LA RECHERCHE DE LA VERITE SUR UN DISQUE D'ORDINATEUR

Article paru dans la revue EXPERTS de décembre 1997 

Le présent développement ne prétend constituer ni une bible ni un guide, mais est simplement le fruit d'une réflexion sur dix années d'expertise informatique en justice pénale.

Son ambition est de proposer des thèmes de réflexion orientés vers l'efficacité de la collaboration entre le Magistrat Instructeur et le technicien chargé d'extraire de la machine examinée les informations correspondant aux attentes du Magistrat.

La  " vérité " recherchée.

Lorsque le Magistrat a une idée précise de ce qu'il cherche sur disque et de la forme probable de l'information recherchée on peut assez rapidement aller au but en pratiquant par exemple une recherche sur mots clés (lorsqu'il s'agit de textes).

Ce cas de figure n'est cependant pas le plus fréquent. Bien souvent le Magistrat n'a qu'une idée de départ d'enquête qui se résume à la qualification du chef de mise en examen, ou bien il souhaite ne pas être trop limitatif en proposant quelques termes clé.

En outre, lorsque la " vérité " recherchée se présente sous une forme graphique (photo, image), le seul critère d'optimisation de la recherche réside dans les noms de fichiers plus ou moins évocateurs.

Les techniques de recherche sont donc très variées selon le thème de départ.

Plusieurs sont souvent pratiquées conjointement car le principe de base est que la recherche doit être aussi exhaustive que possible, ce qui distingue d'ailleurs le travail d'un expert des manipulations que tout amateur d'informatique peut pratiquer.

Ceci est souvent illustré par la formule figurant dans l'ordre de mission: " pratiquer toutes investigations, éditer tous documents et faire toutes observations utiles à la manifestation de la vérité ".

Cette formule qui présente l'avantage de ne rien exclure afin d'éviter ensuite des nullités de procédure rappelle, s'il était besoin, le caractère exhaustif de la mission.


Comment se présente l'information sur un support informatique.

D'un point de vue purement technique on peut comparer un disque ou une disquette à un livre documentaire qui présente en général l'organisation logique suivante:
  • Un ou plusieurs tomes composant l'ouvrage.

  • Un préambule décrivant l'esprit dans lequel l'ouvrage a été conçu et le mode d'emploi de celui-ci.

  • Un sommaire avec des grandes têtes de chapitre et des sous chapitres et pour chacun d'entre eux l'adresse physique (N°de page) du début du chapitre concerné.

  • Une ou plusieurs tables d'index ou tables des matières qui permettent d'accéder physiquement (N° de page) et directement à l'information relative à un thème.
  • Sur le disque d'ordinateur on retrouve à peu de chose près les mêmes ingrédients, le tout étant juste un peu plus complexe du fait qu'au contraire du livre on peut à tout moment écrire sur le disque et donc par exemple augmenter la taille d'un chapitre situé au milieu du volume sans avoir à déplacer les chapitres suivants.

    Si l'on fait abstraction de cette petite particularité qui ne présente d'intérêt que pour les informaticiens on pourra faire le parallèle suivant:
  • Les différents tomes ou volumes seront décrits dans une table des partitions en tête de disque. La table de partition décrira, si le disque comporte plusieurs partitions, l'emplacement physique occupé par chacune d'elles.

  • Dans chaque partition ou volume le préambule deviendra la piste amorce ou " BOOT STRAP " qui pour chaque partition contient l'identification du système d'exploitation et les informations d'organisation logique, en particulier les adresses physiques des tables qui suivent.

  • La table de partition et la piste amorce contiennent en outre un peu de code exécutable par la machine qui leur permettent de se lire elles mêmes et d'installer dès la mise sous tension dans la mémoire volatile de l'ordinateur les divers paramétrages indispensables au système d'exploitation.

  • Le sommaire deviendra le répertoire racine pour les têtes de chapitre et les sous répertoires pour les autres chapitres.

  • La table d'index deviendra Les tables d'allocation de fichiers ou FAT (File Allocation Table) qui contiennent pour chaque fichier les adresses physiques occupées sur le disque par celui-ci.

    Ces tables sont en général au nombre de deux, strictement identiques pour des raisons de sécurité de l'information. Lorsque le système d'exploitation détecte une différence entre les deux tables il considère le fichier concerné comme endommagé et refuse de l'exploiter.

  • Le corps du livre deviendra l'ensemble des fichiers qui sont repérables par leur nom (8 caractères dans le DOS) et un petit supplément facultatif (3 caractères dans le DOS) que l'on appellera extension et qui est utilisé normalement pour caractériser le type du fichier.


  • Les principaux types de fichiers rencontrés.

  • Les logiciels ou exécutables qui, lorsqu'ils sont personnalisés, peuvent contenir des informations intéressantes pour l'instruction. L'usage veut que l'on donne à ces fichiers les extensions BAT, COM ou EXE.

  • Les fichiers textes produit principalement par les traitements de textes. Les plus courants portent les extensions DOC, TXT, WRI.

  • Les informations numériques (tableurs, comptabilités) Les plus courants portent les extensions XLS, WKS, WQS.

  • Les fichiers de carnets d'adresses et bases de données. Très grande diversité d'appellations.

  • Les images ou graphes. Très grande diversité d'appellations.


    Il est bon de se rappeler que toutes les descriptions d'extension de fichiers ci-dessus expriment non une obligation mais un usage. L'utilisateur est souverain pour baptiser un fichier qu'il a créé et peut en particulier utiliser cette prérogative pour dissimuler.

    Ce n'est pas parce qu'un fichier s'appelle TOTO.EXE qu'il est exécutable, et à l'inverse je peux donner ce nom à un fichier personnel pour que l'expert, s'il est distrait, n'aille pas examiner son contenu.

  • Les difficultés de la recherche.

  • L'immensité du domaine de recherche.

    Là réside la principale difficulté dans la mission d'expertise: exprimer de façon exploitable, c'est à dire sous une taille raisonnable et une présentation ergonomique une vérité contenue dans un domaine gigantesque.

    Un disque dur de 1 Giga octets, c'est à dire un milliard de caractères typographiques, ce qui est actuellement très courant, représente, édité sur papier, un document de 200 000 pages bien pleines (5000 caractères chacune) soit environ 6 m3 de papier (et de nombreuses heures de lecture).

    Un tri draconien s'impose donc à l'expert, s'il veut remettre au Magistrat un travail digne d'intérêt.

  • L'importance des manipulations.

    Rechercher 30 mots clés différents sur un jeu de 200 disquettes est un cas courant. Réaliser cette opération à l'aide de logiciels standard tels que PC TOOLS ou NORTON DISKEDIT ne représente pas moins de 6000 passages de disquettes avec prise de notes fastidieuse chaque fois qu'une occurrence a été rencontrée.

    Une telle investigation est donc inenvisageable (en raison de son coût) si l'on ne dispose pas d'un logiciel spécifique organisant et optimisant ce genre de recherche.

  • Les techniques de dissimulation. Changement de noms, fichiers cachés et/ou système.

    Dans un système tel que DOS les noms des fichiers ainsi que l'extension de ces noms est en principe évocateur de leur utilisation. Ainsi, un fichier .COM ou .EXE est généralement un fichier exécutable ou logiciel.

    Rien pourtant n'interdit à un utilisateur retors de baptiser WORD.EXE un fichier contenant des informations d'exploitation.

    Une vérification s'impose donc à ce niveau.

    Des éléments d'automatisation de ce contrôle existent car certains types de fichiers comportent un entête qui lui même contient une signature. Par exemple sous DOS ou WINDOWS un exécutable .EXE débutera toujours s'il est authentique par les caractères " MZ " suivis d'un certain nombre de paramètres utiles à son installation en mémoire avant exécution.

    On peut donc faire un passage automatisé sur tous les fichiers .EXE d'un disque et sortir la liste de ceux qui ne vérifient pas cette loi et qui donc méritent une attention particulière.

    Cette façon d'analyser présente l'avantage d'être puissante, efficace et sans danger. A l'inverse, essayer (pour voir) de lancer en exécution un fichier inconnu peut conduire à une punition cinglante qui peut aller jusqu'au reformatage du disque.

  • Des contrôles automatisables et très efficaces peuvent également être effectués en comparant des fichiers typés avec la taille habituelle que les fichiers de ce type sont censés avoir. J'ai pour ma part " ferré " un fichier OXFORD.INI qui ressemblait aux fichiersd'initialisation de WINDOWS mais qui au contraire de ceux-ci, en général de taille modeste, avait une taille de 2 millions de caractères.

  • Une autre technique de dissimulation qui n'est presque plus utilisée car facilement déjouable consistait à modifier certains attributs d'un fichier.

  • Le déclarer caché permettait qu'il n'apparaisse pas au catalogue des fichiers.

  • Le déclarer système permettait qu'il soit oublié lors de la copie de tous les fichiers d'un répertoire.

  • Lui donner un nom n'utilisant que des caractères ASCII 255 (dans la norme ASCII, AMERICAN STANDARD CODE for INFORMATION INTERCHANGE, norme utilisée sur presque tous les ordinateurs actuels, le code 255 correspond à un faux caractère blanc) rendait ce nom illisible.

    Tous ces artifices ont eu leur heure de gloire. Ils ont permis entre autres de protéger à la copie des logiciels tels que WORD 3.0 ou MULTPLAN de MICROSOFT dans les années 80. Ils ne sont plus utilisés car peu efficaces compte tenu des outils standard actuels de scrutation et de manipulation.


  • Les tentatives d'effacement ou de reformatage des disques.

  • Dans l'esprit de beaucoup d'utilisateurs non informaticiens, effacer un fichier fait disparaître les informations contenues dans celui-ci.

    Il n'en est rien et cette méconnaissance est souvent la bonne fée de l'expert.

    Lorsqu'on efface un fichier sur disque, on indique simplement au système d'exploitation, en apportant les modifications dans ses tables, qu'il peut disposer à nouveau des emplacements occupés par ce fichier. Tant que le système n'a pas écrit de nouvelles informations dessus, les données originelles subsistent.

    Une des tâches incontournables d'un examen exhaustif de disque est donc la lecture des tous les emplacements (ou secteurs) qui ne sont plus affectés à un fichier en exploitation.


  • De même certains utilisateurs, pour protéger leurs secrets travaillent sur disquettes et stockent celles-ci en lieu sûr. Cette pratique constitue un assez bon moyen de confidentialité mais qui comporte tout de même des failles:

    Un logiciel comme WORD par exemple qui traite des textes pouvant atteindre de grandes tailles ne peut pas opérer instantanément sur la totalité de ces documents car la taille de ceux-ci dépasse celle de la mémoire vive disponible.

    Il stocke donc, en général sur le disque dur, de nombreux fichiers temporaires qui sont des morceaux du fichier de travail (et qui devraient normalement être efffacés après usage).

    WORD comme beaucoup de ses concurrents n'est pas un champion du ménage et il n'est pas rare de rencontrer sur un disque à examiner quelques centaines de fichiers temporaires contenant parfois des informations du plus grand intérêt.

    La méthode radicale pour certains utilisateurs réside alors dans le reformatage du disque dur. Cette opération constitue à priori l'indice d'un souhait pressant de dissimulation.

  • Les outils récents de formatage (DOS 6 par exemple) comportent des oublis d'effacement volontaires dans 2 buts très louables:

  • La rapidité du reformatage.

  • La sécurité des informations en permettant parfois un deformatage (NORTON).

  • L'utilisateur ayant reformaté son disque dur et croyant avoir effacé définitivement toutes les informations n'a en fait effacé que le contenu des tables du système et du répertoire racine.

    Toutes les informations contenues dans les fichiers et sous répertoires sont encore présentes sur le disque mais leur accès est désorganisé.

    Les reconstituer ne pose pas de problème sauf au niveau du coût car les opérations sont longues et non complètement automatisables.

    Le reformatage dit de " bas niveau " qui récrit sur chaque secteur constituerait une garantie plus solide (mais non totale) de détruire les informations d'un disque.

    En conclusion, si on veut à tout prix faire disparaître des informations compromettantes d'un disque dur, le feu ou le passage sous les chenilles d'un engin de travaux publics restent les seuls moyens vraiment appropriés car tous les moyens magnétiques endommagent l'information mais n'apportent pas de certitude d'effacement total.

  • Les protections par mots de passe et droits d'accès.

    L'épreuve du mot de passe à la mise sous tension de la machine constitue une barrière en général facile à contourner sauf cas particulier ( voir WATCHDOG ci-après).

    Le mot de passe BIOS est stocké sur une carte de l'ordinateur dans une mémoire volatile maintenue par pile. Débrancher et rebrancher la pile puis reconfigurer la machine permet de se débarrasser de ce mot de passe gênant.

    Il existe d'autre part de nombreux " petits " logiciels qui sont lancés automatiquement par le système au démarrage (leur appel est contenu dans les fichiers d'auto-démarrage AUTOEXEC.BAT ou CONFIG.SYS). Le démarrage de l'ordinateur sur disquette permet de s'affranchir facilement de ce genre de protection.

    Les seules protections par mot de passe un peu rebelles sont celles qui opèrent avant le démarrage du système (BOOT en langage informatique). Elles sont heureusement encore peu répandues.

    L'encryptage des données.

    Encrypter des données consiste, par divers procédés, à modifier caractère par caractère le contenu d'un fichier de façon à le rendre inintelligible. Pour pouvoir ensuite exploiter ce fichier il faudra au préalable être capable de le décrypter.

    Les diverses méthodes de cryptage sont en général associées à un mot de passe qui sert de clé de cryptage et qui peut être lui-même stocké sous forme cryptée.

    Ce procédé est actuellement assez peu utilisé pour plusieurs raisons:

  • Il est illégal en FRANCE ou du moins soumis à une autorisation préalable assortie de garanties déontologiques. Cette précaution me semble très saine mais il n'est pas certain qu'elle survive longtemps à la mondialisation de l'économie.

  • Dans l'exploitation normale d'un poste de travail informatisé, crypter des fichiers constitue un travail supplémentaire et une diminution de la sécurité des informations stockées.

    Reconstituer un fichier crypté lorsque par exemple un secteur de disque est endommagé est une tâche beaucoup plus ardue que lorsqu'on a affaire à un fichier intelligible.

    Le seul domaine (non des moindres) ou l'encryptage me parait présenter un intérêt très supérieur aux inconvénients qu'il entraine est la communication via les réseaux.

  • Le compactage des données est aussi, à un degré moindre une gêne au travail de l'expert,mais pour les mêmes raisons que ci-dessus, et parce que l'espace sur disque est devenu très bon marché, on ne le rencontre pas très fréquemment.

  • L'exploitabilité des informations fournies au Magistrat.

    Pour être exploitable efficacement par un Magistrat, un travail d'expert informatique doit présenter les qualités suivantes:

  • Etre concis, ce qui n'empêche qu'un rapport annexant 10cm d'épaisseur de pièces n'est pas rare. Rappelons toutefois que 10cm de reliure extraits d'un volume initial de 6m3 représente déjà un travail de tri et de sélection méritoire.

  • Coller au plus près aux interrogations formulées dans la mission, et à celles qui ne le sont pas mais qui, à l'apréciation de l'expert, seront utiles à la manifestation de la vérité. Tout ce qui ne répond pas aux deux critères ci-dessus doit être écarté sans regret.

  • - Etre formulé en termes de langage courant. Le monde n'est pas peuplé que d'informaticens et il faut donc communiquer avec des interlocuteurs qui ne sont pas spécialistes de la même discipline. Enoncer ce principe est aisé, l'appliquer implique une vigilance de tous les instants.


  • Le soucil de ne pas apporter de modification pouvant entrainer la nullité de la procédure.

    Le concept d'original cher au Législateur n'a pas beaucoup de sens en informatique où tout est copie de tout.

    Une édition sur papier est une copie du contenu d'un disque, lequel contenu est lui même le fruit de copies successives (mais non effectuées par l'expert).

    Cette édition est nécéssairement acompagnée d'une mise en forme, ne serait-ce qu'une mise en page pour la clarté de la lecture. Ce point peut parfois entrainer quelques difficultés de procédure.

    Les règles de base dans l'accomplissement d'une mission d'expertise pénale est, à mon sens:

  • S'interdire, autant que faire se peut, toute écriture sur les disques examinés.

  • Ne s'autoriser que les manipulations ayant pour but la clarté de présentation et éviter tout ce qui peut être interprété comme de nature à modifier le sens des informations présentées dans les pièces.

  • Une mise en page avec des numéros de page ne me semble pas pouvoir être contestée quel que soit la nature du document.

  • De même la mise en gras ou en couleur des mots clés trouvés.
  • Les notes ou commentaires de l'expert devront par contre être soigneusement séparées du corps de la pièce. Personnellement je n'en met pas dans les pièces et les réserve au rapport.

  • La datation d'une information.

    Connaitre la date et l'heure de dernière manipulation d'un fichier ou d'une machine est parfois une demande pressante du Magistrat ou des enquêteurs (crimes, paternité de logiciels, antériorité).

    Dans les répertoires, les fichiers et sous répertoires sont accompagnés d'une date et d'une heure de dernière modification.
    demande pressante du Magistrat ou des enquêteurs (crimes, paternité de logiciels, antériorité).

    Servir cette information sans précautions serait léger quand on sait combien il est facile de tricher en changeant la date et l'heure système avant d'effectuer un travail.

    L'information fournie devra donc être assortie d'une appréciation quant à la probabilité de sincérité.

    Pour construire cette appréciation, il faudra se reporter à l'expérience que possède tout utilisateur d'ordinateur: Chaque fois qu'on veut intervenir sur un paramètre d'exploitation du système, on ne pense jamais à tout et immanquablement on est sanctionné pour avoir oublié un détail.

    Exemple: on fait une copie de fichier et on a oublié de vérifier que celle-ci s'est bien faite selon nos souhaits. La sanction est en général au rendez-vous.

    Si donc des tentatives de trafic de dates sont soupçonnées on s'efforcera de vérifier la cohérence de l'ensemble. C'est un travail assez fastidieux à l'issue duquel, si aucune faute n'a été décelée, on aura une intime conviction, jamais une certitude.

  • La stratégie de la recherche.

  • L'établissement du catalogue des fichiers.

    Que l'on soit ou non en présence d'un disque en bon état et non protégé, la reconstitution du catalogue des répertoires et des noms de fichiers est le premier passage obligé dans une recherche d'informations sur disque ou disquettes.

    Son exploitation pourra le plus souvent permettre:

  • De se faire une idée sur le type d'exploitation de la machine ou du lot de disquettes.

  • De restreindre la suite des investigations et donc d'optimiser le coût.

  • La recherche sur mot-clé, le choix des mots clés.

    Si le Magistrat peut fournir des arguments de recherche sous forme de mots-clé dont la présence sera recherchée sur le disque, ceci constituera une méthode d'approche trés puissante, mais cependant complémentaire des autres.

    Les deux principales qualités des mots-clés proposés seront:

  • De n'être pas banal ou non succeptible d'être rencontré trop fréquement. Un mauvais exemple caricatural serait de proposer " MICRO " qui révèlerait tous les MICROSOFT ou autres et conduirait à une asphyxie par excès d'informations non significatives trouvées.

    Pour ne pas être banal on devra choisir des mots suffisement longs mais pas trop. Plus les mots seront longs et plus la moindre faute d'orthographe sera succeptible de faire manquer une occurrence intéressante.

    Il faudra en particulier bannir les mots composés car ils pourront êre séparés soit par un tiret, soit par un ou plusieurs blancs, soit par un faux blanc non sécable (caractère ASCII 255). On remplacera avantageusement un mot composé par le plus significatif des deux.

    Exemple " RHONE POULENC " sera avantageusement remplacé par "  POULENC " qui nous vaudra quand même quelques arrêts inopportuns sur des rues " FRANCIS POULENC " mais ceci constituera un moindre mal.

    NOTA: J'ai choisi le terme " RHONE POULENC " non que cette respectable entreprise soit mêlée à des activités délictuelles, mais parce ce nom est bien commode pour mettre en évidence l'importance du choix des mots clés.

    On devra aussi déjouer un autre piège lié à l'accentuation. Dans la codification ASCII les caractères accentués sont différents du caractère générique et aucune relation ne les joint, de telle sorte que si l'on propose " été " comme critère de recherche, les occurences " ete ", " éte ", " ETE " seront superbement ignorées et on risquera de passer à coté de découvertes fondamentales.

  • La constitution d'un glossaire.

    Le caractère puissant et efficace de la méthode précédente ne fera pas de doute pour le lecteur.

    Ainsi que nous l'avons déjà observé, il n'est pas toujours possible en début de mission de constituer un jeu de mots-clés adaptés.

    La présente méthode constitue une aide à la détermination des critères de recherches.

    Elle consiste à scruter un disque ou une partie de celui-ci et en extraire tous les mots de plus de six caractères, pour éliminer les mots non significatifs (articles, conjonctions ..etc).

    On éliminera autant que possible les borborygmes rencontrés ( par exemple on éliminera les mots comportant les triplements de caractères qui révèlent plutôt du code exécutable que du texte intelligible).

    On classera ensuite ce glossaire par ordre alphabétique et, la cerise sur le gateau consistera à fournir avec chaque terme du glossaire, le nombre d'occurences rencontrées.

    Cette démarche implique bien sûr du déveleppement spécifique de logiciel, car à ma connaissance, ce type d'outil n'existe pas en standard.

    J'ai pour ma part développé ce genre d'outil qui comporte deux limitations facilement gérables:

  • Plus le logiciel est puissant, c'est à dire plus le filtrage des mots non significatifs est efficace et plus le traitement est long.

  • Plus le champ scruté est grand et plus le traitement est long. Dans l'état actuel de mon développement scruter 1 giga-octet de disque prendra environs 100 heures de traitement.

  • Ces contingences seront sans importance si l'on a eu soin de saisir les machines à examiner avec au moins le clavier, et si possible pour plus de confort l'écran.

    L'écran n'est pas totalement indispensable (sauf pour voir où on en est). On peut brancher ou débrancher un écran en cours de traitement sans déranger, à condition de ne pas confondre une prise vidéo avec une sortie RS 232).

    On peut alors laisser travailler cet ensemble dans un coin de son officine jusqu'à achèvement de la recherche

    L'extraction de texte.

  • En utililisant les mêmes concepts que dans la méthode précédente on peut extraire de tout ou partie d'un disque tout ce qui ressemble à du texte intelligible.

    Cette méthode pose le mêmes problèmes qu'évoqués ci dessus, mais est très efficace pour révéler le contenu de fichiers effacés, de secteurs non affectés ou de fichiers temporaires.

    Il serait par contre peu judicieux d'appliquer ce traitement à la totalité d'un disque de 1 giga-octet car le risque serait de constituer une pièce très volumineuse et ardue à exploiter.

    La recherche d'images, les formats graphiques.

  • Une première recherche peut s'effectuer sur les extentions des noms de fichiers qui correspondent à des standards.

    Les extentions BMP TIF GIF PCX PET PCT ... etc sont des fichiers d'images dit bitmap (c'est à dire nuages de points) et j'arrète ici l'énumération tant sont nombreux les types de fichiers d'images dédiés aux activités artistiques.

    Les extentions DGN DXF DXB ...etc sont des fichiers de dessin techniques vectoriels.

    Cette première recherche sur les extensions de fichiers ne saurait suffire si l'on est en présence d'une qualification de délit impliquant des activités graphiques. Il faudra alors faire la chasse aux fichiers par la méthode des signatures et des structures.

    Les signatures de fichiers (déjouer les pièges des dissimulateurs).

  • Les signatures de fichiers et plus généralement leurs structures permettent de vérifier qu'on est bien en présence de tel ou tel type de fichier.

    Elle peut venir en confirmation du type de fichier tel que suggéré par le nom et l'extension.

    Elle peut aussi permettre de sélectionner rapidement une catégorie de fichier (images par exemple) sans se fier au nom.

    Le caractère systématique des signatures et des structures permet d'automatiser en partie les contrôles et donc de gagner du temps.

    La vérification par le contenu est parfois plus instructive mais elle implique une opération d'examen humain non automatisable et donc coûteuse. Elle est souvent inévitable.

    Le désassemblage documenté et orienté "expertise ".

  • Désassembler un logiciel ou fichier exécutable, c'est, à partir du code en langage exécutable par le microprocesseur, reconstituer la même logique sous une forme (un peu) plus proche du langage humain, et donc plus facile à analyser. Cette forme est appelée langage d'assemblage ou assembleur.

    Une telle forme d'expression des instructions reste assez ardue à manipuler mais reste la méthode principale en cas de problème de décryptage.

    Le but de l'expert n'est pas de comprendre en totalité et en détail le logiciel examiné mais plutôt de mettre en évidence les phases particulières de celui-ci.

  • Les interrogations à l'écran (demande de mot de passe par exemple)

  • Les lectures et écriture sur disque (localiser le mot de passe ou la clé de décryptage).

  • L'ossature générale du logiciel (en vue de récupérer tel ou tel utilitaire de reconnaissance de mot passe ou de décryptage).

  • L'appel des commentaires ou des constantes du logiciel (stockées en général en fin de fichier).

  • Le décryptage de données.

  • La première démarche est l'dentification de la méthode de cryptage.

    La méthode la plus fréquement rencontrée est la méthode RSA du nom de ses concepteurs RIVEST SHAMIR et ADELMANN.

    C'est une méthode combinant une clé qui est une chaine pouvant dépasser le millier de caractères avec le texte à crypter.

    La connaissance de cette clé est indispensable pour le décryptage. Sans elle, mêmes les auteurs cités plus haut seraient dans l'impossibilité de décrypter.

    Si donc on se trouve confronté à une copie de fichier crypté isolé sur une disquette il n'est pas utile de tenter quoi que ce soit, l'echec est certain.

    Le problème se pose heureusement le plus souvent différement: L'expert se voit confier la machine complète et, mot de passe et clé d'encryptage résident quelque part sur le disque dur.

    Le plus simple moyen, et donc le moins coûteux est de solliciter l'aide du concepteur du logiciel de protection afin de savoir où ces informations sont stockées et sous quelle forme (les mots peuvent eux mêmes être cryptés).

    Malheureusement, compte tenu de notre législation, peu favorable au cryptage sauvage la plupart des produits viennent des USA et leurs concepteurs quoique sympathiques sont très réticents pour fournir ces informations, redoutant les procès que leurs clients ne manqueraient pas de leur intenter par la suite.

    La première phase de la recherche consiste donc en désassemblant tout où partie des logiciels de découvrir ou se trouvent cachées et sous quelle forme, ces informations. Le plus simple est la recherche du mot de passe administrateur qui donne ensuite tous les droits d'accés et permet donc le travail d'expertise dans l 'environnement du système de protection des données.

    Si le mot de passe est lui même encrypté, une approche plus sophistiquée consiste à isoler la séquence de décryptage et à la reconditionner en outil.

    Cet effort supplémentaire permet en outre de révéler des informations présentes dans des fichiers temporaires ou des zones non affectées à des fichiers.

  • L'importance du développement d'outils de recherche.

  • Toutes les investigations décrites ci-dessus impliquent, soit pour des raisons de faisabilité soit dans un soucil d'optimisation des temps de recherche une activité de développement des outils de recherche.

    J'ai pour ma part développé un certain nombre de ces outils:

  • Sous système DOS, car le moins encombrant.

  • En utilisant abondament les outils du BIOS permettant d'aller lire physiquement les supports et donc de s'affranchir de toutes les sécurités de tel ou tel système d'exploitation.

  • Cas particulier concret: " WATCHDOG ".

  • Ce logiciel développé par FISCHER INTERNATIONAL en floride a pour vocation d'encadrer un système d'exploitation (DOS, UNIX , NOVELL ...etc) dans un but de sécurité et de confidentialité de l'information.

    Compte tenu de notre législation actuelle, il n'est pas en vente en FRANCE et son usage sans autorisation sur notre territoire constitue en soi un délit.

    Il mérite amplement son nom (on aurait même pu le nommer PITBULL).

    Il prend en charge dès la mise sous tension tous les supports magnétiques du poste de travail, il interdit en particulier tout démarrage sur disquette (sauf pour dépanner, à condition de fournir d'abord le mot de passe administrateur).

    Il réorganise les disques dur en altérant les tables de partition et pistes d'amorce et en déplacant le répertoire racine de telle manière qu'un disque WATCHDOG transporté sur une autre machine est considéré comme endommagé et n'est pas reconnu comme disque logique par le système d'exploitation.

    Il est structuré un peu comme un multi-utilisateurs en ce sens qu'il permet (même avec DOS) à un administrateur qui possède son propre mot de passe de gérer les droits et les mots de passe des autres utilisateurs.

    Lorsqu'on transporte un tel disque sur une machine hôte et que l'on démarre sur disquette, WATCHDOG se charge dès le démarrage de détruire la logique de la disquette système utilisée à cette fin (par altération des tables FAT).

    WATCHDOG permet en outre à son administrateur d'encrypter, selon la méthode RSA les répertoires de son choix.

    En présence d'un tel phénomème la stratégie (que j'ai choisie) était donc:

  • Démonter les disques pour les installer sur un ordinateur hôte.

  • Protéger à l'écriture la disquette système de démarrage, ou de s'en constituer un jeu suffisant, chaque disquette ne servant alors qu'une fois.

  • Batir un logiciel permettant, en lisant physiquement les disques de reconstituer la logique et les tables du système fonctionnant sous WATCHDOG (dans mon exemple DOS).

  • Désassembler les portions de codes affectées à la reconnaissance du mot de passe administrateur afin de trouver et reconstituer celui-ci.

  • Connaissant le mot de passe administrateur, revenir en exploitation normale sous WATCHDOG, sur l'ordinateur d'origine pour extraire les informations souhaitées.

  • Une telle démarche est bien sûr coùteuse et suppose que les informations recherchées méritent un tel investissement. Cependant le soin apporté dans la dissimulation de ces informations laisse supposer à priori que leur intérêt est grand.


  • Conclusions:

    L'expertise informatique en pénal est une discipline passionnante:

  • Par la variété des sujets: de la fraude fiscale à l'assassinat en passant par l'escroquerie, le vol de secret de fabrique, la pédophilie, la piraterie informatique ...etc

  • Par l'excitation que connaissent bien nos partenaires policiers ou gendarmes lorsqu'ils sont à la recherche de ce qu'on veut leur cacher (syndrome du limier).

  • Par la participation à un travail d'équipe à compétence très diversifiée: outre l'équipe judiciaire la pluridisciplinarité des experts en pénal est fréquente. J'ai pour ma part eu le plaisir de travailler avec des experts comptables, un expert de l'INRA, un chirurgien orthodontiste.

  • Par l'opportunité qui nous est offerte de réaliser des développements " pointus " dans le domaine des systèmes d'exploitation.

    Toutes ces investigations sont coûteuses mais elles constituent un nécessaire investissement si la Justice veut rester efficace devant l'arsenal de plus en plus important de moyens techniques offerts aux délinquants par l'informatique.

    L'expertise informatique en pénal rappelle l'éternel combat du projectile et de la cuirasse. Chaque fois que l'un progresse, l'autre est contraint à un nouvel effort d'imagination.

    L'efficacité des démarches d'expertise dans ce domaine pourrait être considérablement accrue:

  • En mettant en commun entre experts le fruit de chaque expérience particulière, par exemple en dressant un catalogue de compétences des savoir-faire et des outils disponibles issus des problèmes que chacun de nous a eu à résoudre.

  • En se rapprochant du Magistrat, dans la mesure ou les règles de procédure le permettent pour l'élaboration de la stratégie employée.

  • En début de recherche, passer un certain temps d'examen de machine soit avec le Magistrat instructeur, soit avec les enquêteurs permettrait de dégager plus rapidement des critères de recherche plus efficaces parce que tenant compte à la fois du savoir de l'enquêteur et des possibilités de l'informatique.

  • Bernard LAFONTAINE.
    Ingénieur Arts et Métiers.
    Expert près la Cour d'Appel d'ORLEANS.