Récupérer des données effacées, démontrer que des contacts par e-mail ou par messagerie instantanée ont eu lieu, prouver l’existence de téléchargements illicites, montrer qu’un virus a été créé sur un poste ou établir qu’un site au contenu illicite a été visité...

Voici quelques unes des tâches incombant aux experts de la recherche de traces informatiques. Activité encore émergente en Europe, celle-ci répond d’abord aux besoins des enquêtes judiciaires, mais aussi de plus en plus à ceux des entreprises.

La richesse des traces est insoupçonnée et leur exploitation utile dans un large éventail de cas : lutte contre la fraude, e-discovery et gestion des preuves électroniques, protection du patrimoine informationnel de l'entreprise, intelligence économique, conformité légale et réglementaire, exploitation et gestion des incidents, etc. Mais pour les obtenir, il faut utiliser des méthodes et des outils techniques adaptés s'inscrivant dans un cadre légal parfois complexe et en perpétuelle évolution.

Des traces informatiques, pourquoi faire ?
Une trace informatique est un ensemble d'informations qui ont été conservées et qui permettent de savoir ce qu'il s'est passé. Elles peuvent être issues d'un traitement effectué par un utilisateur ou encore d'un processus ou d'une application.

Générée et inscrite sur le système où s'est passée l'action ou bien conservée sur un autre système, la trace informatique revêt des formes variées : ligne d'un fichier (chiffré ou en clair), événement d'un journal, entrée dans une base de données, information dans l'application elle-même...

Traces et logs, éléments de preuve  

Garder des traces et des logs répond à des motivations diverses. Dans certains cas, il s'agit de respecter les contraintes légales et réglementaires. En effet, un certain nombre de lois et de règlements imposent de conserver des données pour garantir la traçabilité d'actes et la traçabilité du déroulement d'un processus. Les bonnes données doivent alors être conservées.

Dans d'autres cas, ce peut être pour protéger le patrimoine immatériel, lutter contre la fraude, apporter une aide à l'exploitation, obtenir des informations sur des usages, un comportement, une habitude d'achat... L'obtention et la conservation des données doivent être cohérentes avec les objectifs fixés.

Les logs sont de différentes natures. On distingue généralement les logs d'aide au diagnostic (logs pour le debug) des logs de traçabilité des différentes actions réalisées. Dans les faits, les informations de traçabilité peuvent ou non exister, elles peuvent être mélangées ou redondantes.

Il est fréquent qu'un log ou une trace ne fournisse qu'une vision partielle, voire déformée, de ce qu'il s'est réellement passé. Il est donc nécessaire de conserver les traces de l'ensemble de la chaîne de liaisons pour pouvoir les exploiter. Le croisement de traces distinctes est préférable pour identifier avec certitude les faits. Ce qui représente des volumes considérables de données à traiter et analyser !

Le format par défaut des logs des équipements et des systèmes est rarement celui qui est nécessaire et optimal. S'il est trop riche, on utilise une capacité de traitement et un espace de stockage trop importants.

Dans le cas contraire, on ne dispose pas des données dont on a effectivement besoin. L'analyse précise des besoins (conformité, traçabilité des accès, aide à l'exploitation...) s'impose donc. Sans oublier la cohérence - en particulier des contenus et de la durée - et la manière dont sont traités les logs et extraites les données.

Le système de traçabilité doit être déterminé a priori. On ne peut en effet recueillir les traces que de ce qui est 'tracé' ! Les logs contiennent souvent des données à caractère personnel (identifiant de connexion, adresse IP...). Leur conservation doit ainsi respecter le cadre légal.

L'accès aux données des traces doit être très contrôlé afin de garantir l'intégrité des données elles-mêmes et l'usage qui en est fait. Il est conseillé d'opérer sur un système différent ou d'exporter automatiquement et en temps réel les données de traçabilité vers un système tiers pour éviter qu'un individu puisse supprimer les traces qu'il avait laissées : une telle opération doit être elle-même tracée !

Un ensemble de logs issus de sources différentes étant souvent nécessaire pour analyser et comprendre une situation, la synchronisation temporelle des différents équipements concernés est un pré-requis.

Plusieurs cas de figure peuvent se présenter. On dispose de traces que l'on ne devrait pas avoir ou a contrario on n'a pas celles que l'on devrait ou voudrait avoir. Certaines traces comme la suppression d'un fichier, des cookies, les informations de l'en-tête d'un e-mail... existent mais on n'en a pas forcément connaissance.

Chaque entreprise, chaque administration ou organisme possède des informations indispensables à son métier et qui peuvent intéresser des tiers pour diverses raisons.

Par exemple, l'adresse et le numéro de téléphone de particuliers, les plaques d'immatriculations de véhicules, des informations financières avant diffusion (délits d'initiés), des brevets en cours de dépôt...

Très souvent, la simple consultation de ces informations ne laisse aucune trace. Les applicatifs n'ont pas été conçus pour cela et les modifier se révèle parfois lourd et coûteux.

Est-il alors possible de prévoir la génération ou de générer les traces dont on a besoin ? Il est fréquent que l'accès à ces informations sensibles s'effectue au travers d'une architecture client/serveur.

Toutes les données transitent donc sur le réseau. Si elles ne sont pas chiffrées, une « sonde réseau intelligente » permet d'extraire celles que l'on désire et générer ainsi les traces manquantes.

Mais, il faut aussi tenir compte de situations où les intéressés voudraient avoir la certitude de ne pas laisser de traces évidentes. Il y a enfin les traces que l'on a ou que l'on peut avoir mais que l'on ne peut pas valoriser.

Chacune de ces problématiques doit être traitée, ce qui exige un haut niveau d'expertise et une analyse souvent très fine des besoins de l'entreprise et des solutions éligibles, sachant que ces dernières ne pourront être mises en oeuvre qu'en respectant le cadre légal applicable qu'il est donc indispensable de bien connaître.