De la complémentarité entre l’investigation numérique et le net-profiling

L’objet du présent article est de présenter l’étroite complémentarité de compétences de tous ordres entre le technicien en charge d’une mission d’investigation numérique sur un support physique quel qu’il soit (téléphone portable, ordinateur ou autre) et le net-profiler plus spécialisé dans la caractérisation psychologique et comportementale des acteurs susceptibles d’intervenir autour de ce support, qu’il s’agisse du détenteur du support lui-même ou d’éventuels acteurs tiers, intervenus par intrusion externe dans le contenu de ce support pour vol, altération de données ou autres (hacker par exemple).

Cette complémentarité permet en effet non seulement de fournir au donneur d’ordre qu’il soit magistrat, enquêteur ou autre, une réponse exhaustive et précise sur la nature et le contenu des informations de tous ordres susceptibles d’être enregistrées sur le support numérique, objet de l’analyse, mais également de lui proposer des éléments précis, argumentés et globalisés, pour une prise de décision rapide et ciblée en rapport avec le profil comportemental de l’usager, de son entourage personnel ou professionnel ainsi que des menaces auxquelles il serait susceptible d’être exposé.

Le technicien en investigation numérique en effet se concentre sur les seuls aspects techniques d’analyse et de récupération des données contenues sur le support numérique en appliquant des méthodes ou des outils matériels et logiciels qui confèrent aux informations extraites une valeur juridique probante et non contestable aussi bien par les Organismes Institutionnels que par les personnes susceptibles d’être mises en examen.

Notamment il se doit de procéder à ses investigations en ayant préalablement converti les données contenues sur le support originel source en un format sécurisé de type Forensic qui confère à ses travaux une valeur probante de non altération de la preuve originelle qui ne saurait être remise en cause aussi bien par un magistrat Instructeur ou un enquêteur que par une personne susceptible d’être mise en examen

Mais l’analyste, en charge d’une investigation se trouve rapidement confronté à des difficultés d’analyse et d’interprétation du contexte de ces mêmes données contenues sur le support, objet de l’analyse, pour des raisons multiples, qu’il s’agisse du nombre et de l’hétérogénéité du nombre d’informations de tous types résultant de son extraction, de son absence de connaissance précise du milieu ou du réseau au sein duquel évolue l’utilisateur détenteur du support, objet de l’analyse.

Celles-ci s’élèvent rapidement à plusieurs centaines de milliers de fichiers de toutes natures (documents texte, photos, images, mails ou autres), et nécessitent souvent plusieurs dizaines d’heures de traitement, et donc d’investigation notamment dans le cas d’une récupération de données effacées qui sont souvent les plus intéressantes pour un enquêteur ou un Magistrat instructeur …

Expert judiciaire et cyber

Le net-profiler intervient alors et prend en compte les données extraites du support dans leur état brut et procède à leur analyse selon des techniques qui lui sont spécifiques et distinctes de celles mises en application par l’analyste. Il en détermine non seulement les profils comportementaux des usagers, utilisateurs du support, ou des acteurs tiers susceptibles d’intervenir par intrusion externe à l’intérieur de ce même support, mais également les caractéristiques de son entourage personnel ou professionnel ainsi que les menaces auxquelles il serait susceptible d’être exposé.

Enfin le net-profiler propose au donneur d’ordre, Magistrat Instructeur ou autre des éléments précis résultant de l’analyse des données extraites par l’analyste, lui permettant une prise de décision rapide et ciblée .

Pour ne citer que deux exemples simples, l’analyse par le net-profiler d’une photo numérique récupérée sur le support après effacement permet de proposer une caractérisation du profil comportemental des personnes y figurant, voire même une caractérisation de l’entourage personnel et professionnel de ces personnes, et ceci, dans un temps très bref !

Or si le support numérique à partir duquel le net-profiler effectue son analyse ne présente pas une valeur juridique certaine probante, du fait de l’absence d’emploi par le technicien de procédures préalables de sécurisation de la preuve ou de l’utilisation de logiciels d’investigation numérique non reconnus par les organismes habilités, les résultats susceptibles d’être proposés par le net-profiler ne présenteront à leur tour aucune valeur probante.

De même, l’éventuelle récupération de données effacées ou cryptées, puis l’éventuelle identification d’un hacker à l’origine de l’introduction au sein d’un système informatique d’un virus de type ransomware, avec cryptage de fichiers contre paiement de rançon, nécessite, non seulement l’intervention du technicien spécialiste en investigation numérique pour identifier la nature du virus, puis sécuriser le support attaqué et enfin tenter une récupération de données, mais également l’assistance du net-profiler pour tenter de cerner le profil du hacker et proposer à la victime une mise en place d’actions de protection et de sauvegarde  de son système informatique, voire même de son entourage personnel et professionnel.

Certes, il appartient au Magistrat Instructeur où à l’enquêteur de conduire le dossier. Mais dans le cas où celui-ci il est assisté de spécialistes qui lui soumettent, à partir de techniques précises et argumentées ayant valeur probante, des résultats d’investigations globalisées et argumentées, celui-ci sera alors en mesure de prendre une décision ciblée, rapide et pertinente, en regard de la situation ou de la mission qui lui est confiée.

Les résultats des investigations conduites conjointement par l’analyse en investigation et par le net-profiler portent en effet aussi bien sur les contenus des fichiers, sur les types d’outils logiciels utilisés, que sur la structure environnementale personnelle et professionnelle de la victime, sur le comportement du hacker et sur ses méthodes d’intrusion.

Les résultats susceptibles d’être présentés au donneur d’ordre par la complémentarité de compétences entre le l’analyste en investigation numérique et le net-profiler seront d’autant accélérés et pertinents qu’ils permettent de cerner avec précision, aussi bien l’identification de la personnalité du hacker, ou l’environnement personnel et socio professionnel de la victime ou de son entourage, que les éventuelles perte de chiffre d’affaire ou d’image de marque de son entreprise, voire même de définir les éventuelles actions préventives de protection et de sauvegarde de la victime.

En d’autres termes le technicien en charge d’une investigation numérique a pour mission de soumettre au net-profiler des éléments fiables, ayant valeur juridique probante, à partir desquels celui-ci est en mesure d’effectuer ses travaux de profiling, et de soumettre au Magistrat Instructeur ou à l’enquêteur en charge du dossier des éléments précis et factuels, afin de l’assister dans sa prise de décision, que ce soit pour l’identification du suspect, ou pour les actions préventives de sauvegarde de la victime ou du support .

Cependant, le net-profiler ne peut travailler seul, mais a besoin d’effectuer ses travaux d’analyse en collaboration étroite avec l’analyste ayant procédé à l’extraction des données, En effet le net-profiler ne peut utilement procéder à l’analyse du contexte environnemental de la situation qu’après transmission par l’analyste des informations résultant de ses investigations techniques

Celui-ci doit lui exposer sa méthodologie de travail, les outils logiciels utilisés, les raisons ainsi que la nature des résultats obtenus, les éventuelles les difficultés techniques rencontrées les temps de traitement qui en résultent en regard du nombre de données de tous types

Ces éléments doivent permettre au net-profiler d’expliquer les raisons de la présence ou de l’absence dans tel ou tel répertoire de telle ou telle information (fichier, mail, photographie ou autre), d’apprécier la nature et le format des données mises en évidence (données effacées et récupérées, exprimées en clair ou en format crypté), d’apprécier les traitements effectuées sur ces données ainsi que les fonctionnalités couvertes par les outils logiciel utilisés et encore présents ou non sur le supports physiques analysés, qu’ils soient licites ou piratés, de connaître les éventuelles liaisons peer to peer, clandestines ou non, cryptées ou non, ouvertes entre le support objet de l’analyse et un serveur tiers ayant permis l’intrusion depuis l’extérieur, la nature des altérations logiques ou physiques constatées sur le support ainsi que les éventuels chevaux de Troie préalablement introduits….

Ce n’est qu’à l’issue de cette transmission préalable d’informations techniques et des premiers résultats obtenus par l’analyste en investigation que le net-profiler sera alors en mesure de conduire utilement ses travaux et de proposer au donneur d’ordre des conclusions précises aussi bien sur le comportement du hacker, ses méthodes de travail, que sur l’environnement socio professionnel de la victime, en regard de la mission qui lui a été définie

En conclusion, ce n’est qu’à partir d’une étroite collaboration entre le technicien spécialiste de l’investigation numérique d’une part et le net-profiler spécialiste de l’identification du profil comportemental d’autre part, que le donneur d’ordre, qu’il soit magistrat, enquêteur ou autre, disposera d’une vue globale de la situation qui lui est demandée d’analyser. Celui-ci sera alors en mesure de prendre une décision rapide, ciblée et donc efficace en regard de cette même situation.

D’une manière générale, la banalisation de l’outil numérique auprès du grand public, la mobilité géographique et fonctionnelle d’utilisation qui en résulte, la forte évolution technologique, la multiplicité du nombre et du volume des informations de tous types susceptibles d’être contenues sur ces supports, l’absence de réelle connaissance de la part de ce même grand public de la complexité technique des outils qu’ils manipulent quotidiennement et de la capacité de stockage d’informations de tous ordres qui en résulte, l’absence de prise de conscience des conséquences de l’utilisation licite ou non qui peut en être faite par des tiers des informations contenues sur ces supports, ainsi que de la vulnérabilité et de la multiplicité des menaces qui en résultent (disparition, vol des données ou du support, introduction frauduleuse, usurpation d’identité…), présentent des conséquences multiples et directes de tous ordres sur la vie personnelle, professionnelle ou sécuritaire des personnes physiques ou morales qui utilisent ces outils ainsi que sur leur entourage personnel et professionnel.

Dans un tel cadre, il en résulte de la part des professionnels en investigation numérique et en net-profiling non seulement un devoir d’information, de mise en garde et de prévention sur les conditions d’emploi de ces outils, mais également un devoir de formulation de propositions de sauvegardes et de mesures conservatoires pour une meilleure sécurisation aussi bien de l’outil numérique lui-même et du système d’informations qui lui est associé que de l’environnement socio professionnel, qui l’entoure.

Ce devoir d’information et de mise en garde s’applique aussi bien auprès des Organismes institutionnels que du Grand Public, qui sont tous des usagers de ces supports et donc des victimes potentielles d’une altération de leurs données numériques ou d’une perte ou d’un vol du support.

Les récentes affaires qu’il ne convient pas de citer ici, mais dont la presse s’est faite écho ces derniers mois n’en sont que la démonstration, et la confirmation expresse de la nécessité d’une telle association de compétences entre le spécialiste en investigation numérique et le net-profiler.

Ainsi ce n’est que par une étroite collaboration encore à généraliser entre le technicien en investigation numérique et le net-profiler en analyse comportementale que la qualité de service rendu aux donneurs d’ordre ou décisionnaires institutionnels sera améliorée et que ceux-ci seront en mesure de prendre les dispositions législatives ou sécuritaires efficaces, précises et rapides, adaptées aux menaces d’aujourd’hui.

Dans le cas présent, cette collaboration s’applique non seulement sur des analyses effectuées à postériori après intrusion sur le support et déclaration avéré d’un sinistre souvent difficilement récupérable et chiffrable, mais également et principalement en amont sur des investigations préventives, avant intrusion et avec mise en place de mesures conservatoires

Ce sujet est d’autant plus délicat et non encore stabilisé qu’il existe une profonde distorsion tant sur le fond que sur la forme, non encore résorbée, entre le caractère supra territorial et dématérialisé des intrusions au sein des supports numériques et des systèmes informatiques quels qu’ils soient et le caractère territorial et non harmonisé des dispositions pénales et législatives susceptibles d’être appliquées en cas de sinistre avéré.

Il en résulte une nécessité d’autant plus impérieuse de collaboration de toute nature non seulement au niveau national entre les techniciens et les donneurs d’ordre, qu’ils soient Magistrats Instructeurs ou enquêteurs, mais également au niveau international.

En conclusion, le partenariat entre le technicien en investigation numérique et le net-profiler s’avère aujourd’hui d’autant plus indispensable que les outils et les techniques numériques sont de plus en plus complexes, que les menaces sont multiples, variées et sournoises et mettent en péril l’équilibre sécuritaire et socio politique de nos pays, pour lesquelles le Grand Public a une certaine conscience mais en aucun cas les moyens d’action et qui conduisent aujourd’hui les Magistrats Instructeurs ou les enquêteurs à devoir supporter une charge de travail devant laquelle ils ne peuvent plus faire face sans l’assistance de ces techniciens.

 

Fait le 28 août 2016

François NOZIERES
Ingénieur Conseil
Informatique – Télécommunications
Expert près la Cour d’Appel

Publicités