Cyberenquête pour analyse de disque dur sur une mise à pied (Étude de cas)
Mise en contexte du dossier :
Dans le cadre de la mise à pied d’un employé, un employeur a tenté d’utiliser des preuves informatiquesÉléments numériques utilisés comme preuve dans le cadre d'une enquête ou d'un litige judiciaire. More sur le disque dur de l’ordinateur de l’employé pour démontrer un problème. Dans le contexte présent, l’employé a annoncé qu’il serait en arrêt de maladie et quelques jours plus tard, l’employeur démarrait une cyberenquêteLa cyberenquête est l'investigation numérique de crime informatique ou de preuve informatique. La cyberenquête analyse les cybercrimes et les méfaits informatiques. Le résultat de l'enquête est ... More sur l’analyse des disques durs des ordinateurs et sur le téléphone de l’employé. J’ai été appelé pour faire une contre-expertise puisque l’employé niait catégoriquement les propos du cyberenquêteur de l’entreprise à la suite de l’analyse du disque dur.
Ce genre de dossier est de plus en plus fréquent pour des bonnes ou pour les mauvaises raisons. Je vois ce genre de situation avec des employés problématiques qui causent un dommage à l’entreprise, mais à l’inverse, je travaille aussi sur des dossiers pour la défense des employés où des entreprises utilisent une cyberenquêteLa cyberenquête est l'investigation numérique de crime informatique ou de preuve informatique. La cyberenquête analyse les cybercrimes et les méfaits informatiques. Le résultat de l'enquête est ... More pour ne pas payer les arrêts pour cause de maladie.
Les points d’analyses
- Les fichiersUn fichier est un document informatique que l'on retrouve sur un média de stockage, tel un disque dur, dans un ordinateur. Un ordinateur est composé de dizaines de milliers de fichiers. More pertinents existants sur le disque dur
- Les fichiersUn fichier est un document informatique que l'on retrouve sur un média de stockage, tel un disque dur, dans un ordinateur. Un ordinateur est composé de dizaines de milliers de fichiers. More supprimés sur le disque dur
- Les dates de modification de fichier sur le disque dur
- Le registre des activités de l’ordinateur pour bâtir un historique d’utilisation
- L’historique de navigationL’historique de navigation est un registre des sites internet et de leurs contenus visités. À moins de volontairement le bloquer, un ordinateur garde toujours une trace des sites internet qui ont ... More internet
- Les logiciels installés sur l’ordinateur
- Le registre des appels
- Le registre des messages textes
- Les courriels envoyés et les courriels reçus
Expertise sur un disque dur de portable de travail
Dans ce type de dossier, l’expertise est habituellement commencée par l’entreprise. L’entreprise engage un cyberenquêteur pour tenter de trouver des preuves de mauvaise foi de la part de l’employé.
Il est important de comprendre qu’un élément informatique doit être analysé dans son contexte. Une information prise en dehors de son contexte peut avoir donné une interprétation à l’opposé de la réalité. Dans ce cas-ci, l’analyse des disques durs par le cyberenquêteur a fait ressortir des fragments de conversation courriel, ainsi que des fragments d’historique d’activité prise en dehors de leur contexte et qui ont été utilisés contre l’employé.
Dans ce genre de cas, on voit souvent l’entreprise pour donner un sens négatif à de l’information insignificative.
- Par exemple, une absence d’information est utilisée pour dire que l’employé travaille peu.
- Un court fragment de conversation courriel est utilisé pour dire que l’employé espionnait ses collègues.
- L’absence de fichier est utilisée pour dire que l’employé a effacé ses traces.
- Les fichiersUn fichier est un document informatique que l'on retrouve sur un média de stockage, tel un disque dur, dans un ordinateur. Un ordinateur est composé de dizaines de milliers de fichiers. More présents sur l’ordinateur sont utilisés pour dire que l’employé se préparait à voler de l’information.
Contre-expertise de la preuve pour la mise à pied
Toutes ces preuves analysées sur le disque dur et le cellulaire, remis dans leur contexte, peuvent vouloir dire exactement l’opposé.
- L’absence de registre d’activités : Par défaut, les ordinateurs ne sont pas configurés pour enregistrer tous les faits et gestes de son utilisateur. Il faut manuellement configurer cette option pour avoir un registre complet. Il est donc important de comprendre qu’un registre des activités démontre une vue d’ensemble, mais ne doit pas être considéré comme une série complète et exacte de ce qui s’est produit. La présence de « trou » dans un registre n’indique pas nécessairement que l’ordinateur n’est pas utilisé. Il peut seulement indiquer qu’aucun changement important n’a été enregistré.
- Une citation courriel prise hors contexte : Un fragment de courriel peut donner l’impression que l’employé s’introduit dans une conversation qui ne le concerne pas, mais lorsqu’on ressort l’historique complet des courriels, on peut voir que la demande originale a été envoyée à l’employé et qu’il est simplement intervenu pour régler un problème que son gestionnaire lui a demandé de régler.
- L’absence de fichier ou la présence de fichiersUn fichier est un document informatique que l'on retrouve sur un média de stockage, tel un disque dur, dans un ordinateur. Un ordinateur est composé de dizaines de milliers de fichiers. More supprimés : il est facile de dire que si quelque chose n’est pas accessible, cela est dû à la volonté de faire disparaître des preuves. Par contre, lorsqu’on creuse un peu plus, on réalise que la présence de fichiersUn fichier est un document informatique que l'on retrouve sur un média de stockage, tel un disque dur, dans un ordinateur. Un ordinateur est composé de dizaines de milliers de fichiers. More supprimés est légitime et que l’absence de fichier n’est pas une tentative de cacher des preuves, mais plutôt une action automatique et systématique de l’ordinateur pour nettoyer le disque dur.
- La présence d’information « confidentielle » sur l’ordinateur : en vérifiant l’information dite confidentielle, on se rend compte qu’il s’agit d’un seul fichier dont l’information est vieille de plusieurs années et que celle-ci n’est plus à jour depuis longtemps. Vu le rôle de l’employé au sein de l’organisation, il aurait pu récupérer ce fichier par mégarde et de plus, si une mauvaise intention était liée à l’acquisition du fichier, il aurait eu plusieurs années pour agir, action qu’il n’a pas faite.
L’importante d’une contre-expertise lors d’une analyse de disque dur
Dans un dossier d’analyse de disque dur relié à la mise à pied d’un employé, il faut comprendre que l’entreprise a un intérêt financier de trouver des preuves contre l’employé.
Il est important pour la défense de l’employé d’avoir un avis neutre sur les preuves informatiquesÉléments numériques utilisés comme preuve dans le cadre d'une enquête ou d'un litige judiciaire. More. Un cyberenquêteur doit être en mesure de nuancer ces propos et de vous expliquer la différence entre les preuves informatiquesÉléments numériques utilisés comme preuve dans le cadre d'une enquête ou d'un litige judiciaire. More existantes et l’interprétation de celles-ci par l’employeur.
Vous devez être connecté pour poster un commentaire.