A la recherche de la preuve informatique

Basée sur l´analyse des informations présentes sur n´importe quel support informatique, cette nouvelle activité, lancée fin 2002, par la société Kroll Ontrack vise à accompagner les entreprises, les cabinets d´avocats ou les départements de justice dans leurs recherches d´informations ou leurs investigations. Gilles Prola, responsable du Service Recherche de Preuves Informatiques chez Kroll Ontrack France dresse un portait de cette nouvelle activité en plein essor en France et répond à nos questions.

Pourquoi une entreprise fait-elle appel aux services d'investigation numérique ?

- Pour recueillir des éléments de preuves afin d´envisager le cas échéant un licenciement, ou après le licenciement en cas de contestation devant les tribunaux.
- Pour recueillir des informations permettant de répondre à des arguments techniques utilisés par l´adversaire ("il n´est pas possible de faire cela avec un PC", "je n´avais pas ce logiciel d´installé", etc.). Ce type de mission peut se traduire par l´examen du disque dur, mais peut également être une simple consultation d´expert.
- Pour réunir des éléments de preuve permettant éventuellement de porter plainte, ou de menacer de le faire (stratégie / tactique judiciaire).
- Et enfin pour tout simplement préserver une preuve (copie devant huissier) à toutes fins utiles.
Ceux qui utilisent les services de Kroll Ontrack sont les directeurs juridiques, directeurs des ressources humaines ou directeurs généraux de sociétés, à l´occasion de conflits avec certains de leurs employés, ou lorsque certains employés sont suspectés de se livrer à des faits délictueux.

Comment se passe concrètement une investigation sur un support tel qu'un disque dur pouvant contenir des dizaines de Go d'information ? Quelles sont vos méthodes ?

Avant toute investigation, il faut prévoir de préserver l´intégrité de la preuve et la possibilité d´une contre expertise : c´est la raison pour laquelle nous réalisons systématiquement deux copies parfaites du support, de préférence devant huissier. Tous nos travaux sont effectués sur cette copie avec des logiciels spécialisés permettant de consulter, extraire, visualiser tous les fichiers sans altérer ni modifier la preuve, la copie en l´espèce.La difficulté est d´isoler l´information pertinente, tout dépend de la recherche et des données. Ainsi, un disque de quelques gigas ou un simple CD-ROM peut contenir une quantité de tableaux Excel inexploitables sans outils ni expérience. Il n´est pas possible de tout automatiser. Nous disposons d´une technologie propre en ce qui concerne la récupération de documents perdus ou effacés, les copies bit à bit de disques durs ou autres supports, permettant des images de très haute qualité, nous utilisons également des outils propriétaires de recherche par mots clés ou de recherche par "concepts" dérivés de l´intelligence artificielle. L´expérience est primordiale dans cette activité.

Pouvez-vous nous donner quelques exemples de missions récentes ?

- Un cadre supérieur quitte son employeur et rend son PC portable et son PDA : les données importantes et confidentielles ont disparu... Nous récupérons - c´est notre activité historique - les données, et démontrons que l´effacement a été volontaire.

- Un "corbeau" adresse des lettres injurieuses dans l´entreprise, celle-ci mène une enquête interne puis nous confie l´analyse du disque dur de quelques suspects : nous montrons que les courriers ont été créés sur un des PC de l´entreprise.

- Victime d´une attaque virale, une entreprise cherche à savoir si le responsable est un ex-employé : nous trouvons trace du développement du virus sur une machine, après l´avoir décompilé. Cette affaire pourrait atterrir sur le bureau de l´un des services de police spécialisé (BEFTI, OCLCTI), mais seulement si le client porte plainte.

- Une entreprise cherche à récupérer ses données chez un sous-traitant (développeur de programmes) qui a déposé le bilan : nous intervenons en réalisant une copie de plusieurs disques durs de serveurs Raid, en présence d´un huissier, d´un commissaire de police et d´un serrurier.

Dans quel cadre légal une entreprise peut-elle solliciter votre aide ?

Il est contractuel. Nous demandons à l´entreprise de nous confirmer qu´elle respecte le droit du travail relatif à la cybersurveillance, et refusons bien entendu toute action illégale, comme celle de porter atteinte à la vie privée (pas d´examen de messagerie à caractère privé, cf. Arrêt Nikon qui a condamné un employeur pour avoir consulté les mails d´un employé alors que ceux-ci étaient spécifiés comme privés).

Etes-vous déjà intervenus dans le cadre de procès au tribunal ?

Une partie non négligeable de notre activité investigation est faite pour des Juges d´instruction, des Parquets, en relation avec les services de Police Judiciaire. Dans ce cas l´un de nos ingénieurs est nommé expert et nous rendons un rapport d´expertise. Les affaires les plus courantes ont trait à la pédophilie, à la délinquance financière, et à la délinquance informatique.

Quelle valeur juridique êtes-vous en mesure d'apporter ?

La valeur juridique de la preuve informatique est à l´appréciation des juges, comme toute autre preuve. Le client doit être attentif sur le mode de recueil de la preuve (respecter le droit du travail et éviter l´atteinte à la vie privée) qui est plus souvent contesté que la preuve elle-même.
Nous conseillons au client qui ne vient pas chez nous sur les recommandations de son avocat de consulter son avocat avant toute action.

Propos recueillis par Aurélien Cabezon, isecurelabs.com

Ontrack est une société créée en 1985 dont les 3 métiers sont la récupération de données informatiques perdues après incident ou sinistre, l´investigation informatique, et l´Electronic Discovery (seulement aux USA).

Elle est implantée en Europe depuis plus de 10 ans et depuis 5 ans en France. La société compte environ 500 collaborateurs dont près de 200 ingénieurs, sur 9 laboratoires. L´effectif en France est de 9 personnes. Depuis 2002, Ontrack est devenu KrollOntrack, division technologique du groupe Kroll, 1ère société mondiale de risk consulting.