Beaucoup de gens me demandent comment c'était de travailler pour les forces de l'ordre. Mais le plus souvent, ils s'interrogent sur la manière dont la criminalité informatique est réellement examinée. Qu'il s'agisse de la précision avec laquelle elle est présentée à la télévision, des contraintes ressenties par la police, des mythes qui y sont associés, ou de la manière de trouver des tactiques et des secrets étroitement gardés, les gens semblent avoir une fascination morbide pour le monde obscur de la criminalistique numérique.
Avant de rejoindre l'ESET, j'ai été examinateur en criminalistique informatique pour la police britannique pendant près de dix ans. Mon travail consistait à effectuer une analyse médico-légale approfondie des ordinateurs, des disques durs, des téléphones et d'autres appareils qui avaient joué un rôle dans des crimes, y compris des meurtres, des abus d'enfants et des fraudes. Équipé des meilleurs outils médico-légaux à ma disposition, je me suis plongé non seulement dans ces appareils mais, métaphoriquement, dans la vie des suspects qui avaient été enfermés ou libérés sous caution. La réalisation d'une telle analyse pouvait prendre entre un jour et quelques mois, selon les besoins, l'état et la sécurité du support de stockage ou, plus important encore, l'ampleur de l'affaire.
Une fois que j'ai pu retrouver l'historique de recherche Google d'un suspect, ses galeries de photos, ses chats en ligne et même ses objets supprimés, j'ai pu voir bien plus que les données sur les disques. Passer par l'ordinateur ou le téléphone d'une personne, c'est comme passer par son esprit - c'est intense. Et les gens me posent des questions telles que « Est-ce que ça se passe comme dans les films? » ou alors « Pouvez-vous vraiment récupérer quelque chose que j'ai effacé? ».
La vérité, c’est que la réponse à ces deux questions est à la fois « Oui… et non. » Ce n'est jamais aussi rapide que dans les films, mais la plupart de ce que vous voyez est généralement possible - mais pas dans tous les cas. Les fichiers effacés peuvent être récupérés tant qu'ils n'ont pas été écrasés. Lorsque vous supprimez des données, c'est comme si vous extrayiez la page de contenu d'un livre - l'information est toujours là, mais vous ne savez pas sur quelle page elle se trouve.
Contraintes
Outre les difficultés liées à l'augmentation de l'activité du web noir, qui causent des maux de tête à la police, la véritable contrainte du laboratoire est venue du chiffrement intégral du disque. Il s'agit du plus grand obstacle pour les examinateurs informatiques et il n'existe que quelques mesures pour le surmonter. Il y a d'abord le Centre national d'assistance technique (NTAC), qui fait partie du GCHQ britannique, qui serait chargé de fournir à la police des disques cryptés par la force brute. Cela pourrait prendre un certain temps en fonction du code d'accès. Cependant, ils ont eu un taux de réussite incroyable grâce à la puissance de l'ordinateur derrière eux. Il serait toujours magique de se voir remettre un disque dur contenant des contenus précédemment chiffrés avec maintenant un accès complet après qu'un suspect n'ait fait aucun commentaire ou, mieux encore, un suspect qui dirait que nous ne trouverions rien d'illégal.
Mais en général, les téléphones verrouillés ne posaient jamais de problème. En général, ils pouvaient être déverrouillés en interne avec le meilleur logiciel fourni par les forces de l'ordre, que la police britannique utilise toujours. Cela était plus facile pour les téléphones qui n'étaient pas immédiatement mis à jour avec le dernier système d'exploitation.
Le côté obscur de la criminalistique numérique
Aucun travail n'est sans inconvénients, mais le fait de pouvoir voir absolument n'importe quel type de matériau sur un appareil a des effets secondaires néfastes pour tout le monde. Heureusement, toute personne travaillant dans le domaine de la police scientifique numérique reçoit des conseils tous les six mois. C'est essentiel pour toute personne qui entre en contact avec des appareils suspects et certains matériaux qui peuvent affecter la vie. Certaines personnes peuvent avoir des images ou des vidéos répugnantes et horribles sur leurs appareils et toute personne qui en est témoin doit s'en occuper. Bien que dans mon travail je pouvais potentiellement voir n'importe quoi, j'étais là pour localiser les preuves avant qu'une équipe de spécialistes, l'équipe d'enquête sur les pédophiles en ligne, ne classe tout matériel indécent dans une sous-catégorie. Les pires éléments localisés donneraient naturellement lieu à des peines plus sévères, mais il reviendrait aux tribunaux de déterminer la durée de la peine d'emprisonnement. C'était une partie inquiétante, mais néanmoins vitale, du processus qui, à son tour, éloignerait les personnes lésées de toute récidive.
Lecture connexe : Qui sont les cybercriminels?
J'ai été appelé une fois pour aider à enquêter sur un meurtre pour lequel l'équipe chargée des crimes majeurs disposait déjà d'un grand nombre de preuves, mais comme dans la plupart des meurtres ou des morts suspectes, il y avait des preuves numériques qui nécessitaient un examen médico-légal. Après avoir reçu un ordinateur portable taché de sang, j'ai fait une copie numérique (image) du disque dur et j'ai fouillé dans les fichiers journaux près du moment où l'infraction présumée s'est produite. Je ne m'attendais pas à trouver quoi que ce soit, et encore moins à ce que le suspect ait cherché sur Google « Comment se débarrasser d'un cadavre » juste après le délit. Bien sûr, n'importe qui aurait pu chercher sur Google, n'est-ce pas?
J'étais régulièrement convoqué au tribunal pour discuter des preuves numériques que j'avais découvertes dans toute une série d'affaires. En 2014, j'ai été convoqué au tribunal pour un cas de possession d'images indécentes. L'accusé avait répondu « sans commentaire » à toutes les questions préalables pendant l'interrogatoire, avant de plaider non coupable. Cependant, il a suffi que je me présente en tant que témoin professionnel avec mon expérience en matière de criminalistique numérique pour qu’il décide de plaider coupable sur la base des preuves que j'ai présentées au juge, au jury et à l'équipe de défense. La défense attendait de voir quelles preuves l'accusation pourrait produire. En effet, ils ne tenteraient même d'attaquer ou de plaider coupable qu'une fois qu'ils sauraient qu'un expert en médecine légale numérique dispose de preuves solides et incontestables au-delà de tout doute raisonnable pour le jury. Dans ce cas particulier, j'avais son historique complet de recherche sur Google datant de plusieurs années, sans parler de sa vaste collection d'images indécentes dans un dossier chiffré que j'ai pu extraire et montrer au juge.
Condamnation
De nombreux criminels condamnés n'ont reçu aucune peine de prison ou seulement de courtes peines pour certains délits qui, aux yeux du public, ne correspondaient pas au crime jugé. Le travail des forces de l'ordre consiste à fournir les meilleures preuves disponibles et à contribuer à démontrer la culpabilité d'un accusé. Le Crown Prosecution Service, CPS, est l'organe directeur qui prononce la peine. Mais qu'est-ce qui pourrait faire acquitter un suspect? C'est le travail de la défense et ils ont été très bons pour cela.
Une réponse typique à une infraction serait la « Défense de Troie », où le suspect prétendrait qu'il n'a aucune idée de ce qui se trouve sur l'appareil et que cela doit être l'œuvre d'un logiciel malveillant. Il faudrait parfois beaucoup de travail pour réfuter ce contre-argument particulier. Dans certains cas, la procédure judiciaire serait même complètement interrompue jusqu'à ce que j'aie le temps de retravailler l'image médico-légale et de prouver le contraire.
Pendant ma préparation aux comparution au tribunal, j'ai reçu une formation judiciaire intense dispensée par un avocat incroyable qui travaille à la fois pour l'accusation et la défense. Il m'a appris les forces et les faiblesses auxquelles un procès est confronté jour après jour et les tactiques utilisées pour essayer de gagner ou de rejeter une affaire. On m'a montré les astuces qu'un avocat peut utiliser et j'ai appris où admettre la défaite. De telles astuces pour obtenir un acquittement sont encore utilisées dans les tribunaux anglais aujourd'hui.
Au Royaume-Uni, le juge voudra généralement un vote unanime (12-0) ou un vote majoritaire (11-1 ou 10-2) au-delà de tout doute raisonnable pour condamner le défendeur. Cela ouvre donc la voie au fait que l'avocat de la défense n'a qu'à renverser 3 jurés pour obtenir ce qu'il veut et obtenir un jury accroché, ce qui peut ou non conduire à un nouveau procès. Cela peut se faire en faisant appel à la psychologie, à la manipulation et à l'habileté et en utilisant des tactiques telles que mettre les jurés du côté de la défense, puis se mettre d'accord avec elle.
Pourquoi?
Pourquoi les examinateurs de médecine légale numérique font-ils ce qu'ils font? Tout simplement pour contribuer à la condamnation des criminels. En effet, sans ces preuves médico-légales, la plupart des affaires seraient confrontées aux seules preuves classiques des experts en criminalistique, telles que les empreintes digitales, etc. Les experts en criminalistique font un travail fabuleux, mais l'évaluation des preuves numériques se développe dans les forces de police du monde entier et sollicite plus que jamais le financement de la police. Le nombre d'appareils numériques qui arrivent sur le marché est supérieur à ce que la police peut traiter et les retards augmentent de jour en jour - certains travaux peuvent prendre plus de 12 mois pour être examinés.
Suis-je heureux d'en être sorti? C'est une autre question que l'on me pose souvent et, pour être honnête, la communauté au sein de la police, qui est comme une famille, me manque. Ce qui ne me manque pas, ce sont les moments où le procès se termine sur un verdict de non-culpabilité alors que j’étais persuadé que le résultat aurait dû être différent. Les contraintes liées à l'augmentation de l’utilisation des techniques de chiffrement et du Dark Web ne me manquent pas non plus. Aujourd’hui, je tire une satisfaction professionnelle à aider les gens et les entreprises à se protéger contre les cyberattaques.
Bien que ce qui suit ne soit pas strictement lié au travail des experts en criminalistique informatique, les forces de l'ordre du monde entier ont, au fil des ans, demandé l'aide des chercheurs en sécurité de l'ESET pour aider à réprimer plusieurs opérations cybercriminelles de grande envergure. Les analyses techniques des chercheurs ont contribué à perturber un certain nombre de ces réseaux criminels, notamment l'opération de fraude publicitaire en ligne 3ve et le réseau de zombies Gamarue.
