Utilisée dans la cybersécurité, les enquêtes criminelles, les audits des entreprises et les litiges civils, la ‘criminalistique numérique’ (Digital Forensic) est une discipline qui consiste à identifier, collecter, examiner et analyser des preuves numériques de manière légale et systématique.
Ce pilier incontournable dans le monde de la transformation digitale offre les possibilités d’identification et de collecte de preuves numériques, l‘analyse avancée de ces preuves, la prévention et la détection des incidents, le soutien des enquêtes criminelles et judiciaires, l’appui dans la lutte contre la cybercriminalité et la vérification de la conformité et audits.
Les preuves électroniques utilisées dans le processus de la ‘criminalistique numérique’ (données en mémoire vive (RAM), données des appareils mobiles, fichiers informatiques, emails et messages électroniques, enregistrements audio/vidéo, logs système et journaux réseau, données en cache et cookies, métadonnées) sont collectées sous format numérique et sont utilisées comme éléments de preuve dans une investigation criminelle.
Pour qu’elles soient admissibles dans un cadre judiciaire ou légitime, ces informations (preuves électroniques) exigent un ensemble de critères :
- Authenticité : prouver son origine et son intégrité. Chaque étape de manipulation (collecte, transport, analyse, stockage) doit être tracée et enregistrée pour démontrer que la preuve n’a pas été altérée. La création une empreinte numérique unique garantissant l’intégrité des données.
- Fiabilité : la preuve doit être fiable et extraite de manière méthodique (utilisation des outils certifiés, des méthodes éprouvées et reconnues doivent être utilisées pour la collecte et l’analyse). L’équipe chargée de l’analyse doit être qualifiée et capable de témoigner sur la méthode utilisée.
- Pertinence : la preuve doit démontrer ou réfuter un élément clé de l’investigation. Les preuves collectées doivent être limitées à ce qui est nécessaire pour éviter les abus.
- Légalité : les preuves électroniques doivent être obtenues légalement (avec autorisation du propriétaire ou mandat judiciaire, respectent les lois de la protection des données privées et absence de toute falsification).
- Admissibilité : pour être acceptée en justice, la preuve doit être soumise selon des règles spécifiques au système judiciaire (présentée au bon moment, d’une manière claire et accessible via un rapport d’expert).
Le processus de ‘la criminalistique numérique’ suit une approche structurée basée sur un ensemble des étapes clés : identification (détermination des sources potentielles de données pertinentes, évaluation du type de la preuve recherchée et identification des outils nécessaires pour l’extraction des preuves).
La deuxième étape implique la préservation des preuves électroniques (isolation et sécurisation de données collectées pour éviter toute altération, création d’une copie exacte des données, utilisation des techniques de hachage et la documentation de la chaîne de conservation pour assurer la traçabilité).
L’analyse des preuves électroniques est réalisée dans une troisième phase (utilisation des outils spécialisés pour reconstituer les événements qui, quoi, quand, où, comment et identification des traces d’activités et des contenus suspects avec une interprétation détaillée des résultats obtenus.
La quantième phase implique la documentation et l’enregistrement de tous les détails du processus de la criminalistique numérique (méthodes utilisées, résultats obtenus et preuves trouvées). Le responsable de l’investigation dans cette phase doit générer des rapports clairs, compréhensibles, utilisables en justice et adaptés aux audiences concernées (équipes techniques, juridiques…).
Dans une dernière étape, le responsable doit présenté des conclusions sous forme de preuves admissibles en justice, défendre l’intégrité des preuves électroniques face à des contestations potentielles, et si nécessaire témoigner en tant qu’expert en expliquant la méthodologie et les résultats.
Aujourd’hui, l’intégration de l’intelligence artificielle (IA) dans le processus conventionnel de la criminalistique numérique révolutionne les enquêtes criminelles. Les technologies IA récentes apportant des solutions avancées de grande valeur ajoutée pour analyser les preuves électroniques, identifier des schémas complexes et accélérer le processus de la digital forensic.
En effet, les outils IA permettent la collecte, le traitement et l’analyse des données massives provenant de multiples sources (les appels téléphoniques, les caméras de surveillance, les emails, les logs numériques…). Le processus d’extraction de l’intelligence de ces données massives aide à la prédiction et la prévention des crimes (ex. identification et analyse en temps réel des cyberattaques, des malwares ou des activités criminelles en ligne). Les solutions IA offre une reconnaissance faciale, biométrie et une interprétation linguistique et psychologique de grande efficacité et qualité. Les algorithmes IA permettent également de générer automatiquement de rapports en compilant et structurant les preuves électroniques collectées.
Par contre, l’exploitation de l’intelligence artificielle (IA) dans le cadre la criminalistique numérique présente des défis et des considérations éthiques qui peuvent impacter négativement l’innovation de la digital forensic (risques que l’IA reproduise ou amplifie des biais existants dans les preuves électroniques, le non respect des droits des individus lors de l’analyse des données…). Ce qui implique de combiner ces technologies IA à l’expertise humaine afin de compléter et améliorer l’efficacité et la précision des enquêtes criminelles.
Prof. Dr Youssef TAHER
Expert en IA – Big DATA