SFC1040-03 - InfoJud Et Perqui

#03 – Informatique judiciaire et perquisition
SFC1040 – Cybersécurité et forensique numérique

1
©Maxime Bérubé
Plan des activités
• Qu’est-ce que l’informatique judiciaire ?
• L’expertise en informatique judiciaire
• Le processus d’informatique judiciaire

2
©Maxime Bérubé
Qu’est-ce que l’informatique judiciaire ?
❑ L’étude systématique des procédures juridiques, des textes de loi ainsi que des
techniques et protocoles d'investigation légale au regard de l'élément de
preuve numérique.
❑ Désigne l'utilisation de techniques particulières d'analyse et d'enquête

permettant l'identification, la préservation, l'extraction, et la documentation de
données, ainsi que la présentation de ces éléments devant un tribunal.
❑ D'une manière plus générale, il s'agit des différents processus d'analyses

policières pour la recherche de preuves dans un système informatique après
la perpétration d'un crime ou d'un délit.
Pour d’autres définitions :
https://www.oqlf.gouv.qc.ca/ressources/bibliotheque/dictionnaires/vocabulaire-informatique-judiciaire.aspx
3
©Maxime Bérubé
L’expertise en informatique judiciaire
❑ Les éléments de preuve numériques sont fragiles et sont à
risque d’être modifiés, altérés, corrompus ou détruits.
❑ Lors des procédures judiciaires, l’accusé n’a qu’à soulever un

doute raisonnable face à l’intervention pour être acquitté, donc
tous les intervenants doivent être consciencieux dans leurs
démarches.
❑ Le fardeau de la preuve nous oblige non seulement à divulguer

les éléments de preuve prélevés, mais également à démontrer
que ceux-ci n’ont pas été altérés depuis le moment de la
saisie.

4
©Maxime Bérubé
Authenticité de la preuve (originale) Chaîne de
➢ D’où provient la preuve? possession
➢ Qui a obtenu la preuve?
➢ De quelle manière a-t-elle été obtenue? Empreintes
numériques
Intégrité de la preuve (intacte)
➢ La preuve a-t-elle été manipulée? Données
➢ La preuve a-t-elle été altérée? d'analyse

5
©Maxime Bérubé
La perquisition informatique
1. Identification des appareils sur place
2. Fouille sommaire (si possible)
3. Priorisation
4. Fouille plus approfondie
5. Justification des appareils saisis
6. Chaîne de possession
Fouilleur Spécialiste Responsable des Labo

informatique « exhibits » (ou voute)
6
©Maxime Bérubé
La perquisition informatique
• Identification des dispositifs numériques;

• Évaluation sur les dispositifs identifiés;
• Collecte d’information, si possible;
• Documentation;
• Saisie.

7
©Maxime Bérubé
L’acquisition de traces numériques
Données volatiles
Données non-volatiles
8
©Maxime Bérubé
Source : Technical Working Group on Crime Scene Investigation. 2013. Crime scene investigation:
A guide for law enforcement : Electronic and Digital Evidence, p.124-125.

9
©Maxime Bérubé
Le triage des traces numériques
There is no doubt that the field of digital forensics 1 Mo = 4 cm de papier, format lettre
(DF) can no longer apply the traditional analysis
approach of ‘examining all files’ on a given device 8 Go = 320 m (Tour Eiffel, 324 m)
in all circumstances. Well documented backlogs 14 Go = 560 m (Tour du CN, 553 m)
continue to pose logistical issues, impacting case 4 To = 160 km (Distance Montréal-Ottawa)

processing times and ultimately the delivery of
justice, regardless of the outcome.
(Horsman, 2022, p.86)
Source: https://ici.radio-canada.ca/nouvelle/1939393/enquete-delais-upac-frederick-gaudreau

10
©Maxime Bérubé
Le triage des traces numériques
Horsman, G. (2022). Triaging

digital device content at-scene:
Formalising the decision-
making process. Science &
Justice, 62, 86-93.

11
©Maxime Bérubé
Processus d’informatique judiciaire
1. Autorisation judiciaire / Consentement
2. Pré-expertise / Désassemblage / Identification
3. Acquisition / Extraction
4. Triage / Analyse / Validation
5. Rapport d'expertise Intégrité de la preuve
6. Témoignage

12
©Maxime Bérubé
1. L’autorisation judiciaire
❑ Saisie légale du matériel
❑ Fouille autorisée (mandat ou consentement)
❑ Portée du mandat / infractions visées
❑ Restrictions imposées / protocole / modalités
❑ Caractère raisonnable de la fouille

13
©Maxime Bérubé
2. La pré-expertise du matériel
❑ Inspection visuelle et démontage
❑ Retrait des médias informatiques (disques durs, etc.)
❑ Identification et photographie des composantes (marque, modèle,

numéro de série, capacité de stockage, etc.)
❑ Validation de l’heure système
❑ Inscription des items aux bases de données

14
©Maxime Bérubé
3. L’acquisition / extraction des données
Copie judiciaire
➢ Reproduction intégrale des données à l’aide de logiciels reconnus et
d’équipement spécialisé permettant d’assurer l’intégrité des
données
➢ Généralement accompagnée d’une empreinte numérique
Acquisition de données
➢ Certains dispositifs ne permettent pas la copie
intégrale des données, notamment les appareils
cellulaires
➢ Des logiciels spécialisés commandent plutôt à
l’appareil d’extraire les fichiers ou l’information
qu’il contient dans ses bases de données
15
©Maxime Bérubé
disque disque
disque fichier
16
©Maxime Bérubé
Types d’acquisition :
A. Logique (Logical)
B. Full File system (FFS)
C. Physique (Physical)
D. Physique Chip-Off (Physical Chip-Off )

17
©Maxime Bérubé
3. L’acquisition / extraction des données Logique
A. Logique (Logical) SMS
Contacts
➢ L’acquisition logique est une Registre d’appel

méthode automatisée d’extraction
Médias
visant un certain nombre de
données précises. En d’autres
termes, elle extrait automatiquement
les données présentées sur le
téléphone à l’utilisateur à l’aide de
l’interface de programmation
d’applications (API) de l’appareil.
18
©Maxime Bérubé
19
©Maxime Bérubé
B. Full File system (FFS) File System

SMS
➢ Extraction qui comprend tous les fichiers
présents dans la mémoire interne du Contacts
téléphone, y compris les fichiers de base de Registre d’appel
données, les fichiers systèmes et les journaux.
➢ Permet d'accéder à de nombreuses Médias
applications.
Fichiers
➢ Peut parfois permettre de récupérer les
données marquées comme supprimées, qui Fichiers cachés
ne sont plus visibles pour l'utilisateur, mais qui
sont toujours intactes dans la base de données.

20
©Maxime Bérubé
Physique
C. Physique (Physical)
SMS
➢ L’extraction physique copie les données Contacts

telles qu’elles sont stockées physiquement Registre d’appel
sur le matériel du téléphone, bit par bit,
plutôt que sous forme de fichiers distincts. Médias
➢ Ces données doivent être restructurées en Fichiers

fichiers pour que quiconque puisse les Fichiers cachés
comprendre. On peut donc récupérer des
données ayant été supprimées par Données supprimées
l’utilisateur.
21
©Maxime Bérubé
D. Physique Chip-Off (Physical Chip-Off )
➢ Technique avancée d’extraction et

d’analyse de données numériques
consistant à retirer physiquement la ou
les puces de mémoire flash d'un
appareil concerné, puis à acquérir les
données brutes à l'aide d’un
équipement spécialisé.
Source : https://www.teeltech.com/mobile-device-forensics-
➢ On peut récupérer des données ayant training/combined-jtag-chipoff-forensics-training/
été supprimées par l’utilisateur.

22
©Maxime Bérubé
Chip-off
JTAG

23
©Maxime Bérubé
Les bloqueurs d’écriture

24
©Maxime Bérubé
Empreinte numérique (hash)
❑ Produite à partir d’algorithmes mathématiques appliqués aux données.
❑ L’empreinte numérique permet de valider l’intégrité et l’intégralité des données

informatiques copiées (disque entier ou fichiers individuels).
❑ En informatique judiciaire, on utilise principalement les valeurs

MD5 (« Message Digest 5 ») et SHA1 (« Secure Hash Algorithm »)
MD5
d41d8cd98f00b204e9800998ecf8427e
SHA1
da39a3ee5e6b4b0d3255bfef95601890afd80709

25
©Maxime Bérubé
Les empreintes numériques servent différentes fonctions devant

être connues en contexte d’enquête :
❑ L’intégrité des données
❑ L’authentification
❑ La détection

26
©Maxime Bérubé
Exercice – Empreinte numérique
a) Le branchement du disque
source à un ordinateur pour
analyse
Parmi les actions suivantes, b) La consultation du contenu

lesquelles peuvent altérer d’un répertoire
l’empreinte numérique d’un
disque? c) La simple consultation du
contenu d’un document
d) Toutes ces réponses
e) Aucune de ces réponses

27
©Maxime Bérubé
Exercice – Empreinte numérique
Est-ce possible que deux

images identiques génèrent a) Oui
des empreintes numériques
différentes ?
b) Non
c) Je ne sais pas

28
©Maxime Bérubé
4. Le triage et l’analyse des données
❑ Recherche des éléments de preuves pertinents en

conformité avec l’autorisation judiciaire
❑ Nécessite le recours à des logiciels spécialisés
❑ Varie selon la nature de l’enquête
❑ Interprétation des données
❑ Validation des résultats

29
©Maxime Bérubé
D’autres techniques utiles :
➢ PhotoDNA
➢ Classification d'image
➢ Décodage manuel
➢ Ligne de temps chronologique

30
©Maxime Bérubé

31
©Maxime Bérubé
5. Le rapport d'expertise
❑ Description des éléments relevés
❑ Chronologie d’ensemble
❑ Validations, cohérence et
exactitude
❑ Justifications techniques

32
©Maxime Bérubé
6. Le témoignage
❑ Responsabilité quant à la légalité des démarches
❑ Possibilité d’opinion du témoin expert
❑ Vulgarisation des explications
❑ Devoir d’impartialité

33
©Maxime Bérubé
Perquisition informatique
Rédaction de rapport
Règle #1 :
Votre travail sera

évalué et CRITIQUÉ !
✓ Restez neutre et objectif: Traitez de ce que vous
faites et trouvez, pas de ce que vous cherchez et
pensez;
✓ Utilisez un langage clair et précis;
✓ Structurez votre rapport (ordre chronologique,
numérotation, etc.)
✓ Uniformisez votre rapport (style, police, etc.)
✓ Illustrez et synthétisez vos propos (tableaux,
figures, schémas, etc.)
✓ Complémentez en annexe (rapport logiciels, etc.)
34
©Maxime Bérubé
35
©Maxime Bérubé
Prochain cours …
Expertise d’ordinateur
• Bhat, W. A., AlZahrani, A. et Wani, M. A. (2021). Can computer forensic
tools be trusted in digital investigations? Science & Justice, 61(2), 198-
203.

36
©Maxime Bérubé

SFC1040-03 - InfoJud Et Perqui

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

SFC1040-03 - InfoJud Et Perqui

Transféré par

Droits d'auteur :

Formats disponibles

#03 – Informatique judiciaire et perquisition

SFC1040 – Cybersécurité et forensique numérique

• L’expertise en informatique judiciaire

• Le processus d’informatique judiciaire

SFC1040 – Cybersécurité et forensique numérique

❑ Désigne l'utilisation de techniques particulières d'analyse et d'enquête

❑ D'une manière plus générale, il s'agit des différents processus d'analyses

Pour d’autres définitions :

❑ Lors des procédures judiciaires, l’accusé n’a qu’à soulever un

❑ Le fardeau de la preuve nous oblige non seulement à divulguer

SFC1040 – Cybersécurité et forensique numérique

SFC1040 – Cybersécurité et forensique numérique

Fouilleur Spécialiste Responsable des Labo

• Identification des dispositifs numériques;

SFC1040 – Cybersécurité et forensique numérique

SFC1040 – Cybersécurité et forensique numérique

in all circumstances. Well documented backlogs 14 Go = 560 m (Tour du CN, 553 m)

continue to pose logistical issues, impacting case 4 To = 160 km (Distance Montréal-Ottawa)

SFC1040 – Cybersécurité et forensique numérique

Horsman, G. (2022). Triaging

SFC1040 – Cybersécurité et forensique numérique

SFC1040 – Cybersécurité et forensique numérique

❑ Saisie légale du matériel

❑ Fouille autorisée (mandat ou consentement)

❑ Portée du mandat / infractions visées

❑ Restrictions imposées / protocole / modalités

❑ Caractère raisonnable de la fouille

❑ Inspection visuelle et démontage

❑ Retrait des médias informatiques (disques durs, etc.)

❑ Identification et photographie des composantes (marque, modèle,

❑ Validation de l’heure système

❑ Inscription des items aux bases de données

B. Full File system (FFS)

D. Physique Chip-Off (Physical Chip-Off )

➢ L’acquisition logique est une Registre d’appel

B. Full File system (FFS) File System

SFC1040 – Cybersécurité et forensique numérique

➢ L’extraction physique copie les données Contacts

➢ Ces données doivent être restructurées en Fichiers

D. Physique Chip-Off (Physical Chip-Off )

➢ Technique avancée d’extraction et

été supprimées par l’utilisateur.

SFC1040 – Cybersécurité et forensique numérique

SFC1040 – Cybersécurité et forensique numérique

SFC1040 – Cybersécurité et forensique numérique

❑ L’empreinte numérique permet de valider l’intégrité et l’intégralité des données

❑ En informatique judiciaire, on utilise principalement les valeurs

SFC1040 – Cybersécurité et forensique numérique

Les empreintes numériques servent différentes fonctions devant

❑ L’intégrité des données

SFC1040 – Cybersécurité et forensique numérique

Parmi les actions suivantes, b) La consultation du contenu

d) Toutes ces réponses

e) Aucune de ces réponses

SFC1040 – Cybersécurité et forensique numérique

Est-ce possible que deux

SFC1040 – Cybersécurité et forensique numérique

❑ Recherche des éléments de preuves pertinents en

SFC1040 – Cybersécurité et forensique numérique

D’autres techniques utiles :

➢ Ligne de temps chronologique

SFC1040 – Cybersécurité et forensique numérique

SFC1040 – Cybersécurité et forensique numérique

❑ Description des éléments relevés