Étude de cas : Cyberenquête en vol d’information, accès à de l’information restreinte et partage d’information confidentielle.
Mise en contexte du dossier :
Le client est accusé d’avoir accédé à de l’information appartenant à l’entreprise dans le bus de la partager avec la concurrence. J’ai été appelé en tant que cyberenquêteur informatique pour analyser ce dossier juridique.
La défense :
Un ordinateur portable de compagnie a été prêté et utilisé pour des fins commerciales et personnelles. Des documents ont bel et bien été copiés sur l’ordinateur portable, mais ceci a été fait dans le but de travailler seulement. Ils ont été copiés sur une clé USB, mais ils n’ont pas été transmis à la concurrence.
Les points d’analyses
- La liste des documents supprimés sur l’ordinateur et la clé USB
- La liste des fichiersUn fichier est un document informatique que l'on retrouve sur un média de stockage, tel un disque dur, dans un ordinateur. Un ordinateur est composé de dizaines de milliers de fichiers. More pertinents présents sur l’ordinateur
- L’historique des appareils électroniques connectés à l’ordinateur
- L’historique navigation internet contenant les sites web visités
- Les archives de courriel sur l’ordinateur
- La liste des applications et logiciels installés
Analyse sur chacun des chefs d’accusation
Accès à de l’information privilégiée et restreinte
Il est très difficile de démontrer un accès à de l’information à usage limité ou restreint.
Pour soutenir une accusation d’accès interdit, il faut avoir accès au serveur sur lequel il y a eu une connexion et être en mesure d’extraire un registre détaillé des connexions au serveur avec les adresses IP des appareils qui se sont connectés. Il est difficile de démontrer qu’une personne a accédé à des fichiersUn fichier est un document informatique que l'on retrouve sur un média de stockage, tel un disque dur, dans un ordinateur. Un ordinateur est composé de dizaines de milliers de fichiers. More ou des données privilégiées pour la plupart des entreprises qui louent espaces de stockage à distance.
Avec l’ordinateur ayant eu accès en main, parfois possible de trouver des traces de connexions. On peut analyser les historiques de navigation, faire une recherche de document pertinent et d’adresse IPUne adresse IP est un numéro d'identification qui est attribué de façon permanente ou provisoire à chaque branchement à un réseau informatique. L'adresse IP peut être comparé au fonctionnement... More et vérifier les applications installées pour le transfert de fichier.
Vol d’information et partage avec la concurrence
Pour retrouver des traces de partage ou de vol électronique, il faut avoir des registres complets. Par défaut, les ordinateurs ne sont pas configurés pour tenir ce type de registre en mémoire. Il faut activer ces fonctions.
Avec ces registres, il faut ensuite avoir une idée des personnes ou des entités qui aurait pu recevoir ces informations ou au minimum des informations qui ont été supposément transmises pour permettre de faire une recherche sur de l’information pertinente.
Dans le cas ci-présent, nous connaissions les compétiteurs ayant supposément reçu l’information. J’ai donc pu faire une recherche et tenter de retrouver tous les fichiersUn fichier est un document informatique que l'on retrouve sur un média de stockage, tel un disque dur, dans un ordinateur. Un ordinateur est composé de dizaines de milliers de fichiers. More sur l’ordinateur pour trouver des traces de noms des employés, des noms de l’entreprise, de courriel et d’envoi de fichier si ces traces existent.
Par contre, il est important de savoir que le partage par courriel est beaucoup plus complexe à analyser en cyberenquêteLa cyberenquête est l'investigation numérique de crime informatique ou de preuve informatique. La cyberenquête analyse les cybercrimes et les méfaits informatiques. Le résultat de l'enquête est ... More. Si on utilise le logiciel Microsoft Outlook, Mozilla Thunderbird ou un logiciel similaire, ceux-ci gardent une copie des courriels et donc on peut retracer les courriels.
Par contre, des sites de courriel comme Gmail, Yahoo Mail, Outlook 365 et la plupart des autres sites de courriel en ligne, ceux-là sont sécurisés avec une connexion HTTPS. En utilisant ces sites, il n’y a aucune trace laissée sur l’ordinateur autre que l’historique de navigationL’historique de navigation est un registre des sites internet et de leurs contenus visités. À moins de volontairement le bloquer, un ordinateur garde toujours une trace des sites internet qui ont ... More qui n’indiquera rien de plus qu’une visite sur un site comme Gmail. La seule façon de voir un partage de cette manière est d’avoir un registre des informations téléversées (téléversé) par le routeur d’internet utilisé. On retrouve ce genre de registre uniquement dans les très grandes entreprises qui investissent en sécurité. De plus, si le téléversement n’a pas eu lieu sur les espaces de l’entreprise ou le trafic internet est vérifié, la seule trace qu’il peut rester est le fournisseur internet et je n’ai encore jamais vu de cas ou cela a été remis comme preuve.
Conclusion
Il est possible de démontrer un accès à de l’information sur un serveur, mais il faut savoir que c’est une preuve informatique très difficile et qu’il faut combiner de nombreux éléments plutôt que de chercher une seule preuve. La même approche est utilisée pour démontrer un partage de l’information, il faut rechercher plusieurs preuves plutôt que d’essayer de trouver un seul élément.
C’est l’objectif de l’enquête informatique réalisée pendant l’expertise juridique. Lors de l’enquête, l’enquêteur en informatique juridique évaluera les possibilités pour identifier des pistes d’analyse.
Dans le contexte de ce dossier, lors de notre enquête, il faut savoir que l’accusé ne conteste pas avoir accédé au serveur puisque c’était dans l’exercice de ses fonctions, mais qu’il conteste avoir partagé l’information avec des compétiteurs. Notre enquête informatique a permis de confirmer les propos de la défense.
Vous devez être connecté pour poster un commentaire.