La
recherche de preuves informatiques fait parler les disques
durs
L'éditeur Kroll Ontrack, spécialiste de la récupération de données, s'oriente depuis trois ans vers la recherche de preuves informatiques. Un marché aux multiples facettes. (Mardi 14 octobre 2003)
Récupérer des
données effacées volontairement, prouver
que deux personnes ont été en contact par
mail ou par messagerie instantanée, que des fichiers
ont été téléchargés
par tel utilisateur, que des sites aux contenus illicites
ont été visités, qu'un virus a été
créé sur un poste...
Voici quelques unes des tâches incombant aux experts
de la recherche de preuves informatiques, une activité
encore émergente en Europe mais qui répond
outre-Atlantique aux besoins des tribunaux mais aussi
des entreprises, habituées
aux procès fréquents. Une activité
dans laquelle s'est spécialisé l'éditeur
Ontrack, initialement centré sur la récupération
de données et filiale depuis un an du groupe de risk
consulting Kroll.
Tribunaux
et entreprises comme clients Le marché
de la preuve informatique est en France pour le moment
très lié à la notion d'Etat, où
les services de la police scientifique procèdent
à des investigations dans le cadre d'enquêtes.
"Pour une partie de notre activité, nous sommes nommés
expert sur des opérations d'investigation de disques durs.
Les cas sont variés : pédophilie, délinquance financière
ou informatique... Nous sommes dans ce cas le bras technologique
de la justice", déclare Gilles Prola, responsable
chez Ontrack de l'activité recherche de preuves informatiques
pour la France, la Belgique et le Luxembourg.
Mais le secteur privé, dans le cadre de litiges
entre deux parties, est également concerné.
Il est en effet parfois nécessaire d'apporter des
éléments complémentaires pour enrichir
un ensemble de preuves, permettant à un juge de
se faire une idée plus précise sur un dossier.
"Quand un salarié quitte une société
en effaçant au préalable toutes ses données,
il peut être prouvé que les données
ont bien été effacées à telle
date, par telle personne et de manière volontaire,
ce qui constitue un délit, le délit d'effacement",
ajoute Gilles Prola.
Agir
vite pour une qualité de preuve optimale Windows permet
une traçabilité assez élevée
de ce qui est fait sur un ordinateur, mais plus les jours
et les semaines passent, moins il est facile de récupérer
les données intégrales en tant que telles,
car Windows écrase les données les moins
récentes. Cela dit, "les traces sont pendant
très longtemps disponibles : on peut ainsi pouver
que deux personnes se sont échangé des courriers
électroniques, qu'un document a été
créé, modifié ou supprimé,
qu'un chat a eu lieu entre deux individus, qu'une
adresse IP s'est connectée à tel site...",
note Gilles Prola.
Tout n'est cependant pas possible en termes de preuves,
notamment quand il s'agit des correspondances privées,
même sur le lieu de travail, et l'arrêt
Nikon du 2 octobre 2001 (Cour de cassation - Chambre
sociale) est là pour le rappeler.
Le respect d'une procédure stricte
Ontrack met d'ailleurs en avant le respect d'un processus
très précis lorsqu'une recherche de preuves
est effectuée. Première règle : effectuer
deux copies (bit à bit) du disque dur incriminé,
pour pouvoir travailler sur la première tout en
tenant la seconde à disposition de la justice,
dans le cas d'une demande de contre-expertise. Deuxième
règle : journaliser toutes les interventions de
l'expert, afin qu'un autre expert puisse arriver, dans
les mêmes conditions, aux mêmes résultats.
Le coût minimum d'une
recherche de preuve se situe entre 4 000 et 8 000
euros, comme par exemple pour une recherche de mots clés
sur l'ensemble des fichiers d'un disque dur. Un rapport
est en outre fourni par Ontrack : "nous rédigeons
des rapports intelligibles pour le commun des mortels,
les services RH ou les directions d'entreprise, rarement
pour des informaticiens", conclut Gilles Prola. Pour
des recherches plus poussées, où un travail
préparatoire est nécessaire, où les
tâches automatisables sont moins nombreuses, les
prix sont bien entendu plus élevés.