Dans les années 80, un expert judiciaire informatique mandaté pour assister des enquêteurs sur une scène de crime chez un particulier procédait à la saisie d’un ordinateur et de son stock de disquettes. Eventuellement, il récupérait aussi quelques cassettes magnétiques. Il n’y avait aucun doute sur l’identité de l’utilisateur.
Dans les années 90, il fallait vérifier la présence d’un modulateur-démodulateur et maîtriser l’interconnexion des réseaux nationaux accessible au public (l’Internet). Il fallait penser à vérifier l’éventuelle présence de cédéroms pouvant contenir plusieurs fois la capacité disque des ordinateurs. Plusieurs personnes utilisaient l’ordinateur familial. La maîtrise des liaisons null modem était un plus, car il y avait parfois deux ordinateurs.
Maintenant que nous avons changé de siècle et de millénaire, l’expert arrive dans une maison où chaque pièce peut contenir un ordinateur, le wifi arrose toute la maison et celle des voisins, chaque personne possède plusieurs comptes sur plusieurs ordinateurs. Les données sont délocalisées sur internet (chat, contacts, messagerie), quand elles ne sont pas réparties sur les téléphones, pda, baladeurs mp3, voitures, appareils photos, et même cadres photos…
Aujourd’hui, l’expert judiciaire en informatique doit connaître tous les produits qui sortent, disposer de tous les appareils de mesure adéquat (vous avez une idée du nombre de type de cartes mémoires?).
Il faut également être prudent et écrire “j’ai trouvé telle donnée sur tel support”, et non pas “Mr Machin a téléchargé telle donnée”.
Et avec la complexité croissante, l’expert doit être encore plus sur de ses conclusions. Il doit mesurer ses certitudes et peser ses doutes.
Et les faire partager en toute clarté.
Retrouver les supports de stockage, vaste problème. Il suffit de voir la taille des micro-SD, les montres USB, le SAN wifi dans l’armoire… Tout cela me rappelle une présentation de Johnny Long Finding Evidence Everywhere (bh eu 2006) dont je ne retrouve plus les slides (bon à la base mon post était de donner l’url mais tant pis). Il faisait défiler une serie de slide où l’objectif était de trouver “la preuve” (clé usb en forme de stylo etc).
Je sais que pour retrouver le matériel connecté sous Windows c’est assez facile. La base de registre laisse tout un tas de trace (derniere clé usb connectée, préférence réseau, etc). Qu’en est-il pour Mac ou Linux par exemple ?
@nono
Linux n’est franchement pas avare de log en tout genre (cf /var/log/ en autre) et pour OSX ça doit etre la meme chose car c’est un Unix.
Et avant l’existence de la base de registre, où était stocké ce genre d’info ?
Et si tu tombes sur quelqu’un qui se sert d’une machine virtuelle (vmware par ex.), et qu’elle est suprimée…
@nono & nuer:
tout ordinateur conserve un nombre incroyable de traces, il suffit d’explorer de façon exhaustive toute la surface du disque dur.
@pwwwet:
Les machines virtuelles laissent pas mal de traces de leur passage sur la machine hôte. Mais comme toujours, à l’impossible l’expert n’est pas tenu.