Le domaine des enquêtes en criminalistique informatique se développe, d’autant plus que les forces de l’ordre et les entités juridiques réalisent à quel point les professionnels de la technologie de l’information (TI) sont précieux en matière de procédures d’enquête. Avec l’avènement de la cybercriminalité, le suivi des activités en ligne malveillantes est devenu crucial pour protéger les citoyens, ainsi que pour préserver les opérations en ligne en matière de sécurité publique, de sécurité nationale, de gouvernement et d’application de la loi. Le suivi de l’activité numérique permet aux enquêteurs de relier les communications informatiques et les informations stockées numériquement à des preuves physiques d’activités criminelles; la criminalistique informatique permet également aux enquêteurs de découvrir une intention criminelle préméditée et peut aider à prévenir de futurs cybercriminels. Pour ceux qui travaillent sur le terrain, il y a cinq étapes critiques en criminalistique informatique, qui contribuent toutes à une enquête approfondie et révélatrice.
Élaboration de politiques et de procédures
Qu’elles soient liées à une cyberactivité malveillante, à un complot criminel ou à l’intention de commettre un crime, les preuves numériques peuvent être délicates et très sensibles. Les professionnels de la cybersécurité comprennent la valeur de ces informations et respectent le fait qu’elles peuvent être facilement compromises si elles ne sont pas correctement traitées et protégées. Pour cette raison, il est essentiel d’établir et de suivre des directives et des procédures strictes pour les activités liées aux enquêtes médico-légales informatiques. Ces procédures peuvent comprendre des instructions détaillées sur le moment où les enquêteurs de la criminalistique informatique sont autorisés à récupérer des preuves numériques potentielles, comment préparer correctement les systèmes pour la récupération des preuves, où stocker les preuves récupérées et comment documenter ces activités pour aider à garantir l’authenticité des données.
Les organismes d’application de la loi dépendent de plus en plus des services informatiques désignés, qui sont dotés d’experts chevronnés en cybersécurité qui déterminent les protocoles d’enquête appropriés et élaborent des programmes de formation rigoureux pour s’assurer que les meilleures pratiques sont suivies de manière responsable. En plus d’établir des procédures strictes pour les processus médico-légaux, les divisions de cybersécurité doivent également définir des règles de gouvernance pour toutes les autres activités numériques au sein d’une organisation. Ceci est essentiel pour protéger l’infrastructure de données des organismes d’application de la loi ainsi que d’autres organisations.
Une partie intégrante des politiques et procédures d’enquête pour les organismes d’application de la loi qui utilisent des services de criminalistique informatique est la codification d’un ensemble d’actions explicitement énoncées concernant ce qui constitue une preuve, où rechercher ladite preuve et comment la traiter une fois qu’elle a été récupérée. Avant toute enquête numérique, des mesures appropriées doivent être prises pour déterminer les détails de l’affaire en cours, ainsi que pour comprendre toutes les actions d’enquête autorisées en relation avec l’affaire; cela implique la lecture des mémoires, la compréhension des mandats et des autorisations et l’obtention des autorisations nécessaires avant de poursuivre l’affaire.
Évaluation des preuves
Un élément clé du processus d’enquête consiste à évaluer les preuves potentielles d’une cybercriminalité. Pour un traitement efficace des preuves, il est essentiel de bien comprendre les détails de l’affaire en cause et, par conséquent, la classification de la cybercriminalité en question. Par exemple, si une agence cherche à prouver qu’une personne a commis des crimes liés au vol d’identité, les enquêteurs en criminalistique informatique utilisent des méthodes sophistiquées pour passer au crible les disques durs, les comptes de messagerie, les sites de réseautage social et d’autres archives numériques pour récupérer et évaluer toute information pouvant servir de preuve viable du crime. Cela est, bien sûr, vrai pour d’autres crimes, tels que le comportement criminel en ligne comme la publication de faux produits sur eBay ou Craigslist destinés à inciter les victimes à partager des informations de carte de crédit. Avant de mener une enquête, l’enquêteur doit définir les types de preuves recherchées (y compris les plates-formes et les formats de données spécifiques) et comprendre clairement comment conserver les données pertinentes. L’enquêteur doit ensuite déterminer la source et l’intégrité de ces données avant de les introduire en preuve.
Acquisition de preuves
La facette la plus critique d’une enquête médico-légale informatique réussie est peut-être un plan rigoureux et détaillé d’acquisition de preuves. Une documentation exhaustive est nécessaire avant, pendant et après le processus d’acquisition; des informations détaillées doivent être enregistrées et conservées, y compris toutes les spécifications matérielles et logicielles, tous les systèmes utilisés dans le processus d’enquête et les systèmes faisant l’objet de l’enquête. C’est à cette étape que les politiques liées à la préservation de l’intégrité des preuves potentielles sont les plus applicables. Les directives générales pour la conservation des preuves comprennent la suppression physique des périphériques de stockage, l’utilisation de disques de démarrage contrôlés pour récupérer des données sensibles et assurer leur fonctionnalité, et la prise de mesures appropriées pour copier et transférer les preuves dans le système de l’enquêteur.
L’acquisition de preuves doit se faire de manière délibérée et légale. Pouvoir documenter et authentifier la chaîne de preuves est crucial lors de la poursuite d’une affaire judiciaire, et cela est particulièrement vrai pour la criminalistique informatique étant donné la complexité de la plupart des affaires de cybersécurité.
Examen des preuves
Afin d’enquêter efficacement sur les preuves potentielles, des procédures doivent être en place pour récupérer, copier et stocker les preuves dans des bases de données appropriées. Les enquêteurs examinent généralement les données des archives désignées, en utilisant une variété de méthodes et d’approches pour analyser les informations; celles-ci peuvent inclure l’utilisation d’un logiciel d’analyse pour rechercher des archives massives de données à la recherche de mots clés ou de types de fichiers spécifiques, ainsi que des procédures pour récupérer des fichiers qui ont été récemment supprimés. Les données avec des heures et des dates sont particulièrement utiles aux enquêteurs, tout comme les fichiers ou programmes suspects qui ont été cryptés ou intentionnellement cachés.
L’analyse des noms de fichiers est également utile, car elle peut aider à déterminer quand et où des données spécifiques ont été créées, téléchargées ou téléchargées et peut aider les enquêteurs à connecter des fichiers sur des périphériques de stockage à des transferts de données en ligne (tels que le stockage en nuage, le courrier électronique ou d’autres communications Internet). Cela peut également fonctionner dans l’ordre inverse, car les noms de fichiers indiquent généralement le répertoire qui les abrite. Les fichiers situés en ligne ou sur d’autres systèmes pointent souvent vers le serveur et l’ordinateur spécifiques à partir desquels ils ont été téléchargés, fournissant aux enquêteurs des indices sur l’emplacement du système; faire correspondre les noms de fichiers en ligne à un répertoire sur le disque dur d’un suspect est un moyen de vérifier les preuves numériques. À ce stade, les enquêteurs en criminalistique informatique travaillent en étroite collaboration avec les enquêteurs criminels, les avocats et tout autre personnel qualifié pour assurer une compréhension approfondie des nuances de l’affaire, des actions d’enquête autorisées et des types d’informations pouvant servir de preuve.
Documentation et rapports
En plus de documenter entièrement les informations relatives aux spécifications du matériel et des logiciels, les enquêteurs judiciaires en informatique doivent tenir un registre précis de toutes les activités liées à l’enquête, y compris toutes les méthodes utilisées pour tester la fonctionnalité du système et récupérer, copier et stocker des données, ainsi que toutes les mesures prises pour acquérir, examiner et évaluer les preuves. Non seulement cela démontre comment l’intégrité des données des utilisateurs a été préservée, mais cela garantit également le respect des politiques et procédures appropriées par toutes les parties. Étant donné que le but de l’ensemble du processus est d’acquérir des données pouvant être présentées en preuve devant un tribunal, le fait pour un enquêteur de ne pas documenter correctement son processus pourrait compromettre la validité de cette preuve et, en fin de compte, l’affaire elle-même.
Pour les enquêteurs judiciaires en informatique, toutes les actions liées à un cas particulier doivent être comptabilisées sous un format numérique et enregistrées dans des archives correctement désignées. Cela permet de garantir l’authenticité des conclusions en permettant à ces experts en cybersécurité de montrer exactement quand, où et comment les preuves ont été récupérées. Il permet également aux experts de confirmer la validité des preuves en faisant correspondre la documentation enregistrée numériquement de l’enquêteur aux dates et heures auxquelles ces données ont été consultées par des suspects potentiels via des sources externes.
Aujourd’hui plus que jamais, les experts en cybersécurité dans ce rôle crucial aident les organismes gouvernementaux et d’application de la loi, les entreprises et les entités privées à améliorer leur capacité à enquêter sur divers types d’activités criminelles en ligne et à faire face de front à un éventail croissant de cybermenaces. Les professionnels de l’informatique qui mènent des enquêtes médico-légales en informatique sont chargés de déterminer les besoins spécifiques en matière de cybersécurité et d’allouer efficacement des ressources pour faire face aux cybermenaces et poursuivre les auteurs de ces cyber-menaces. Une maîtrise en cybersécurité a de nombreuses applications pratiques qui peuvent doter les professionnels de l’informatique d’une solide connaissance de la criminalistique informatique et des pratiques pour maintenir la chaîne de traçabilité tout en documentant les preuves numériques. Les personnes ayant le talent et l’éducation nécessaires pour gérer avec succès des enquêtes médico-légales informatiques peuvent se retrouver dans une position très avantageuse dans un domaine de carrière dynamique.
En savoir plus
En tant que plus ancien collège militaire privé du pays, l’Université de Norwich est un chef de file en matière d’éducation innovante depuis 1819. Grâce à ses programmes en ligne, Norwich offre des programmes d’études pertinents et applicables qui permettent à ses étudiants d’avoir un impact positif sur leurs lieux de travail et leurs communautés.
À l’Université de Norwich, nous prolongeons une tradition d’éducation basée sur des valeurs, où des études structurées, disciplinées et rigoureuses créent une expérience stimulante et enrichissante. Les programmes en ligne, tels que le Master of Science in Cybersecurity, ont rendu notre programme complet accessible à plus d’étudiants que jamais auparavant.
L’Université de Norwich a été désignée comme un Centre d’excellence académique en éducation à la cyberdéfense par la National Security Agency et le Département de la Sécurité intérieure. Dans le cadre de votre programme, vous pouvez choisir parmi cinq concentrations conçues de manière unique pour fournir un examen approfondi des politiques, des procédures et de la structure globale d’un programme d’assurance de l’information.
Lectures recommandées:
Vol d’identité aux États-Unis
5 Violations de Données importantes de 2017 & Comment Elles se sont produites
La Criminalité sur le Web Profond Nécessite de Nouvelles Approches Médico-légales