Inforensiques

Disque-1 Nos activités, que ce soit en réponse à incidents ou en expertise judiciaire, nous amènent parfois à explorer ou utiliser des techniques particulières, ou à faire quelques travaux de recherche. Cette rubrique regroupe les articles concernant ces activités.

Collecte et gestion des preuves

le 12 juillet 2013.

Dans le cadre d'un dossier judiciaire, on entend souvent dire que "la preuve est libre". En simplifiant beaucoup, cela signifie qu'une preuve peut être quelconque, sans conditions particulières de formalisme. Cela ne signifie toutefois pas que la dite preuve peut être apportée n'importe comment : la preuve peut être combattue par la partie adverse, surtout s'il s'agit d'un élément déterminant. Même si cela semble être un pléonasme, la preuve doit donc être probante.

Identification de fichiers connus

le 30 juin 2011.

Recherche-1
Nous présentons dans cette article une méthode de recherche de fichiers connus permettant à l'enquêteur de rapidement obtenir des réponses en maîtrisant le taux de faux négatif, sans avoir à explorer l'ensemble d'un support de stockage.

Dans de nombreuses investigations, les éléments recherchés se rapprochent de questions du type "tel fichier a-t-il été copié sur tel support". Plus généralement, il s'agit d'identifier le transit (éventuel : rien n'est certain tant que cela n'est pas prouvé) d'un fichier ou ensemble d'informations sur un équipement informatique particulier (ou un ensemble d'équipements, que l'on peut analyser composant par composant). Si, dans cet article, nous évoquons souvent les supports de stockage classiques (disques durs, clés USB, mémoires SSD, etc.), la méthode décrite peut s'appliquer à un stockage temporaire comme de la mémoire vive ou un transit sur un réseau.

Nous parlerons de façon générale de recherche de fichiers connus afin de décrire cet ensemble d'activités.