library_books Articles menu_book Ouvrages event Événements collections_bookmark Collections info A propos search login
tune Recherche avancée
article Articles book Ouvrages event Événements collections_bookmark Collections info À propos favorite Nous soutenir
tune Recherche avancée login
Expertise Numérique et Procédure Pénale
21 Nov 2007
Par Éric Freyssinet, Alexis Rimbaud, Thomas Cassuto, Jacqueline Deray, Laurence Ifrah, Alain Bensoussan, Fabien Lang, Didier Peltier, Serge Migayron
Collections liées
folder La justice à l'épreuve de la preuve immatérielle
Non catégorisé
Deuxième table ronde du colloque sur le thème de la Justice à l'épreuve de la preuve immatérielle, organisé en partenariat avec l'Ordre des avocats de Paris à la Maison du barreau. Les intervenant échangent sur les défis l'expertise numérique dans la procédure pénale
  • Thomas CASSUTO

Mesdames et Messieurs, vous avez bien compris que le numérique est un vecteur formidable d'information et qu'il est l'instrument ou l'accessoire du criminel. Il est aussi l'indice de ses méfaits, et c'est ici que commence le travail nécessaire, de plus en plus nécessaire de l'expert pour participer à la manifestation de la vérité. Nous avons aujourd'hui une table ronde exceptionnelle par sa dimension et par sa qualité. Ses participants vont nous présenter les différents aspects de la preuve numérique en matière pénale. Nous avons essayé d'élaborer une sorte de plan qui respecte la logique du processus judiciaire. Alexis RIMBAUD, vous êtes spécialiste des nouvelles technologies et vous disposez déjà d'une grande expérience dans ce domaine. Vous avez été désigné en qualité d'expert par de nombreuses autorités judiciaires. Vous nous avez livré dans l'ouvrage de l’institut PRESAJE Le juge pénal et l'expert numérique, publié chez Dalloz, un éclairage original sur les nouveaux enjeux de l'expertise, notamment au travers de l'expertise numérique. Pouvez-vous nous présenter, nous rappeler ces grands enjeux ?

  • Alexis RIMBAUD

Merci, monsieur Cassuto. J'ai effectivement la lourde responsabilité d'assurer régulièrement l'expertise pénale dans le cadre de ma mission depuis presque dix ans. J'ai accumulé au travers de cet exercice une petite expérience de la preuve numérique. J'ai souvent été confronté au concret, au terrain, aussi à de grandes problématiques qui se posaient, et je dois dire que la rédaction de cet ouvrage m'a fait prendre conscience de certaines difficultés du positionnement de l'expert qui est, pas toujours mais souvent à l'origine de la preuve numérique. Nous avons la lourde tâche d'en gérer et d'en produire. Dans les deux cas, une méthodologie est à appliquer.

Il est vrai que, s'agissant de mon travail régulier, je m'occupe d'affaires pénales souvent très lourdes, je suis régulièrement appelé à la barre. Dans ce cas, la parole de l'expert a un certain poids, même un poids certain. J'ai établi au cours des années une méthodologie qui vise non seulement le contexte de la preuve numérique mais aussi le traitement, les modalités de cette preuve, et je vais essayer de vous faire part de quelques éléments sur l'origine du fait numérique.

On est là presque face à une dichotomie. Il faut attribuer, garder le travail de l'expert au sein d'un contexte de savoir et essayer de le séparer le plus possible du contexte du pouvoir. C'est dans ce dialogue entre le pouvoir et le savoir que le fait numérique peut prendre sa forme. C'est même dans ce dialogue que l'on peut obtenir un résultat intéressant et probant. J'insiste sur ce dialogue.

Pour ma part, je pense qu'il faut le plus possible favoriser le dialogue. L'expert fait, bien sûr, partie du monde du savoir, mais il doit constamment dialoguer, apporter son savoir au pouvoir. Il a un rôle de formateur. Il a rôle, quelles que soient les juridictions, que ce soit l'instruction ou le jugement, de pédagogue. C'est dans ce contexte que la preuve numérique prend tout son sens. Pour être plus concret, une trame définit de mieux en mieux la preuve numérique.

Cette trame commence par l'origine du fait. C'est avant tout autour de l'origine du fait que nous pouvons définir, commencer à définir la preuve numérique. L'origine du fait est une étape extrêmement importante du travail, car on définit à ce moment le contexte de la preuve numérique. C'est le moment pivot où l'on pourra obtenir un résultat intéressant, où l'on récupère auprès des magistrats les éléments probants, les éléments que l'on va analyser. Dans un dialogue constructif, on peut même échanger avec les magistrats pour construire la mission de l'expert, encore une fois dans un but pédagogique, on vient apporter un savoir à toutes les juridictions de façon à constituer des éléments de sa mission. On essaye de comprendre l'origine du fait. On essaie aussi d'en définir le contexte et le contexte historique.

Par exemple, avoir à analyser un fait qui s'est produit sur un réseau informatique oblige évidemment à définir un historique : l'histoire de ce réseau, comment il a été fabriqué, quelles défaillances éventuelles ont été reconnues par les différents fabricants de ce réseau. Quand il s'agit de logiciels, il faut évidemment avoir une connaissance extrêmement approfondie des différentes versions des logiciels, quels logiciels ont fait état de dysfonctionnements avérés, les dernières mises à jour ont-elles été appliqués, etc. ? Je citerai quelques affaires qui m'ont été confiées où l'origine du fait était un élément fondamental de mon analyse comme par exemple des affaires sur des GPS défectueux ayant causé des accidents, etc. Il fallait évidemment revenir en arrière, connaître le fabricant, etc.

Ensuite, on attaque la méthodologie et les outils de préservation du fait. A partir de là, on se trouve dans un contexte pénal assez classique de préservation du fait, de préservation de la preuve. Nous parlerons dans ce colloque de la préservation de la preuve numérique. Sur le concret, de nombreux outils ont été évoqués en première partie : les outils de préservation qui permettent de copier les disques durs, de copier des éléments de stockage numérique, etc. Ces outils sont à la disposition de tous, mais un mode opératoire est aussi extrêmement important. Le rôle de l'expert et du contexte de la preuve numérique est également important dans la partie humaine de la gestion de la preuve numérique.

A été évoquée en première partie la présence d'un huissier pour administrer la preuve numérique. L'expert doit à ce moment se prononcer sur la méthodologie utilisée par l'huissier mais aussi sur la méthodologie utilisée par éventuellement l'informaticien, le directeur des systèmes d'information qui a créé cette preuve. Le positionner dans la mission fait également partie du rôle et de la définition de la preuve numérique. Vient ensuite l'établissement de la méthodologie de l'expertise du fait. C'est extrêmement important et je crois, pour reprendre le but premier de PRESAJE, que c'est sur ce point que les choses vont maintenant évoluer. Des méthodologies existent. Une certification ISO 9000 sur la méthodologie de l'expert devient de plus en plus répandue. C'est presque une obligation. Faire état d'une méthodologie est indispensable, mais la certification, au-delà des méthodes d'inscription de différents organismes, la norme ISO 9000 gagne le monde de l'expertise et permet aussi aux différents intervenants (comme les avocats) de connaître la qualité de la méthode utilisée.

Ensuite, l'expertise sous le sceau du serment proprement dite. Il faut tout de même définir ce qu'est un expert à ce moment précis de la procédure. L'expert n'est pas un technicien. Son rôle est extrêmement défini. Nous avons aussi ce rôle d'échange, pédagogique, d'explication. Depuis l'instauration de la LOLF, nous avons aussi la responsabilité de la gestion de notre l'intervention qu'il faut deviser avant de commencer à travailler.

Enfin, l'administration des résultats est extrêmement importante parce qu'il ne suffit pas de faire état des faits pour les expliquer. On demande souvent à l'expert et à l'expertise numérique en général d'avoir un rôle binaire dans le fait. On pense souvent que l'expert va nous affirmer, nous confirmer, nous infirmer des faits. Or, il faut comprendre que l'expert n'est pas toujours là pour faire ce genre de travail. C'est plutôt le travail d'un technicien. L'expert est aussi là pour créer une hiérarchie dans le fait et des pyramides de responsabilité sur l'affaire qui lui est proposée. Les affaires de pédophilie sont par exemple typiques de ce genre de cas. Dans ce cas l'expert a les éléments, il va les faire apparaître, mais il est beaucoup plus important dans son rôle et dans le fait numérique à ce moment de créer une hiérarchie chez l'utilisateur et de savoir définir comment, pourquoi, à partir de quel moment ces images ou ces éléments sont arrivés sur l'ordinateur. Y avait-il une volonté réelle de la part de l'utilisateur ? Il convient de se méfier d'un positionnement binaire de la preuve numérique. Bien sûr, c'est du numérique, mais l'expert est avant tout là pour créer une hiérarchie sur le fait, évidemment avec son savoir technologique, mais il est là à charge et à décharge. Il est loin du pouvoir. Il est tout simplement là pour faire état des faits.

  • Thomas CASSUTO

Merci, Alexis. On comprend bien qu'il y a une dimension analytique et surtout qu'un vrai dialogue, en tout cas du point de vue de l'expert, est nécessaire entre le juge et l'expert pour construire la mission d'expertise et construire, préparer à un résultat qui pourra être exploité, puisque la vocation du juge d'instruction est de pouvoir délivrer un produit fini qui soit jugeable par une juridiction.

Chère Laurence IFRAH, vous êtes criminologue, spécialisée en criminalité numérique au sein de l'université Paris II - Assas et vous connaissez très bien les grandes tendances de ce phénomène. On peut se demander si la première difficulté n'est pas de vivre dans un univers compromis.

  • Laurence IFRAH

Merci, monsieur le juge. Je voulais d'abord faire un point sur l'état des menaces, qu'elles soient situées dans les entreprises ou dans des institutions publiques. Au-delà de nos discussions aujourd'hui, un autre problème vient du fait que les dirigeants, les responsables refusent, face à un incident, d'entamer des poursuites, de déposer une plainte pour diverses raisons. C'est ce que je vais essayer de vous expliquer.

On considère trois formes essentielles de menaces :

  • celles que je qualifierais de volontaires, c'est-à-dire un acte avec une intervention spécifique : une proposition financière émise par un concurrent ou par divers acteurs, un départ qui se serait passé dans de mauvaises conditions ou, même s'il se passe dans de bonnes conditions, des cadres partent fréquemment avec les dossiers de l'entreprise parce qu'ils vont continuer à travailler dans le même secteur d'activité et cela leur donnera de bonnes bases pour démarrer leur nouvel emploi ;
  • l'acte de vengeance où l'acteur qui aura commis l'acte n'aura pas forcément pris la mesure des enjeux et des risques qu'il prend.

J'ai rencontré la semaine dernière l'exemple d'une entreprise d'une centaine de personnes dont le réseau a été entièrement détruit par l'administrateur-système qui a été licencié. Comme il était au cœur de la machine informatique, il s'est allègrement vengé et a détruit l'intégralité du système. Il n’y avait donc plus de données et plus d'archives. Dans cette même entreprise, les responsables avaient pris soin de mettre les mots de passe du serveur dans un coffre ignifugé, mais le serveur lui-même n'avait aucune protection contre le feu ou quoi que ce soit. Sans serveur, le mot de passe ne sert à rien.

  • Viennent ensuite les menaces involontaires. Je vous parle de pressions. Les pressions ont surtout été vues dans les groupes bancaires qui ont subi des actes de malveillance où des virements ont été faits. Il a été constaté que, fréquemment, une personne en interne avait été complice d'un acte, c'est-à-dire l'installation d'un cheval de Troie, un programme qui permet de récupérer des informations à distance. Ces pressions sont souvent exercées physiquement sur la famille de la personne contactée et il est difficile de lutter contre parce que les gens ont peur. Ensuite le téléchargement. J'appelle involontaire un téléchargement car, parfois, les utilisateurs des systèmes d'information n'ont pas conscience des sites qu'ils vont consulter, soit en regard de leur activité, soit parce qu'ils vont prendre quelques instants pour se délasser. On pourra télécharger des outils, des fichiers qui seront a priori innocents mais qui, en réalité, contiendront divers chevaux de Troie ou virus pas forcément détectables par les systèmes de protection mis en place dans les entreprises.

Un nouveau fait assez récent est très important : ce que l'on appelle les réseaux sociaux. Il s'agit d'un site Internet sur lequel on va décliner son identité, faire son portrait, son parcours scolaire, professionnel. Au départ, cela part d'un très bon sentiment. L'objectif était très sain à la première approche puisque cela vous permet de retrouver des gens que vous n'avez pas vus depuis des années, physiquement ou professionnellement éloignés. C'est très bien, mais on se retrouve aujourd'hui face à un énorme problème. En France, plus de 700 000 personnes sont inscrites sur le plus célèbre site (facebook), dans lequel on peut récupérer toutes les informations concernant une personne, ce qui permet, par des moyens détournés, de focaliser sur une cible et d'aller passer par un contact différent. On verra qu'une personne a un ami proche dans telle région. On va prendre son identité et lui envoyer un email avec un sujet qui la concernera forcément puisque tous les dialogues sont transcrits sur le site. La personne l'ouvrira puisqu'elle connaît l'expéditeur et le fichier sera piégé. Là, on tombe sur un problème de confidentialité des données et de fuite d'information.

Les menaces détournées sont tout ce qui concerne les périphériques, notamment les clés USB des ordinateurs portables dont on peut recopier le contenu ou tout simplement le dérober. Je constate quasiment tous les jours que, quand des gens me donnent une clé USB pour récupérer un fichier, cette même clé contiendra tous les documents essentiels sur lesquels ils travaillent tous les jours, souvent très sensibles. Des programmes facilement et gratuitement téléchargeables sur Internet permettent, pendant que, sur votre ordinateur, vous verrez le contenu de la clé USB, d'installer le fichier désiré. Sur la clé USB, en transparence, un programme se chargera d'aspirer tout le contenu de la clé. Vous ne le voyez pas, mais cela se fait et fonctionne très bien.

Il existe également des salariés malveillants. La récupération d'outils pour contourner les mesures de sécurité, quand les entreprises en ont, se fait, c'est courant ; on le voit régulièrement. On essaye d'établir un contact privilégié avec l'administrateur système. Cela permet aussi d'obtenir quelques faveurs et des connexions qui sont parfois interdites.

Le plus difficile, ce sont les outils que l'on appelle anti-forensic qui empêchent les experts de procéder à leur travail : modification des dates de création et de visualisation des fichiers - nous n'avons rien pour lutter contre - ou tout simplement des effacements particulièrement sécurisés.

Je vais vous expliquer pourquoi les dirigeants, les responsables ne portent pas plainte. Le dirigeant, par essence, n'a pas compris et ne veut pas comprendre l'ampleur de ce que cela peut représenter. Il refuse de s'intéresser à l'outil informatique et va déléguer tout cela à un collaborateur qui aura lui-même soit un administrateur-système, soit un ami qui a des connaissances en informatique et qui tentera d'installer un système plus ou moins sécurisé. Ce système sera effectivement adapté à un budget que l'on aura confié. Mais les questions que l'on devrait se poser sont : Que dois-je essentiellement protéger ? Qu'est-ce qui a de la valeur ? Qu'est-ce qui me met en risque ?

En cas de constat d'incident, on appelle tout le monde au secours. La prévention ne fonctionne pas dans ces cas-là. On évalue l'étendue des dégâts, on appelle les experts et on refuse de porter plainte parce que l'on n'est pas en conformité avec les fichiers vis-à-vis de la CNIL, on a peur de perdre son image vis-à-vis de la concurrence, la crainte des représailles des salariés parce que, quand un salarié s'est fait prendre, les autres ne considèreront pas forcément ce qu'il a fait comme un acte vraiment malveillant pour l'entreprise. S'il a beaucoup d'amis dans l'entreprise, cela créera des tensions. Dernier point, surtout, il n'y a pas de charte d'utilisation des systèmes d'information. Il est donc en faute et il va étouffer. Après l'incident, on va sécuriser puisque l'on a fait appel à des experts, ce qui est très mal vécu parce que pris comme une atteinte à la liberté. Les salariés avaient l'habitude de s'épanouir en regardant Internet, une « sensation de flicage » et on sera observé, espionné. Il y a donc un refus de signer la charte et une rancœur se crée vis-à-vis de la direction.

La solution est de le déculpabiliser et, ainsi, on arrive à établir un dialogue, ce qui est important. Expliquer au chef d'entreprise et à ses équipes que cela arrive dans les réseaux les mieux protégés. Voici un exemple d'un document "confidentiel défense" émanant du cabinet du Premier ministre le 10 août 2005, que j'ai récupéré sur Internet et qui circulait librement dix-huit jours plus tard. Les autorités fiscales britanniques ont annoncé hier la perte de fichiers de données fiscales de 25 millions d'Anglais avec toutes les conséquences possibles de fraudes bancaires et d'usurpation d'identité. La solution est également de faire une séance de sensibilisation : expliquer, engendrer un débat, une discussion, insister aussi sur le fait que l'entreprise est obligée, au regard de la loi, de prendre ses précautions et ses mesures pour ne pas s'attirer les foudres des salariés et les rassurer.

  • Thomas CASSUTO

Merci, Laurence IFRAH.

Chacun comprend bien que nous sommes dans un environnement hostile, dans lequel les acteurs, par manque de prévoyance ou de prévention, s'exposent au risque de malveillance à caractère informatique. C'est lorsque l'événement survient, que l'on se pose la question de la réponse. Maître Alain Bensoussan, vous êtes un spécialiste connu et reconnu des technologies de l'information et de la communication. Vous êtes naturellement un interlocuteur privilégié de ces entreprises, des victimes, qui constatent cet événement indésirable. Comment l'avocat peut-il orienter la bonne mise en état de la procédure au regard justement de cet environnement qui d'ailleurs, au sein même de l'entreprise, est souvent dégradé ?

  • Alain BENSOUSSAN

Je vous propose un rêve et un cauchemar pour l'expertise numérique et la procédure pénale. Pourquoi un rêve ? Tous les dispositifs légaux sont opérationnels. Un vrai bonheur ! Au niveau mondial, des conventions internationales dans la plupart des pays. La controverse, c'est qu'a priori il y a de la fraude informatique partout depuis 1988, depuis la loi Godfrain.

La fraude est d'autant plus facile maintenant, quasiment tout le monde est capable de frauder, et les outils sur le système Internet disponibles à qui veut. La fraude est ouverte pour tous. On pourrait penser qu'à ce moment un malheureux avocat pourrait travailler dans ce domaine et développer une compétence. En réalité non parce qu'il n'y a pas d'affaires. "L'informatique, enjeu de la fraude ?" aurait été un premier élément de spécialité.

"L'informatique, objet de la fraude ?" un second. On peut frauder pour faire des infractions, les infractions elles-mêmes sont des infractions informatiques.

Le cadre juridique est merveilleux. Vous avez un ensemble d'infractions informatique et libertés. Vous avez même des infractions dans le domaine informatique et libertés qui existent et qui s'appuient sur des textes qui n'existent plus. La loi relative à la fraude informatique parle des fraudes informatiques, mais n'utilise jamais le terme. Peu importe, au fond. On a aussi les interceptions de télécommunications, tout ce qui est autour de la signature et de la défense nationale. La défense nationale a des textes spécifiques pour la fraude informatique. On pourrait concevoir qu'elle pourrait utiliser les textes généraux, non. Il existe aujourd'hui du droit pénal de défense nationale et du droit pénal de l'intérêt national, deux ordres publics distincts avec chacun ses infractions. Enfin, avec la loi pour la confiance avec le numérique, tout le monde aura sa fraude en termes d'octets, des textes avec des infractions associées.

Plus d'une centaine d'infractions moins une : le vol d'information. Cela n'existe pas. Pour le reste, tout existe et on a des textes. Regardez, sur ce site, on trouve "comment fabriquer une bombe ?". J'ai à la fois la fabrication de la bombe et l'infraction pénale qui interdit l'information pour la fabriquer.

Pourquoi n'y a-t-il pas d'affaires puisqu'il y a tant de fraudes ? On a une justice électronique complète avec sa police et sa gendarmerie. On dispose aujourd'hui de textes sur la planque informationnelle, sur la filature informationnelle, sur la perquisition numérique, sur l'interrogatoire à distance, sur la traduction et sur la saisie électronique, issus des lois Perben 1, Perben 2, et des Sarkozy 1 et 2. Nous sommes en avance en matière de droit électronique sur les faits. Pour une fois, les juristes se conjuguent au temps futur.

Alors, d'où vient le problème ? Où sont les freins ? Le premier, ce sont les casiers en ligne. J'ai par exemple le problème de l'indemnisation de l'action judiciaire, une demande en cours où j'ai mis une décision de la CNIL, une décision importante de la CNIL sur mon site web et le justiciable dit : "vous ne devez pas publier cette décision parce qu'elle n'est pas anonymisée". Ces décisions judiciaires qui se trouvaient avant face à une victime indemnisée se retrouvent en fait en une "victime publicité" si vous me permettez ce terme.

Le premier grand frein, c'est que, gagnant ou perdant, ils ne veulent pas de bruit.

Le deuxième élément qui bloque, c'est informatique et libertés. Dans informatique et libertés, vous avez trois points.

  • Une personne qui se fait détourner son fichier est punissable de fraude par défaut de sécurité parce qu'elle n'a pas pris toutes précautions utiles. On a déjà une décision de quelqu'un qui s'était fait détourner son fichier. Il est allé voir son avocat qui a porté plainte, et c'est lui, l'accusé, qui s'est trouvé en position d'infraction.
  • La plupart des détournements de fichiers sont des détournements de fichiers avec des données numériques. Ces données numériques ne sont pas déclarées. Ainsi, par exemple, derrière 90 % des fraudes il y a un salarié. On est très proche d'un abus de confiance. Mais l'abus de confiance n'est rien à côté de la déclaration CNIL. Vous encourez 5 ans si vous ne déclarez pas un fichier, contre 3 ans pour un abus de confiance.
  • Enfin, dernier élément, la sécurité déclaration. C'est aussi la problématique que vous avez indiquée de la charte informatique.

On va pouvoir saisir ces mails. Mais, à défaut de charte, ils relèvent tous de la vie privée. Si vous les regardez, vous êtes non seulement en face d'une interception de télécommunication ou une violation de la correspondance privée, une déclaration sans droit ni titre des formalités préalables et, bien entendu, un manquement à la sécurité. Le dernier élément, ce sont les référentiels de bonne pratique. Messieurs les experts, c'est vrai, j'aime à dire dans ce domaine que la science se démontre, mais, à l'audience, l'avocat résiste un peu. Il n'empêche qu'il n'y a pas de référentiel méthodologique. Il n'y a pas, dans ce domaine, la possibilité de traçabilité de ce que fait l'expert. Il n'y a pas de réversibilité, il n'y a pas de preuve absolue de non-contamination de la donnée d'octets. C'est donc, là aussi, un enjeu extrêmement important, d'autant que les parties ont tendance à regarder un peu avant que la police n'arrive et que l'instruction ne débute, faisant que la preuve se trouve contaminée.

Méthodologie, traçabilité et contamination sont souvent un des freins au développement de l'expertise pénale. Les parquets sont extrêmement motivés pour ces affaires, mais il y a peu d'affaires. La question est mondiale. La plupart des textes sont de même nature. Il n'y a donc pas de rupture au niveau international. L'informatisation est la même. Sur la signature électronique, on utilise tous quasiment les mêmes algorithmes. L'universalité est la conséquence du fait que, quand on est techniquement identique, on est souvent juridiquement identique parce que les lois, différentes, ont tendance à recopier sur des contraintes techniques plutôt que sur des contraintes éthiques.

Enfin, la coopération policière est présente, comme on peut le voir avec les éléments d'Interpol. Une convention internationale permet aujourd'hui, en matière de cybercriminalité, d'agir 24/24, 7/7. Des magistrats d'instruction dans l'ensemble de ces pays sont spécialisés et en relation directe. Il y a donc une réponse internationale.

Il y a une réponse électronique, il y a une réponse technique, il y a une réponse juridique, mais il n'y a pas d'affaires parce que la victime a peur de la double peine. La première est d'avoir été déjà frappé par l'électronique, la deuxième est d'être frappé par la publicité électronique.

  • Thomas CASSUTO

Merci, maître Bensoussan. Vous nous avez donc bien dissuadé, dans l'hypothèse d'un événement indésirable, d'aller déposer une plainte, et vous nous avez bien mis en évidence la nécessité pour l'expert d'adopter un processus dans l'élaboration de son travail qui permette d'avoir une appréhension exacte, qui permette de vérifier la qualité du travail et de déterminer la rigueur du résultat obtenu.

Vous dites qu'il n'y a pas de procédure. Néanmoins, avec Fabien LANG, nous avons eu à connaître en commun des procédures de fraudes informatiques dites fishing ou farming d'ampleur internationale. En tant que n° 2 de l'OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication), vous êtes à la tête d'un service extrêmement compétent avec lequel j'ai eu beaucoup de plaisir et d'intérêt à travailler.

Comment aborder la scène de crime, une scène de crime tout à fait particulière et, plus particulièrement sous cet angle spécifique de la victime qui est tentée de regarder sous le couvercle et donc, déjà, de polluer cette scène de crime ?

  • Fabien LANG

Merci, monsieur Cassuto. Je représente l'OCLCTIC qui est en quelque sorte le bras armé de la Direction centrale de la police judiciaire dans le domaine de la lutte contre la cybercriminalité qui recouvre des situations assez diverses. Concrètement, nous sommes compétents pour traiter d'actes classiques de piratage, d'intrusion sur des systèmes de traitement automatisé de données et, plus généralement, des actes d'escroquerie d'ampleur internationale telles que les affaires de phishing ou de pharming. Nous sommes également compétents sur le volet des fraudes aux cartes bancaires qui se développent de façon relativement importante. Nous avons d'autres missions en termes de centralisation, de diffusion d'information, nous participons à certains groupes de travail et nous constituons aussi un point de contact dans les échanges internationaux Interpol, Europol.

La problématique de la preuve numérique est pour nous à la fois simple et compliquée. Notre rôle est évidemment de recevoir des plaintes, de rechercher une éventuelle qualification pénale aux faits qui nous sont rapportés et ensuite de localiser et d'identifier l'auteur de cette infraction, puis, sur place, dans le cadre de perquisitions, de rechercher les preuves matérielles de participation de l'auteur aux faits incriminés. Comment procédons-nous concrètement sur le terrain ? Evidemment, nous nous déplaçons chez l'auteur. La première chose à faire, évidente, est de garantir l'intégrité des données qui sont recueillies sur le support numérique. Nous employons pour cela des outils qui sont utilisés par toutes les polices du monde. Il s’agit de bloqueurs en écriture qui empêchent toute modification des données présentes sur le support. C’est là un élément essentiel qui conditionnera la validité de la procédure.

Ceci dit, nous avons actuellement quelques difficultés, notamment avec de nouveaux systèmes d'exploitation tels que Vista où nous ne pouvons plus procéder de la sorte et où nous devons préalablement procéder à quelques vérifications, notamment pour rechercher les clés de chiffrement. Cela occasionne des difficultés nouvelles. Ensuite, nous utilisons des logiciels forensic qui nous permettent de rechercher sur les ordinateurs des traces numériques, y compris lorsqu’elles auront été effacées.

Autre garantie pour le procès pénal, ces actes sont faits en présence du mis en cause ou de la personne chez qui la perquisition a lieu. Les actes sont décrits très précisément sur procès-verbal et sont horodatés. La dernière garantie est la formation des enquêteurs spécialisés chargés de ces investigations. Ces policiers ont passé un stage avec succès et sont reconnus comme tout à fait compétents pour recueillir ces preuves. De façon plus générale, quelles sont nos difficultés actuelles ?

  • L’intervention des services informatiques préalablement à celle des enquêteurs peut avoir pour effet de modifier ou de supprimer involontairement certaines traces. Cela arrive très fréquemment et il est parfois difficile, après coup, de rechercher, de trouver des données qui pourront être apportées à la justice.
  • L'incohérence des systèmes, notamment l'horodatage des ordinateurs qui peut évidemment poser des difficultés lors d'un procès pénal.

Je rejoindrai ce qu'a dit Me BENSOUSSAN. Les actes existent. Les plaintes sont beaucoup plus difficiles à obtenir. Pourquoi ? Je l'ignore. Je pense que l'analyse donnée à la fois par Mme IFRAH et par Me BENSOUSSAN est bonne : les entreprises victimes peuvent craindre de déposer une plainte lorsqu’elles s’aperçoivent qu’elles sont elles-mêmes en infraction aux règles de la CNIL. Mais plus généralement, je crois qu’il y a une peur en terme d’image. Une entreprise peut craindre une atteinte à son image lorsque les faits sont relayés dans la presse ou sur Internet. On sait que, dans le domaine numérique, l'information passe très vite.

Autre difficulté pour les services de police et de gendarmerie : une enquête se base toujours sur des indices, des traces et des éléments matériels nécessaires à la manifestation de la vérité. Or, en matière de cybercriminalité, ces indices, qui sont le plus souvent de nature électronique, n’ont aucune signification sans l’éclairage du prestataire de service à l’origine d’une communication électronique. Pour exemple, une identification d’une adresse Internet Protocol (IP) passera nécessairement par l’envoi d’une réquisition judiciaire au fournisseur d’accès Internet, qui devra communiquer l’identité du client auquel cette adresse IP a été attribuée au moment des faits. Cela implique donc que ces opérateurs soient soumis à un certain nombre de règles, notamment en matière de conservation de données techniques. La France dispose dans ce domaine d’une législation bien adaptée, ce qui n’est pas le cas dans tous les pays. Aussi, il arrive fréquemment que certaines enquêtes ne puissent tout simplement pas aboutir parce les Etats requis sont incapables de communiquer les données techniques indispensables. Cette situation est très difficile à admettre pour les services de police judiciaire.

  • La localisation des bases de données dans des pays étrangers.

Un exemple très concret : vous ouvrez une adresse mail sur Yahoo.com ou sur aol.com, les données que vous allez transmettre seront basées notamment aux Etats-Unis. Cela signifie pour nous qu'il faut nécessairement une commission rogatoire internationale pour obtenir l'identification de la personne qui se sera enregistrée. Nous n'obtenons la commission rogatoire internationale que pour des affaires graves, sensibles, dont le préjudice est important. Pour la plupart des affaires que nous traitons, cela n'arrive pas. De fait, encore une fois, les enquêtes sont renvoyées sous le timbre « vaines recherches » alors même qu’elles ne présentaient pas d’obstacles techniques particuliers.

Dans ce domaine, je pense que quelques évolutions sont à envisager sur le plan du droit international.

La cybercriminalité est internationale, mais on a constaté qu’elle résulte également d’une véritable criminalité organisée. Nous l'avons constaté depuis les années 2000 avec l'avènement d'Internet. Nous avons affaire à des gens qui, techniquement, sont extrêmement compétents, disposent de réseaux, travaillent en réseau et utilisent toutes les ressources actuellement offertes dans le domaine des technologies de l'information et de la communication. Ces équipes peuvent œuvrer depuis la Russie en passant par les rebonds aux Etats-Unis, en Ukraine ou en Chine en utilisant des ordinateurs compromis à travers le monde pour, finalement, aboutir dans notre beau pays ou dans un pays voisin en Europe. Là aussi, on ne peut que constater une distorsion importante entre la fulgurance d’une attaque informatique et le temps de l’enquête, beaucoup plus long. De fait, il s’agit de rassembler en urgence les preuves matérielles et de solliciter la coopération policière internationale, ce qui présente parfois des difficultés, surtout lorsque la gravité des faits ne justifie l’ouverture d’une information judiciaire.

Ce sont concrètement les difficultés qui se posent à nous. Ceci dit, nous disposons en France d'une législation tout à fait adaptée à ces enjeux. C'est sur le plan de la coopération internationale que, véritablement, nous devrons progresser. Je vous remercie.

  • Thomas CASSUTO

Merci, commissaire.

Il est vrai qu'il y a aussi une difficulté : trouver des services compétents pour préserver l'intégrité de la preuve. Nous avons l'exemple d'un service hautement compétent, mais évidemment, bien souvent, le fait d'aller saisir, déposer une plainte dans un service de moindre compétence peut également poser des problèmes sur la préservation, l'intégrité ou la manière dont la preuve sera exploitée. Là aussi, il y a un effort de moyens pour renforcer la diffusion des compétences dans le domaine des investigations. Il est vrai que, sur le plan international, on pourrait développer. Une commission rogatoire internationale aux Etats-Unis est non seulement une démarche complexe, mais, en même temps, c'est une démarche juridique parce que cela dépendra du lieu où la commission rogatoire internationale sera sollicitée, sera mise en exécution. Entre l'Ouest des Etats-Unis et l'Est, il peut y avoir des différences. Nous avons aussi ce type d'obstacle à surmonter. Nous voyons que l'intégrité de la preuve numérique est nécessaire. Encore faut-il, pour le juge, envisager son exploitation, le cadre de son exploitation.

Monsieur le président Didier PELTIER, vous êtes chargé de l'instruction au pôle santé publique à Paris. Vous connaissez un contentieux très spécialisé et, en même temps, vous êtes amené à rechercher ou à exploiter ou faire exploiter des supports numériques au soutien d'investigations dans le domaine de la santé publique. Pouvez-vous nous éclairer sur la manière d'aborder cette question, et l'apport qui peut résulter de ce type de démarche ?

  • Didier PELTIER

Je suis magistrat instructeur au pôle santé publique. Mes domaines de prédilection sont l'amiante, l'exercice illégal de la pharmacie ou de la médecine. Cela a bien évidemment peu à voir avec le sujet qui nous occupe.

J'ai pourtant dans mon cabinet trois dossiers qui peuvent illustrer, je crois, le type de dossier que tout magistrat instructeur peut avoir en matière de preuve immatérielle.

Trois exemples permettent peut-être de délimiter le champ d'action du magistrat instructeur.

Il faut rappeler d'un mot que le magistrat instructeur est là pour mettre en état une affaire pénale. Dès lors que la conviction est faite pour le magistrat instructeur que les preuves, que les éléments de charge sont réunis, il va renvoyer le dossier devant une juridiction de jugement. Ce peut être en correctionnelle ou ce peut être la cour d'assises suivant la nature de l'infraction commise (délit ou crime). A travers cette mise en état, à travers cette recherche faite à charge et à décharge, la preuve immatérielle qui est offerte au juge d'instruction est un élément d'investigation extrêmement important.

Trois éléments, trois exemples que je vais décliner tour à tour.

1. La preuve immatérielle comme moyen d’investigation proprement dit

Je travaille particulièrement avec l'OCLCTIC qui fait un travail remarquable, car le travail mené a permis de remonter assez loin dans les investigations. Une grosse société pharmaceutique française a déposé une plainte, car la molécule qu'elle avait nouvellement découverte avait été piratée et elle a constaté, à travers les cellules de veille dont elle dispose au sein de son entreprise, que cette molécule, sous quasiment la même appellation, était vendue sur le Net et était proposée de façon extrêmement générale sur les pays européens, les pays asiatiques d'une façon relativement importante. C'est extrêmement important, extrêmement grave aussi, car un problème de santé publique se pose. Cette nouvelle molécule doit strictement être ordonnée sous prescription médicale et sous surveillance médicale. Le problème est qu’avec la vente libre sur le Net, on n'est pas sûr que cette molécule correspond exactement à la molécule d'origine - il peut y avoir à travers cela des impuretés extrêmement graves et extrêmement importantes pour la santé publique, et d'autre part, on ne peut en faire un usage sans aucun contrôle médical avec tous les risques que cela comporte.

Nous avons pu travailler en étroite collaboration à travers la plainte qui a été déposée par cette grosse agence pharmaceutique pour, au regard des investigations qui ont été menées par l'Office central de lutte contre la criminalité liée aux techniques de l'information, remonter sur l'ensemble des pays qui desservaient, à travers leur réseau informatique, cette molécule et également sur le pays producteur. Nous avons procédé à des investigations dans quatre pays qui étaient concernés, qui distribuaient cette molécule qui étaient les sites hébergeurs pour les sites qui proposaient la molécule. A travers Eurojust, organe européen qui permet la coordination des opérations de justice et à travers des commissions rogatoires, nous avons pu interpeller des personnes et, pour certaines, des mandats d'arrêt européens ont été délivrés. Une personne a même été détenue en France sur cette base. L'information se poursuit. Nous avons aussi pu, grâce à ces investigations, découvrir quelles étaient, en Chine, les sociétés productrices de cette nouvelle molécule en contrefaçon totale. Nous espérons bien évidemment pouvoir investiguer également sur le territoire chinois pour découvrir la réalité des choses. Vous voyez bien, à travers ces éléments d'information judiciaire, que l'on peut remonter assez loin jusqu'au producteur de la molécule contrefaite et éventuellement interpeller un maximum de personnes - une convention d'entraide internationale a été signée entre la France et la Chine -, et peut-être être les premiers à mettre en œuvre cette convention internationale pour voir extrader certaines personnes vers la France pour être jugées sur ce terrain.

2. La preuve immatérielle comme preuve du lien de causalité

Un ordinateur pose un problème sur le bruit qu'il peut émettre à un moment donné, qui entraîne des acouphènes pour la personne qui l'utilise. Une plainte est déposée par la personne victime de ce dommage, plainte pour blessures involontaires ayant entraîné une incapacité de plus de trois mois, car ce sont des dommages extrêmement importants, et aussi pour mise en danger de la vie d'autrui, car elle vient faire valoir que la société qui commercialise cet ordinateur était parfaitement informée de ce bruit qui pouvait être émis et l'a tout de même mis sur le marché en toute connaissance de cause. Les investigations doivent porter sur : Ce bruit existe-t-il ? Ce bruit existe-t-il, pour le cas où il existe, sur l'ensemble des appareils ? Est-ce que la société qui commercialise cet ordinateur l'a mis sur le marché en toute connaissance de cause ? Il faut aussi, bien sûr, une expertise médicale sur ce terrain pour voir s'il y a un lien de causalité entre le bruit émis et le dommage qui en résulte. La preuve immatérielle joue donc un rôle extrêmement important sur ce domaine.

3. La preuve immatérielle comme élément probant de l’infraction

C’est le cas d'un médecin qui n'hésite pas à faire un exercice illégal de la pharmacie. Il ne se contente pas à son domaine pur médical, mais il joue aussi le rôle de pharmacien en proposant des médicaments via un site Internet, son site Internet. Ce médecin propose, à travers un site Internet qui se trouve aux Etats-Unis (le serveur est aux Etats-Unis), des médicaments notamment interdits à la vente sur le territoire national. Les investigations qui seront menées - nous en sommes encore au début de l'information judiciaire - permettront de confondre d'une façon formelle ce médecin à travers la saisie de son ordinateur, à travers l'expertise de cet ordinateur qui permettra de voir que des médicaments sont bien proposés sur ce site et, éventuellement, de le confondre totalement sur ce terrain.

La preuve immatérielle joue donc un rôle extrêmement important pour le magistrat instructeur que je suis, même dans le domaine de la santé publique. Elle est présente dans tous les domaines, quels qu'ils soient, non seulement dans le domaine financier ou dans le domaine de la pure criminalité, mais également sur un domaine plus pointu qui est celui de la santé publique.

Enfin, lorsque je nomme un expert, je procède comme en matière médicale : j'établis ma mission en totale concertation avec l'expert. Je rejoins ce que disait Alexis RIMBAUD : nous avons chacun un domaine de compétence. Je tiens à avoir ses lumières pour avoir une mission la plus fine possible, la plus précise possible afin qu'elle puisse toucher au plus près de la manifestation de la vérité et éventuellement la faire éclater.

Par ailleurs, le principe du contradictoire existe en matière pénale et au niveau du juge d'instruction désormais. Il a été renforcé avec la loi du 5 mars 2007 dans la mesure où, avant toute mission d'expertise, on doit désormais communiquer notre proposition de mission aux parties. Auparavant, le juge d'instruction signait sa mission et l'envoyait à l'expert. Désormais, le juge d'instruction doit proposer sa mission aux parties, à savoir à la personne qui a déposé une plainte avec constitution de partie civile éventuellement, au plaignant, mais également au mis en examen s'il y en a un, pour le cas où une mission d'investigation et d'expertise intervient à ce moment, et également, bien évidemment, à la partie naturelle qui est le procureur de la République. Ils ont un délai pour faire valoir des observations et ajouter des missions à celles proposées par le juge d'instruction, le juge d'instruction pouvant refuser et, dans ce cas, un débat s'engage qui peut être tranché par la Chambre de l'instruction.

Indépendamment de l'expertise, je considère pour ma part que le juge doit rester maître de son dossier. Alexis RIMBAUD l'a bien dit : l'expert n'est pas un décideur. Le décideur reste le juge sur ce terrain et on doit veiller à ne pas être dépossédé de son dossier à travers une expertise. Pour ma part, j'entends que cette expertise soit suffisamment complète, suffisamment précise, c'est pourquoi je l'élabore en totale concertation avec l'expert qui est missionné, mais aussi qu'elle soit à la portée de tout le monde et qu'elle soit à la portée tant du juge pour qu'il puisse comprendre ce qui est dit et également de la juridiction de jugement qui sera appelée à statuer, a fortiori si c'est une cour d'assises comprenant des jurés populaires qui ne sont pas des spécialistes ni, par définition, des magistrats, et qui doivent pour autant comprendre ce qui est dit à travers une expertise. Le juge et la juridiction de jugement ne doivent pas être dépossédés du dossier à travers l'expertise.

  • Thomas CASSUTO

Merci, Didier Peltier. Un vrai dialogue est donc nécessaire entre le juge et l'expert pour construire la mission d'expertise et construire la finalité de l'expertise.

Finalement, dans l'approche de l'expertise, ne faut-il pas anticiper l'expertise dès le début des investigations pour que, y compris dans les hypothèses que vous nous avez présentées, finalement, on puisse sécuriser le support de la preuve pour que, ensuite, son exploitation dans le cadre de l'expertise puisse être satisfaisante ?

  • Didier PELTIER

Bien sûr, il faut anticiper au maximum sur ce terrain, prévoir toutes les investigations qui s'avèrent utiles, mais aussi, pour ma part, surtout lorsque l'expertise intervient quasiment ab initio. Ils font donc bien évidemment faire en sorte, à travers les premières expertises qui peuvent être diligentées ab initio, que les éléments d'une contre-expertise soient sauvegardés. La sauvegarde de tout élément qui sera soumis au principe du contradictoire pur et dur permettra ensuite de faire avancer normalement la procédure.

  • Thomas CASSUTO

Merci pour ces précisions. Nous arrivons au moment crucial de l'expertise. Serge MIGAYRON, vous êtes experts près des cours d'appel et d'appel administratif de Paris, spécialisé dans le domaine informatique. Comment procédez-vous pour apporter la lumière non seulement aux magistrats qui vous désignent, mais également aux parties concernées par la procédure, plus particulièrement s'agissant de ce que l'on a évoqué tout au long de cette table ronde, de l'intégrité de la preuve numérique et comment, finalement, délivrer un résultat, une information qui soit intelligible, lorsque vous traitez des milliards de données, pour l'ensemble de ces acteurs de la procédure ?

  • Serge MIGAYRON

Je voudrais souligner plusieurs caractéristiques de la preuve numérique qui participent à la validité de celle-ci et qui, pour certaines, en sont les conditions nécessaires. J'examinerai successivement l'intégrité, la qualité, l'interprétabilité et l'intelligibilité de la preuve numérique avec tout d'abord l'intégrité de la preuve numérique.

1. L’intégrité de la preuve numérique

L'information numérique a une particularité que tout monde connaît : c'est une information vulnérable. On parle également de malléabilité parce qu'elle est copiable et modifiable avec très peu d'efforts. Il en résulte un risque de non-intégrité, que ce soit par altération ou destruction, volontaire ou accidentelle, et là on a affaire à une information que l'on dit corrompue, qui a été victime de corruption et pour laquelle on ne peut plus garantir son intégrité. Ce risque de non-intégrité de l'information numérique, je voudrais souligner qu'il est présent à chaque stade de la manipulation de l'objet numérique. Ceci dès le scellé judiciaire.

Par exemple, voici un ordinateur portable placé sous scellés. Ne pouvant pas s'ouvrir pour être utilisé, on pourrait assez facilement imaginer que cet ordinateur est protégé dans son intégrité et que l'objet présente des garanties d'intégrité sérieuses. En réalité, en bas à droite du slide se trouve une trappe d'accès au disque de l'ordinateur dont on voit, qu'il peut être extrait sans toucher au scellé et donc sans briser le scellé et son intégrité.

Le deuxième niveau de risque dans l'intégrité se pose pour le support de données lui-même. Je citerai le cas de Windows qui est un système dit intrusif. Dès l'instant que l'on utilise Windows pour aller examiner le contenu du disque, qu'on l'ait voulu ou pas, le contenu du disque sera irrémédiablement modifié et le système Windows modifiera ou créera des informations à sa propre initiative qui peuvent être tout à fait subtiles, mais qui auront pour conséquence de pouvoir altérer des preuves que l'on pourrait rechercher. C'est notamment vrai en matière de recherche de fichiers effacés et de datation. Je vous renvoie au n°67 de la revue Experts, pour ceux que cela intéresse, où j'avais développé cette problématique et expliqué quelles étaient les parades.

Enfin, les fichiers et les métafichiers. En tant qu'expert, on a souvent à examiner des fichiers accompagnés de métafichiers ou de métadonnées, ces derniers étant des informations sur les fichiers. L'exemple le plus simple est celui des propriétés que l'on découvre par le menu "fichier" de documents Office notamment, même celles de droite, qui donnent des dates informatiques, on pourrait penser qu'étant gérées automatiquement par Windows elles apportent un niveau de crédibilité au document sur lequel elles pointent. En réalité, il n’en est rien. Ces informations sont très aisément manipulables et ne peuvent en aucun cas constituer une garantie d'intégrité du fichier concerné. Très rapidement, il est en de même de nombreux autres fichiers, notamment les fichiers d'enregistrement ou fichiers log, qui ont le paradoxe d'être souvent très riches d'informations sur l'état d'un système, mais comme gros inconvénient d'être extrêmement poreux à toutes les manipulations possibles. Ce sont des fichiers qu'il faut toujours examiner avec beaucoup de réserve.

Les précautions face à ces risques qui sont très nombreux existent et sont de deux ordres :

  • Méthodologiques : par une traçabilité très rigoureuse des investigations effectuées, si possible par des mesures visant à assurer la reproductibilité des investigations de manière, en cas de contestation, à ce qu'il soit possible de rejouer un scénario d'investigation sur des bases similaires et sur un protocole d'investigation qui soit également rigoureux, sur lequel les mesures d'investigation puissent s'appuyer.
  • Les précautions techniques : elles consistent à ne jamais travailler ou tout au moins éviter de travailler sur un disque original et de faire des copies.

Voici un exemple d'équipements que l'on appelle duplicateurs, qui permet de faire des copies à grande vitesse sur des volumes importants et avec un très haut niveau de sécurité. Il y a malheureusement des cas, lors d'interventions à chaud dans lesquelles un degré d'urgence constitue une contrainte où l'on ne peut pas, où l'on n'a pas le temps de faire des copies et où il est nécessaire de travailler sur un disque original. Dans ce cas on utilise une deuxième catégorie d'équipements que l'on appelle des bloqueurs. Ils permettent d'éviter les inconvénients liés au caractère intrusif de Windows. L'usage de logiciels d'investigation est maintenant très répandu chez les experts, chez les policiers, chez tous ceux qui font de l'investigation. L'intérêt de ces fichiers, indépendamment des fonctionnalités très poussées qu'ils apportent, est de travailler sur des fichiers dits "image", en anglais evidence file qui contiennent la totalité, au bit près, de l'information contenue dans un disque dur. A partir de là, on a une très bonne sécurité de ne jamais altérer cette information. S'agissant de la relation entre intégrité et traçabilité, les deux sont pour moi indissociables. Une traçabilité des opérations doit accompagner les mesures qui ont été prises pour garantir l'intégrité d'un support.

2. La qualité

La deuxième caractéristique de la preuve numérique est que l'information dans laquelle elle sera recherchée peut être de qualité très variable. En matière de copie de disque, dans les modalités les plus simples, peut être réalisée sous une forme appelée "copie logique", dans laquelle les fichiers présents sur le disque seront copiés et tout l'espace inutilisé sur le disque sera ignoré. Un deuxième mode de copie est la copie dite physique bit à bit, dans laquelle on copiera l'intégralité du contenu du disque. Ce deuxième mode de copie a déjà un avantage par rapport au précédent : il permettra, le cas échéant, d'aller faire des recherches de fichiers effacés, ce que ne permet pas le premier. Un troisième mode de copie est une copie également physique bit à bit avec une empreinte numérique, on appelle cela une empreinte hash, dont voici un exemple. Ceci est une chaîne de caractères hexadécimaux calculés à partir d'un algorithme MD5 qui garantira que le clone obtenu est strictement identique à l'original. L'intérêt d'une telle signature est qu'un changement, même infime, sur la copie (1 bit) changera radicalement la chaîne de caractères. Il y a donc une extrême sensibilité de cette empreinte à l'information qui se trouve sur le disque. Voilà également un moyen qui permettra de garantir encore un peu plus que la copie obtenue est une copie fidèle de l'original.

En matière de courriel, il y a des tas de façons de sauvegarder du courrier électronique. Dans une façon extrêmement simple, on ne va pas sauvegarder, on ne va pas préserver ce que j'appellerai les "données cachées" qui constituent en réalité le chemin emprunté par le courriel sur Internet d'un relais à un autre jusqu'à la machine de destination. Suivant le mode de conservation utilisé, ces données seront conservées ou pas. Un niveau de conservation supérieur consistera à conserver non pas un courriel isolé mais à conserver la totalité du fichier de messagerie qu'il contient. L'intérêt de cette mesure est qu'elle permettra, dans certaines conditions, de rechercher des messages effacés, ce qui ne sera naturellement pas possible en conservant les messages individuels. Enfin, on peut encore améliorer la qualité de l'information que l'on veut préserver si l'on conserve le fichier de messagerie dans la globalité, mais également si l'on va sur le serveur rechercher certaines informations, de journaux ou autres qui peuvent venir corroborer ou compléter l'information capturée.

Ces deux exemples sont très simples. Ils ont simplement pour but de vous montrer que les modalités de capture d'une information ou d'un objet numérique seront déterminantes et influeront directement la qualité de l'information dont on va disposer et les possibilités que l'on aura de constituer une preuve numérique valable ou pas.

Je voudrais citer un second élément. Dans le domaine de l'information numérique, il y a un très gros avantage à rechercher un faisceau de preuves. Trop souvent, dans les expertises, on est amené à examiner un objet isolé. Or, l'expérience montre que de disposer d'un faisceau de matériaux ou d'objets numériques, si possible provenant de sources distinctes, contribue de façon considérable à la qualité de l'information et à la preuve que l'on pourra en tirer.

3. L’interprétabilité

C’est une conséquence directe de la malléabilité de l'information. Je citerai quelques exemples pour illustrer la très haute exigence d'interprétabilité que requiert une information numérique.

Face à un courriel sauvegardé dans son fichier de messagerie complet, avec ses données cachées, l'on peut avoir le réflexe de penser qu'il y a toutes les raisons que ce courriel soit intègre. En réalité, c'est une erreur. Avec un peu d'expertise technique, il est très facile d'aller à l'intérieur d'un fichier de messagerie, de viser un message déterminé et de corrompre chacune des informations à volonté de ce message, y compris les informations cachées de routage de ce message. Personne ne sera capable derrière de savoir que ce message a été corrompu. Je parlerai là d'apparence d'intégrité. Cette notion est terriblement dangereuse, dont il faut se méfier.

Un deuxième exemple. Dans la récupération de fichiers effacés, le simple fait, dans un environnement Windows, de supprimer le fichier en le déposant dans la corbeille par exemple aura des effets radicalement différents sur les possibilités de récupération de ce fichier et les outils qu'il faudra utiliser.

Un troisième exemple : les analyses de datation évoquées plus tôt. Une date, telle que celle dans les propriétés, est une date calculée sur le fuseau horaire de la machine sur laquelle elle est observée. Ce n'est donc pas une date absolue. Si elle provient d'un scellé saisi dans les DOM-TOM, la date que vous examinerez n'est pas la date à laquelle l'objet a été modifié. C'est bien la date à laquelle vous l'examinez.

L’interprétation est également rendue délicate par une autre caractéristique des technologies aujourd'hui, qui sont des caractéristiques de très grande évolutivité et d'insuffisance d'un point de vue général des spécifications techniques.

La fonction "rechercher" de l'explorateur de Windows, les règles de gestion des dates, de modification de répertoire et de dernier accès à un fichier varient d'une version de Windows à une autre. Autrement dit, si on a besoin de tirer des interprétations de ces dates, il faut connaître avec certitude la version du système sur lequel les objets ont été prélevés.

4. L’intelligibilité

L'intelligibilité est une condition nécessaire à la validité de la preuve numérique parce que si elle n'est pas intelligible, si elle n'est pas compréhensible, elle ne pourra être exploitée. Les solutions, c'est naturellement les qualités de la rédaction technique. La loi du 5 mars 2007 apporte des dispositions positives, semble-t-il, notamment en autorisant le rapport numérique. Il y a tout à gagner à une mission d'expertise très ciblée plutôt qu'une mission très extensive qui, inévitablement, produira une profusion de matériaux qui rendra plus difficilement intelligible la preuve numérique.

Finalement, il ne faut pas oublier qu'une preuve numérique est une preuve du moment. C'est une preuve en l'état des connaissances. L'algorithme MD5 que j'ai présenté tout à l'heure a déjà été partiellement cassé aujourd'hui et le sera probablement dans les années prochaines. Ce qui est vu aujourd'hui comme une preuve ne le sera donc plus dans quelques années. Ensuite, c'est une preuve très exigeante en rigueur, en méthode, d'outillages et également en compétences techniques multiples. L'article 162 du Code pénal qui autorise aujourd'hui l'expert à se faire aider d'un serviteur dans une spécialité autre que la sienne gagnerait à mon avis une interprétation, dans certains cas, plus souple. Intégrité et qualité, interprétation, intelligibilité sont bien les conditions de validité de la preuve numérique et donc de la sécurité de l'expertise numérique. Sur l'intelligibilité, je terminerai par un mot : une preuve numérique, il ne faut pas oublier qu'elle peut ne pas être certaine. On peut être dans des domaines où il est nécessaire d'avoir recours à l'appréciation ou à la corroboration. Une preuve numérique peut ne pas être binaire. Merci.

  • Thomas CASSUTO

Merci, Serge Migayron.

Face à l'ampleur du cauchemar que nous ont révélé Laurence IFRAH et Alain BENSOUSSAN, et pour assurer la prospérité du travail des enquêteurs comme cela nous a été évoqué, l'expert doit permettre d'apporter un éclairage à la fois sur l'analyse de l'information - c'est le résultat de l'expertise -, mais aussi sur la garantie, sous le contrôle du juge, de la qualité de l'information traitée. Vous avez pu voir au travers des différentes interventions tout l'intérêt de la réflexion sur le travail de l'expertise et donc, effectivement, l'intérêt de l'ouvrage que nous a produit Alexis RIMBAUD.

  • Jacqueline DERAY, informaticienne

Je voudrais confirmer un point. En 1986, déjà, les statistiques de l'APSAIRD donnaient dans la criminalité informatique les deux tiers des victimes pour être les assureurs et les banquiers. C'est ce fait qui explique le silence et la confidentialité parce que les banquiers comme les assureurs vivent de leur image de marque et de la sécurité. D'où le fait que les grandes affaires que l'on pourrait imaginer ne sont jamais évoquées et ce sont finalement plutôt les simples particuliers délinquants qui sont aujourd'hui la clientèle courante.

  • Thomas CASSUTO

Merci, madame. Des préjudices sont colossaux au niveau international. Il y a un problème de réponse pénale à ces phénomènes.

  • Fabien LANG

Vous avez raison, madame. Je n'ai pas connaissance d'actes frauduleux qui auraient visé les assureurs. Mais il est évident que les grandes banques - notamment sur des affaires importantes de fishing internationales qui visaient la captation de données permettant aux fraudeurs de s'insérer dans les comptes bancaires en ligne des particuliers et de procéder à des virements - étaient toutes visées par ces phénomènes, et pas seulement en France. Ces dernières ont eu beaucoup de difficulté à révéler ces affaires parce que nous connaissons une phase de développement économique très importante en matière de banque en ligne et qu'il ne fallait absolument pas révéler ce type de faille. Pour ces affaires d'ailleurs, ce n'étaient pas les banques qui étaient spécialement visées mais les particuliers.

La problématique concerne actuellement la protection des ordinateurs particuliers. Les fraudeurs ne s'attaquent pas ou très rarement, pour le moment en tout cas, aux bases de données d'établissements bancaires ou de grandes sociétés qui sont relativement bien protégées. Ils s'attaqueront à des particuliers qui ne connaissent pas forcément ou qui n'ont pas nécessairement envie non plus de se protéger, de mettre à jour leur antivirus, de mettre à jour leur système de d'exploitation. La vulnérabilité se trouve donc aujourd'hui à ce niveau. Encore une fois, les risques sont importants. En France, nous sommes encore relativement bien protégés par notre système bancaire, notamment de transactions par carte bancaire qui oblige les commerçants à transmettre assez rapidement les données recueillies dans le cadre de ces transactions à leur établissement bancaire. Cela risque d'évoluer avec les directives européennes qui vont totalement libéraliser ce type de transactions. Ce n'est pas le cas dans des pays comme les Etats-Unis notamment où ce sont des intermédiaires, des acquéreurs privés qui peuvent procéder à ce type d'activité et procéder aux transactions à la place des banquiers, ce qui a occasionné et qui occasionne très régulièrement des actes de piratage extrêmement importants. L'affaire TGX concerne un gros commerçant américain représenté sur tout le territoire américain et qui a été victime du vol de plusieurs dizaines de millions de numéros de cartes bancaires. Ces numéros se trouvent actuellement sur Internet, sur des forums, des marchés noirs qui vont maintenant s'efforcer de revendre ces numéros en gros, en demi-gros sur ces marchés internationaux. Les risques sont effectivement importants, mais ces établissements n'ont pas forcément envie de le faire savoir.

  • Thomas CASSUTO

Merci.

  • Eric FREYSSINET, gendarmerie nationale

La présentation de M. BENSOUSSAN pouvait laisser croire que l'on traitait peu de preuves numériques au bout du compte, mais la réalité est aujourd'hui qu'énormément d'affaires nécessitent de traiter des supports de preuve numérique, donc pas uniquement les infractions spécifiques. Je pense que ce n'était pas le but de son intervention. Cela veut dire aussi que les experts ne sont pas les seuls à être amenés à traiter ces supports de preuve. La moindre enquête judiciaire au pénal aujourd'hui touche des téléphones portables, peut-être l'utilisation d'Internet. Il faut donc traiter ces supports, dès le départ avec toutes les précautions nécessaires. L'enquêteur procède à la perquisition souvent sans expert, mais en revanche de plus en plus avec des enquêteurs spécialisés.

Le deuxième point porte sur les méthodes. D'une part, dans les laboratoires d'expertise et dans les cabinets d'expertise, on développe depuis plusieurs années des procédures écrites documentées. C'est une démarche d'assurance qualité. Dans les laboratoires, cela se traduit par des démarches d'accréditation. La gendarmerie a entrepris l'accréditation au titre de la norme ISO 17025 qui réglemente le travail dans les laboratoires d'expertise. Ce sera très bientôt le cas pour le département qui s'occupe d'informatique, mais c'est déjà le cas pour les véhicules, les documents, et ce sera très bientôt le cas pour l'ADN puisque la législation nous y contraindra, etc.

Cette démarche est déjà bien entreprise. Au-delà de cela, se pose le problème de la publication des méthodes. L'accréditation en France ne nécessite pas la publication, mais nécessite que les méthodes soient documentées et disponibles pour notamment les services chargés de l'accréditation. Madame IFRAH évoquait l'anti-forensic. Publier les méthodes, les rendre disponibles par exemple intégralement dans les rapports d'expertise et donc disponibles auprès des fraudeurs que l'on poursuit pourrait mettre à mal quantité de notre travail. Il faut donc trouver un bon équilibre. Pour nous, l'équilibre est au travers de la transparence. Les méthodes existent, elles sont documentées. S'il doit y avoir une contre-expertise, elles seront présentées aux contre-experts, etc. Ce sont des choses déjà bien possibles, mais avec le bémol que j'évoquais. La publicité des faits est un grand problème. Il y a peu d'affaires, mais il y en a.

Il existe même des affaires de piratage assez importantes en France. On en parle assez peu parce que, services d'enquête et magistrats, nous sommes très soucieux de conserver une certaine confidentialité sur les affaires sensibles. Toutefois, le procès pénal est public. Au moment du procès, il existe donc le risque que le nom de l'entreprise victime soit dévoilé, etc. Cela peut poser des difficultés. Il existe deux points de vue. La possibilité évoquée la semaine dernière à la Commission européenne d'avoir des victimes sous x aurait un mauvais effet, car cela éviterait l'effet pédagogique de la position de victime puisqu'il n'y aurait plus de crainte à mal protéger son système. Je crois plus à la nécessité d'une préparation de l'entreprise, des administrations, de toux ceux qui gèrent des systèmes d'information à la possibilité d'une crise, c'est-à-dire d'une atteinte à leur système d'information et qu'elles soient en mesure de porter plainte et préparées à communiquer sur ce dépôt de plainte éventuellement.

  • Thomas CASSUTO

Merci, Eric Freyssinet. Une réaction, peut-être ; Alexis Rimbaud, puisque vous avez parlé de certification ?

  • Alexis RIMBAUD

La certification devient presque obligatoire dans le cadre de l'expertise. Pour reprendre le contexte que vous avez évoqué, on a effectivement en provenance certains d'éléments aussi bien de la part des OPJ que des magistrats, et le travail est partagé. A tel point que le travail de l'expert, le travail de la source de la preuve numérique est en train de changer. On est de plus en plus contraint à un traitement le plus rapide possible de l'affaire, presque à une immédiateté. Je me suis livré à quelques calculs pour savoir où se situait véritablement le temps de traitement puisque cela a souvent fait l'objet de plaintes de justiciables qui se plaignaient du temps de traitement de l'expertise. C'est aussi un problème. L'expert travaille. Il génère de la preuve, mais il travaille souvent lentement et prend beaucoup de temps. Il est vrai qu'il vient en opposition à ce mouvement global d'immédiateté de l'information et il s'oppose souvent à cette volonté d'immédiateté de réponse. Pour vous donner un ordre d'idée, j'ai classé les temps de traitement, et ces chiffres parlent d'eux-mêmes, sur les mécanismes actuellement en train de se mettre en place, par exemple la LOLF qui administre l'expertise, qui administre aussi la preuve indirectement.

Je reçois dans mon laboratoire deux types de demandes : des demandes de la part des OPJ sous forme de réquisitions et des demandes d'expertise de la part des magistrats. Pour les réquisitions par exemple, le temps de traitement de devisage, de validation LOLF, c'est-à-dire du retour du parquet, de la récupération des éléments à expertiser, cette partie prend 6 jours. L'opération expertale elle-même prend 9 jours. Ce sont des moyennes. Le temps de traitement global en réquisition est donc de 15 jours et le pourcentage d'administration sur le temps total de 66 %. Le travail de l'expert, le temps pris par l'expert est occupé à 66 % par l'administration. Dans le cadre de l'expertise, le temps consacré à la récupération des éléments expertisés, du rapport avec le magistrat, de la gestion, de la pré expertise, du devisage et de la validation LOLF (étant entendu que l'on n'est même pas encore au début de l'expertise, du travail expertal) prend en tout 19 jours. L'opération expertale elle-même prend en moyenne 31 jours. Cela fait 47 jours de traitement au total, soit 25 % du temps global attribué au travail de l'expert.

Cela signifie, si l'on veut aller beaucoup plus vite dans le temps de traitement de la preuve numérique, qu'il faudra aussi augmenter les systèmes de gestion de la preuve et plus globalement les systèmes mis à la disposition des magistrats et de la loi.

  • Thomas CASSUTO

Merci pour ces précisions. Effectivement, à travers la LOLF, le juge devient un ordonnateur de dépenses et il doit donc administrer le coût. Le déroulement des opérations peut avoir une incidence sur le résultat. D'autres remarques ?

  • Un intervenant

Des contre-exemples flagrants existent où le juge d'instruction est allé très vite pour nous confier des scellés. Je me souviens d'un dossier où quatre personnes étaient incarcérées et il fallait aller vite. Entre le moment où j'ai été appelé et le moment où j'ai remis mon rapport d'expertise, quatre jours ont passé. Je me souviens même avoir fait des copies des scellés directement dans le service de police.

  • Thomas CASSUTO

C'est une contrainte croissante. Je crois que nous avons épuisé notre temps. Merci de votre attention.