Python Digital Forensics - Introduction

Ce chapitre vous donnera une introduction à ce qu'est la criminalistique numérique et à son examen historique. Vous comprendrez également où vous pouvez appliquer la criminalistique numérique dans la vie réelle et ses limites.

Qu'est-ce que la criminalistique numérique?

La criminalistique numérique peut être définie comme la branche de la science médico-légale qui analyse, examine, identifie et récupère les preuves numériques résidant sur les appareils électroniques. Il est couramment utilisé pour le droit pénal et les enquêtes privées.

Par exemple, vous pouvez compter sur des preuves d'extrait par la criminalistique numérique au cas où quelqu'un vole des données sur un appareil électronique.

Bref examen historique de la criminalistique numérique

L'histoire des crimes informatiques et la revue historique de la criminalistique numérique sont expliquées dans cette section comme indiqué ci-dessous -

1970-1980: premier crime informatique

Avant cette décennie, aucun crime informatique n'avait été reconnu. Cependant, si cela est censé se produire, les lois alors en vigueur les traitent. Plus tard, en 1978, le premier crime informatique a été reconnu dans le Florida Computer Crime Act, qui comprenait une législation contre la modification non autorisée ou la suppression de données sur un système informatique. Mais au fil du temps, en raison des progrès de la technologie, l'éventail des délits informatiques commis s'est également accru. Pour faire face aux crimes liés au droit d'auteur, à la vie privée et à la pornographie juvénile, diverses autres lois ont été adoptées.

Années 1980-1990: Décennie du développement

Cette décennie a été la décennie du développement de la criminalistique numérique, tout cela à cause de la toute première enquête (1986) dans laquelle Cliff Stoll a suivi le pirate informatique nommé Markus Hess. Au cours de cette période, deux types de disciplines de criminalistique numérique se sont développés - le premier à l'aide d'outils et de techniques ad hoc développés par des praticiens qui l'ont pris comme passe-temps, tandis que le second a été développé par la communauté scientifique. En 1992, le terme“Computer Forensics”a été utilisé dans la littérature académique.

Années 2000-2010: Décennie de la normalisation

Après le développement de la criminalistique numérique à un certain niveau, il était nécessaire d'établir des normes spécifiques qui peuvent être suivies lors de la réalisation d'enquêtes. En conséquence, divers organismes et organismes scientifiques ont publié des lignes directrices pour la criminalistique numérique. En 2002, le Groupe de travail scientifique sur les preuves numériques (SWGDE) a publié un article intitulé «Meilleures pratiques pour l'informatique légale». Une autre plume dans la casquette était un traité international dirigé par les Européens, à savoir“The Convention on Cybercrime”a été signé par 43 nations et ratifié par 16 nations. Même après de telles normes, il est toujours nécessaire de résoudre certains problèmes qui ont été identifiés par les chercheurs.

Processus de criminalistique numérique

Depuis le premier crime informatique de l'histoire en 1978, les activités criminelles numériques ont considérablement augmenté. En raison de cet incrément, il est nécessaire de les traiter de manière structurée. En 1984, un processus formalisé a été mis en place et après cela, un grand nombre de processus d'investigation judiciaire informatique nouveaux et améliorés ont été développés.

Un processus d'enquête informatique judiciaire comprend trois phases principales, comme expliqué ci-dessous -

Phase 1: Acquisition ou imagerie des expositions

La première phase de la criminalistique numérique consiste à enregistrer l'état du système numérique afin qu'il puisse être analysé plus tard. C'est très similaire à la prise de photographies, d'échantillons de sang, etc. sur une scène de crime. Par exemple, il s'agit de capturer une image de zones allouées et non allouées d'un disque dur ou d'une RAM.

Phase 2: Analyse

L'entrée de cette phase correspond aux données acquises lors de la phase d'acquisition. Ici, ces données ont été examinées pour identifier les preuves. Cette phase donne trois types de preuves comme suit -

  • Inculpatory evidences - Ces preuves soutiennent une histoire donnée.

  • Exculpatory evidences - Ces preuves contredisent une histoire donnée.

  • Evidence of tampering- Ces preuves montrent que le système a été tempéré pour éviter l'identification. Il comprend l'examen des fichiers et du contenu du répertoire pour récupérer les fichiers supprimés.

Phase 3: Présentation ou rapport

Comme son nom l'indique, cette phase présente la conclusion et les preuves correspondantes de l'enquête.

Applications de la criminalistique numérique

La criminalistique numérique traite de la collecte, de l'analyse et de la préservation des preuves contenues dans tout appareil numérique. L'utilisation de la criminalistique numérique dépend de l'application. Comme mentionné précédemment, il est principalement utilisé dans les deux applications suivantes -

Loi criminelle

En droit pénal, la preuve est recueillie pour étayer ou opposer une hypothèse au tribunal. Les procédures médico-légales sont très similaires à celles utilisées dans les enquêtes criminelles, mais avec des exigences et des limites juridiques différentes.

Enquête privée

Le monde de l'entreprise utilise principalement la criminalistique numérique pour les enquêtes privées. Il est utilisé lorsque les entreprises soupçonnent que les employés peuvent effectuer une activité illégale sur leurs ordinateurs qui est contraire à la politique de l'entreprise. La criminalistique numérique constitue l'une des meilleures voies à suivre pour une entreprise ou une personne lorsqu'elle enquête sur une personne pour inconduite numérique.

Branches de la criminalistique numérique

Le crime numérique ne se limite pas aux seuls ordinateurs, mais les pirates et les criminels utilisent également de petits appareils numériques tels que des tablettes, des téléphones intelligents, etc. à très grande échelle. Certains appareils ont une mémoire volatile, tandis que d'autres ont une mémoire non volatile. Par conséquent, selon le type d'appareils, la criminalistique numérique a les branches suivantes -

Informatique légale

Cette branche de la criminalistique numérique traite des ordinateurs, des systèmes embarqués et des mémoires statiques telles que les clés USB. Une large gamme d'informations, des journaux aux fichiers réels sur le lecteur, peut être étudiée par la criminalistique informatique.

Forensics mobiles

Cela concerne l'enquête sur les données des appareils mobiles. Cette branche est différente de la criminalistique informatique en ce sens que les appareils mobiles ont un système de communication intégré qui est utile pour fournir des informations utiles liées à l'emplacement.

Forensics réseau

Il s'agit de la surveillance et de l'analyse du trafic du réseau informatique, à la fois local et WAN (réseau étendu) à des fins de collecte d'informations, de collecte de preuves ou de détection d'intrusions.

Forensics de base de données

Cette branche de la criminalistique numérique traite de l'étude médico-légale des bases de données et de leurs métadonnées.

Compétences requises pour les enquêtes de criminalistique numérique

Les examinateurs de criminalistique numérique aident à suivre les pirates informatiques, à récupérer les données volées, à suivre les attaques informatiques jusqu'à leur source et à participer à d'autres types d'enquêtes impliquant des ordinateurs. Certaines des compétences clés requises pour devenir examinateur médico-légal numérique, comme indiqué ci-dessous -

Capacités de réflexion exceptionnelles

Un enquêteur en criminalistique numérique doit être un penseur exceptionnel et doit être capable d'appliquer différents outils et méthodologies sur une mission particulière pour obtenir le résultat. Il doit être capable de trouver différents modèles et de faire des corrélations entre eux.

Compétences techniques

Un examinateur médico-légal numérique doit avoir de bonnes compétences technologiques car ce domaine nécessite la connaissance du réseau, comment le système numérique interagit.

Passionné de cybersécurité

Parce que le domaine de la criminalistique numérique consiste à résoudre les cyber-crimes et qu'il s'agit d'une tâche fastidieuse, il faut beaucoup de passion pour que quelqu'un devienne un enquêteur médico-légal numérique.

Compétences en communication

De bonnes compétences en communication sont indispensables pour se coordonner avec diverses équipes et pour extraire les données ou informations manquantes.

Habile dans la rédaction de rapports

Après la mise en œuvre réussie de l'acquisition et de l'analyse, un examinateur médico-légal numérique doit mentionner toutes les conclusions du rapport final et de la présentation. Par conséquent, il / elle doit avoir de bonnes compétences en rédaction de rapports et une attention aux détails.

Limites

L'enquête médico-légale numérique offre certaines limites, comme indiqué ici -

Besoin de produire des preuves convaincantes

L'un des principaux inconvénients de l'enquête médico-légale numérique est que l'examinateur doit se conformer aux normes requises pour la preuve devant le tribunal, car les données peuvent être facilement falsifiées. D'autre part, l'investigateur médico-légal informatique doit avoir une connaissance complète des exigences légales, du traitement des preuves et des procédures de documentation pour présenter des preuves convaincantes devant le tribunal.

Outils d'enquête

L'efficacité de l'enquête numérique repose entièrement sur l'expertise de l'examinateur médico-légal numérique et la sélection de l'outil d'enquête approprié. Si l'outil utilisé n'est pas conforme aux normes spécifiées, alors devant le tribunal, les preuves peuvent être rejetées par le juge.

Manque de connaissances techniques du public

Une autre limitation est que certaines personnes ne sont pas complètement familiarisées avec la criminalistique informatique; par conséquent, de nombreuses personnes ne comprennent pas ce domaine. Les enquêteurs doivent s'assurer de communiquer leurs conclusions aux tribunaux de manière à aider chacun à comprendre les résultats.

Coût

Produire des preuves numériques et les préserver est très coûteux. Par conséquent, ce processus peut ne pas être choisi par de nombreuses personnes qui ne peuvent pas se permettre le coût.