Agence web » Actualités du digital » Les forces de l'ordre peuvent-elles vraiment récupérer les fichiers que vous avez supprimés?

Les forces de l'ordre peuvent-elles vraiment récupérer les fichiers que vous avez supprimés?

ParTremplin Numérique Publié le

Lorsque vous supprimez un fichier du disque dur de votre ordinateur, il n'est jamais vraiment parti. Avec suffisamment d'efforts et de compétences techniques, il est souvent possible de récupérer des documents et des photos que l'on pensait auparavant anéantis. Ces analyses informatiques sont un outil utile pour l'application de la loi, mais comment fonctionnent-elles vraiment?

Jeter les bases juridiques

Avant d'entrer dans les mauvaises herbes techniques, il vaut la peine de discuter des aspects procéduraux et juridiques ennuyeux de la criminalistique informatique dans le contexte de l'application des lois.

Tout d'abord, dissipons le vieux mythe selon lequel un mandataire est toujours nécessaire pour qu'un agent chargé de l'application des lois examine un appareil numérique comme un téléphone ou un ordinateur. Bien que ce soit souvent le cas, de nombreuses «failles» (faute d’un meilleur mot) se trouvent dans le tissu de la loi.

De nombreuses juridictions, comme le Royaume-Uni et les États-Unis, autorisent les agents des douanes et de l'immigration à examiner les appareils électroniques sans mandat. Les agents des frontières américaines peuvent également examiner le contenu des appareils sans mandat en cas de destruction imminente d'un élément de preuve, comme l'a confirmé un arrêt du 11e circuit de 2018.

Par rapport à leurs homologues américains, les flics britanniques ont généralement plus de latitude pour saisir le contenu des appareils sans avoir à faire valoir leur cause devant un juge ou un magistrat. Ils peuvent, par exemple, télécharger le contenu d'un téléphone en utilisant une loi appelée Police and Criminal Evidence Act (PACE), que des accusations soient portées ou non. Cependant, si la police décide finalement qu'elle souhaite examiner le contenu, elle doit être approuvée par les tribunaux.

La législation donne également à la police du Royaume-Uni le droit d'examiner les appareils sans mandat dans certaines circonstances où il y a un besoin urgent, comme dans une affaire de terrorisme, ou lorsqu'il existe une crainte réelle qu'un enfant soit exploité sexuellement.

Mais en fin de compte, quel que soit le «comment», lorsqu'un ordinateur est saisi, cela représente simplement le début d'un long processus qui commence par le retrait d'un ordinateur portable ou d'un téléphone dans un sac en plastique inviolable, et se termine souvent par la présentation de preuves dans une salle d'audience.

La police doit respecter un ensemble de règles et de procédures pour garantir l'admissibilité des preuves. Les équipes d'informatique judiciaire documentent chacun de leurs mouvements afin que, si nécessaire, elles puissent répéter les mêmes étapes et obtenir les mêmes résultats. Ils utilisent des outils spécifiques pour garantir l'intégrité des fichiers. Un exemple est un «bloqueur d'écriture», qui est conçu pour permettre aux professionnels de la médecine légale d'extraire des informations sans modifier par inadvertance les preuves examinées.

C’est cette base juridique et cette rigueur procédurale qui déterminent si une enquête judiciaire informatique réussira, et non la sophistication technique.

Plateaux mobiles, caisses mobiles

Malgré les problèmes juridiques, il est toujours intéressant de noter les nombreux facteurs qui peuvent déterminer la facilité avec laquelle les fichiers supprimés peuvent être récupérés par les forces de l'ordre. Ceux-ci incluent le type de disque utilisé, si le chiffrement était en place et le système de fichiers du lecteur.

Prenons l'exemple des disques durs. Bien que ceux-ci aient été largement dépassés par les disques SSD plus rapides, les disques durs mécaniques (HDD) ont été le mécanisme de stockage prédominant pendant plus de 30 ans.

Les disques durs utilisaient des plateaux magnétiques pour stocker les données. Si vous avez déjà démonté un disque dur, vous avez probablement observé à quoi ils ressemblent un peu à des CD. Ils sont de couleur circulaire et argentée.

Lorsqu'ils sont utilisés, ces plateaux tournent à des vitesses incroyables, généralement de 5 400 ou 7 200 tr / min, et dans certains cas, aussi rapidement que 15 000 tr / min. Reliées à ces plateaux sont des «têtes» spéciales qui effectuent des opérations de lecture et d'écriture. Lorsque vous enregistrez un fichier sur le lecteur, cette «tête» se déplace vers une partie spécifique du plateau et transforme un courant électrique en champ magnétique, modifiant ainsi les propriétés du plateau.

Mais comment sait-il où aller? Eh bien, il examine quelque chose appelé une table d'allocation, qui contient un enregistrement de chaque fichier stocké sur un disque. Mais que se passe-t-il lorsqu'un fichier est supprimé?

La réponse courte? Pas tant.

Voici la réponse longue: l'enregistrement de ce fichier est supprimé, ce qui permet d'écraser plus tard l'espace qu'il occupait sur le disque dur. Cependant, les données restent physiquement présentes sur les plateaux magnétiques et ne sont réellement supprimées que lorsque de nouvelles données sont ajoutées à cet emplacement particulier sur le plateau.

Après tout, sa suppression nécessiterait que la tête magnétique se déplace physiquement à cet emplacement sur le plateau et l'écrase. Cela pourrait entraver d'autres applications et ralentir les performances de l'ordinateur. En ce qui concerne les disques durs, il est plus simple de prétendre simplement que les fichiers supprimés n'existent tout simplement pas.

Cela rend la récupération des fichiers supprimés beaucoup plus facile pour l'application de la loi. Ils n'ont qu'à recréer les parties manquantes dans la table d'allocation, ce qui peut être fait avec des outils gratuits, y compris Recuva.

Solide (état) comme un rocher

Bien sûr, les SSD sont différents. Ils ne contiennent aucune pièce mobile. Au lieu de cela, les fichiers sont représentés comme des électrons détenus par des trillions de transistors microscopiques à grille flottante. Collectivement, ceux-ci se combinent pour former des puces flash NAND.

Les SSD présentent certaines similitudes avec les disques durs, dans la mesure où les fichiers ne sont supprimés que lorsqu'ils sont écrasés. Cependant, certaines différences clés compliquent inévitablement le travail des professionnels de l'informatique judiciaire. Et comme les disques durs, les SSD organisent les données en blocs, la taille variant énormément d'un fabricant à l'autre.

La principale différence ici est que pour qu'un SSD écrive des données, le bloc doit être complètement vide de contenu. Pour garantir que le SSD dispose d'un flux constant de blocs disponibles, l'ordinateur émet quelque chose appelé «commande TRIM», qui informe le SSD des blocs qui ne sont plus nécessaires.

Pour les enquêteurs, cela signifie que lorsqu'ils essaient de trouver des fichiers supprimés sur un SSD, ils peuvent constater que le lecteur les a innocemment mis bien au-delà de leur portée.

Les disques SSD peuvent également disperser des fichiers sur plusieurs blocs sur le disque afin de réduire la quantité d'usure occasionnée par une utilisation quotidienne. Étant donné que les SSD ne peuvent supporter qu'un nombre limité d'écritures, il est important qu'ils soient répartis sur le lecteur, plutôt que dans un petit emplacement. Cette technologie est appelée Nivellement de l'usure, et est connu pour rendre la vie difficile aux professionnels de la criminalistique numérique.

Ensuite, il y a le fait que les SSD sont souvent plus difficiles à imager, car vous ne pouvez souvent pas les retirer physiquement d'un appareil.

Alors que les disques durs sont presque toujours remplaçables et connectés via des interfaces standard, comme IDE ou SATA, certains fabricants d'ordinateurs portables choisissent de souder physiquement le stockage à la carte mère de la machine. Cela rend l'extraction du contenu d'une manière juridiquement solide beaucoup plus difficile pour les professionnels de l'application des lois.

Les vraies complications

Donc, en conclusion: oui, les forces de l'ordre peuvent récupérer les fichiers que vous avez supprimés. Cependant, les progrès de la technologie de stockage et du cryptage généralisé ont quelque peu compliqué les choses.

Pourtant, les problèmes techniques peuvent souvent être surmontés. En ce qui concerne les enquêtes numériques, le plus grand défi auquel sont confrontés les forces de l'ordre n'est pas les mécanismes des disques SSD mais plutôt leur manque de ressources.

Il n'y a pas suffisamment de professionnels formés pour faire le travail. Et le résultat final est que de nombreuses forces de police à travers le monde sont confrontées à un arriéré écrasant de téléphones, d'ordinateurs portables et de serveurs non traités.

Une demande de loi sur la liberté d'information du journal britannique Les temps a montré que les 32 forces de police d'Angleterre et du Pays de Galles possèdent plus de 12 000 appareils en attente d'examen. Le temps de traitement d'un appareil y varie d'un mois à plus d'un an.

Et cela a des conséquences. Le fondement de tout système de justice pénale équitable est que les accusés bénéficient d'un procès rapide. Comme dit le proverbe, justice différée est justice refusée. Ce principe est si fondamentalement important qu'il est même représenté dans le sixième amendement à la constitution américaine.

Malheureusement, ce n'est pas un problème qui peut être facilement résolu sans que les forces dépensent davantage pour le recrutement et la formation. Vous ne pouvez pas le résoudre avec plus de technologie.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.