mardi 6 décembre 2011

La fiabilité des preuves informatiques

Une preuve n’a de sens que si les données sont intègres. Il faut faire une différence entre la preuve de l’intégrité et l’intégrité de la preuve. Le premier aspect implique que tous les moyens sont mis en oeuvre en amont pour préserver l’intégrité de se qui se passe en aval, notamment la logique et l’exactitude des traitements ce qui permet une journalisation fiable des évènements. Les mécanismes de preuve devraient être omniprésents durant toute la chaîne informatique, de la conception à l’exploitation des programmes et systèmes.

L’intégrité de la preuve signifie qu’elle n’a pas été altérée depuis sa récolte ce qui implique qu’elle doit être sauvegardée correctement. Déjà en 1998, dans un litige qui l’opposait à un employé, la société IBM ne put pas utiliser les preuves qu’elle avait récoltées car le disque qui les contenait n’avait pas été conservé sous séquestre et donc était susceptible d’avoir été altéré.

Ces deux aspects (intégrité et conservation) sont importants car on parle ici de fiabilité. Or l’intégrité d’une donnée signifie que toute modification de cette donnée est volontaire et résulte de l’exécution d’un processus sous contrôle. Cela ne signifie pas qu’elle soit fiable (selon le bien connu « Garbage in, garbage out »). Il faut donc garantir la preuve en amont, au niveau des traitements, en mettant en place les mécanismes qui garantiront l’inaltérabilité des programmes par l’application d’un principe de quatre yeux, d’outils de gestion des versions et de mise en production.

Nous pouvons donc avancer que la preuve est garantie par la vérification des informations avant et après traitement, sur base d’une journalisation. Le terme informatique approprié est « trace d’audit, inaltérable et exhaustive ».

L’appréciation libre du juge va peser sur la nature même de la preuve. Il faut donc, et cela ne sera jamais suffisamment répété, que les preuves présentées soient irréprochables :

o Précautions techniques pour la capture des données : multiplication des sources
(recoupements, sauvegarde, reconstruction des séquences du délit) ;

o Précautions techniques pour la conservation des données : conservation sur un
tiers de confiance;

o Preuve récoltée par des moyens légaux ;

o Mise en évidence d’actions anti-forensiques (effacement) car « ce que l’on
cache vaut bien ce que l’on trouve »

o Police versus privé : le particulier n’a pas, au contraire de la police, à respecter le Code de procédure pénale. Cette considération est évidemment limitée par le principe de loyauté de la preuve.

Tiré de : La criminalité informatique dans l’entreprise : les aspects techniques et légaux de la preuve
http://www.cases.public.lu/fr/publications/recherche/Jeanbaptiste/Memoire_Jeanbaptiste.pdf

Aucun commentaire:

Publier un commentaire