Les Télé-perquisitions (Aspects techniques & Juridiques).
L'implantation des données :
La plus grande difficulté de mise en œuvre des dispositions relatives à la perquisition sont de déterminer avec précision l’implantation géographique du système contenant les données. Cette problématique va être de plus en plus récurrente avec l’émergence du « Cloud Computing ». Il s’agit, à partir d’un ordinateur, d’accéder à des ressources informatiques partagées et configurables sur Internet, à travers une interface graphique. C'est le droit ou sont implantées les données qui doit s'appliquer.
Le premier
problème rencontré par
les enquêteurs implique
d’utiliser l’ordinateur de la
personne mise en
cause et donc d
e modifier les
éventuelles données qui y sont présentes, soit en ajoutant, soit en
modifiant les données déjà présentes en les mettant à jour.
En effet, lorsqu’un enquêteur ou
l’utilisateur d’un ordinateur interagit avec un système en fonctionnement, des
modifications sont apportées. Elles résultent tout simplement de l’architecture
du système d’exploitation et du temps qui passe. En effet, des processus vont
se lancer tels que des points de restauration,
des connexions vers
des sites distants
pour des mises
à jour du système, de l’antivirus, le téléchargement
des mails, etc.
Un test très simple consiste à
analyser ces deux fichiers avec un logiciel Forensics tel que Autopsy III, pour
reconstituer des images, documents, ou autres informations ont été chargées, ou
tout simplement d’y opérer une recherche par
Ils sont parfois situés à
l’étranger, voire répliqués dans plusieurs villes situées dans différents
pays, ce qui
est le cas
pour le SIS,
système d’information de Schengen.
Dans cette éventualité,
il convient de
réaliser un minimum
d’actes préparatoires de la part des enquêteurs pour situer le système à
partir duquel ils vont effectuer la perquisition.
En effet, le principe édicté par Edmond Locard s’applique parfaitement dès qu’un ordinateur est en fonctionnement sur un réseau informatique et c’est pour cette raison que cette disposition est rarement utilisée par les enquêteurs, ces derniers privilégiant une analyse a posteriori du matériel informatique par un technicien spécialisé, même si ce n’est pas prévu d ans les dispositions du Code de procédure pénale.
Cette technique ne doit être
utilisée que pour récupérer des données distantes, sans envisager une analyse
de ce support par la suite, et en précisant bien dans le corps du procès-verbal
que les données ont été modifiées afin que le magistrat en ait connaissance. En
effet, l’un des principes essentiels en matière de criminalistique tel qu’il
est évoqué dans l’ouvrage
d’Harlan Carvey Outils d'analyse
forensique sous Windows est qu’il
faut commenter chacune de ses actions en les horodatant pour les éventuelles
personnes qui seront
amenées à intervenir
par la suite
sur le dossier.
a accéder à des données informatiques stockées accessibles au public (source ouverte), quelle que soit la localisation géographique de ces données; ou
Dans un second temps, il faut placer cette copie bit à bit du disque dur appelée « clone » dans l’ordinateur et procéder aux opérations de perquisitions. La preuve ne serait pas modifiée et les données distantes obtenues seraient copiées sur ce clone. Si cette opération est juridiquement et techniquement admissible puisque la copie des données informatiques est prévue par l’article 56 du Code de procédure pénale, elle ne peut être mise en œuvre pratiquement en raison de la taille grandissante des disques durs, mais surtout de part mon expérience d’ex enquêteur de la pression des enquêteurs pour lesquels ces opérations sont réalisées.
Les dispositions
de la Convention
ont visé à
moderniser, mais surtout
à harmoniser, les législations internes des différents pays. Il
s’agissait notamment de permettre la perquisition, mais surtout la saisie de
données informatiques au sens large. Ces données pouvant être issues de Webmails,
mais également de sites Web, il
apparaissait essentiel pour
les États membres de
l’Union Européenne de posséder les instruments nécessaires pour recueillir
les preuves issues des systèmes
numériques, mais surtout
de faciliter les
règles de procédure pénale.
Les données concernées étant
issues d’un système numérique et donc dans une forme " immatérielle", il était
primordial que les enquêteurs puissent les collecter et les enregistrer sous
une forme matérielle, s’agissant d’un support de stockage qui, lui, pourra
faire l’objet d’une saisie.
Cependant, tout en facilitant
les actions des
enquêteurs, comme le
décrit le rapport
explicatif de la Convention cybercriminalité, il était
nécessaire de veiller au respects des droits de l’homme et ce en vertu de
chacune des législations internes des pays qui seraient amenés à signer, puis à
ratifier cette Convention.
L’idée de
cette disposition était
également de permettre
aux enquêteurs d’agir directement
sans passer par les autorités du pays dans lequel sont situées les données.
Cependant pour des questions de droit, il a été imposé de recueillir
l’assentiment légal et
volontaire de la
personne titulaire ou
détentrice des données tel qu’il
a été défini à l’article 32 de la Convention
Cybercriminalité que nous avons précédemment
évoqué. Les Etats-Unis bien que non membre de l’U.E ont rapidement compris
l’intérêt de cette convention suite aux attentats du 11.09.2001. Ils l’ont
signée et ratifiée.
Par contre aujourd’hui, si plus
en plus de pays qui l’avaient signée, ont tendances à la ratifier… avec plus ou
moins de rapidité…d'autres ne l'ont toujours pas signée. Pour mémoire la convention de Schengen dispose d’un droit
d’observation et de poursuite pour les services d'enquête… Hors, ce n’est que dernièrement que l’Espagne
et la Belgique l’ont ratifiée… Libre circulation des biens et des personnes ?
certes mais pas des données…
Ultime paradoxe est notamment l’Irlande ou sont implantées de nombreuses sociétés américaines, avec l'acquisition des noms de domaine qui vont avec leur activité… Elle n’a jamais ratifiée la convention… Par ailleurs, aucun pays d'Asie ou d'Afrique ne l'a signée, en vue d'une ratification. Doit-on attendre des conventions locales ? Ce n'est pas avec ce type de pratique, que l'on pourra efficacement lutter contre la Cybercriminalité.
Ultime paradoxe est notamment l’Irlande ou sont implantées de nombreuses sociétés américaines, avec l'acquisition des noms de domaine qui vont avec leur activité… Elle n’a jamais ratifiée la convention… Par ailleurs, aucun pays d'Asie ou d'Afrique ne l'a signée, en vue d'une ratification. Doit-on attendre des conventions locales ? Ce n'est pas avec ce type de pratique, que l'on pourra efficacement lutter contre la Cybercriminalité.
L'implantation des données :
La plus grande difficulté de mise en œuvre des dispositions relatives à la perquisition sont de déterminer avec précision l’implantation géographique du système contenant les données. Cette problématique va être de plus en plus récurrente avec l’émergence du « Cloud Computing ». Il s’agit, à partir d’un ordinateur, d’accéder à des ressources informatiques partagées et configurables sur Internet, à travers une interface graphique. C'est le droit ou sont implantées les données qui doit s'appliquer.
À
titre d’exemple, des
fichiers sont accessibles
en permanence par n’importe quel
périphérique, ordinateur,
Smartphone, comme pour Icloud ou Google+. Cependant il est
impossible de savoir
pour l’utilisateur qui accède aux
données et où elles se trouvent précisément, d’où le terme de nuage.
Pour aider l’enquêteur à tenter de déterminer le lieu d’implantation, il est
possible d’installer sous son navigateur des « addons » ou
« toolbars ». Personnellement, je couple « Netcraft » et
« domain details ». la première permet de générer un rapport très
utile, la seconde, d’avoir les mêmes informations de manière visuelle.
L’ensemble de
ces processus s’est
chargé dans la
mémoire vive de l’ordinateur, appelée
RAM, mais également
dans des fichiers
temporaires qui seront stockés
dans les différents espaces du disque dur. Il s’agit notamment des
informations qui seront
contenues dans le
fichier de pagination
du système d’exploitation
(pagefile.sys) ou dans le fichier permettant de mettre le système en veille
(hyberfile.sys). occurrence ou Regex.
Ces fichiers
de taille importante
vont ainsi stocker
la plupart des
fichiers ouverts et les
opérations réalisées à
partir du système
d’exploitation. Des modifications
vont ainsi être réalisées tant que le système sera en fonctionnement. Elles
seront démultipliées surtout si cet ordinateur est utilisé par un enquêteur
pour rapatrier des données.
À
titre d’exemple, dès
qu’un ordinateur est
connecté à Internet,
des informations sont transmises en permanence sous forme de paquets basés
sur le protocole TCP/IP, permettant
de maintenir une
connexion ouverte entre
deux systèmes distants, s’agissant notamment de « SYn-Ack ».
En outre, par système initial, il
est entendu que cette opération ne peut
être réalisée que depuis le domicile de la personne chez laquelle a lieu la
perquisition, ce qui nécessite
un minimum de
connaissances informatiques de la part
des enquêteurs qui l’effectuent. Et oui, le législateur a trop encadré
l’acte et a mal rédigé son article y imposant une limite. A ce jour, aucune
action active n’a été réellement entreprise pour demander la modification de
l’article, hormis une recommandation (n°33) du dernier rapport sur la
Cybercriminalité…
Si l’on considère le temps qu’il
a fallut pour sortir le rapport… dont la sortie a été repoussée maintes fois,
avant qu’il « fuite » dans la presse…on risque de perdre du temps.
Une proposition de texte au législatif aurait été plus salutaire..
En effet, peu d’officiers ou
d’agents de police judiciaire maîtrisent ce genre de techniques qui
peuvent se révéler
complexes dans le cadre
d’un datacenter lorsqu’il s’agit
de perquisition dans des entreprises. Les datacenters sont des centres de
traitement des données utilisés pour remplir une mission critique relative à
l'informatique et à la
télématique. Ils répondent à des normes
strictes d'équipement (baie,
électricité, climatisation, équipement réseau) et
permettent d'héberger des
serveurs de données
ou des équipements télécoms.
Il s’agit
notamment de l’identification précise
du matériel servant
à la perquisition en réalisant un inventaire complet de la configuration matérielle et logicielle (système
d’exploitation, paramètres réseaux,
etc.), mais surtout
de la sécurité de celle-ci qui va
lourdement impacter la réalisation de ces actes. En effet, les entreprises mettent
en place des dispositifs destinés à restreindre le lancement d’applications, de
commandes non autorisées.
En outre,
de plus en
plus de sociétés
implémentent des fonctionnalités de « back
orifice », permettant la
prise à distance
de leurs systèmes informatiques pour la
sauvegarde, la restauration
des données ou
toute autre opération.
Lors d’une perquisition réalisée
par des enquêteurs,
il est nécessaire
de s’assurer de l’existence de
ce type de
solution voire de
la désactiver pour
empêcher toute entrave :
modification, altération, etc.
Ce type de problème est rarement
ou jamais évoqué par les enquêteurs ; or, il est bien présent contrairement aux
perquisitions menées habituellement dans une pièce dont on peut interdire l’accès
à toutes personnes en appliquant un gel des lieux physique ou en revêtant une
combinaison pour éviter toute pollution.
Dans ce
cas d’espèce, il est nécessaire
de mettre de
nombreuses actions destinées à
protéger son action.
Pour mieux appréhender
les problèmes de modification des données et assurer la
sécurité de l’acte de procédure, il convient de préciser que, sur un ordinateur
connecté à Internet via WiFi ou câble Ethernet, il existe 65535 ports en
protocole TCP et 65535 en protocole UDP
créant ainsi autant de portes d’entrées et de sorties de cet ordinateur.
Chacun des ports peut ainsi
recevoir une fonction prédéterminée, à savoir le port
21 pour le
FTP (File Protocol
Transfert), le 23
pour les commandes
dites TELNET, etc. Ce nombre de
ports a été
mis au point
par l'IANA, afin d'aider
à la configuration des réseaux,
et ils sont assignés de la manière suivante :
-
Les ports 0 à 1023 sont les « ports reconnus » ou réservés (« Well Known
Ports »). Ils sont, de manière générale, réservés aux processus système
(démons) ou aux programmes
exécutés par des
utilisateurs privilégiés. Un
administrateur réseau peut néanmoins lier des services aux ports d e son
choix.
-
Les ports 1024 à 49151 sont appelés « ports enregistrés ».
-
Les ports 49152 à 65535 sont, quant à eux, les « ports dynamiques et/ou
privés ».
La modification des données et le principe de Locard :
Les dispositions de l’article
57-1 du Code de procédure pénale prescrivent aux officiers et agents de police
judiciaire de réaliser une perquisition directement à partir d’un système en
fonctionnement ; elles viennent donc en contradiction avec le principe
fondamental de la criminalistique sur l ’altération des indices.
En effet, le principe édicté par Edmond Locard s’applique parfaitement dès qu’un ordinateur est en fonctionnement sur un réseau informatique et c’est pour cette raison que cette disposition est rarement utilisée par les enquêteurs, ces derniers privilégiant une analyse a posteriori du matériel informatique par un technicien spécialisé, même si ce n’est pas prévu d ans les dispositions du Code de procédure pénale.
Il faut garder à l’esprit qu’une
procédure ne se limite pas à l’enquête policière, mais inclut la suite qui y
sera donnée. Il peut s’agir de la phase de l’instruction préparatoire ou du
jugement, où, dans les deux situations, une expertise peut être demandée soit
par le juge d’instruction dans le prolongement des actes initiaux, soit par le
président de la chambre correctionnelle pour éclaircir un point précis.
Comment, dans le cadre d’une
ordonnance de commission d’expert, ce dernier pourra-t-il techniquement remplir
sa mission en déterminant qu’une consultation à un site
Web, qu’un document
a été réalisé
à telle date,
alors même que
les manipulations de l’enquêteur auront modifié certains attributs de ce
fichier, tels que la date de dernier accès ou de dernière modification ?
De surcroît,
ces manipulations auront
un impact sur de
nombreux autres fichiers liés au
fonctionnement du système d’exploitation.
Il convient de garder à l’esprit
que le téléchargement d’informations distantes ne va concerner que des données
visibles, et non des données cachées ou même effacées, la récupération de
telles informations ne pouvant être possible qu’avec des outils bien
particuliers, mais dont le coût estexponentiel. Il s’agit des programmes plus
communément appelés « e-discovery »
Des sociétés telles que Guidance
Software travaillent depuis des années sur ces aspects en visant le marché des
grosses sociétés plutôt que celui des enquêteurs. Le principe de l’altération d’un indice a
d’ailleurs été repris dans le chapitre IV de l’ouvrage que nous avons publié en mars 2014
aux Editions l’Harmattan « le régime des constatations policières
sur Internet ». cette incrimination apparaît dans le chapitre des
infractions relatives « entraves à la
saisine de la justice», et notamment à l’article 434-4 du Code pénal, lequel dispose
:
« Est puni de trois ans d'emprisonnement et de 45000 euros d'amende le
fait, en vue de faire obstacle à la manifestation de la vérité :
1° De modifier l'état des lieux d'un crime ou d'un délit soit par
l'altération, la falsification ou l'effacement des traces ou indices, soit par
l'apport, le déplacement ou la suppression d'objets
2° De détruire, soustraire, receler ou altérer un document public ou
privé ou un objet de nature à faciliter la découverte d'un crime ou d'un délit,
la recherche des preuves ou la condamnation des coupables.
Lorsque les faits prévus au présent article sont commis par une
personne qui, par ses fonctions, est appelée à concourir à la manifestation de
la vérité, la peine est portée à cinq ans d'emprisonnement et à 75000 euros
d'amende».
Ainsi, la peine est aggravée en
raison de la qualité de son auteur. Il s’agit de l’enquêteur, du
technicien ou de
l’expert judiciaire, car
toutes ces personnes concourent à la manifestation de la
vérité, et ont connaissance de la portée de leurs actions destructives telles
que l’altération, l’apport de données. Il convient de rappeler que les données
numériques sont extrêmement volatiles et que tout accès distant à des
informations aura les impacts que nous avons évoqués.
Le respect des textes et des impératifs techniques :
Dans un premier temps, afin de coller au texte, n'opérer la perquisition que de l'endroit ou elle est prévue, et de solliciter l'assentiment express de la personne si les données sont implantées à l'étranger. Pour mémoire, le 57-1 du Code de procédure pénale, renvoi aux traités et accords internationaux en vigueur. En l'occurrence le texte de référence, c'est la convention de BUDAPEST du 23.XI.2001 (Art 19 et 32). Ce dernier article mentionnant :
Une Partie peut, sans l'autorisation d'une autre Partie :
b accéder à, ou recevoir au moyen d’un système informatique situé sur son territoire, des données informatiques stockées situées dans un autre Etat, si la Partie obtient le consentement légal et volontaire de la personne légalement autorisée à lui divulguer ces données au moyen de ce système informatique.
NB : Cet article ne prévoyait que la réception des données à partir d'un système implanté sur son territoire... ce que notre législateur a traduit par le lieu ou se traduit une perquisition initiale... On ne perquisition pas le service d'enquêteur, mais l'ordinateur du mis en cause, lequel doit se trouver par définition à son domicile. Un arrêt de la Cour de cassation du 06.XI.2013 évoque la notion de données distantes et d'assentiment.
La seule
solution légalement admissible
pourrait être de
procéder en deux temps, à savoir dans un premier temps,
réaliser une copie bit à bit du disque dur de l’ordinateur, puis de placer le
disque dur source sous scellé. Une copie dite bit à bit est un
copie identique d’un
disque. En effet,
contrairement à certaines
preuves biologiques qu’il n’est pas possible de répliquer, un support numérique peut être lui répliqué
de nombreuses fois sans limite. Des outils logiciels bootables ou portables
(Caine, Paladin, Deft, Sift, Ftk Imager, Encaser Imager), ou matériels (tableau
TD1 à TD3, Solo) peuvent être utilisés pour ces opérations
Dans un second temps, il faut placer cette copie bit à bit du disque dur appelée « clone » dans l’ordinateur et procéder aux opérations de perquisitions. La preuve ne serait pas modifiée et les données distantes obtenues seraient copiées sur ce clone. Si cette opération est juridiquement et techniquement admissible puisque la copie des données informatiques est prévue par l’article 56 du Code de procédure pénale, elle ne peut être mise en œuvre pratiquement en raison de la taille grandissante des disques durs, mais surtout de part mon expérience d’ex enquêteur de la pression des enquêteurs pour lesquels ces opérations sont réalisées.
Je me souviens de perquisition
« sensibles » ou sans connaître les affres des perquisitions en
entreprises, des horaires étaient fixés pour réaliser telle ou telle opération,
comme si tous les ordinateurs des « cibles » étaient de même
puissance, ou contenait la même quantité de données. Aujourd’hui l’aspect
numérique n’est pas suffisamment pris en compte, et les difficultés qui en
découlent (temps, moyens, nombres
d’enquêteurs spécialisés).
Cela implique un temps de copie
très important via des systèmes logiciels pour lesquels il faut compter environ
une minute par Gig a Octet copié. Par
ailleurs, cette copie
ne peut être
réalisée qu’en présence
de la personne ayant fait l’objet de la perquisition. Cela
impacte donc la procédure, puisque ce délai peut être supérieur à 24 heures sur
de gros volumes de données ou s’il y a plusieurs supports
à copier. La
copie ne peut
être interrompue et
ce délai sera soustrait à la durée légale de la garde
à vue.
En effet, le standard actuel en
capacité de disque dur sur un ordinateur est de l’ordre de
320 Gb pour des portables d'entreprises, et 1 Tb pour des ordinateurs personnels, ce qui
représenterait dans les
meilleures conditions trois heures via un disque dur externe avec un
« imager portable ». De meilleurs taux de copies peuvent être obtenus
via des systèmes de copies physiques
mais, de part leurs coûts, les services sur le terrain n’en sont pas dotés
actuellement.
La solution la plus adaptée pour
les enquêteurs pour ne pas se priver d’heures de garde à vue est de demander à
la personne visée de se faire représenter par un tiers pour les perquisitions
informatiques. Il s’agit d’une technique couramment utilisée lors
des perquisitions dans
des entreprises, permettant
de réaliser simultanément une
perquisition portant sur les documents et une perquisition sur le système
informatique.
C’est cette
solution qui a été retenue
dans le cadre
des enquêtes liées
au scandale du Médiator. Une autre solution, en l’absence de tiers
pouvant assister à la perquisition, serait
de réaliser la
perquisition en recourant
à un live-CD
qui protégerait le disque dur de l’ordinateur perquisitionné contre
toute modification.
Il s’agit généralement d’une
distribution, souvent de type GNU/Linux sur CD-Rom, qui
se charge en
mémoire RAM et
qui permet d’analyser
les données contenues dans
l’ordinateur d’une personne
suspectée sans les
modifier, mais également de
rapatrier les données
distantes, en vue
de les copier
sur support. La problématique
serait que les disques réseaux, ou autres ne seraient pas accessibles, en
raison de certains applicatifs de sécurité pouvant être présents dans certaines
sociétés.
Cet article est issu en partie de
mon ouvrage que j’ai mentionné.
Convention Cybercriminalité : http://conventions.coe.int/treaty/fr/Treaties/Html/185.htm
Rapport explicatif : http://conventions.coe.int/Treaty/FR/Reports/Html/185.htm
Ratification convention Cybercriminalité : http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=&DF=&CL=FRE