Étude de cas : Cyberenquête en vol d’information, accès à de l’information restreinte et partage d’information confidentielle.

 

Mise en contexte du dossier :

Le client est accusé d’avoir accédé à de l’information appartenant à l’entreprise dans le bus de la partager avec la concurrence. J’ai été appelé en tant que cyberenquêteur informatique pour analyser ce dossier juridique.

 

La défense :

Un ordinateur portable de compagnie a été prêté et utilisé pour des fins commerciales et personnelles. Des documents ont bel et bien été copiés sur l’ordinateur portable, mais ceci a été fait dans le but de travailler seulement. Ils ont été copiés sur une clé USB, mais ils n’ont pas été transmis à la concurrence.

 

Les points d’analyses

  • La liste des documents supprimés sur l’ordinateur et la clé USB
  • La liste des fichiers pertinents présents sur l’ordinateur
  • L’historique des appareils électroniques connectés à l’ordinateur
  • L’historique navigation internet contenant les sites web visités
  • Les archives de courriel sur l’ordinateur
  • La liste des applications et logiciels installés

 

Analyse sur chacun des chefs d’accusation

Accès à de l’information privilégiée et restreinte

Il est très difficile de démontrer un accès à de l’information à usage limité ou restreint.

Pour soutenir une accusation d’accès interdit, il faut avoir accès au serveur sur lequel il y a eu une connexion et être en mesure d’extraire un registre détaillé des connexions au serveur avec les adresses IP des appareils qui se sont connectés. Il est difficile de démontrer qu’une personne a accédé à des fichiers ou des données privilégiées pour la plupart des entreprises qui louent espaces de stockage à distance.

Avec l’ordinateur ayant eu accès en main, parfois possible de trouver des traces de connexions. On peut analyser les historiques de navigation, faire une recherche de document pertinent et d’adresse IP et vérifier les applications installées pour le transfert de fichier.

 

Vol d’information et partage avec la concurrence

Pour retrouver des traces de partage ou de vol électronique, il faut avoir des registres complets. Par défaut, les ordinateurs ne sont pas configurés pour tenir ce type de registre en mémoire. Il faut activer ces fonctions.

Avec ces registres, il faut ensuite avoir une idée des personnes ou des entités qui aurait pu recevoir ces informations ou au minimum des informations qui ont été supposément transmises pour permettre de faire une recherche sur de l’information pertinente.

Dans le cas ci-présent, nous connaissions les compétiteurs ayant supposément reçu l’information. J’ai donc pu faire une recherche et tenter de retrouver tous les fichiers sur l’ordinateur pour trouver des traces de noms des employés, des noms de l’entreprise, de courriel et d’envoi de fichier si ces traces existent.

Par contre, il est important de savoir que le partage par courriel est beaucoup plus complexe à  analyser en cyberenquête. Si on utilise le logiciel Microsoft Outlook, Mozilla Thunderbird ou un logiciel similaire, ceux-ci gardent une copie des courriels et donc on peut retracer les courriels.

Par contre, des sites de courriel comme Gmail, Yahoo Mail, Outlook 365 et la plupart des autres sites de courriel en ligne, ceux-là sont sécurisés avec une connexion HTTPS. En utilisant ces sites, il n’y a aucune trace laissée sur l’ordinateur autre que l’historique de navigation qui n’indiquera rien de plus qu’une visite sur un site comme Gmail. La seule façon de voir un partage de cette manière est d’avoir un registre des informations téléversées (téléversé) par le routeur d’internet utilisé. On retrouve ce genre de registre uniquement dans les très grandes entreprises qui investissent en sécurité. De plus, si le téléversement n’a pas eu lieu sur les espaces de l’entreprise ou le trafic internet est vérifié, la seule trace qu’il peut rester est le fournisseur internet et je n’ai encore jamais vu de cas ou cela a été remis comme preuve.

 

Conclusion

Il est possible de démontrer un accès à de l’information sur un serveur, mais il faut savoir que c’est une preuve informatique très difficile et qu’il faut combiner de nombreux éléments plutôt que de chercher une seule preuve. La même approche est utilisée pour démontrer un partage de l’information, il faut rechercher plusieurs preuves plutôt que d’essayer de trouver un seul élément.

C’est l’objectif de l’enquête informatique réalisée pendant l’expertise juridique. Lors de l’enquête, l’enquêteur en informatique juridique évaluera les possibilités pour identifier des pistes d’analyse.

Dans le contexte de ce dossier, lors de notre enquête, il faut savoir que l’accusé ne conteste pas avoir accédé au serveur puisque c’était dans l’exercice de ses fonctions, mais qu’il conteste avoir partagé l’information avec des compétiteurs. Notre enquête informatique a permis de confirmer les propos de la défense.