Go to Top

Recherche de preuves informatiques : les technologies changent

Recherche de preuves informatiques : les technologies changent

La recherche de preuves informatiques est une activité délicate qui se heurte à des problèmes d’accessibilité, des difficultés de collecte et des préoccupations concernant la chaîne de conservation. Traditionnellement, la recherche de preuves se concentrait sur les supports qui offraient la meilleure garantie pour l’intégrité des données et leur valeur probante. Par exemple, la mémoire des disques durs (le mode de stockage utilisé dans les PC) peut être protégée en écriture pour figer les données, puis une image peut en être faite afin de créer une copie identique pour la recherche de preuves, et enfin elle peut être associée à une valeur de hachage MD5 unique afin d’identifier les altérations ultérieures.

Toutefois, les temps changent, tout comme les technologies. Les informations les plus pertinentes dans le cadre d’une investigation et d’un litige se trouvent souvent dans les communications, lesquelles sont stockées sur des supports moins traditionnels qui sont bien moins compatibles avec les techniques et technologies actuelles de recherche de preuves. Les téléphones mobiles, tablettes informatiques et sites de réseaux sociaux mettent sérieusement à mal la recherche de preuves.

De nombreux appareils mobiles utilisent la mémoire flash (SSD) qui ne peut pas être protégé en écriture à l’heure actuelle. D’autres appareils sont également difficiles à protéger en écriture, parce qu’ils sont contrôlés par des microprogrammes propriétaires. Le simple fait d’accéder à la mémoire de ces appareils peut modifier les données, ce qui va à l’encontre du principe fondamental de la recherche de preuves, qui est de “ne pas altérer”. Toutefois, ces appareils mobiles à mémoire flash sont de plus en plus répandus dans les cas d’investigations; ils ne peuvent pas être ignorés. Les spécialistes en recherche de preuves sont donc obligés de faire de leur mieux lors de la collecte, en modifiant le moins d’éléments possible.

Pour des raisons évidentes, durant une investigation informatique, la récupération de données supprimées est parfois vitale car une mine d’informations pertinentes peut être révélée. La récupération de données supprimées sur disques durs traditionnels est généralement possible. Lorsque des données sont supprimées d’un disque dur, elles ne disparaissent pas. Le disque dur considère simplement que l’espace occupé par les données dites supprimées peut être inscriptible. Les données supprimées ne disparaîtront qu’une fois qu’elles seront écrasées. Les spécialistes de la recherche de preuves informatiques sont donc capables de récupérer de précieuses informations, constituées de fragments d’informations supprimées qui n’ont pas été complètement écrasées. Les disques SSD et d’autres formes de microprogrammes pour téléphone mobile sont toutefois différents ; en raison de leur nature unique, la récupération des informations supprimées est généralement plus difficile qu’elle ne l’est sur les disques durs.

Aujourd’hui plus que jamais, le recherche de preuves nécessite l’assistance de professionnels expérimentés qui ont les connaissances pour gérer des formes de supports nouvelles et plus complexes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *