Alain Deladrière
Les chiffres parlent d’eux-mêmes. Suite à des enquêtes menées ces dernières cinq années, l’OLAF, l’Office européen de lutte antifraude, a recommandé le recouvrement de plus de € 2 milliards. Dans ce second article, nous abordons d’autres aspects du rôle de l’enquêteur en criminalistique numérique (« digital forensics ») présenté lors d’une conférence en anglais pendant l’European Anti-fraud Congress en juin dernier à Bruxelles.
« En matière d’examen et de preuve numérique, l’OLAF respecte toujours une procédure bien déterminée », a indiqué Patrick Winkler, OLAF, Certified Computer Forensic Examiner / Unit C3, lors de son exposé intitulé ‘Gathering and examination of digital evidence : problematic and solutions’ pendant l’European Anti-Fraud Congress en juin 2015 à Bruxelles. « Nous respectons toujours le fait que la preuve informatique doit être admissible, authentique, précise, complète et convaincante devant un tribunal. Nous devons pouvoir exécuter correctement les cinq étapes de la criminalistique informatique à savoir l’identification des supports de preuves ou des données, l’acquisition ou la collecte criminalistique, la conservation de la preuve, l’examen et l’analyse criminalistiques, le reporting. Je soulignerai ici que la Unit C3 Digital Forensic Team dispose de tout l’équipement spécifique (hardware, software), des connaissances, des compétences informatiques et de l’expérience pour exécuter ces tâches avec un degré élevé de performance et d’efficacité. »
Références en matière de meilleures pratiques
Les spécialistes en criminalistique informatique de l’OLAF suivent les meilleures pratiques communes et mondialement connues en matière de criminalistique numérique. Ils respectent en fait les procédures, méthodes et standards de la criminalistique informatique appliqués par différents experts et organisations comme :
– UK ACPO : Association of Chief Police Officers of UK
– NIST : National Institute of Standards and Technology
– ENSFI : European Network of Forensic Science Institutes
– EUROPOL, CEPOL, ECTEG
– IACIS : International Association of Computer Investigative Specialists
– SWDGE : Scientific Working Group on Digital Evidence
– SANS Technology Institute : Cooperative research and education organization
– EU and US CERTs : Computer Emergency Response Teams.
Règles, méthodes et standards
Les enquêteurs prennent une image du maximum d’éléments, en partant d’une vision globale vers une vision détaillée. De même, ils prennent un maximum de notes sur place et enregistre tous les détails. Lorsqu’une preuve a été trouvée, il faut enregistrer le temps, le lieu, la position et le statut exacts des preuves (moyens ou dispositifs).
La preuve trouvée sur place devra être décrite avec un maximum de détail (lieu, marque, type, modèle, volume, couleur, info sur le label, série…).
A nouveau, la preuve devra être préservée et on évitera tout risque de dommage, de destruction ou de modification des données internes (hash value, sceau de sécurité, transport sécurisé, lieu de stockage sûr).
On notera que le respect de la chaîne de traçabillité est obligatoire pour éviter des erreurs de procédures et garantir que la preuve sera acceptée par le tribunal. Une chaîne de traçabilité commence lorsque la preuve est saisie et se termine lorsque la preuve est retournée ou détruite. Le but de cette chaîne est de montrer que la preuve est encore authentique et plus au point que rien au sujet de la preuve aurait pu être changé d’une manière qui réduit la fiabilité de la preuve.
« D’autre part, pour éviter les erreurs de procédures et la suppression ou la modification des données de preuves, on fera toujours appel à une personne qualifiée ou expérimentée dans le domaine de la criminalistique numérique. Il ne faut jamais procéder à l’acquisition ou à la collecte de données si l’on ne possède pas les connaissances et compétences requises, » a souligné Patrick Winkler.
L’emploi d’outils de criminalistique
L’enquêteur en ciminalistique numérique emploie toujours des outils de criminalistique qui ont été testés et validés lorsqu’il s’agit d’extraire et d’exporter légalement les données dans des dossiers de preuve sans changer l’horodatage. En outre, les données originales enregistrées dans un conteneur logique légal ne peuvent pas être modifiées ni supprimées. Une valeur hash value de l’ensemble des données exportées est également créée au cours du processus de copie.
Exemples d’actions de base pour les équipes de première intervention
Pour un ordinateur :
Lorsqu’un ordinateur est coupé, les équipes de première intervention suivront la procédure suivante :
– Ne pas mettre l’ordinateur sur ON pour vérification ou pour recherche préalable ou préaperçu
– S’assurer qu’il est vraiment OFF et non en mode « veille » ou « mode économiseur d’écran »
– Toujours demander à l’administrateur IT si un système de chiffrement complet est utilisé. Cela exigerait une acquisition Forensic Logical (PC ON)
– Retirer le plug de la machine pas du mur ( UPS issues)
– Pour les ordinateurs portables, retirer les piles avant d’accéder au lecteur de disque
– Rechercher autour de l’ordinateur et sur le bureau tout papier ou Post-it avec un éventuel mot de passe !
Pour un appareil mobile (un téléphone par exemple) :
– Toujours faire appel à un spécialiste pour exécuter le travail
– Ne jamais permettre au propriétaire/un suspect/une personne d’accéder au mobile
– Isoler du réseau : sac Faraday, mode fligt/plane, mettre le téléphone sur OFF
– Essayer toujours d’obtenir le code PIN et le code de sécurité (essayer d’abord en demandant à l’utilisateur!)
– Ne pas nettoyer l’appareil
– Utiliser au minimum deux outils de criminalistique pour l’acquisition et l’examen.
Aspects légaux pertinents pour un examen
Parmi les aspect légaux pertinents pour un examen, les spécialistes de l’OLAF relèvent entre autres :
– L’impact sur l’horodatage de données
– L’impact sur l’aperçu des médias (preview of media)
– Les appareils USB connectés à l’ordinateur
– L’examen des fichiers LINK
– L’utilisation des outils de criminalistique pour obtenir les données supprimées
– Les flux de données alternatif (ADS)
– L’extraction de données (data carving)
– Les problèmes de cryptage
– L’analyse de données en direct
– Hash value.
Les pays de l’UE gèrent 80 % des fonds de l’UE et sont les principaux responsables de la lutte contre la fraude. Ils emploient la plupart des personnes qui participent à cette lutte, dont par exemple 500.000 agents de police. L’OLAF, pour sa part, emploie 435 personnes, dont plus de deux tiers enquêtent sur des cas de fraude. Pour rappel, l’OLAF bénéficie d’une autonomie budgétaire et opérationnelle qui lui garantit son indépendance opérationnelle. Il peut conduire deux types d’enquête en toute indépendance :
– des enquêtes internes au sein d’institutions ou organes européens financés par le budget de l’UE;
– des enquêtes externes au niveau national, lorsque le budget de l’UE est concerné. À cette fin, l’OLAF peut effectuer des contrôles et des inspections dans les locaux des opérateurs économiques, en étroite collaboration avec les autorités compétentes de l’État membre ou du pays tiers concerné.
OLAF: Une lutte de tous les instants contre la fraude et la corruption affectant les intérêts financiers de l’Union Européenne (2e partie)
19 août 2015