Les choses ne sont pas toujours ce qu’elles paraissent

Cette expertise est délicate : je dois accompagner un huissier de justice pour faire un constat sur un ordinateur d’entreprise.

Encore une fois, je connais peu le contexte technique avant l’intervention. Vais-je trouver un terminal relié à un AS/400, un magnifique Macintosh, un classique ordinateur sous Windows, un surprenant poste sous GNU/Linux ou un client léger très tendance ?

Je me rapproche de l’huissier à qui j’explique mes interrogations et qui me renvoie vers le chef d’entreprise. Je contacte icelui, qui m’informe que le poste du salarié ciblé est un classique poste sous Windows XP (nous sommes dans les années 2000), même pas virtualisé.

Je m’équipe pour l’intervention et nous voilà dans l’entreprise devant le poste de travail. Le constat est rapide, précis. L’huissier est efficace et notre couple fonctionne bien. En fin d’intervention, il m’est demandé de faire une copie du disque dur à fin d’analyse et de remettre le disque dur original à l’huissier qui le met sous scellé.

Me voilà chez moi, sur mon ordinateur personnel, à analyser le contenu du disque dur du salarié à la recherche des éléments constitutifs de la faute lourde. Je lance l’analyse du disque dur et mes scripts d’extraction de données. Je jette un coup d’œil aux résultats avant d’aller me coucher, l’affaire semble entendue…

Le lendemain, je commence la rédaction de mon rapport en annexant tous les documents gênants retrouvés sur l’ordinateur. Je les classe dans les catégories suivantes :

– les fichiers non effacés présents sur le compte informatique du salarié

– les fichiers non effacés présents hors du compte informatique du salarié

– les fichiers effacés toujours présents dans la corbeille du compte informatique

– les fichiers effacés toujours présents sur le disque dur (hors compte).

Les données « intéressantes » sont, dans cette affaire là, dans la dernière catégorie, en particulier dans la zone « non allouée » du disque dur.

Suivant les précautions d’usage, je rédige le rapport en précisant que les données retrouvées ne disposant plus des métadonnées du système d’exploitation, il n’est pas possible de les dater ni d’en connaître l’origine. Concentré sur ma rédaction, j’explique que les bribes de données retrouvées sont regroupées par mon logiciel de récupération dans des fichiers, mais que l’histoire du (nom du) fichier d’origine a disparu.

Ces données sont pourtant bien présentes sur le disque dur de l’ordinateur que l’entreprise a attribué à son salarié mis en cause.

Soudain, un doute m’assaille…

Je contacte le service informatique de l’entreprise, et avec l’autorisation du chef d’entreprise, je leur pose quelques questions concernant la gestion du parc informatique. Je découvre alors que l’entreprise fait tourner son parc, en affectant les ordinateurs puissants et neufs au service R&D, puis les « recycle » un an après aux salariés des bureaux, et enfin dans les ateliers.

Le disque dur que j’analyse a donc eu plusieurs vies, le service informatique procédant à chaque fois à un formatage rapide du disque avant d’installer la nouvelle configuration adaptée au salarié.

Les données traînant dans la zone non allouée du disque dur n’appartiennent à personne et il m’est impossible de retracer leur historique de transfert. Ces données peuvent tout aussi bien avoir été introduites sur le disque dur par le dernier salarié auquel l’entreprise a affecté l’ordinateur, que par le premier.

J’ai travaillé ma rédaction en insistant pédagogiquement sur ces points et j’ai rendu mon rapport.

Quelques mois plus tard, j’apprenais qu’un collègue de ce salarié avait reconnu la faute grave, pris sur le fait en train de manipuler les données confidentielles interdites. J’ai appelé le service informatique de l’entreprise qui m’a confirmé que l’ordinateur avait été affecté un temps à ce salarié, et que mon rapport les avait forcé à tracer l’historique de l’affectation du poste de travail.

Rétrospectivement, j’ai félicité mon moi antérieur pour les précautions qu’il avait prises, évitant ainsi d’incriminer un innocent. Jeunes experts en informatique, pesez avec prudence les affirmations que vous écrivez dans vos rapports. N’oubliez pas que derrière un compte informatique nominatif peut se cacher une autre personne (connaissant le mot de passe du compte qui n’est pas le sien). N’oubliez pas qu’un logiciel malveillant peut simuler une action délictuelle à l’insu de l’utilisateur de l’ordinateur. Et n’oubliez pas qu’une donnée égarée sur un disque dur peut avoir été introduite par un utilisateur antérieur. N’oubliez pas non plus les logiciels de prise de contrôle à distance et autres produits de déploiement applicatifs…

Bref, beaucoup des informations qui peuvent être extraites d’un ordinateur sont à prendre avec des pincettes.

Une réflexion sur « Les choses ne sont pas toujours ce qu’elles paraissent »

  1. Expert informatique débutant (même après une dizaine d'années je pense que l'on est toujours débutant dans ce domaine 😉 ) je ne peux qu'aller dans votre sens et, une fois de plus, vanter la qualité de cette article.
    Je rebondis sur un terme qui me semble extrêmement important, c'est le terme "pédagogie". Je m'attache toujours en effet dans la rédaction de mes rapport à m'inscrire dans cette démarche. Car en effet il faut tout d'abord rester humble devant une technologie toujours plus large et plus complexe dont aucun ne peut prétendre maîtriser tous les aspects. Dès lors la pédagogie est le meilleur moyen de donner l'ensemble des tenants et aboutissants permettant in fine au juge de se forger une opinion et de donner sa décision.
    Cela va de paire avec une prudence essentielle visant à réfléchir à chaque action réalisée ou élément trouvé s'ils ne peuvent avoir été compromis d'une façon ou d'une autre afin d'éviter que cela ne se retourne contre une des parties "innocente" ou même contre l'expert.
    Merci encore pour vos billets.

Les commentaires sont fermés.