La contre-expertise

La contre-expertise est un service offert par des spécialistes informatiques dans le domaine judiciaire. Elle consiste à analyser un rapport d’expertise dans le but de le vulgariser et potentiellement d’analyser la preuve informatique elle-même dans le cas où elle serait remise en cause à la suite de l’analyse du rapport d’expertise. Ces spécialistes peuvent agir comme témoin expert devant un juge au besoin.

Contre-expertiser une preuve informatique

La contre-expertise informatique par un témoin expert est une méthode utilisée lorsque nous avons un doute sur la preuve informatique soumise au tribunal. Une preuve informatique, quel que soit son format, laisse place à l’interprétation par le juge. La contre-expertise informatique permet d’analyser le contexte dans lequel la preuve a été trouvée et de vulgariser sa signification et les scénarios possibles. De plus, il est fréquent que lors de la contre-expertise par un témoin expert informatique spécialiste, nous remarquions de nouvelles anomalies dans la preuve. Ces anomalies vous permettent alors de contester en profondeur la preuve et de découvrir des aspects sur votre dossier que vous n’aviez pas connaissance avant de faire appel au service de contre-expertise.

Les domaines de contre-expertise informatiques

Les demandes de contre-expertise courantes concernent souvent :

  1.      Un mandat de perquisition de matériel informatique
  2.      Un rapport d’enquête préparé par un technicien de la sureté du Québec
  3.      Un rapport d’expertise préparé par le technicien informatique employé par la compagnie elle-même
  4.      Une expertise informatique préparée par une firme externe fournisseur de la compagnie pour d’autres services

 

Dans ce genre de cas, les expertises informatiques sont souvent complétées rapidement. Les délais sont serrés et la pression pour des résultats est forte par l’employeur. L’avantage de la contre-expertise est d’avoir une opinion externe à tête reposée par un spécialiste informatique.

Quand faire appel à des services de contre-expertise

Dès qu’un mandat de perquisition concerne du matériel informatique, qu’un rapport de police mentionne des preuves informatiques ou qu’une entreprise soumet un rapport rédigé par un de ses employés, il faut se questionner sur les motifs derrière la rédaction.

Pour vous aider, une contre-expertise informatique peut être intéressante pour vulgariser le contenu du rapport et pour trouver des failles pour vous permettre d’avancer avec votre dossier.

Firme H2E est maintenant membre RJQ

Notre firme fait maintenant parti du réseau juridique du Québec. Si vous avez besoin d’un expert informatique ou d’un témoin expert informatique, appelez-nous. Il nous fera grandement plaisir de répondre à toutes vos questions et de discuter de votre dossier juridique.

Contacter un expert informatique

Au plaisir de vous parler.

Preuves légales informatiques incomprises

Faire appel à un témoin expert informatique est de plus en plus courant. Les preuves informatiques présentées devant le tribunal sont devenues la norme. Cependant, beaucoup d’acteurs du monde judiciaire ne comprennent pas encore l’informatique et ses subtilités. Une preuve informatique doit être vérifiée.

Preuve validée par un témoin expert

Une preuve informatique aussi simple que des messages textes peut être altérée par une victime ou par la police avant de la soumettre devant les tribunaux. Le témoin expert informatique est un acteur judiciaire qui agit comme personne neutre dans le dossier et qui analysera la preuve informatique pour vérifier son authenticité. Le témoin expert peut aussi intervenir comme enquêteur pour extraire la preuve informatique à partir des ordinateurs ou des téléphones cellulaires.

Preuves informatiques légales par un témoin expert

Le témoin expert qui agira à titre d’expert informatique au dossier doit suivre les règles de l’art pour sa cyber enquête. En discutant du dossier avec le témoin expert cyber enquêteur, vous pourrez avoir l’heure juste sur les besoins spécifiques de votre dossier.

Le témoin expert n’est pas nouveau

Avant la venue de l’informatique, le rôle des témoins expert était tout aussi présent. En fait, nous avions les témoins experts dans plusieurs domaines. Pour nommer les plus courants, nous avions :

  • Témoin expert en écriture (dossier avec des lettres manuscrites)
  • Témoin expert en alcoolémie (dossier d’alcool au volant)
  • Témoin expert en bâtiment (dossier de vice-caché dans un bâtiment)
  • Témoin expert en santé (dossier de maladie mentale)
  • Et biens d’autres domaines de témoin expert

 

L’informatique s’ajoute au rôle existant. Tout comme un témoin expert venait analysait une lettre manuscrite pour l’authentifier et valider la personne qui semble l’avoir écrite, aujourd’hui un témoin expert vient valider qu’une preuve informatique semble vraie et qu’elle vient réellement de la bonne personne.

Contacter un expert informatique

En cas de doute, appelez-moi et je pourrai vous donner l’heure juste sur votre besoin d’un témoin expert informatique.

Quand un expert judiciaire en informatique doit intervenir?

Dès qu’un dossier judiciaire est en développement pour une poursuite ou une défense, il faut rapidement réfléchir aux preuves qui seront présentées au tribunal. Avec l’informatique omniprésente, lors de cette réflexion sur les preuves, il faut porter une attention particulière aux possibilités de l’informatique dans la construction de votre dossier judiciaire.

Que ce soit un dossier contre la couronne, un ex-conjoint ou une entreprise, il faut évaluer les preuves informatiques qu’un expert judiciaire en informatique peut expertiser.

 

Les preuves informatiques fréquemment les plus fréquentes

Les preuves informatiques expertisées et présentées au tribunal le plus fréquent sont :

Des conversations de messages textes :

  • J’ai souvent vu des messages et des bouts de conversations manquants ou supprimés pour avantager la victime. Il faut bien comprendre le fonctionnement d’une conversation de message texte (SMS) pour comprendre la facilité de modifier une conversation de messages textes (SMS). Il préférence de demander l’extraction et la sauvegarde des messages textes par un expert judiciaire en informatique afin d’en assurer la validité.

Des captures d’écran d’un appareil mobile ou d’un ordinateur :

  • Encore une fois, il est facile de camoufler une information qui n’avantage pas la personne qui soumet la preuve. Il est préférable de demander à un expert judiciaire en informatique neutre pour faire des captures d’écran et pour en expliquer la signification.

Des faux courriels :

  • Les courriels sont rendus une preuve informatique très présente dans les litiges. Cependant, il faut savoir qu’il est extrêmement facile de créer un faux courriel et de l’imprimer pour le soumettre comme preuve informatique. Un expert judiciaire informatique peut aller valider les courriels originaux envoyés et reçus sur un compte avec l’autorisation du détenteur du compte.

Des fausses statistiques :

  • À ce jour, ces statistiques sont toujours dans les dossiers contre la couronne. Les enquêteurs de la police utilisent des logiciels semi-automatisés pour enquêter sur du matériel informatique. Ces logiciels sont efficaces, cependant, il nécessite une connaissance très pointue de l’informatique pour comprendre la signification de leur rapport. Les enquêteurs n’ont en général pas ces connaissances et ils utilisent le résultat de manière « discutable ». Dès que la police soumet un rapport d’enquête informatique, faites immédiatement appel à un expert judiciaire en informatique indépendante pour contre-expertiser leurs preuves et vous accompagner dans votre défense. Ces rapports sont souvent biaisés et incomplets.

 

Exemples de preuves informatiques altérés

 

À travers les dernières années, j’ai vu à mainte reprise des preuves informatiques modifiées avant de les soumettre au tribunal, en voici quelques exemples :

Conversation SMS modifiée

  • Une victime qui supprime plus de 50% des messages texte pour biaiser la conversation avant d’aller porter le cellulaire à la police pour l’extraction des messages. Par la suite, la police extrait seulement les messages restants et soumet la conversation comme preuve au dossier sans poser de question.

Courriels modifiés remplis d’insultes

  • Une ex-femme imprime une série de courriel rempli d’insulte supposément reçu de son ex-mari. Après l’enquête informatique, nous réalisons que les courriels ont été édités dans Microsoft Word et que les insultes ont été rajoutées juste avant d’imprimer les documents.

Faux courriel injecté sur le serveur de la compagnie

  • Un technicien informatique qui injecte un nouveau courriel dans une conversation entre l’entreprise et un fournisseur. Le nouveau courriel est bien sur le compte de l’entreprise, mais on voit bien qu’il n’est pas sur le compte du fournisseur. L’employé finit par admettre que le courriel est faux et qu’il l’a fabriqué.

Fausse signature électronique

  • Une personne numérise la signature d’une autre personne et l’applique sur un autre document électronique. Nous n’avons jamais pu avoir le document original et c’est ainsi que nous avons confirmé que la signature électronique était fausse.

Mauvaise compréhension d’un rapport de police

  • Un rapport de police sous-entend qu’ils ont trouvé 5000 images existantes de pornographie juvénile sur l’ordinateur de l’accusé. Cependant à la lecture du rapport de police, on peut rapidement voir que la majorité des fichiers supposément retrouvés ne peuvent pas être des images dût à leur minuscule taille et au nom du fichier, mais plutôt des fichiers système dont le nom fait référence à des noms de fichiers de pornographie juvénile. Probablement qu’il y a déjà eu ces fichiers sur l’ordinateur, mais il n’y a rien au moment de la saisie qui permet de dire qu’il y a 5000 fichiers de pornographie juvénile sur l’ordinateur. Sans un expert judiciaire en informatique, il aurait été impossible de comprendre la réelle signification du rapport de police et d’expliquer que leur preuve ne tenait pas la route. L’intervention de l’expert judiciaire informatique a permis à la défense de négocier une sentence plus intéressante que celle demandée par la couronne.

 

Le point le plus important à se souvenir parmi ces exemples est qu’il faut se questionner sur la preuve informatique. Il ne faut pas tenir pour acquises des preuves informatiques sans poser les bonnes questions. L’un des objectifs d’un expert judiciaire en informatique est de vous permettre de connaître les bonnes questions à poser. En tant qu’expert judiciaire en informatique, je prends toujours le temps de vous expliquer les possibilités basées sur l’information que vous me donnez sur votre dossier. Chaque dossier est unique, s’il y a peu de possibilités ou si les chances sont minces de trouvés, je vous en fais part aussi. Je ne prends pas de dossier d’expertise judiciaire informatique si je ne crois pas qu’il y a un potentiel à trouver de nouvelles preuves informatiques ou à invalider des preuves informatiques existantes. Si vous avez besoin de l’heure juste sur votre dossier, contactez-nous et il me fera plaisir de discuter d’en discuter avec vous.

Valider l’authenticité d’une signature électronique dans une preuve informatique

 

La validité de la signature électronique

À travers mon expérience, j’ai eu à analyser le processus de signature électronique de quelques systèmes. Chaque fois, la question est toujours de déterminer la validité juridique d’un document électronique avec signature électronique.

De plus en plus souvent des contrats seront signés électroniquement. La signature électronique est conviviale, rapide et permet de signer un document à distance. Récemment, j’ai été impliqué dans une transaction avec 7 autres parties prenantes. La signature électronique nous a permis de tous rapidement signer les documents à distance sans devoir se déplacer et surtout sans devoir trouver une plage horaire ou tout le monde était disponible. Ces avantages auront un impact important sur l’adoption de la signature électronique. Cependant, il est maintenant qu’une question de temps avant que ces signatures soient présentées comme preuve électronique au tribunal.

Il est donc important de commencer à se préparer dès maintenant. Durant ma transaction, j’ai aussi pu constater certaines faiblesses importantes dans le processus de signature.

Dans le cadre de cet article, je ne ferai pas de distinction entre la signature électronique et la signature numérique. La signature numérique est un sous-type de signature électronique qui souvent remplace l’imitation de signature manuscrite par une clé numérique cryptée.

Composition de la signature électronique

À travers ces systèmes, j’ai constaté qu’une signature électronique se compose habituellement de :

  • L’imitation de la signature manuscrite
  • Une clé numérique unique (contenant de l’information d’identification cryptée)
  • L’adresse IP de la connexion internet
  • L’adresse MAC de la carte réseau de l’appareil
  • La géolocalisation de l’appareil
  • L’authentification de l’utilisateur
  • Processus d’identification du signataire

 

Analyse informatique de l’authenticité d’une signature électronique

 

Lorsqu’un document avec signature électronique est présenté au tribunal ou comme preuve informatique dans un dossier juridique, il faut se poser des questions sur la validité juridique de cette preuve informatique. Il ne faut pas comparer une signature électronique sur les mêmes critères qu’une signature manuscrite.

Il est facile de numériquement reproduire une signature manuscrite à l’ordinateur, il faut donc valider plusieurs critères d’authenticité de la signature électronique.

Pour se faire et valider une signature électronique, il faut se poser plusieurs questions.

 

Questions pour prouver la validité d’une signature électronique

 

  1. La signature a été faite à partir de quel appareil électronique?
  2. Est-ce que cet appareil est accessible et vérifiable durant les procédures juridiques?
  3. À qui appartient l’appareil utilisé pour signer le document?
  4. À quel endroit était situé l’appareil et quelles étaient ses coordonnées de géolocalisation lors de la signature électronique?
  5. Est-ce que l’appareil est partagé ou accessible à d’autres utilisateurs?
  6. La sécurité de l’appareil est elle compromise ou aurait pu être à risque d’être piraté au moment de la signature?
  7. Est-ce que la connexion internet utilisée pour signer le document est sécuritaire?
  8. Si la connexion internet était sécurisée, est-ce qu’elle était partagée entre plusieurs utilisateurs?
  9. Y a-t-il des preuves informatiques qui ne coïncident pas entre le contexte de la signature et le contexte de la situation?
  10. Est-ce que tous les signataires ont été correctement identifiés?

 

 

Falsification de signature électronique et signature électronique forgée

 

Toutes ces questions sont essentielles pour être certaines de la validité d’un document signé électroniquement. Malgré cela, il est critique de savoir qu’aujourd’hui, plusieurs des éléments d’une signature électronique sont falsifiables.

Il est possible de contrefaire une signature électronique. Il faut toujours garder en tête qu’une personne mal intentionnée peut électroniquement copier l’adresse MAC, l’adresse IP, la signature manuscrite numérique, ainsi que la géolocalisation d’une autre personne et contrefaire la signature.

Rien n’est impossible en informatique, la complexité peut cependant varier selon le système et les processus de signature en place.

Il faut donc se pencher sur le contexte de chaque preuve électronique contenant une signature avant de tenir pour acquis qu’elles sont conformes.

Un document avec une signature électronique est contestable devant les tribunaux.

Si vous avez un dossier contenant une preuve informatique de ce genre, appelez-nous pour comprendre les enjeux et les possibilités.

 

 

 

 

 

Valider l’authenticité de la preuve informatique

 

Mise en contexte du dossier

Les documents informatiques font maintenant partie des éléments de preuves fréquemment présentés à la cour. Cependant, êtes-vous toujours certain que ces documents sont authentiques, car un document informatique peut facilement être altéré.

Est-ce que la date dans les métadonnées du fichier correspond aux événements ?

Est-ce que les conversations courriel ou SMS sont réelles ou est-ce qu’elles sont modifiées ?

Est-ce que des messages sont manquants ou des messages ont été ajoutés ?

Est-ce que les images, les photos ou les enregistrements ont été modifiés ?

 

Les documents informatiques typiques

  • Messages textes cellulaires
  • Apple iMessage (message texte entre iPhone)
  • Android Message
  • Conversation Facebook Messenger
  • Courriels (Gmail, Hotmail, Yahoo, Live, Outlook et tous les autres fournisseurs courriel)
  • Enregistrement audio (iPod, iPad, iPhone, Android, MP3 et tous les autres enregistreurs disponibles sur le marché)
  • Enregistrement vidéo (Caméra, Cellulaire, iPod, iPhone, iPad, Android, Caméscope ou tous les autres appareils avec caméra)
  • Capture d’écran d’un ordinateur de bureau ou d’un portable
  • Capture d’écran d’un cellulaire ou d’un appareil mobile
  • Document texte électronique (Word, Excel, Adobe PDF, OpenOffice)
  • Image électronique

Expertiser la preuve informatique

Un document électronique n’est pas un document papier rédigé à la main. Il faut adapter les pratiques et ne pas tenir pour acquis qu’une preuve informatique est nécessairement vraie. J’ai vu de nombreux dossiers où la preuve informatique avait été altérée avant de la soumettre.

J’ai vu plusieurs types de cas qui ont nécessité mon intervention.

Cas typique d’intervention

  • Une victime qui efface des messages textes avant de donner son cellulaire à la police pour extraire les messages.
  • Un employé d’une compagnie qui crée des courriels pour les soumettre comme preuve dans une poursuite.
  • Un(e) ex-conjoint(e) qui modifie une conversation courriel pour y ajouter des insultes et des messages que l’autre personne n’a jamais écrits.
  • Un enquêteur qui interprète l’absence de document comme étant une preuve que l’accusé cache ces traces alors qu’il n’y a aucune preuve à cet effet.
  • Un policier qui sélectionne partiellement des bouts de conversation pour exagérer la situation
  • Un employé en informatique qui prend des captures d’écran d’un serveur hors contexte et qui donne une explication erronée de ceux-ci à la cour

Ce sont des exemples de cas que j’ai vu dans les dernières années. Il ne faut pas tenir pour acquise une preuve informatique.

Expertiser une preuve informatique pour en valider l’authenticité

Si vous avez un dossier qui comporte une preuve informatique, assurez-vous qu’elle soit intègre et complète. Si vous avez un doute que la preuve n’est pas complète, un expert informatique légal pourra intervenir dans votre dossier.

Si nous trouvons des éléments pour démontrer que les éléments de preuves ne sont pas authentiques ou qu’ils sont incomplets, vous pourrez vous objecter à ce qu’ils soient reçus à la cour comme plusieurs de vos collègues ont fait suite à notre intervention.

Si vous avez besoin de plus d’information sur l’expertise informatique légale, écrivez-nous un message ou appelez-nous, il nous fera plaisir de répondre à vos questions.

 

 

 

Victime de piratage informatique (Étude de cas)

 

Mise en contexte du dossier

Les pirates informatiques volent les informations personnelles par millions. Il trouve un site web avec une faille de sécurité et l’exploite pour extraire et voler des millions de coordonnées, de courriels, de mots de passe. Il suffit que vous ayez ouvert un compte sur un site qui a été piraté et voilà que votre courriel et votre mot de passe sont maintenant en circulation sur la dark web.

Si vous avez le malheur d’utiliser le même mot de passe sur votre compte courriel ou sur votre compte de partage de fichier, alors les dommages possibles sont illimités.

Les dossiers avec ce contexte sont de plus en plus fréquents. Des comptes piratés sur le Cloud tels que OneDrive, Dropbox, Google Drive ou iCloud sont utilisés à des fins illégales pour transférer des documents illégaux (documents hautement confidentiels, pornographie juvénile, distribution de document piraté).

L’utilisation de ces sites est hautement surveillée et des utilisations abusives ou illégales activent des alertes qui sont envoyées aux entités responsables de faire respecter la loi, habituellement, la GRC ou la Sureté du Québec. Ceux-ci obtiennent alors les mandats pour trouver la personne derrière l’adresse IP et pour perquisitionner.

 

 

Les points d’analyses

  • Analyse de la preuve par les enquêteurs policiers
  • Identification des sources de piratage possible
  • Vérification de la sécurité du réseau
  • Vérification des compétences informatiques de l’utilisateur
  • Vérification du contexte d’utilisation de l’équipement informatique
  • Contre-expertise des fichiers ayant déclenché l’alerte sur l’équipement saisi
  • Diagnostic des scénarios de défenses potentiels basé sur la preuve existante

 

 

Les scénarios de défense potentiels

Les justifications expliquant les sources de piratage varient d’un dossier à un autre. Il faut regarder l’environnement réseau sur lequel l’ordinateur était connecté, il faut tenir compte de la mobilité de l’équipement. Par exemple, un ordinateur portable peut s’être connecté sur le réseau Wifi du café du coin, alors qu’une tour de bureau est moins probable d’être sorti de la maison.

Il faut comprendre la source des accusations pour déterminer si les actions peuvent avoir été posées à partir de l’ordinateur lui-même ou à distance par un pirate. Il faut tenir compte qu’un pirate informatique peut prendre contrôle d’un ordinateur pour effectuer son crime. Cependant, il est aussi possible de commettre le crime à distance en utilisant seulement la connexion de l’ordinateur.

En général, selon la méthode utilisée, il peut y avoir des traces sur l’ordinateur, tout comme il peut n’y avoir aucune trace. Il ne faut donc pas tenir pour acquis uniquement ce qu’on voit comme preuve.

Si le piratage est seulement au niveau des comptes en ligne, par exemple un compte iCloud, Dropbox ou un compte courriel, il est probable qu’il n’y aura aucune trace sur l’ordinateur. Il faut alors investiguer les quelques traces qu’on peut trouver. Il faut aussi contacter ces entreprises pour obtenir plus d’information et possiblement plus de preuves.

 

Conclusion

Se faire pirater un compte peut avoir des incidences catastrophiques telles qu’être accusé ou mis en état d’arrestation pour un crime commis par une autre personne. Il devient alors votre responsabilité de soulever un doute raisonnable que vous n’avez pas commis un crime. À ce moment, un cyberenquêteur informatique, ou un témoin expert informatique est conseillé pour accompagner votre avocat et vous-même dans ce dossier juridique difficile.

 

 

 

 

 

Enquête informatique sur la fabrication de faux courriel et de faux message électronique

Mise en contexte :

La partie adverse soumet des impressions de dizaines de courriels comme preuves, cependant le client dit n’avoir jamais écrit certains de ces messages courriel. Pourtant, à priori ces courriels ont l’air réels, ils ont le même format et selon le document imprimé, ils proviennent de la boite de courriel.

 

 

Les points d’analyses d’une enquête informatique

  • La méthodologie pour extraire les courriels
  • Le compte courriel de l’émetteur
  • Le compte courriel du récepteur
  • Le serveur de courriel
  • Les logiciels d’envoi de courriel du poste de travail de l’émetteur et du récepteur

 

 

Méthodologie d’enquête informatique pour valider l’authenticité d’un courriel contesté

Un message courriel imprimé n’est aucunement différent d’un document texte, tel un document Word ou OpenOffice. Pour valider que le courriel existe, il faut regarder les sources informatiques de ce courriel du côté de l’émission et du côté de la réception.

Les sources informatiques sont :

  • Le poste de travail qui a émis le courriel (ex : ordinateur de bureau, portable, cellulaire, tablette)
  • Le logiciel qui a servi à envoyer le courriel (ex : Outlook)
  • Le serveur de courriel qui a envoyé le message (ex. : Microsoft Exchange, Google Gmail, Microsoft Outlook Live/Hotmail, Yahoo mail et de nombreuses autres possibilités)
  • Le serveur de courriel qui a reçu le message
  • Le logiciel qui a lu le message courriel
  • Le poste de travail qui a reçu le message courriel

Il est important de savoir que comme toute trace informatique, une trace peut être complètement effacée accidentellement ou volontairement, avec ou sans intervention humaine. Pour valider l’authenticité d’un courriel, il faut regarder du côté de l’émetteur pour être certain que le courriel a été envoyé à la date et à l’heure indiquée dans la preuve, ainsi que vérifier que le contenu n’a pas été modifié avant l’impression. Il faut idéalement aussi valider du côté du récepteur 1 source qui nous permet de valider la réception du message.

Pour être certain, il faut toujours contre-valider sur au moins 2 sources informatiques :

  • Date et heure du courriel
  • L’adresse courriel de l’émetteur
  • L’adresse courriel du destinataire
  • Contenu du courriel

 

Source de fraude courriel

Toutes les données dans un courriel peuvent être facilement modifiées par une personne débrouillarde en informatique.

Les possibilités de fraude autant du côté de l’émetteur que réceptrices sont multiples:

  • Création d’un document Word identique à un courriel imprimé
  • Création de toute pièce d’un message courriel sur un poste de travail
  • Modification d’un courriel existant sur le poste de travail
  • Création d’un courriel sur le serveur de courriel (complexité avancée)

 

Conclusion

Il ne faut pas tenir pour acquises toutes les preuves informatiques qui sont soumises. Il est possible que des preuves aient été altérées. Les courriels n’échappent pas à la règle. Si vous croyez que la preuve est altérée, faire appel à un enquêteur informatique est la meilleure façon d’avoir la certitude d’authenticité des courriels.

Tous ces arguments sont aussi vrais pour des messages textes envoyés par cellulaire. J’en parlerai dans un autre article.

 

Cyberenquête pour analyse de disque dur sur une mise à pied (Étude de cas)

 

Mise en contexte du dossier :

Dans le cadre de la mise à pied d’un employé, un employeur a tenté d’utiliser des preuves informatiques sur le disque dur de l’ordinateur de l’employé pour démontrer un problème. Dans le contexte présent, l’employé a annoncé qu’il serait en arrêt de maladie et quelques jours plus tard, l’employeur démarrait une cyberenquête sur l’analyse des disques durs des ordinateurs et sur le téléphone de l’employé. J’ai été appelé pour faire une contre-expertise puisque l’employé niait catégoriquement les propos du cyberenquêteur de l’entreprise à la suite de l’analyse du disque dur.

Ce genre de dossier est de plus en plus fréquent pour des bonnes ou pour les mauvaises raisons. Je vois ce genre de situation avec des employés problématiques qui causent un dommage à l’entreprise, mais à l’inverse, je travaille aussi sur des dossiers pour la défense des employés où des entreprises utilisent une cyberenquête pour ne pas payer les arrêts pour cause de maladie.

 

Les points d’analyses

  • Les fichiers pertinents existants sur le disque dur
  • Les fichiers supprimés sur le disque dur
  • Les dates de modification de fichier sur le disque dur
  • Le registre des activités de l’ordinateur pour bâtir un historique d’utilisation
  • L’historique de navigation internet
  • Les logiciels installés sur l’ordinateur
  • Le registre des appels
  • Le registre des messages textes
  • Les courriels envoyés et les courriels reçus

 

Expertise sur un disque dur de portable de travail

Dans ce type de dossier, l’expertise est habituellement commencée par l’entreprise. L’entreprise engage un cyberenquêteur pour tenter de trouver des preuves de mauvaise foi de la part de l’employé.

Il est important de comprendre qu’un élément informatique doit être analysé dans son contexte. Une information prise en dehors de son contexte peut avoir donné une interprétation à l’opposé de la réalité. Dans ce cas-ci, l’analyse des disques durs par le cyberenquêteur a fait ressortir des fragments de conversation courriel, ainsi que des fragments d’historique d’activité prise en dehors de leur contexte et qui ont été utilisés contre l’employé.

Dans ce genre de cas, on voit souvent l’entreprise pour donner un sens négatif à de l’information insignificative.

  • Par exemple, une absence d’information est utilisée pour dire que l’employé travaille peu.
  • Un court fragment de conversation courriel est utilisé pour dire que l’employé espionnait ses collègues.
  • L’absence de fichier est utilisée pour dire que l’employé a effacé ses traces.
  • Les fichiers présents sur l’ordinateur sont utilisés pour dire que l’employé se préparait à voler de l’information.

Contre-expertise de la preuve pour la mise à pied

Toutes ces preuves analysées sur le disque dur et le cellulaire, remis dans leur contexte, peuvent vouloir dire exactement l’opposé.

  • L’absence de registre d’activités : Par défaut, les ordinateurs ne sont pas configurés pour enregistrer tous les faits et gestes de son utilisateur. Il faut manuellement configurer cette option pour avoir un registre complet. Il est donc important de comprendre qu’un registre des activités démontre une vue d’ensemble, mais ne doit pas être considéré comme une série complète et exacte de ce qui s’est produit. La présence de « trou » dans un registre n’indique pas nécessairement que l’ordinateur n’est pas utilisé. Il peut seulement indiquer qu’aucun changement important n’a été enregistré.
  • Une citation courriel prise hors contexte : Un fragment de courriel peut donner l’impression que l’employé s’introduit dans une conversation qui ne le concerne pas, mais lorsqu’on ressort l’historique complet des courriels, on peut voir que la demande originale a été envoyée à l’employé et qu’il est simplement intervenu pour régler un problème que son gestionnaire lui a demandé de régler.
  • L’absence de fichier ou la présence de fichiers supprimés : il est facile de dire que si quelque chose n’est pas accessible, cela est dû à la volonté de faire disparaître des preuves. Par contre, lorsqu’on creuse un peu plus, on réalise que la présence de fichiers supprimés est légitime et que l’absence de fichier n’est pas une tentative de cacher des preuves, mais plutôt une action automatique et systématique de l’ordinateur pour nettoyer le disque dur.
  • La présence d’information « confidentielle » sur l’ordinateur : en vérifiant l’information dite confidentielle, on se rend compte qu’il s’agit d’un seul fichier dont l’information est vieille de plusieurs années et que celle-ci n’est plus à jour depuis longtemps. Vu le rôle de l’employé au sein de l’organisation, il aurait pu récupérer ce fichier par mégarde et de plus, si une mauvaise intention était liée à l’acquisition du fichier, il aurait eu plusieurs années pour agir, action qu’il n’a pas faite.

 

L’importante d’une contre-expertise lors d’une analyse de disque dur

Dans un dossier d’analyse de disque dur relié à la mise à pied d’un employé, il faut comprendre que l’entreprise a un intérêt financier de trouver des preuves contre l’employé.

Il est important pour la défense de l’employé d’avoir un avis neutre sur les preuves informatiques. Un cyberenquêteur doit être en mesure de nuancer ces propos et de vous expliquer la différence entre les preuves informatiques existantes et l’interprétation de celles-ci par l’employeur.

Étude de cas: Cyberenquête par la défense sur du matériel saisi

 

Mise en contexte du dossier :

La gravité des chefs d’accusation mène parfois à l’impossibilité de demander une copie du matériel informatique saisie. On peut penser à des dossiers de pornographie juvénile où la gravité des chefs d’accusation et où le risque de distribution est trop élevé pour permettre à la police ou la Sureté du Québec de simplement faire une copie miroir pour permettre l’analyse. Lorsque nous sommes face à ce type de problématique, quelles sont les possibilités pour faire compléter une expertise informatique?

 

Les points d’analyses

  • Analyse de disque dur d’ordinateur saisie
  • Analyse de cellulaire saisi
  • Analyse du contenu et des fichiers du disque dur
  • Analyse des registres d’activités sur l’ordinateur
  • Analyse des logiciels sur l’ordinateur

 

Cyberenquête pour la défense de matériel saisie au poste de police

Un cyberenquêteur indépendant peut être appelé pour intervenir dans le dossier et compléter l’analyse sur place sous la supervision de la police. Ceci requiert le travail d’un avocat pour compléter et négocier les conditions de la demande.

Habituellement, le matériel informatique saisie sera mis à la disposition d’un expert informatique indépendant travaillant pour la défense pour une analyse sur place, dans les locaux de police ou de la SQ. Plusieurs conditions complexes s’appliquent dans ce genre de dossier :

  • Le matériel d’analyse est fourni par l’expert
  • Le matériel sera saisi à la fin de l’analyse
  • Aucun appareil avec connexion internet n’est permis dans les locaux
  • Aucun cellulaire n’est permis dans les locaux
  • Aucun matériel de stockage additionnel n’est permis
  • L’expert doit être fouillé à l’entrée et à la sortie de l’édifice
  • Les notes d’analyses de l’expert seront vérifiées le dernier jour de l’expertise

 

Étant données ces conditions, il va de soi que seul le matériel d’analyse informatique minimal doit être apporté sur les lieux. Puisqu’en aucun temps, le matériel ne pourra être sorti du poste de police et qu’il sera saisi à la fin, il faut avoir préalablement préparé un ordinateur « jetable » contenant tous les logiciels qui pourraient être requis pendant l’expertise informatique.

L’analyse informatique ayant lieu entièrement sur place, les délais sont beaucoup plus longs. Il faut prévoir des jours pour créer l’ordinateur jetable, ainsi que des coûts de matériel additionnel.

Toute connexion internet est absolument interdite pendant l’analyse. Donc l’expert en informatique judiciaire doit avoir préparé à l’avance tous les logiciels et les documents dont il aura besoin. Il y a peu de marge d’erreur possible dans ce genre d’analyse.

L’expert doit aussi accepter d’être fouillé à l’entrée et à la sortie de l’édifice pour réduire le risque de distribution du contenu du disque.