivi et une journalisation des données de sécurité à des fins de conformité ou d’audit.