đż Copie forensique
RĂ©plique bit-Ă -bit exacte d’un support de donnĂ©es prĂ©servant toutes les informations
đ Glossaire âș Preuves numĂ©riques & IntĂ©gritĂ© âą Public visĂ© : avocats, enquĂȘteurs âą Mise Ă jour : fĂ©vrier 2026
đ DĂ©finition rapide
Une copie forensique (ou image forensique) est une rĂ©plique exacte, bit par bit, d’un support de stockage numĂ©rique. Contrairement Ă une simple copie de fichiers, elle capture l’intĂ©gralitĂ© du support : fichiers visibles, fichiers supprimĂ©s, espaces non allouĂ©s, mĂ©tadonnĂ©es systĂšme et secteurs dĂ©fectueux. C’est la mĂ©thode standard pour prĂ©server les preuves numĂ©riques.
đ Copie forensique vs copie standard
| Aspect | Copie forensique | Copie standard (Explorer) |
|---|---|---|
| Contenu | Tout le support bit par bit | Fichiers visibles seulement |
| Fichiers supprimĂ©s | â Inclus et rĂ©cupĂ©rables | â Perdus |
| MĂ©tadonnĂ©es | â PrĂ©servĂ©es intĂ©gralement | â ModifiĂ©es (dates d’accĂšs) |
| Espace non allouĂ© | â CapturĂ© | â IgnorĂ© |
| Vérification | Hash SHA-256 calculé | Aucune |
| Valeur juridique | âââ ĂlevĂ©e | â Faible |
âïž Importance juridique
La copie forensique est la mĂ©thode reconnue par les tribunaux pour prĂ©server l’intĂ©gritĂ© des preuves numĂ©riques.
- LCCJTI art. 17 â Le transfert d’un document d’un support Ă un autre doit prĂ©server l’intĂ©gritĂ©. Une copie forensique satisfait cette exigence.
- Norme ISO 27037 â Standard international pour l’identification, la collecte et la prĂ©servation des preuves numĂ©riques.
Principe clĂ© : L’original n’est jamais manipulĂ© directement. Toute analyse se fait sur la copie forensique, prĂ©servant ainsi l’original intact pour vĂ©rification ultĂ©rieure.
đ§ Outils et formats
| Outil | Format | Usage |
|---|---|---|
| FTK Imager | .E01, .dd | Standard industrie, gratuit |
| EnCase | .E01 | Outil professionnel complet |
| Cellebrite | Propriétaire | Forensique mobile |
| dd (Linux) | .dd, .raw | Outil ligne de commande |
â Bonnes pratiques
- Utiliser un bloqueur d’Ă©criture
- Calculer le hash avant ET aprĂšs
- Documenter le processus complet
- Stocker l’original sĂ©parĂ©ment
- VĂ©rifier l’intĂ©gritĂ© rĂ©guliĂšrement
â Erreurs Ă Ă©viter
- Copier-coller via l’explorateur
- Travailler sur l’original
- Omettre la vérification du hash
- Ne pas documenter la chaĂźne de custody
- Utiliser des outils non forensiques
đŠ Cas vĂ©cu (anonymisĂ©)
Vol de propriété intellectuelle
Un employĂ© quitte l’entreprise et emporte des fichiers confidentiels. L’expert forensique :
- CrĂ©e une copie forensique du disque dur avec bloqueur d’Ă©criture
- Calcule le hash SHA-256 et le documente
- Analyse la copie pour retrouver les fichiers supprimĂ©s et l’historique USB
- Identifie les fichiers copiés vers une clé USB le jour du départ
RĂ©sultat : La copie forensique prĂ©serve les preuves des fichiers supprimĂ©s et des traces USB. L’entreprise obtient une injonction.
đ Termes reliĂ©s
đż Besoin d’une copie forensique certifiĂ©e?
Nos experts réalisent des copies forensiques conformes aux normes ISO 27037, avec documentation complÚte de la chaßne de custody pour utilisation en tribunal.
Sans frais : 1-888-796-8706 âą Courriel : expertise@firmeh2e.com
DerniÚre mise à jour : février 2026 ⹠Ce glossaire fournit des définitions à titre informatif et ne constitue pas un avis juridique.
