Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Forensics : avant l’analyse, place à la « perquiz »

décembre 2010 par Emmanuelle Lamandé

La perquisition est une procédure très réglementée en France, qui doit sans cesse trouver le juste équilibre entre la collecte d’éléments de preuves d’une infraction et le respect de nos libertés individuelles. Primordiale pour garantir la recevabilité de la preuve devant un tribunal, la préservation des indices n’en reste pas moins une tâche fastidieuse pour les enquêteurs, notamment dans le domaine informatique, en raison de la volatilité des données. D’ailleurs, le manque flagrant de logs et de fichiers de données de connexion dans les entreprises représente à l’heure actuelle un obstacle majeur au bon déroulement de la procédure… une problématique mise en exergue par le Clusif lors de sa dernière conférence.

La perquisition est une mesure de recherche et collecte d’éléments de preuves d’une infraction. Il peut s’agir de la saisie de papiers, documents, données informatiques ou de tout autre objet, relatif aux faits incriminés et utile à la manifestation de la vérité. La préservation des indices est une étape primordiale, afin de garantir la recevabilité de la preuve devant la justice.

Les perquisitions sont très encadrées en France, car elles portent atteinte au droit de l’inviolabilité du domicile, souligne le Capitaine Olivier Nael, Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). Elles sont réglementées par les articles 56 et suivants du Code de procédure pénale [1]. La téléperquisition est, quant à elle, régie par l’article 57.1 - CPP [2] :

Les officiers de police judiciaire ou, sous leur responsabilité, les agents de police judiciaire peuvent, au cours d’une perquisition effectuée dans les conditions prévues par le présent code, accéder par un système informatique implanté sur les lieux où se déroule la perquisition à des données intéressant l’enquête en cours et stockées dans ledit système ou dans un autre système informatique, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial.
S’il est préalablement avéré que ces données, accessibles à partir du système initial ou disponibles pour le système initial, sont stockées dans un autre système informatique situé en dehors du territoire national, elles sont recueillies par l’officier de police judiciaire, sous réserve des conditions d’accès prévues par les engagements internationaux en vigueur.
Les données auxquelles il aura été permis d’accéder dans les conditions prévues par le présent article peuvent être copiées sur tout support. Les supports de stockage informatique peuvent être saisis et placés sous scellés dans les conditions prévues par le présent code.

Dans tous les cas, la perquisition doit se faire dans le respect de nos libertés individuelles et du principe de proportionnalité, explique Maître Garance Mathias du Barreau de Paris. Les règles qui encadrent la perquisition en France sont à la fois nombreuses et très strictes. Tout manquement à ces obligations peut très vite faire annuler tout ou partie de la procédure. La question de la nullité dans la procédure se pose, surtout dans le domaine informatique. Pour que les preuves soient recevables d’un point de vue juridique, vigilance et rigueur sont donc de mise. Toutefois, seul le juge est souverain du jugement de la preuve.

Les logs : un élément essentiel qui permet de remonter l’information et de l’horodater

Le Chef d’Escadron Laurent Lesobre, Institut de recherche criminelle de la gendarmerie nationale (IRCGN), distingue deux cas de figure : la perquisition en tant que « victime » et la perquisition en tant que « personne incriminée ».

En tant que victime, la perquisition a pour objectif de réunir un certain nombre d’éléments qui vont permettre de donner consistance à la plainte. L’élément primordial de la procédure est la préservation de la preuve. Il va donc s’agir de figer le matériel informatique, de manière à ce qu’il puisse être soumis à un magistrat. Une fois le matériel gelé, l’entreprise doit déposer plainte auprès des forces de l’ordre. Cependant, encore trop peu d’entreprises osent, à l’heure actuelle, déposer plainte. De plus, elles ont souvent du mal à accepter l’immobilisation partielle de la société le temps de la perquisition.

Dans cette démarche, le responsable informatique va jouer un rôle clé, car il sera le plus à même de fournir les informations nécessaires aux forces de l’ordre sur la structure des systèmes informatiques, et donc la manière de récupérer les données. Toutefois, il faut savoir que les interventions des équipes informatiques dans l’entreprise avant l’arrivée des experts sont généralement néfastes pour la constitution de preuves.

Dans le second cas, l’entreprise va être gelée dès les premiers instants. L’activité s’en trouve totalement suspendue et les communications vers l’extérieur coupées. L’objectif est d’en faire une photographie dès le moment où les forces de l’ordre arrivent, et de procéder à la mise sous scellés. En cas de saisie du matériel informatique, n’oubliez pas que les PCs ne sont pas forcément les seuls concernés ; il peut également s’agir des smartphones, GPS, …

Il souligne, dans la majorité des cas, un manque flagrant de logs et de fichiers de données de connexion, qui s’avèrent pourtant essentiels pour mener à bien la perquisition et la procédure qui s’ensuit. Les logs permettent, en effet, de remonter l’information et de l’horodater. Malheureusement, l’entreprise n’en prend conscience souvent qu’une fois qu’il est trop tard. Parmi ses autres recommandations, il relève l’importance de la gestion du parc informatique. L’entreprise ne doit pas découvrir son matériel lors de la perquisition, mais doit savoir qui utilise quoi, connaître les numéros de série des machines, …


[1] http://www.legifrance.gouv.fr/affichCode.do;jsessionid=90F7EE3C3D2A0339E8C2F487A331841A.tpdjo13v_3?idSectionTA=LEGISCTA000006151876&cidTexte=LEGITEXT000006071154&dateTexte=20101215

[2] http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=90F7EE3C3D2A0339E8C2F487A331841A.tpdjo13v_3?idArticle=LEGIARTI000006575037&cidTexte=LEGITEXT000006071154&dateTexte=20101215


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants