Si vous avez regardé suffisamment d’émissions criminelles à la télévision, vous avez probablement vu un acteur ou une actrice incarner un enquêteur médico-légal. Sur des émissions comme CSI: Miami, les enquêteurs médico—légaux semblent être capables de taper quelques clés dans un terminal et boom – ils ont toutes les informations dont ils ont besoin.
Dans la vraie vie, cependant, la criminalistique informatique n’est pas si simple. En fait, les enquêteurs en criminalistique informatique peuvent prendre des jours pour disséquer toutes les informations nécessaires à une affaire.
Dans cet article, nous discuterons de la criminalistique informatique et de la manière dont ces types d’enquêtes sont menées.
Qu’est-ce que la criminalistique informatique?
Pour ceux qui ne connaissent pas la criminalistique informatique, c’est l’art et la science de découvrir des preuves stockées dans des ordinateurs et un stockage numérique.
Les ingénieurs légistes en informatique extraient les preuves d’une manière juridiquement solide pour en assurer la facilité d’utilisation dans les procédures judiciaires pénales ou civiles. Pour s’assurer que les preuves ne sont pas falsifiées et admissibles devant les tribunaux, les enquêteurs en criminalistique informatique utilisent une chaîne de garde documentée et des outils tels que des bloqueurs d’écriture et des scellés de falsification.
Lorsqu’une activité criminelle impliquant un ordinateur se produit, comme un déni de service (DoS) ou une attaque de piratage, le système utilisé contient une pléthore de preuves concernant le crime. Même dans les affaires criminelles qui ne sont pas explicitement liées à la cybersécurité, telles que le trafic de drogue, la fraude ou même le meurtre, les appareils du suspect contiennent probablement des preuves du crime dans les courriels, l’historique Internet, les documents et les images.
Exemples réels de criminalistique informatique en action
En 2010, un prédicateur baptiste nommé Matt Baker a été condamné à 65 ans de prison pour le meurtre de sa femme. Le rapport initial avait déclaré que la femme s »était suicidée en faisant une surdose de somnifères. Après une enquête plus approfondie, un analyste médico-légal a constaté que Baker avait cherché « une surdose de somnifères » et avait visité plusieurs sites Web pharmaceutiques avant la mort de sa femme. Sans ces informations de l’ordinateur de Baker, il n’aurait peut-être jamais été traduit en justice.
Les sociétés commerciales utilisent également la criminalistique informatique pour une myriade de raisons diverses. Le vol de propriété intellectuelle, la fraude, les contrefaçons et les conflits de travail peuvent entraîner l’utilisation de la criminalistique informatique pour fournir des preuves dans les affaires civiles. Imaginez un scénario dans lequel un employé affirme avoir subi du harcèlement sexuel ou des préjugés de la part d’un employeur. Les appareils appartenant à l’entreprise seront probablement l’un des endroits les plus utiles pour trouver des preuves.
Lorsqu’une personne travaille pour une organisation, tout travail effectué sur les appareils de l’entreprise appartient généralement à cette organisation, même si cet employé travaillait sur un » projet personnel » tout en utilisant cet appareil. Les entreprises peuvent choisir d’utiliser la criminalistique informatique pour prouver que le produit leur appartient tel qu’il a été créé sur un appareil de l’entreprise. La criminalistique informatique peut être utilisée pour trouver cette preuve, même si l’employé croit avoir supprimé tous les fichiers applicables sur cet ordinateur.
Étapes d’une enquête en criminalistique informatique
Pour les personnes travaillant en criminalistique informatique, il y a cinq étapes essentielles à une enquête réussie.
Élaboration de politiques et de procédures
Comme pour tout rôle, le maintien de politiques et de procédures correctement définies est crucial. En criminalistique informatique, ces procédures peuvent décrire comment préparer correctement les systèmes pour la récupération des preuves et les étapes pour assurer l’authenticité des données.
Évaluation des preuves
Les ordinateurs peuvent stocker beaucoup d’informations, parfois des téraoctets de données, qui ne s’appliquent pas toutes à un cas spécifique pour lequel un enquêteur recueille des preuves. Les enquêteurs ont besoin d’une connaissance de l’affaire en cours et d’une compréhension des éléments de preuve qui s’appliquent à l’affaire.
Acquisition de preuves
La simple localisation des preuves ne suffit pas. Les éléments de preuve doivent être recueillis et acquis en suivant des directives strictes pour assurer leur recevabilité devant les tribunaux. Les instructions typiques pour la conservation des preuves comprennent le retrait physique des dispositifs de stockage, l’utilisation de bloqueurs d’écriture pour empêcher la falsification et une documentation approfondie telle qu’une chaîne de traçabilité.
Examen des éléments de preuve
Après avoir évalué et obtenu des éléments de preuve, l’étape suivante consiste à examiner les éléments de preuve potentiels. Les enquêteurs utilisent diverses méthodes, techniques et outils pour examiner les données numériques. Les fichiers intentionnellement cachés et toutes les données marquées d’une date et d’un horodatage sont particulièrement utiles aux enquêteurs.
Documenter et rapporter
Documenter toutes les étapes de l’enquête est un aspect essentiel des fonctions de tout enquêteur judiciaire en informatique. Étant donné que le but de la collecte de ces données est généralement de les présenter devant un tribunal, tout défaut de documenter et de rapporter avec précision les mesures prises pourrait entraîner l’irrecevabilité de la preuve.
Poursuivez votre recherche en criminalistique informatique
Si vous souhaitez en savoir plus sur la criminalistique numérique, visitez notre page Services de criminalistique numérique ici.