Qu'est-ce que la preuve informatique? (Avec des photos)
Les preuves informatiques sont des données recueillies à partir d'un disque dur d'ordinateur et utilisées dans le cadre d'une enquête criminelle. Comme il est relativement facile de corrompre les données stockées sur un disque dur, les experts en criminalistique s’efforcent de sécuriser et de protéger les ordinateurs saisis dans le cadre du processus d’enquête. L'extraction des données doit avoir lieu dans des circonstances hautement contrôlées et doit être réalisée par des professionnels de l'application de la loi spécialement formés au processus.
Il n’est pas rare que des ordinateurs soient récupérés chaque fois qu’ils se trouvent sur les lieux d’un crime. Par exemple, lorsqu'un individu est retrouvé assassiné à son domicile, il y a de fortes chances pour que tout ordinateur portable ou de bureau retrouvé sur les lieux soit confisqué. De la même manière, si une personne soupçonnée de fraude ou de détournement de fonds est arrêtée, ses ordinateurs personnels et de travail seront probablement collectés pour être analysés par des experts.
Le processus de recherche de preuves informatiques commence par un examen approfondi de tous les fichiers présents sur le disque dur. Pour ce faire, le disque dur est soigneusement filtré afin de détecter tout fichier caché ou sécurisé qui pourrait ne pas être facilement visible. Les disques durs sauvegardant des copies des fichiers supprimés des répertoires publics, les experts impliqués dans l'enquête judiciaire chercheront à localiser et à extraire les fichiers supprimés. C'est important, car il est possible qu'ils incluent des données susceptibles de confirmer leur culpabilité, ou éventuellement de fournir la preuve que la personne arrêtée n'a pas participé à la commission du crime.
De nombreux types de fichiers peuvent générer des preuves informatiques pouvant aider à résoudre un crime. Les images visuelles, les courriels, les feuilles de calcul et d'autres types de fichiers courants peuvent être cryptés et cachés dans divers caches sur le disque dur. Les experts savent comment trouver ces caches cachés, y accéder et en afficher le contenu. De nombreux systèmes d'exploitation exécutent automatiquement cette fonction même lorsque des fichiers sont supprimés, créant ainsi des copies placées dans les caches masqués. Cela signifie que même si le criminel a pris des mesures pour effacer les preuves incriminantes du disque dur, il y a de fortes chances pour qu'une ou plusieurs de ces caches cachées soient ignorées et puissent être extraites par les forces de l'ordre.
La collecte de preuves informatiques est une tâche hautement qualifiée qui se déroule généralement en plusieurs étapes. Une fois l'ordinateur confisqué, il est transporté sur un site sécurisé. Seul un nombre limité de personnes autorisées ont accès au système pendant l’exploitation de ce dernier à des fins de preuve. Comme l'extraction et l'extraction sont effectuées dans des conditions aussi rigoureuses, il est pratiquement impossible d'altérer le disque dur. Cela permet à toute preuve collectée d'être utile dans l'enquête en cours.
L'utilisation de preuves informatiques devant les tribunaux a été mieux acceptée ces dernières années. Les préoccupations relatives à la falsification ou à la détérioration de la preuve au cours des années précédentes ont parfois conduit à des restrictions quant à la quantité de preuve collectée à partir d'un ordinateur pouvant avoir une incidence sur une affaire donnée. Cependant, alors que les forces de l'ordre ont amélioré leurs méthodes de préservation et de protection des disques durs contre une éventuelle contamination, de plus en plus de systèmes juridiques dans le monde considèrent que les preuves informatiques sont pleinement admissibles devant un tribunal.