Quand preuves juridiques riment avec pannes informatiques

La recherche de preuves informatiques (ou “forensics”) est la science de l’investigation de tout type de supports médias informatiques, alors que la récupération de données est la technique utilisée pour retrouver des données depuis un media endommagé, que la panne soit matérielle (chute, composant usé, etc.…) ou logique (corruption des données…). .

Pour qu’une investigation complète soit possible, l’association des 2 expertises sera nécessaire dans la plupart des cas. Les techniques de récupération de données seront utilisées pour retrouver des données critiques depuis le media tandis que les méthodes forensics permettront l’analyse et la manipulation appropriée des données les plus critiques.

Dans beaucoup de cas, le média au centre de l’investigation, soit en tant qu’arme du crime ou en tant que centre de rétention d’éléments probatoires, sera endommagé ou illisible. Les raisons des pannes peuvent être multiples : destruction volontaire, panne technique, feu, eau...

Kroll Ontrack intervient fréquemment sur des médias sérieusement endommagés. Un des derniers cas en date consista à récupérer des données depuis des disques durs exposés au feu pendant plusieurs heures suite à l’explosion d’un immeuble résidentiel.

Les supports sont arrivés dans nos laboratoires en très mauvaises état. Le couvercle était détruit et un examen supplémentaire révéla des pannes électroniques ainsi que de sévères dommages mécaniques.

Les disques durs ont été « opérés » dans la salle blanche de Kroll Ontrack. Une salle blanche est un environnement qui permet aux experts en récupération de données de travailler sur des lecteurs ouverts sans les exposer aux poussières et autres éléments extérieurs contaminant. Les pannes furent rectifiées et une image, c'est-à-dire une copie secteur par secteur des disques fut réalisée. Les images furent ensuite analysées par nos laboratoires forensic pour déterminer si les données logiques avaient été détériorées.

Dans ce cas, toute les données furent récupérées et transmises aux autorités judiciaires afin qu’elles puissent poursuivre l’enquête.

Ce cas est typique d’une collaboration réussie entre la récupération de données et le forensic. Les techniques de restauration de données furent mises en œuvre en même temps que les protocoles nécessaires liés à la mise en évidence de preuves. Ces protocoles sont excessivement importants car une mauvaise manipulation du média peut remettre en cause l’admissibilité des preuves.

Un autre cas récent traité par Kroll Ontrack impliquait des enregistrements capturés par une caméra de surveillance. Le film contenait des preuves liées à un meurtre. Malheureusement pour l’équipe d’enquêteurs, le lecteur n’était pas en état de marche. Ils ont alors eu recours à nos services.

Le lecteur fut envoyé sous escorte dans nos bureaux, et un premier examen révéla une panne électronique. Un examen plus approfondi indiqua que le média était également corrompu. Un média corrompu signifie qu’il n’y pas de panne physique mais que certaines zones sur le lecteur sont réécrites ce qui rend les données irrécupérables. Dans beaucoup de cas, ce sont non seulement les données qui sont réécrites mais également les informations de bas niveau, celles qui sont indispensables au fonctionnement du disque dur.

Malgré ce niveau élevé de corruption, Kroll Ontrack a réussi à copier plus de 99% des données brutes, c’est à dire codées en 1 et 0. Malheureusement les structures des données avaient été affectées, ce qui signifie que les fichiers devaient être réparés pour être exploités. Comme souvent avec les caméras de surveillance, les systèmes d’exploitation sont propriétaires. Kroll Ontrack réussit cependant à surmonter les pannes de structure et à récupérer des fichiers exploitables par le tribunal.

La manipulation de supports de stockage en vue d’en extraire des éléments probatoires est une opération délicate. Toute erreur entraine une perte irrémédiable des preuves et donc des chances de gagner un procès.. C’est pourquoi il est si important que ce soit des experts avec l’expérience et les outils nécessaires qui s’en chargent. C’est cette expérience qui fait de Kroll Ontrack la société de référence dans le domaine de la récupération de données et recherche de preuves informatiques.