Conception et réalisation d'une plateforme d'investigation numérique

? 2.4.2. Examen

Cette étape consiste à faire une recherche systématique approfondie pour l'évaluation et la localisation des éléments pertinents à partir de larges volumes de données recueillies tout en préservant son intégrité en utilisant une combinaison d'outils automatique, ou manuel. Les résultats de l'examen sont des objets de données. Ils peuvent inclure des fichiers journaux, fichiers de données contenant des phrases spécifiques, des SMS téléphoniques, ...

? 2.4.3. Analyse

C'est la phase la plus importante d'investigation légale. Elle désigne le processus d'organisation et de structuration des résultats des examens, en utilisant des méthodes et des techniques légales et justifiables pour dériver des connaissances utiles qui adressent les questions qui résolvent le cas d'investigation.

a) La recherche des preuves

Pendant le processus d'une investigation numérique, l'étape de recherche des preuves numériques est la tâche la plus consommatrice du temps. Un des plus grands défis auxquels sont confrontés les enquêteurs numériques est le volume de données qui doivent être recherchées lors de la localisation des preuves numériques, c'est pour ça qu' ils utilisent des méthodes scientifiques comme le datamining afin de localiser efficacement la preuve relative au crime. Selon la façon de rechercher des preuves électroniques, ce processus sera divisé en deux types de recherches : Statique et dynamique.

? La recherche statique consiste à faire la collecte des preuves dans un état passif, ce qui signifie que la recherche des évidences est faite sur des ordinateurs et autres dispositifs numériques (par exemple téléphone portable) qui ont quitté la scène du crime.

? La recherche dynamique : C'est la technique de la collecte des preuves dans le pare-feu, détection d'intrusion et tous les actes possibles d'acquisition en temps réel.

b) L'analyse de preuves (reconstruction des chaînes des évidences)

L'enquêteur développe des hypothèses basées sur des preuves existantes qu'il a collectées à l'étape précédente et teste ces hypothèses en cherchant des preuves supplémentaires indiquant si elles sont vraies ou fausses.^24(*) Il existe trois types d'analyse^25(*) :

- L'analyse temporelle : elle répond à la question quand ? c'est l'ordonnancement dans le temps des preuves récupérées pour fournir une séquence narrative des événements pour aider un enquêteur à identifier les anomalies sur un crime et menant à d'autres sources de données. De nombreux éléments de données numériques légales sont naturellement prêtes à cette séquence, par exemple, fichiers MAC (time of last Modification (M) time of last Access (A) time of Création (C)), les événements journaux avec timestamp, e-mails, etc.

- L'analyse fonctionnelle : elle répond des questions qui ? quoi ? où ? pour montrer les liens entre les entités dans un crime, par exemple l'existence d'un numéro de téléphone dans une base de contacts d'un mobile affiche un lien entre le propriétaire du téléphone et le propriétaire du numéro de téléphone.

- L'analyse relationnelle : elle répond à des questions comment ? et pourquoi ? C'est l'acte de déterminer quelles entités pourraient avoir réalisées l'un des événements qui sont liés à un cas d'investigation. Lors de la reconstruction d'un crime, il est souvent utile de se demander quelles conditions étaient nécessaires pour que certains scénarios du crime soientpossibles. Par exemple, il est parfois utile d'effectuer certains gestes fonctionnels sur le matériel utilisé dans le crime pour s'assurer que le système sous investigation était capable d'effectuer des actions. L'analyse fonctionnelle vise à examiner toutes les hypothèses possibles pour un ensemble des circonstances, par exemple, lorsqu'on lui demande si l'ordinateur du défendeur peut télécharger un groupe de fichiers incriminants en une minute, comme il est indiqué par leurs timestamps, un examinateur légiste peut déterminer que le modem était trop lent pour télécharger ces fichiers rapidement. Cependant, l'examinateur ne doit pas être satisfait de cette réponse et devrait déterminer comment les fichiers ont été placés sur l'ordinateur. Les analyses temporelles, fonctionnelles et relationnelles sont nécessaires pour recréer une image complète d'un crime. Combiner les résultats de ces analyses peut aider les enquêteurs à comprendre le crime et son coupable.

* ²⁴ Valjarevic A., Venter H.S., « Towards a Harmonized Digital Forensic Investigation Readiness Process Modell », neuvième conférence internationale du WG 11.9 de l'IFIP sur les sciences forensiques numériques, Orlando. Floride, USA, 2013.

* ²⁵ Idem