Qu’est-ce que votre cellulaire dit et ne dit pas sur vous

Tout comme votre ordinateur qui enregistre beaucoup de vos actions dans des registres cachés du commun des mortels, votre cellulaire en fait de même. La grande différence est que vous avez votre cellulaire avec vous dans la majorité de vos déplacements et que vous l’utilisez à des endroits variables. Donc la question qu’on me pose souvent est : Qu’est-ce qu’un cyber enquêteur informatique peut trouver sur vous en regardant votre cellulaire?

Premièrement, il faut savoir qu’il existe des configurations pour modifier le comportement par défaut de votre appareil mobile cellulaire. Selon le modèle de téléphone, les applications installées et vos configurations individuelles, les données enregistrées peuvent changer complètement.

Cellulaire Apple IOS (iPhone) VS Google Android (tout modèle confondu)

Il existe 2 systèmes d’exploitation principaux aujourd’hui pour les cellulaires.

Apple IOS et Google Android

La force des téléphones Apple avec IOS est la normalisation et la sécurité quasi garantie de votre téléphone. Si vous ne donnez pas votre mot de passe, personne ne pourra lire le contenu sur votre téléphone. Et même avec votre mot de passe, les possibilités d’extraction sont tout de même limitées.

La force des Google Android est la flexibilité et l’ouverture du système aux modifications pour les gens plus avides de technologie. Cependant, ces deux qualités peuvent ouvrir la possibilité à l’accès complet de vos données sur votre téléphone. Selon le fabricant de votre téléphone, le niveau de sécurité varie grandement.

 

Preuves retraçables sur votre cellulaire

Peu importe votre téléphone, certaines données sont tout de même retraçables. Voici les données retraçables avec le mot de passe du cellulaire :

  • Registre des appels émis, reçus, manqués (incluant la date, l’heure et le numéro de téléphone de l’autre personne, la durée)
  • SMS envoyés et reçus (incluant la date, l’heure et le numéro de téléphone de l’autre personne)
  • iMessage et Android Message (incluant la date, l’heure et le numéro de téléphone ou courriel de l’autre personne)
  • Carnet de contacts (numéro, photo, courriel, adresse …)
  • Photos
  • Vidéos
  • Enregistrements audios
  • Votre historique de navigation internet (difficultés variables selon le navigateur utilisé)
  • Vos déplacements approximatifs basés sur les données de votre GPS
  • Les données des applications installées sur le cellulaire (ie. Conversation, mot de passe, contenu)

Les preuves difficilement retraçables sur un cellulaire

  • Les données effacées (Message, Appels, Application, Contact …).
  • Le contenu des conversations téléphoniques
  • Une personne ou une entité qui suit vos déplacements
  • Une personne ou une entité qui espionne l’utilisation de votre cellulaire
  • Les personnes qui ont utilisé votre cellulaire à votre insu
  • Un virus informatique ou un cheval de Troie

Contrairement à un ordinateur, ce qui est effacé sur un cellulaire est quasiment irrécupérable dût à la technologie du disque dur différente et à la conception des téléphones plus sécuritairement. Évidemment, s’il existe une copie de sauvegarde de votre téléphone sur un ordinateur, alors tout ce qui n’était pas effacé au moment de la copie est accessible.

Les preuves qu’on peut obtenir du fournisseur cellulaire

  • Historique des appels complets, même ceux effacés (exclut les appels Facetime et les Facetime Audio entre iPhone)
  • Les SMS complets, même ceux effacés (mais pas les iMessage et les Android Message qui ne transigent pas sur le réseau cellulaire. Il faut avoir un mandat et demander à Apple ou Google pour les avoir)

Votre fournisseur de service cellulaire conserve un registre de tous les appels et de tous les SMS, donc il est possible d’en faire la demande même si vous les avez supprimés de votre téléphone. Les iMessages ou les Android Message doivent être demandés à Apple ou Google, respectivement.

Comment garder ses données confidentielles

Pour protéger ses données sur votre cellulaire, il faut activer un mot de passe complexe, idéalement avec des lettres, des chiffres et des symboles. Votre téléphone ne permettra pas l’accès à vos données sans ce mot de passe, même par un enquêteur. Attention, la fonction pour déverrouiller votre téléphone avec votre empreinte n’est pas aussi infaillible. Évidemment, votre fournisseur cellulaire peut fournir les registres d’appels et de SMS sans votre mot de passe puisque ce n’est pas sur votre téléphone.

Conclusion

Avec le mot de passe pour déverrouiller le téléphone, il est possible d’extraire énormément d’information d’un cellulaire. Cependant, même avec le mot de passe, les données effacées sur un appareil mobile sont difficilement, voire impossible à retracer. Un enquêteur pourra détecter que quelque chose a été effacé, mais ne saura vous dire quoi.

Si vous avez des questions plus précises sur un cas d’expertise informatique sur un téléphone cellulaire, appelez-moi. Il me fera plaisir de vous donner plus d’information contextuelle sur votre dossier.

 

Pourquoi contester un mandat de perquisition

Récemment, j’ai vu un dossier avec un mandat de perquisition « douteux ». En fait, à la lecture du mandat qui semble être rédigé par l’enquêteur policier en collaboration avec une analyste informatique, je réalise que l’explication « technique » fournie dans la requête pour justifier le mandat est, à priori, techniquement impossible.

Pour justifier sa requête de mandat, l’enquêteur présente des éléments dans sa requête comme des faits alors qu’ils sont impossibles au sens technique tel qu’il les explique.

Cependant, sans une autre personne qui comprend les technicalités de l’informatique, il est difficile de réaliser l’impossibilité de ce qui est présenté comme des faits dans la requête pour le mandat de perquisition.

 

Quand contester un mandat

J’ai lu plusieurs dizaines de requêtes de mandat et parfois j’ai l’impression que les mandats pour saisir du matériel informatique sont une forme de partie de pêche policière. Lorsqu’on me présente un dossier d’expertise juridique avec un mandat de perquisition, je lis la requête de mandat pour saisir du matériel informatique avec attention. Conjointement avec l’avocat au dossier, je me pose les questions suivantes:

  • Sur quelle information se base la requête pour identifier l’accusé (une adresse IP, une adresse MAC, un témoin, …)
  • Quelle est la fiabilité de ce qui a déclenché le processus de requête d’un mandat (une plainte, un courriel, un SMS, un registre informatique, …)
  • Est-ce qu’il y a plusieurs entités impliquées et quels sont les risques d’erreurs (chaine de message entre plusieurs entités)
  • Est-ce que l’information utilisée par la police pour demander un mandat a été obtenue illégalement (fouille abusive, enquête informatique en utilisant des moyens illégaux, …)
  • Est-ce que l’explication fournie dans le rapport informatique est cohérente avec la requête et cohérente avec les preuves informatiques trouvées
  • Est-ce que les dates correspondent à la situation et aux preuves trouvées sur le matériel saisi
  • Est-ce que les preuves trouvées sont dans la portée du mandat

 

Comment obtenir de l’aide pour contester un mandat

Si vous avez un doute sur un mandat de perquisition, une analyse informatique policière ou sur la méthode d’obtention des preuves informatiques, prenons quelques minutes pour nous parler. Il me fera plaisir d’en discuter avec vous.

 

 

 

La contre-expertise

La contre-expertise est un service offert par des spécialistes informatiques dans le domaine judiciaire. Elle consiste à analyser un rapport d’expertise dans le but de le vulgariser et potentiellement d’analyser la preuve informatique elle-même dans le cas où elle serait remise en cause à la suite de l’analyse du rapport d’expertise. Ces spécialistes peuvent agir comme témoin expert devant un juge au besoin.

Contre-expertiser une preuve informatique

La contre-expertise informatique par un témoin expert est une méthode utilisée lorsque nous avons un doute sur la preuve informatique soumise au tribunal. Une preuve informatique, quel que soit son format, laisse place à l’interprétation par le juge. La contre-expertise informatique permet d’analyser le contexte dans lequel la preuve a été trouvée et de vulgariser sa signification et les scénarios possibles. De plus, il est fréquent que lors de la contre-expertise par un témoin expert informatique spécialiste, nous remarquions de nouvelles anomalies dans la preuve. Ces anomalies vous permettent alors de contester en profondeur la preuve et de découvrir des aspects sur votre dossier que vous n’aviez pas connaissance avant de faire appel au service de contre-expertise.

Les domaines de contre-expertise informatiques

Les demandes de contre-expertise courantes concernent souvent :

  1.      Un mandat de perquisition de matériel informatique
  2.      Un rapport d’enquête préparé par un technicien de la sureté du Québec
  3.      Un rapport d’expertise préparé par le technicien informatique employé par la compagnie elle-même
  4.      Une expertise informatique préparée par une firme externe fournisseur de la compagnie pour d’autres services

 

Dans ce genre de cas, les expertises informatiques sont souvent complétées rapidement. Les délais sont serrés et la pression pour des résultats est forte par l’employeur. L’avantage de la contre-expertise est d’avoir une opinion externe à tête reposée par un spécialiste informatique.

Quand faire appel à des services de contre-expertise

Dès qu’un mandat de perquisition concerne du matériel informatique, qu’un rapport de police mentionne des preuves informatiques ou qu’une entreprise soumet un rapport rédigé par un de ses employés, il faut se questionner sur les motifs derrière la rédaction.

Pour vous aider, une contre-expertise informatique peut être intéressante pour vulgariser le contenu du rapport et pour trouver des failles pour vous permettre d’avancer avec votre dossier.

Firme H2E est maintenant membre RJQ

Notre firme fait maintenant parti du réseau juridique du Québec. Si vous avez besoin d’un expert informatique ou d’un témoin expert informatique, appelez-nous. Il nous fera grandement plaisir de répondre à toutes vos questions et de discuter de votre dossier juridique.

Contacter un expert informatique

Au plaisir de vous parler.

Preuves légales informatiques incomprises

Faire appel à un témoin expert informatique est de plus en plus courant. Les preuves informatiques présentées devant le tribunal sont devenues la norme. Cependant, beaucoup d’acteurs du monde judiciaire ne comprennent pas encore l’informatique et ses subtilités. Une preuve informatique doit être vérifiée.

Preuve validée par un témoin expert

Une preuve informatique aussi simple que des messages textes peut être altérée par une victime ou par la police avant de la soumettre devant les tribunaux. Le témoin expert informatique est un acteur judiciaire qui agit comme personne neutre dans le dossier et qui analysera la preuve informatique pour vérifier son authenticité. Le témoin expert peut aussi intervenir comme enquêteur pour extraire la preuve informatique à partir des ordinateurs ou des téléphones cellulaires.

Preuves informatiques légales par un témoin expert

Le témoin expert qui agira à titre d’expert informatique au dossier doit suivre les règles de l’art pour sa cyber enquête. En discutant du dossier avec le témoin expert cyber enquêteur, vous pourrez avoir l’heure juste sur les besoins spécifiques de votre dossier.

Le témoin expert n’est pas nouveau

Avant la venue de l’informatique, le rôle des témoins expert était tout aussi présent. En fait, nous avions les témoins experts dans plusieurs domaines. Pour nommer les plus courants, nous avions :

  • Témoin expert en écriture (dossier avec des lettres manuscrites)
  • Témoin expert en alcoolémie (dossier d’alcool au volant)
  • Témoin expert en bâtiment (dossier de vice-caché dans un bâtiment)
  • Témoin expert en santé (dossier de maladie mentale)
  • Et biens d’autres domaines de témoin expert

 

L’informatique s’ajoute au rôle existant. Tout comme un témoin expert venait analysait une lettre manuscrite pour l’authentifier et valider la personne qui semble l’avoir écrite, aujourd’hui un témoin expert vient valider qu’une preuve informatique semble vraie et qu’elle vient réellement de la bonne personne.

Contacter un expert informatique

En cas de doute, appelez-moi et je pourrai vous donner l’heure juste sur votre besoin d’un témoin expert informatique.

Quand un expert judiciaire en informatique doit intervenir?

Dès qu’un dossier judiciaire est en développement pour une poursuite ou une défense, il faut rapidement réfléchir aux preuves qui seront présentées au tribunal. Avec l’informatique omniprésente, lors de cette réflexion sur les preuves, il faut porter une attention particulière aux possibilités de l’informatique dans la construction de votre dossier judiciaire.

Que ce soit un dossier contre la couronne, un ex-conjoint ou une entreprise, il faut évaluer les preuves informatiques qu’un expert judiciaire en informatique peut expertiser.

 

Les preuves informatiques fréquemment les plus fréquentes

Les preuves informatiques expertisées et présentées au tribunal le plus fréquent sont :

Des conversations de messages textes :

  • J’ai souvent vu des messages et des bouts de conversations manquants ou supprimés pour avantager la victime. Il faut bien comprendre le fonctionnement d’une conversation de message texte (SMS) pour comprendre la facilité de modifier une conversation de messages textes (SMS). Il préférence de demander l’extraction et la sauvegarde des messages textes par un expert judiciaire en informatique afin d’en assurer la validité.

Des captures d’écran d’un appareil mobile ou d’un ordinateur :

  • Encore une fois, il est facile de camoufler une information qui n’avantage pas la personne qui soumet la preuve. Il est préférable de demander à un expert judiciaire en informatique neutre pour faire des captures d’écran et pour en expliquer la signification.

Des faux courriels :

  • Les courriels sont rendus une preuve informatique très présente dans les litiges. Cependant, il faut savoir qu’il est extrêmement facile de créer un faux courriel et de l’imprimer pour le soumettre comme preuve informatique. Un expert judiciaire informatique peut aller valider les courriels originaux envoyés et reçus sur un compte avec l’autorisation du détenteur du compte.

Des fausses statistiques :

  • À ce jour, ces statistiques sont toujours dans les dossiers contre la couronne. Les enquêteurs de la police utilisent des logiciels semi-automatisés pour enquêter sur du matériel informatique. Ces logiciels sont efficaces, cependant, il nécessite une connaissance très pointue de l’informatique pour comprendre la signification de leur rapport. Les enquêteurs n’ont en général pas ces connaissances et ils utilisent le résultat de manière « discutable ». Dès que la police soumet un rapport d’enquête informatique, faites immédiatement appel à un expert judiciaire en informatique indépendante pour contre-expertiser leurs preuves et vous accompagner dans votre défense. Ces rapports sont souvent biaisés et incomplets.

 

Exemples de preuves informatiques altérés

 

À travers les dernières années, j’ai vu à mainte reprise des preuves informatiques modifiées avant de les soumettre au tribunal, en voici quelques exemples :

Conversation SMS modifiée

  • Une victime qui supprime plus de 50% des messages texte pour biaiser la conversation avant d’aller porter le cellulaire à la police pour l’extraction des messages. Par la suite, la police extrait seulement les messages restants et soumet la conversation comme preuve au dossier sans poser de question.

Courriels modifiés remplis d’insultes

  • Une ex-femme imprime une série de courriel rempli d’insulte supposément reçu de son ex-mari. Après l’enquête informatique, nous réalisons que les courriels ont été édités dans Microsoft Word et que les insultes ont été rajoutées juste avant d’imprimer les documents.

Faux courriel injecté sur le serveur de la compagnie

  • Un technicien informatique qui injecte un nouveau courriel dans une conversation entre l’entreprise et un fournisseur. Le nouveau courriel est bien sur le compte de l’entreprise, mais on voit bien qu’il n’est pas sur le compte du fournisseur. L’employé finit par admettre que le courriel est faux et qu’il l’a fabriqué.

Fausse signature électronique

  • Une personne numérise la signature d’une autre personne et l’applique sur un autre document électronique. Nous n’avons jamais pu avoir le document original et c’est ainsi que nous avons confirmé que la signature électronique était fausse.

Mauvaise compréhension d’un rapport de police

  • Un rapport de police sous-entend qu’ils ont trouvé 5000 images existantes de pornographie juvénile sur l’ordinateur de l’accusé. Cependant à la lecture du rapport de police, on peut rapidement voir que la majorité des fichiers supposément retrouvés ne peuvent pas être des images dût à leur minuscule taille et au nom du fichier, mais plutôt des fichiers système dont le nom fait référence à des noms de fichiers de pornographie juvénile. Probablement qu’il y a déjà eu ces fichiers sur l’ordinateur, mais il n’y a rien au moment de la saisie qui permet de dire qu’il y a 5000 fichiers de pornographie juvénile sur l’ordinateur. Sans un expert judiciaire en informatique, il aurait été impossible de comprendre la réelle signification du rapport de police et d’expliquer que leur preuve ne tenait pas la route. L’intervention de l’expert judiciaire informatique a permis à la défense de négocier une sentence plus intéressante que celle demandée par la couronne.

 

Le point le plus important à se souvenir parmi ces exemples est qu’il faut se questionner sur la preuve informatique. Il ne faut pas tenir pour acquises des preuves informatiques sans poser les bonnes questions. L’un des objectifs d’un expert judiciaire en informatique est de vous permettre de connaître les bonnes questions à poser. En tant qu’expert judiciaire en informatique, je prends toujours le temps de vous expliquer les possibilités basées sur l’information que vous me donnez sur votre dossier. Chaque dossier est unique, s’il y a peu de possibilités ou si les chances sont minces de trouvés, je vous en fais part aussi. Je ne prends pas de dossier d’expertise judiciaire informatique si je ne crois pas qu’il y a un potentiel à trouver de nouvelles preuves informatiques ou à invalider des preuves informatiques existantes. Si vous avez besoin de l’heure juste sur votre dossier, contactez-nous et il me fera plaisir de discuter d’en discuter avec vous.

Valider l’authenticité d’une signature électronique dans une preuve informatique

 

La validité de la signature électronique

À travers mon expérience, j’ai eu à analyser le processus de signature électronique de quelques systèmes. Chaque fois, la question est toujours de déterminer la validité juridique d’un document électronique avec signature électronique.

De plus en plus souvent des contrats seront signés électroniquement. La signature électronique est conviviale, rapide et permet de signer un document à distance. Récemment, j’ai été impliqué dans une transaction avec 7 autres parties prenantes. La signature électronique nous a permis de tous rapidement signer les documents à distance sans devoir se déplacer et surtout sans devoir trouver une plage horaire ou tout le monde était disponible. Ces avantages auront un impact important sur l’adoption de la signature électronique. Cependant, il est maintenant qu’une question de temps avant que ces signatures soient présentées comme preuve électronique au tribunal.

Il est donc important de commencer à se préparer dès maintenant. Durant ma transaction, j’ai aussi pu constater certaines faiblesses importantes dans le processus de signature.

Dans le cadre de cet article, je ne ferai pas de distinction entre la signature électronique et la signature numérique. La signature numérique est un sous-type de signature électronique qui souvent remplace l’imitation de signature manuscrite par une clé numérique cryptée.

Composition de la signature électronique

À travers ces systèmes, j’ai constaté qu’une signature électronique se compose habituellement de :

  • L’imitation de la signature manuscrite
  • Une clé numérique unique (contenant de l’information d’identification cryptée)
  • L’adresse IP de la connexion internet
  • L’adresse MAC de la carte réseau de l’appareil
  • La géolocalisation de l’appareil
  • L’authentification de l’utilisateur
  • Processus d’identification du signataire

 

Analyse informatique de l’authenticité d’une signature électronique

 

Lorsqu’un document avec signature électronique est présenté au tribunal ou comme preuve informatique dans un dossier juridique, il faut se poser des questions sur la validité juridique de cette preuve informatique. Il ne faut pas comparer une signature électronique sur les mêmes critères qu’une signature manuscrite.

Il est facile de numériquement reproduire une signature manuscrite à l’ordinateur, il faut donc valider plusieurs critères d’authenticité de la signature électronique.

Pour se faire et valider une signature électronique, il faut se poser plusieurs questions.

 

Questions pour prouver la validité d’une signature électronique

 

  1. La signature a été faite à partir de quel appareil électronique?
  2. Est-ce que cet appareil est accessible et vérifiable durant les procédures juridiques?
  3. À qui appartient l’appareil utilisé pour signer le document?
  4. À quel endroit était situé l’appareil et quelles étaient ses coordonnées de géolocalisation lors de la signature électronique?
  5. Est-ce que l’appareil est partagé ou accessible à d’autres utilisateurs?
  6. La sécurité de l’appareil est elle compromise ou aurait pu être à risque d’être piraté au moment de la signature?
  7. Est-ce que la connexion internet utilisée pour signer le document est sécuritaire?
  8. Si la connexion internet était sécurisée, est-ce qu’elle était partagée entre plusieurs utilisateurs?
  9. Y a-t-il des preuves informatiques qui ne coïncident pas entre le contexte de la signature et le contexte de la situation?
  10. Est-ce que tous les signataires ont été correctement identifiés?

 

 

Falsification de signature électronique et signature électronique forgée

 

Toutes ces questions sont essentielles pour être certaines de la validité d’un document signé électroniquement. Malgré cela, il est critique de savoir qu’aujourd’hui, plusieurs des éléments d’une signature électronique sont falsifiables.

Il est possible de contrefaire une signature électronique. Il faut toujours garder en tête qu’une personne mal intentionnée peut électroniquement copier l’adresse MAC, l’adresse IP, la signature manuscrite numérique, ainsi que la géolocalisation d’une autre personne et contrefaire la signature.

Rien n’est impossible en informatique, la complexité peut cependant varier selon le système et les processus de signature en place.

Il faut donc se pencher sur le contexte de chaque preuve électronique contenant une signature avant de tenir pour acquis qu’elles sont conformes.

Un document avec une signature électronique est contestable devant les tribunaux.

Si vous avez un dossier contenant une preuve informatique de ce genre, appelez-nous pour comprendre les enjeux et les possibilités.

 

 

 

 

 

Valider l’authenticité de la preuve informatique

 

Mise en contexte du dossier

Les documents informatiques font maintenant partie des éléments de preuves fréquemment présentés à la cour. Cependant, êtes-vous toujours certain que ces documents sont authentiques, car un document informatique peut facilement être altéré.

Est-ce que la date dans les métadonnées du fichier correspond aux événements ?

Est-ce que les conversations courriel ou SMS sont réelles ou est-ce qu’elles sont modifiées ?

Est-ce que des messages sont manquants ou des messages ont été ajoutés ?

Est-ce que les images, les photos ou les enregistrements ont été modifiés ?

 

Les documents informatiques typiques

  • Messages textes cellulaires
  • Apple iMessage (message texte entre iPhone)
  • Android Message
  • Conversation Facebook Messenger
  • Courriels (Gmail, Hotmail, Yahoo, Live, Outlook et tous les autres fournisseurs courriel)
  • Enregistrement audio (iPod, iPad, iPhone, Android, MP3 et tous les autres enregistreurs disponibles sur le marché)
  • Enregistrement vidéo (Caméra, Cellulaire, iPod, iPhone, iPad, Android, Caméscope ou tous les autres appareils avec caméra)
  • Capture d’écran d’un ordinateur de bureau ou d’un portable
  • Capture d’écran d’un cellulaire ou d’un appareil mobile
  • Document texte électronique (Word, Excel, Adobe PDF, OpenOffice)
  • Image électronique

Expertiser la preuve informatique

Un document électronique n’est pas un document papier rédigé à la main. Il faut adapter les pratiques et ne pas tenir pour acquis qu’une preuve informatique est nécessairement vraie. J’ai vu de nombreux dossiers où la preuve informatique avait été altérée avant de la soumettre.

J’ai vu plusieurs types de cas qui ont nécessité mon intervention.

Cas typique d’intervention

  • Une victime qui efface des messages textes avant de donner son cellulaire à la police pour extraire les messages.
  • Un employé d’une compagnie qui crée des courriels pour les soumettre comme preuve dans une poursuite.
  • Un(e) ex-conjoint(e) qui modifie une conversation courriel pour y ajouter des insultes et des messages que l’autre personne n’a jamais écrits.
  • Un enquêteur qui interprète l’absence de document comme étant une preuve que l’accusé cache ces traces alors qu’il n’y a aucune preuve à cet effet.
  • Un policier qui sélectionne partiellement des bouts de conversation pour exagérer la situation
  • Un employé en informatique qui prend des captures d’écran d’un serveur hors contexte et qui donne une explication erronée de ceux-ci à la cour

Ce sont des exemples de cas que j’ai vu dans les dernières années. Il ne faut pas tenir pour acquise une preuve informatique.

Expertiser une preuve informatique pour en valider l’authenticité

Si vous avez un dossier qui comporte une preuve informatique, assurez-vous qu’elle soit intègre et complète. Si vous avez un doute que la preuve n’est pas complète, un expert informatique légal pourra intervenir dans votre dossier.

Si nous trouvons des éléments pour démontrer que les éléments de preuves ne sont pas authentiques ou qu’ils sont incomplets, vous pourrez vous objecter à ce qu’ils soient reçus à la cour comme plusieurs de vos collègues ont fait suite à notre intervention.

Si vous avez besoin de plus d’information sur l’expertise informatique légale, écrivez-nous un message ou appelez-nous, il nous fera plaisir de répondre à vos questions.

 

 

 

Victime de piratage informatique (Étude de cas)

 

Mise en contexte du dossier

Les pirates informatiques volent les informations personnelles par millions. Il trouve un site web avec une faille de sécurité et l’exploite pour extraire et voler des millions de coordonnées, de courriels, de mots de passe. Il suffit que vous ayez ouvert un compte sur un site qui a été piraté et voilà que votre courriel et votre mot de passe sont maintenant en circulation sur la dark web.

Si vous avez le malheur d’utiliser le même mot de passe sur votre compte courriel ou sur votre compte de partage de fichier, alors les dommages possibles sont illimités.

Les dossiers avec ce contexte sont de plus en plus fréquents. Des comptes piratés sur le Cloud tels que OneDrive, Dropbox, Google Drive ou iCloud sont utilisés à des fins illégales pour transférer des documents illégaux (documents hautement confidentiels, pornographie juvénile, distribution de document piraté).

L’utilisation de ces sites est hautement surveillée et des utilisations abusives ou illégales activent des alertes qui sont envoyées aux entités responsables de faire respecter la loi, habituellement, la GRC ou la Sureté du Québec. Ceux-ci obtiennent alors les mandats pour trouver la personne derrière l’adresse IP et pour perquisitionner.

 

 

Les points d’analyses

  • Analyse de la preuve par les enquêteurs policiers
  • Identification des sources de piratage possible
  • Vérification de la sécurité du réseau
  • Vérification des compétences informatiques de l’utilisateur
  • Vérification du contexte d’utilisation de l’équipement informatique
  • Contre-expertise des fichiers ayant déclenché l’alerte sur l’équipement saisi
  • Diagnostic des scénarios de défenses potentiels basé sur la preuve existante

 

 

Les scénarios de défense potentiels

Les justifications expliquant les sources de piratage varient d’un dossier à un autre. Il faut regarder l’environnement réseau sur lequel l’ordinateur était connecté, il faut tenir compte de la mobilité de l’équipement. Par exemple, un ordinateur portable peut s’être connecté sur le réseau Wifi du café du coin, alors qu’une tour de bureau est moins probable d’être sorti de la maison.

Il faut comprendre la source des accusations pour déterminer si les actions peuvent avoir été posées à partir de l’ordinateur lui-même ou à distance par un pirate. Il faut tenir compte qu’un pirate informatique peut prendre contrôle d’un ordinateur pour effectuer son crime. Cependant, il est aussi possible de commettre le crime à distance en utilisant seulement la connexion de l’ordinateur.

En général, selon la méthode utilisée, il peut y avoir des traces sur l’ordinateur, tout comme il peut n’y avoir aucune trace. Il ne faut donc pas tenir pour acquis uniquement ce qu’on voit comme preuve.

Si le piratage est seulement au niveau des comptes en ligne, par exemple un compte iCloud, Dropbox ou un compte courriel, il est probable qu’il n’y aura aucune trace sur l’ordinateur. Il faut alors investiguer les quelques traces qu’on peut trouver. Il faut aussi contacter ces entreprises pour obtenir plus d’information et possiblement plus de preuves.

 

Conclusion

Se faire pirater un compte peut avoir des incidences catastrophiques telles qu’être accusé ou mis en état d’arrestation pour un crime commis par une autre personne. Il devient alors votre responsabilité de soulever un doute raisonnable que vous n’avez pas commis un crime. À ce moment, un cyberenquêteur informatique, ou un témoin expert informatique est conseillé pour accompagner votre avocat et vous-même dans ce dossier juridique difficile.

 

 

 

 

 

Enquête informatique sur la fabrication de faux courriel et de faux message électronique

Mise en contexte :

La partie adverse soumet des impressions de dizaines de courriels comme preuves, cependant le client dit n’avoir jamais écrit certains de ces messages courriel. Pourtant, à priori ces courriels ont l’air réels, ils ont le même format et selon le document imprimé, ils proviennent de la boite de courriel.

 

 

Les points d’analyses d’une enquête informatique

  • La méthodologie pour extraire les courriels
  • Le compte courriel de l’émetteur
  • Le compte courriel du récepteur
  • Le serveur de courriel
  • Les logiciels d’envoi de courriel du poste de travail de l’émetteur et du récepteur

 

 

Méthodologie d’enquête informatique pour valider l’authenticité d’un courriel contesté

Un message courriel imprimé n’est aucunement différent d’un document texte, tel un document Word ou OpenOffice. Pour valider que le courriel existe, il faut regarder les sources informatiques de ce courriel du côté de l’émission et du côté de la réception.

Les sources informatiques sont :

  • Le poste de travail qui a émis le courriel (ex : ordinateur de bureau, portable, cellulaire, tablette)
  • Le logiciel qui a servi à envoyer le courriel (ex : Outlook)
  • Le serveur de courriel qui a envoyé le message (ex. : Microsoft Exchange, Google Gmail, Microsoft Outlook Live/Hotmail, Yahoo mail et de nombreuses autres possibilités)
  • Le serveur de courriel qui a reçu le message
  • Le logiciel qui a lu le message courriel
  • Le poste de travail qui a reçu le message courriel

Il est important de savoir que comme toute trace informatique, une trace peut être complètement effacée accidentellement ou volontairement, avec ou sans intervention humaine. Pour valider l’authenticité d’un courriel, il faut regarder du côté de l’émetteur pour être certain que le courriel a été envoyé à la date et à l’heure indiquée dans la preuve, ainsi que vérifier que le contenu n’a pas été modifié avant l’impression. Il faut idéalement aussi valider du côté du récepteur 1 source qui nous permet de valider la réception du message.

Pour être certain, il faut toujours contre-valider sur au moins 2 sources informatiques :

  • Date et heure du courriel
  • L’adresse courriel de l’émetteur
  • L’adresse courriel du destinataire
  • Contenu du courriel

 

Source de fraude courriel

Toutes les données dans un courriel peuvent être facilement modifiées par une personne débrouillarde en informatique.

Les possibilités de fraude autant du côté de l’émetteur que réceptrices sont multiples:

  • Création d’un document Word identique à un courriel imprimé
  • Création de toute pièce d’un message courriel sur un poste de travail
  • Modification d’un courriel existant sur le poste de travail
  • Création d’un courriel sur le serveur de courriel (complexité avancée)

 

Conclusion

Il ne faut pas tenir pour acquises toutes les preuves informatiques qui sont soumises. Il est possible que des preuves aient été altérées. Les courriels n’échappent pas à la règle. Si vous croyez que la preuve est altérée, faire appel à un enquêteur informatique est la meilleure façon d’avoir la certitude d’authenticité des courriels.

Tous ces arguments sont aussi vrais pour des messages textes envoyés par cellulaire. J’en parlerai dans un autre article.