R\u00e9cup\u00e9rer des donn\u00e9es effac\u00e9es volontairement, prouver que deux personnes ont \u00e9t\u00e9 en contact par mail ou par messagerie instantan\u00e9e, que des fichiers ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s par tel utilisateur, que des sites aux contenus illicites ont \u00e9t\u00e9 visit\u00e9s, qu’un virus a \u00e9t\u00e9 cr\u00e9\u00e9 sur un poste…\n<\/p>\n
Voici quelques unes des t\u00e2ches incombant aux experts de la recherche de preuves informatiques, une activit\u00e9 encore \u00e9mergente en Europe mais qui r\u00e9pond outre-Atlantique aux besoins des tribunaux mais aussi des entreprises, habitu\u00e9es aux proc\u00e8s fr\u00e9quents. Une activit\u00e9 dans laquelle s’est sp\u00e9cialis\u00e9 l’\u00e9diteur Ontrack, initiallement centr\u00e9 sur la r\u00e9cup\u00e9ration de donn\u00e9es et filiale depuis un an du groupe de risk consulting Kroll.<\/p>\n
Tribunaux et entreprises comme clients<\/p>\n
Le march\u00e9 de la preuve informatique est en France pour le moment tr\u00e8s li\u00e9 \u00e0 la notion d’Etat, o\u00f9 les services de la police scientifique proc\u00e8dent \u00e0 des investigations dans le cadre d’enqu\u00eates. \u00ab\u00a0Pour une partie de notre activit\u00e9, nous sommes nomm\u00e9s expert sur des op\u00e9rations d’investigation de disques durs. Les cas sont vari\u00e9s : p\u00e9dophilie, d\u00e9linquance financi\u00e8re ou informatique… Nous sommes dans ce cas le bras technologique de la justice\u00a0\u00bb, d\u00e9clare Gilles Prola, responsable chez Ontrack de l’activit\u00e9 recherche de preuves informatiques pour la France, la Belgique et le Luxembourg.<\/p>\n
Mais le secteur priv\u00e9, dans le cadre de litiges entre deux parties, est \u00e9galement concern\u00e9. Il est en effet parfois n\u00e9cessaire d’apporter des \u00e9l\u00e9ments compl\u00e9mentaires pour enrichir un ensemble de preuves, permettant \u00e0 un juge de se faire une id\u00e9e plus pr\u00e9cise sur un dossier. \u00ab\u00a0Quand un salari\u00e9 quitte une soci\u00e9t\u00e9 en effa\u00e7ant au pr\u00e9alable toutes ses donn\u00e9es, il peut \u00eatre prouv\u00e9 que les donn\u00e9es ont bien \u00e9t\u00e9 effac\u00e9es \u00e0 telle date, par telle personne et de mani\u00e8re volontaire, ce qui constitue un d\u00e9lit, le d\u00e9lit d’effacement\u00a0\u00bb, ajoute Gilles Prola.<\/p>\n
Agir vite pour une qualit\u00e9 de preuve optimale<\/p>\n
Windows permet une tra\u00e7abilit\u00e9 assez \u00e9lev\u00e9e de ce qui est fait sur un ordinateur, mais plus les jours et les semaines passent, moins il est facile de r\u00e9cup\u00e9rer les donn\u00e9es int\u00e9grales en tant que telles, car Windows \u00e9crase les donn\u00e9es les moins r\u00e9centes. Cela dit, \u00ab\u00a0les traces sont pendant tr\u00e8s longtemps disponibles : on peut ainsi pouver que deux personnes se sont \u00e9chang\u00e9 des courriers \u00e9lectroniques, qu’un document a \u00e9t\u00e9 cr\u00e9\u00e9, modifi\u00e9 ou supprim\u00e9, qu’un chat a eu lieu entre deux individus, qu’une adresse IP s’est connect\u00e9e \u00e0 tel site…\u00a0\u00bb, note Gilles Prola.<\/p>\n