Comment rechercher et analyser des e-mails professionnels

Le courrier électronique a largement supplanté l'utilisation du courrier traditionnel en entreprise. En cas d'investigation sur ces messages, quelles règles faut-il respecter et comment faire pour retrouver le contenu incriminé ?

Les différentes affaires judiciaires ayant dernièrement défrayé la chronique, montrent l'importance que revêtent aujourd'hui les messageries électroniques. Le courrier électronique a largement supplanté l'utilisation du courrier traditionnel.

La nature même de la messagerie électronique a totalement bouleversé les échanges d'informations et les formalités qui les entourent. La rapidité de transmission associée à la possibilité de copier un nombre infini de destinataires a littéralement galvaudé la tenue de certaines us et règles. Nous sommes de plus en plus enclins à exprimer par emails des choses que nous n'aurions jamais osées dans une lettre "traditionnelle".

Nous courrons également un risque plus important d'envoyer par accident une information à un mauvais destinataire. La facilité de communication et la fréquence nous ont fait baisser notre garde quant aux précautions d'usage.

Les limites juridiques d'une recherche sur des e-mails en entreprise

Les implications sont nombreuses pour les professionnels de l'investigation informatique. En premier lieu, ils ont obligation de différencier les e-mails professionnels, des e-mails personnels, ces derniers ne pouvant être accédés que dans le cadre d'une mission explicitement définie par une autorité judiciaire. En effet, les législations relatives au secret des correspondances privées s'appliquent à la messagerie électronique.

En ce qui concerne l'examen d'e-mails professionnels, ils doivent délimiter précisément les objectifs de l'analyse :

•    Retracer la source ou la véracité d'un email ;
•    Examiner les échanges de communications entre personnes ou groupes identifiés ;
•    Déterminer l'origine ou la date d'envoi d'un message ;
•    Démontrer la réception d'un message.

Les grandes entreprises organisent leur messagerie autour d'un système global, avec un serveur central (Microsoft Exchange, Lotus Notes, GroupWise ou d'autres variétés de Linux.) et des clients de messagerie tels que MS Outlook, Outlook Express, Thunderbird et Eudora. Sont exclues du cadre professionnel, les messageries basées sur Internet telles que Yahoo, Hotmail, Gmail et autres Webmail.

Quelle que soit la situation, il faut préalablement définir la localisation des e-mails dans leur forme originale. Sur un serveur ? Sur le poste local client ? Sur le Web ? Les trois ensembles ?

En France, les principes de base d'une action devant une juridiction imposent l'impartialité et le respect du contradictoire, principes qui obligent la préservation de tout support pouvant contenir des éléments probatoires. Pour cela, il est indispensable de faire réaliser par un tiers impartial (huissier de Justice), des copies des supports susceptibles de contenir les informations recherchées et éventuellement des bandes de sauvegardes disponibles.

Le travail d'un laboratoire d'investigation numérique consiste en l'examen d'échanges électroniques afin d'identifier les communications pertinentes. Les laboratoires disposent d'outils et de méthodologies permettant d'examiner la totalité d'une messagerie d'une entreprise pour détecter la présence d'un contenu inapproprié.

Etude de cas

Les deux cas (réels) ci-dessous exposent des situations courantes et la manière dont elles sont traitées.

Premier cas : le client souhaite détecter et confirmer la présence de contenu contrevenant à la charte informatique de l'entreprise.

Cette situation consiste dans l'analyse d'un système comprenant 40 bases Microsoft Exchange, 25.000 utilisateurs et plusieurs millions de messages. En utilisant des techniques appropriées et des outils propriétaires, le laboratoire collecte et catalogue des emails et pièces jointes inappropriées et en identifie la provenance. Une fois l'investigation terminée, les contenus sont sécurisés dans le respect des règles de l'art en matière de collecte de preuves numériques, et seuls les éléments permettant des actions disciplinaires et légitimes envers les auteurs des infractions constatées sont communiqués.

Second cas : un client est informé qu'un collaborateur de sa PME a divulgué des informations confidentielles. Il souhaite l'identifier.

Des premiers éléments d'informations permettent de réduire à 2 semaines la période pendant laquelle la fuite a été réalisée. En l'absence d'élément pour déterminer le destinataire ou l'expéditeur de cette information litigieuse, plus de un million d'e-mails auraient du être examinés pour identifier le coupable.

Voici la méthodologie suivie par le laboratoire pour compléter cet examen :

•    Récupération d'une sauvegarde du serveur de messagerie ainsi que des copies des boîtes à lettres individuelles des employés ;
•    Sélection des e-mails échangés aux dates définies à l'aide de requêtes prédéfinies dans nos outils ;
•    Utilisation d'un filtre de mots-clés pour affiner les résultats aux e-mails pertinents ;
•    Restriction de la liste aux seules communications vers l'extérieur. Tous les e-mails internes ont été supprimés.

Ces différentes étapes réduisent la liste à un nombre de messages assez restreints pour une analyse individuelle.

Il se trouve que le premier e-mail lu est celui recherché. Il identifie clairement l'envoyeur et le destinataire de ces informations confidentielles. Au cours de la suite de l'examen des e-mails, 2 autres transgressions supplémentaires (heureusement sans conséquences) sont détectées.

La plupart des outils utilisés par les laboratoires d'investigations sont des outils propriétaires, non disponibles commercialement. L'examen d'un e-mail est un exercice extrêmement difficile en raison d'une législation contraignante et de l'importance de la masse d'informations à manipuler et analyser.

L'oeil humain reste essentiel pour détecter l'ultime élément causant litige, mais une véritable investigation informatique à l'aide de logiciels spécialisés reste essentielle pour préparer une réponse à un litige ou un contentieux.