criminalistique informatique (cyber criminalistique)

Qu’est-ce que la criminalistique informatique?

La criminalistique informatique est l’application de techniques d’enquête et d’analyse pour recueillir et conserver des preuves provenant d’un dispositif informatique particulier de manière à pouvoir être présentées devant un tribunal. L’objectif de la criminalistique informatique est de mener une enquête structurée et de maintenir une chaîne de preuves documentée pour savoir exactement ce qui s’est passé sur un appareil informatique et qui en était responsable.

La criminalistique informatique – qui est parfois appelée science médico-légale informatique – consiste essentiellement en la récupération de données avec des directives de conformité légale pour rendre les informations admissibles dans les procédures judiciaires. Les termes criminalistique numérique et cyber criminalistique sont souvent utilisés comme synonymes de criminalistique informatique.

La criminalistique numérique commence par la collecte d’informations d’une manière qui maintient son intégrité. Les enquêteurs analysent ensuite les données ou le système pour déterminer si elles ont été modifiées, comment elles ont été modifiées et qui a apporté les modifications. L’utilisation de la criminalistique informatique n’est pas toujours liée à un crime. Le processus judiciaire est également utilisé dans le cadre des processus de récupération de données pour collecter des données à partir d’un serveur en panne, d’un lecteur défaillant, d’un système d’exploitation (OS) reformaté ou d’une autre situation où un système a cessé de fonctionner de manière inattendue.

Pourquoi la criminalistique informatique est-elle importante?

Dans le système de justice civile et pénale, la criminalistique informatique contribue à assurer l’intégrité des preuves numériques présentées dans les affaires judiciaires. À mesure que les ordinateurs et autres dispositifs de collecte de données sont utilisés de plus en plus fréquemment dans tous les aspects de la vie, les preuves numériques – et le processus médico-légal utilisé pour les collecter, les conserver et les enquêter – sont devenus plus importants pour résoudre les crimes et autres problèmes juridiques.

La personne moyenne ne voit jamais beaucoup d’informations collectées par les appareils modernes. Par exemple, les ordinateurs des voitures collectent continuellement des informations sur le moment où un conducteur freine, change de vitesse et change de vitesse sans que le conducteur ne le sache. Cependant, ces informations peuvent s’avérer essentielles pour résoudre une affaire juridique ou un crime, et la criminalistique informatique joue souvent un rôle dans l’identification et la préservation de ces informations.

Les preuves numériques ne sont pas seulement utiles pour résoudre les crimes du monde numérique, tels que le vol de données, les violations de réseau et les transactions illicites en ligne. Il est également utilisé pour résoudre des crimes du monde physique, tels que le cambriolage, l’agression, les accidents avec délit de fuite et le meurtre.

Les entreprises utilisent souvent une stratégie multicouche de gestion des données, de gouvernance des données et de sécurité du réseau pour sécuriser les informations propriétaires. Avoir des données bien gérées et sûres peut aider à rationaliser le processus judiciaire si jamais ces données font l’objet d’une enquête.

6 moyens de protéger les actifs numériques
Découvrez les six étapes pour renforcer la protection résiliente des actifs numériques.

Les entreprises utilisent également la criminalistique informatique pour suivre les informations liées à un système ou à un réseau compromis, qui peuvent être utilisées pour identifier et poursuivre les cyber-attaquants. Les entreprises peuvent également faire appel à des experts et à des processus judiciaires numériques pour les aider à récupérer des données en cas de défaillance d’un système ou d’un réseau causée par une catastrophe naturelle ou autre.

Alors que le monde devient de plus en plus dépendant de la technologie numérique pour les fonctions essentielles de la vie, la cybercriminalité augmente. À ce titre, les spécialistes de la criminalistique informatique n’ont plus le monopole sur le terrain. Voyez comment la police britannique adopte des techniques de criminalistique informatique pour faire face aux taux croissants de cybercriminalité.

Types de criminalistique informatique

Il existe différents types d’examens médico-légaux informatiques. Chacun traite d’un aspect spécifique des technologies de l’information. Certains des principaux types sont les suivants:

  • Criminalistique des bases de données. L’examen des informations contenues dans les bases de données, à la fois des données et des métadonnées connexes.
  • E-mail forensics. La récupération et l’analyse des e-mails et d’autres informations contenues dans les plates-formes de messagerie, telles que les horaires et les contacts.
  • Criminalistique des logiciels malveillants. Passer au crible le code pour identifier d’éventuels programmes malveillants et analyser leur charge utile. Ces programmes peuvent inclure des chevaux de Troie, des rançongiciels ou divers virus.
     Types de logiciels malveillants
    Découvrez la gamme complète des types de logiciels malveillants auxquels les entreprises doivent faire face aujourd’hui.
  • Criminalistique de la mémoire. Collecte d’informations stockées dans la mémoire vive (RAM) et le cache d’un ordinateur.
  • Médecine légale mobile. L’examen des appareils mobiles pour récupérer et analyser les informations qu’ils contiennent, y compris les contacts, les messages texte entrants et sortants, les images et les fichiers vidéo.
  • Criminalistique de réseau. Recherche de preuves en surveillant le trafic réseau, à l’aide d’outils tels qu’un pare-feu ou un système de détection d’intrusion.

Comment fonctionne la criminalistique informatique?

Les enquêteurs médico-légaux suivent généralement des procédures standard, qui varient en fonction du contexte de l’enquête médico-légale, de l’appareil à l’étude ou des informations recherchées par les enquêteurs. En général, ces procédures comprennent les trois étapes suivantes:

  1. Collecte de données. Les informations stockées électroniquement doivent être collectées de manière à préserver leur intégrité. Cela implique souvent d’isoler physiquement l’appareil à l’étude pour s’assurer qu’il ne peut pas être accidentellement contaminé ou altéré. Les examinateurs font une copie numérique, également appelée image médico-légale, du support de stockage de l’appareil, puis ils verrouillent l’appareil d’origine dans un coffre-fort ou une autre installation sécurisée pour maintenir son état vierge. L’enquête est menée sur la copie numérique. Dans d’autres cas, les informations accessibles au public peuvent être utilisées à des fins médico-légales, telles que les publications Facebook ou les frais publics de Venmo pour l’achat de produits ou services illégaux affichés sur le site Web de Vicemo.
  2. Analyse. Les enquêteurs analysent des copies numériques de supports de stockage dans un environnement stérile pour recueillir les informations nécessaires à un cas. Divers outils sont utilisés pour faciliter ce processus, notamment l’autopsie de Basis Technology pour les investigations sur les disques durs et l’analyseur de protocole réseau Wireshark. Un jiggler de souris est utile lors de l’examen d’un ordinateur pour l’empêcher de s’endormir et de perdre des données de mémoire volatiles qui sont perdues lorsque l’ordinateur s’endort ou perd de l’énergie.
  3. Présentation. Les enquêteurs médico-légaux présentent leurs conclusions dans une procédure judiciaire, où un juge ou un jury les utilise pour aider à déterminer le résultat d’une poursuite. Dans une situation de récupération de données, les enquêteurs judiciaires présentent ce qu’ils ont pu récupérer d’un système compromis.

Souvent, plusieurs outils sont utilisés dans les enquêtes médico-légales informatiques pour valider les résultats qu’ils produisent. Découvrez comment un chercheur de Kaspersky Lab en Asie a créé un outil de criminalistique open source pour collecter à distance des preuves de logiciels malveillants sans compromettre l’intégrité du système.

Techniques Les enquêteurs judiciaires utilisent

Les enquêteurs utilisent une variété de techniques et d’applications judiciaires exclusives pour examiner la copie qu’ils ont faite d’un appareil compromis. Ils recherchent des dossiers cachés et de l’espace disque non alloué pour des copies de fichiers supprimés, cryptés ou endommagés. Toute preuve trouvée sur la copie numérique est soigneusement documentée dans un rapport de constatation et vérifiée avec l’appareil d’origine en vue d’une procédure judiciaire impliquant une découverte, des dépositions ou un litige réel.

Les enquêtes médico-légales informatiques utilisent une combinaison de techniques et de connaissances spécialisées. Certaines techniques courantes sont les suivantes:

  • Stéganographie inversée. La stéganographie est une tactique courante utilisée pour masquer des données à l’intérieur de tout type de fichier numérique, de message ou de flux de données. Les experts en criminalistique informatique renversent une tentative de stéganographie en analysant le hachage des données que contient le fichier en question. Si un cybercriminel cache des informations importantes à l’intérieur d’une image ou d’un autre fichier numérique, elles peuvent ressembler avant et après à l’œil non averti, mais le hachage sous-jacent ou la chaîne de données qui représente l’image changera.
  • Médecine légale stochastique. Ici, les enquêteurs analysent et reconstruisent l’activité numérique sans utiliser d’artefacts numériques. Les artefacts sont des modifications involontaires de données qui se produisent à partir de processus numériques. Les artefacts comprennent des indices liés à un crime numérique, tels que des modifications des attributs de fichier lors du vol de données. La criminalistique stochastique est fréquemment utilisée dans les enquêtes de violation de données où l’attaquant est considéré comme un initié, qui pourrait ne pas laisser derrière lui des artefacts numériques.
  • Analyse d’entraînement croisé. Cette technique permet de corréler et de recouper les informations trouvées sur plusieurs lecteurs d’ordinateurs pour rechercher, analyser et conserver les informations pertinentes à une enquête. Les événements qui soulèvent des soupçons sont comparés à des informations sur d’autres lecteurs pour rechercher des similitudes et fournir un contexte. Ceci est également connu sous le nom de détection d’anomalies.
  • Analyse en direct. Avec cette technique, un ordinateur est analysé à partir du système d’exploitation pendant que l’ordinateur ou l’appareil est en cours d’exécution, à l’aide d’outils système sur l’ordinateur. L’analyse examine les données volatiles, qui sont souvent stockées dans le cache ou la RAM. De nombreux outils utilisés pour extraire des données volatiles nécessitent que l’ordinateur soit dans un laboratoire médico-légal pour maintenir la légitimité d’une chaîne de preuves.
  • Récupération de fichiers supprimés. Cette technique consiste à rechercher dans un système informatique et dans la mémoire des fragments de fichiers qui ont été partiellement supprimés à un endroit mais qui laissent des traces ailleurs sur la machine. Ceci est parfois connu sous le nom de sculpture de fichiers ou de sculpture de données.

En savoir plus sur l’analyse médico-légale par ordinateur dans ce chapitre du livre Python Forensics: Un atelier pour Inventer et partager la Technologie Médico-légale numérique, de Chet Hosmer. Il montre comment utiliser Python et la technologie de cybersécurité pour préserver les preuves numériques.

Comment la criminalistique informatique est-elle utilisée comme preuve?

La criminalistique informatique est utilisée comme preuve par les organismes d’application de la loi et en droit pénal et civil depuis les années 1980.Parmi les cas notables, citons les suivants:

  • Vol de secret commercial Apple. Un ingénieur nommé Xiaolang Zhang de la division des voitures autonomes d’Apple a annoncé sa retraite et a déclaré qu’il retournerait en Chine pour s’occuper de sa mère âgée. Il a dit à son manager qu’il avait l’intention de travailler chez un fabricant de voitures électroniques en Chine, suscitant des soupçons. Selon un affidavit du Federal Bureau of Investigation (FBI), l’équipe de sécurité d’Apple a examiné l’activité de Zhang sur le réseau de l’entreprise et a découvert, dans les jours précédant sa démission, qu’il avait téléchargé des secrets commerciaux à partir de bases de données confidentielles de l’entreprise auxquelles il avait accès. Il a été inculpé par le FBI en 2018.
  • Enron. Dans l’un des scandales de fraude comptable les plus fréquemment cités, Enron, un américain. energy, commodities and services company, a faussement déclaré des milliards de dollars de revenus avant de faire faillite en 2001, causant un préjudice financier à de nombreux employés et à d’autres personnes qui avaient investi dans l’entreprise. Les analystes judiciaires en informatique ont examiné des téraoctets de données pour comprendre le système de fraude complexe. Le scandale a été un facteur important dans l’adoption de la loi Sarbanes-Oxley de 2002, qui fixait de nouvelles exigences de conformité comptable pour les sociétés ouvertes. La société a déclaré faillite en 2001.
  • Vol de secrets commerciaux de Google. Anthony Scott Levandowski, ancien dirigeant d’Uber et de Google, a été inculpé de 33 chefs d’accusation de vol de secrets commerciaux en 2019. De 2009 à 2016, Levandowski a travaillé dans le programme de voitures autonomes de Google, où il a téléchargé des milliers de fichiers liés au programme à partir d’un serveur d’entreprise protégé par mot de passe. Il a quitté Google et a créé Otto, une entreprise de camions autonomes, achetée par Uber en 2016, selon le New York Times. Levandowski a plaidé coupable à un chef d’accusation de vol de secrets commerciaux et a été condamné à 18 mois de prison et à 851 499 fines d’amendes et de restitution. Levandowski a reçu une grâce présidentielle en janvier 2021.
  • Larry Thomas. Thomas a abattu Rito Llamas-Juarez en 2016 Thomas a ensuite été condamné à l’aide de centaines de messages Facebook qu’il a publiés sous le faux nom de Slaughtaboi Larro. L’un des messages comprenait une photo de lui portant un bracelet qui a été retrouvé sur les lieux du crime.
  • Michael Jackson. Les enquêteurs ont utilisé des métadonnées et des documents médicaux de l’iPhone du médecin de Michael Jackson qui montraient que le médecin, Conrad Murray, avait prescrit des quantités mortelles de médicaments à Jackson, décédé en 2009.
  • Mikayla Munn. Munn a noyé son nouveau-né dans la baignoire de son dortoir de l’Université de Manchester en 2016. Les enquêteurs ont trouvé des recherches Google sur son ordinateur contenant l’expression « avortement à domicile », qui ont été utilisées pour la condamner.

Le meurtre n’est qu’un des nombreux types de crimes que la criminalistique informatique peut aider à combattre. Découvrez comment un logiciel d’analyse financière médico-légale est utilisé pour lutter contre la fraude.

Carrières et certifications en criminalistique informatique

La criminalistique informatique est devenue son propre domaine d’expertise scientifique, avec des cours et une certification qui l’accompagnent. Le salaire annuel moyen d’un analyste judiciaire en informatique d’entrée de gamme est d’environ 65 000 $, selon Salary.com . Voici quelques exemples de parcours de carrière en cyber-criminalistique ::

  • Ingénieur légiste. Ces professionnels s’occupent de l’étape de collecte du processus de criminalistique informatique, de la collecte des données et de leur préparation pour analyse. Ils aident à déterminer comment un appareil a échoué.
  • Juricomptable. Ce poste traite des délits de blanchiment d’argent et d’autres transactions effectuées pour dissimuler des activités illégales.
  • Analyste en cybersécurité. Ce poste consiste à analyser les données une fois qu’elles ont été collectées et à tirer des informations qui peuvent ensuite être utilisées pour améliorer la stratégie de cybersécurité d’une organisation.

Un baccalauréat and et, parfois, une maîtrise degree en informatique, en cybersécurité ou dans un domaine connexe sont requis des professionnels de l’informatique légale. Il existe plusieurs certifications disponibles dans ce domaine, notamment les suivantes:

  • Analyste judiciaire en cybersécurité de l’Institut de cybersécurité. Ce titre est conçu pour les professionnels de la sécurité ayant au moins deux ans d’expérience. Les scénarios de test sont basés sur des cas réels.
  • Examinateur médico-légal certifié de l’International Association of Computer Investigative Specialists. Ce programme se concentre principalement sur la validation des compétences nécessaires pour s’assurer que les affaires suivent les directives judiciaires informatiques établies.
  • Enquêteur judiciaire en piratage informatique du Conseil de l’EC. Cette certification évalue la capacité du demandeur à identifier les intrus et à recueillir des preuves pouvant être utilisées devant les tribunaux. Il couvre la recherche et la saisie de systèmes d’information, le travail avec la preuve numérique et d’autres compétences en cyber-criminalistique.
  • Examinateur Informatique Certifié de la Société Internationale des Examinateurs Informatiques Médico-légaux (ISFCE). Ce programme d’examen médico-légal nécessite une formation dans un centre de formation bootcamp autorisé, et les candidats doivent signer le Code d’éthique et de Responsabilité professionnelle de l’ISFCE.

En savoir plus sur une carrière en cyber-criminalistique grâce à cette interview d’Amanda Rousseau, chercheuse principale en malware chez Endgame (maintenant chez Facebook), qui a commencé sa carrière en effectuant des enquêtes judiciaires informatiques au Centre de cybercriminalité du Département de la Défense.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.