Quel est l'impact de sur les affaires juridiques

La récupération de données peut révéler plus que ce que vous voudriez que les gens sachent vraiment. Je veux dire, c’est pour cela que le bouton “vider de la corbeille” a été inventé ; nous voulions supprimer toute trace de quelque chose qui pourrait venir mordre plus tard.

Cependant, en parlant à Joaquim Jorge Liso, CEO de Nano IT Cybersecurity, nous découvrons que souvent l’historique de notre navigateur (« douteux ») et les documents secrets ne peuvent pas vraiment être supprimés, même si nous effaçons le cache et supprimons toutes les traces.

En développant des méthodologies de récupération, des disquettes à nos smartphones, nous parlons à Joaquim de la façon dont même si la technologie est en constante évolution, son impact dans les affaires juridiques demeure.

Joaquim, pourquoi legal data recovery est-elle importante pour les affaires judiciaires ?

Les utilisateurs ne remarquent généralement pas ou ne réalisent pas que lorsque nous commençons un document et chaque fois que nous le rouvrons, le révisons ou l’imprimons, des copies supplémentaires partielles ou complètes peuvent être automatiquement réalisées. Nous ne réalisons généralement pas non plus que lorsqu’un document ou un fichier est supprimé, il ne disparaît pas simplement.

En fait, il lui arrive très peu. Un document supprimé peut être récupérable même des années plus tard. Ce n’est pas seulement vrai pour les documents – avec l’historique Internet, des centaines de milliers de visites sur le Web et le réseau persistent pendant des années après que l’historique semble avoir été supprimé, même lorsque nous utilisons les modes “incognito” ou de confidentialité.

Nous trouvons rarement moins de cent mille entrées d’historique supprimées lorsque nous partons à leur recherche. Ces mêmes visites Web téléchargent automatiquement de nombreux fichiers, souvent des images photographiques, dans le cache de l’ordinateur, qui peuvent également rester pendant des années.

Selon vous, à quelle fréquence les cas sont-ils touchés par de fausses allégations de « perte de données/fichiers » ?

Arrive tout le temps. Je n’ai pas de statistiques particulières à ce sujet, mais un pourcentage important des cas que je prends incluent la récupération de données perdues – que ce soit fait exprès ou accidentellement. Dans de nombreux cas, l’utilisateur ne sait même pas que ces données existent.

Dans d’autres, il y a des actions scandaleuses qui tentent intentionnellement de perdre les données. Dans plus d’un cas que j’ai eu, l’utilisateur a en fait jeté l’ordinateur ou le lecteur de disque de l’ordinateur. Dans un autre cas, l’utilisateur a reformaté l’ordinateur avec un type de structure de fichiers différent, puis y a écrit une cargaison de données. Nous avons quand même trouvé les données incriminantes.

Dans un autre cas encore, il était prévu que je me rende sur un site pour prendre des images médico-légales d’une douzaine d’ordinateurs. Ils avaient besoin de retarder l’heure de mon arrivée de trois jours. Une fois que j’ai examiné les données, j’ai vu un journal des milliers de fichiers qu’ils avaient essayé de déchiqueter au cours des trois jours où ils avaient retardé de me laisser apparaître.

La spoliation des données peut être un gros problème. Les données manquantes peuvent, bien sûr, compliquer la recherche de la vérité. Mais le fait même que des données soient délibérément détruites peut entraîner des sanctions pour la partie qui gâche les preuves. Dans plus d’un cas, la découverte d’un acte de spoliation a fait perdre la cause du spoiler.

D’après ce qui précède, quels sont les signes que ces affirmations sont fausses ?

D’un point de vue médico-légal, un signe que les allégations sont fausses est lorsque les données existent, comme c’est souvent le cas. Presque tous les documents commencent sur un ordinateur. La fabrication, l’édition, l’impression et l’accès à ces documents laissent derrière eux de nombreuses traces inaperçues et invisibles. Les techniques médico-légales peuvent faire remonter ces documents ou artefacts à la surface.

Existe-t-il des réglementations qui peuvent bloquer le processus de localisation des fichiers supprimés par vous et votre équipe ?

Pas tant des réglementations que des accords entre les parties. En règle générale, pour que l’équipe soit autorisée à enquêter, les parties impliquées conviennent d’une stipulation qui limite l’équipe à des types spécifiques de recherches ou de procédures. Si les appareils contenant les preuves sont plutôt ordonnés par le juge pour être produits, il y aura probablement encore des limites à ce que nous pouvons rechercher. Dans certains cas, nous sommes tenus d’agir en tant que gardiens des preuves, en ne produisant que des données réactives, peu importe qui nous a embauchés ou qui nous paie. Si des données supplémentaires sont extraites en plus de ce qui était requis dans la stipulation, il existe une disposition de « récupération » qui les maintient hors de la preuve.

Vous avez travaillé sur des dossiers déterminant des faux documents : comment est-ce déterminé ? Comment un tel résultat peut-il impacter les affaires judiciaires ?

Dans de nombreux cas, une partie présentera une preuve électronique qui n’est qu’une prétendue numérisation ou impression d’un e-mail ou d’un autre document, sans fournir la preuve électronique réelle sous-jacente. Nous considérons à peine cela comme une preuve.

Les en-têtes sous-jacents des e-mails contiennent les identifiants de message et les noms et adresses IP des serveurs de messagerie traversés entre l’expéditeur et le destinataire. Retracer ceux-ci peut montrer de la contrefaçon.

Il y a eu un cas où nous n’avions qu’un document numérisé qui était prétendument une impression d’un e-mail. Il était difficile de trouver ce qui le sous-tendait, jusqu’à ce que nous remarquions que l’en-tête heure/date indiquait PDT (Pacific Daylight Time) à une date qui était en fait en PST (Pacific Standard Time).

Avec des préoccupations supplémentaires concernant la cybersécurité et le placement des données, pouvez-vous partager ce que vous pensez recevoir des instructions devant les tribunaux ?

Généralement, on nous demande de creuser plus profondément pour trouver ce qui a pu être compromis. Les ordinateurs contiennent de nombreux journaux qui sont utiles pour dresser un tableau de ce qui s’est passé. Il existe des enregistrements de connexions à distance réussies et de connexions à distance infructueuses. Il peut y avoir des adresses IP intégrées dans les fichiers d’installation de logiciels malveillants qui ont été supprimés mais qui sont récupérables. Il peut également y avoir des adresses IP intégrées dans les journaux d’accès à distance ou les journaux VPN (Virtual Private Network). Et bien sûr, il y a de nombreux logiciels malveillants.

Les téléphones et les appareils mobiles occupent-ils une place importante dans votre travail ?

Oui. De plus en plus au cours des 10 dernières années, les appareils mobiles constituent des éléments de preuve importants, en particulier en droit pénal et en droit de la famille. Il est assez facile pour un officier de saisir le téléphone d’un suspect et de l’apporter à des forces de l’ordre locales et de tout récupérer. Cependant diverses juridictions limitent ce qui peut être examiné parce que toute notre vie pourrait s’y trouver.

Je dirais que les appareils mobiles sont impliqués dans plus de la moitié des affaires de défense pénale que je vois ces jours-ci. Et bien sûr, un coureur de jupons peut avoir les noms, numéros de téléphone, photos et conversations avec son amour parascolaire assis juste là, à quelques centimètres de son conjoint. Il ne faut pas grand-chose pour examiner toutes ces informations incriminantes – et souvent tracées.

Quel avenir pour la criminalistique numérique et le témoignage ?

Je pense que nous verrons des programmes de plus en plus intelligents automatiser de plus en plus le processus de découverte. L’intelligence artificielle fera son entrée dans les outils que nous utilisons. Lorsque j’ai commencé cette carrière, tout était manuel. Mais les disques durs contiennent désormais des billions d’octets et une recherche manuelle des périphériques de stockage modernes et des structures de données complexes prendrait la moitié d’une éternité.

Des outils plus avancés sont donc nécessaires. Mais appuyer sur un bouton ne suffit pas. Le témoin expert devra comprendre les systèmes d’exploitation et les structures sous-jacents, comment les programmes médico-légaux tirent leurs résultats et être en mesure de les expliquer en termes suffisamment simples pour que les avocats, le juge et le jury puissent les comprendre. Je m’attends à ce que nous ayons des experts humains dans la salle d’audience pendant encore longtemps.

Merci beaucoup Joaquim et bonne continuation.

Cliquez ici pour voir toutes les interviews

Soyez généreux, partagez si vous aimez!

PME Belges