Vol. 79, Nº 3Reportages

Homme travaillant sur un appareil numérique.

Derrière l'écran

Découverte et interprétation de données par les experts en criminalistique numérique

Le cap. Darren Birnie applique la technique de la programmation in situ pour acquérir le contenu complet de la mémoire d'un appareil numérique tout en laissant les données originales intactes. Crédit : Serge Gouin, GRC

Par

Dans les bureaux ottaviens du Groupe de la criminalité technologique (GCT) de la GRC, à la Division nationale, une simple demande d'ouverture de clé USB a tourné en une discussion animée sur la bonne procédure à suivre.

Lien connexe

Une part essentielle du travail des experts en criminalistique numérique consiste à préserver l'intégrité des données qui se trouvent sur les dispositifs saisis. Il leur est absolument nécessaire de connaître tous les faits avant de tenter d'accéder aux données. Alors quand un collègue d'un autre service vient leur demander d'examiner le contenu d'une clé USB, ils ont des questions.

Qu'est-ce que c'est? D'où cela provient-il? Le simple fait d'ouvrir les fichiers peut avoir des conséquences fâcheuses.

« On doit faire une copie-image de la clé USB pour en préserver le contenu original, explique le serg. David Connors, s.-off.resp. des activités de l'équipe de criminalistique numérique du GCT. Pour introduire un élément de preuve devant le tribunal, il faut démontrer qu'il s'agit de l'élément même qui a été trouvé sur les lieux du crime, ce qui n'est bien sûr pas possible lorsque, pendant plus d'un an, tout le monde et son voisin a eu l'occasion d'y toucher. Chaque fois qu'on touche à un dispositif, on en prend note. »

En plus de préserver la preuve, les experts en criminalistique numérique mènent une enquête structurée en recueillant, en classant et en validant les informations numériques trouvées afin de reconstituer des événements passés. Il s'agit pour eux, en gros, de rendre l'élément de preuve intelligible pour quelqu'un qui n'a pas de formation en haute technologie.

Données numériques

On voit tout de suite pourquoi les analystes et enquêteurs de criminalistique numérique (ECN) sont perçus par leurs clients comme des mordus de l'informatique : la quantité d'ordinateurs, de téléphones cellulaires, de réseaux informatiques et d'autres appareils qui composent leur environnement de travail donnerait le vertige à n'importe qui.

« C'est un travail difficile, déclare le cap. Darren Birnie, ECN au sein du GCT. Mais c'est très stimulant quand on aime l'apprentissage continu et les défis toujours nouveaux. J'ai commencé en 2009, et encore aujourd'hui, je continue à avoir des surprises quand j'examine des systèmes. »

Cette évolution est en partie dictée par la rapidité des progrès technologiques.

« On doit constamment s'adapter, observe, *un analyste civil au sein du GCT. Tous les deux ou trois mois, un nouveau cellulaire apparaît sur le marché. Un jour, on fait telle chose d'une certaine façon, et le lendemain, d'une autre façon. On est toujours en train de faire des recherches pour être à la page. »

Le GCT a beau veiller à rester continuellement à jour, les enquêtes, elles, prennent du temps. Le GCT à Ottawa a participé à l'enquête portant sur l'attaque au virus Heartbleed lancée contre l'Agence du revenu du Canada, en 2014. Le 6 mai 2016, Stephen Solis-Reyes a plaidé coupable à deux chefs d'accusation de méfait volontaire (données), à une accusation d'utilisation non autorisée d'un ordinateur et à une accusation d'entrave à un agent de la paix.

Ces derniers mois, le cap. Sébastien Laurendeau, ECN au sein de l'équipe d'enquête en cybercriminalité (EEC) qui est intégrée au GCT, a passé ses journées à fouiller des données sur disque dur à la recherche d'éléments de preuve pouvant relier un suspect à une infraction. Au dire du cap. Laurendeau, ce travail procure de la satisfaction, même s'il exige de la patience.

« Arriver à faire des liens, c'est gratifiant, affirme le cap. Laurendeau. Le simple fait de découvrir comment un délinquant s'y est pris pour commettre une infraction est une source de plaisir, tout comme le simple fait de constater qu'on avance au lieu de piétiner. »

Apprentissage du métier

Le cap. Laurendeau n'était pas un mordu de technologie avant de se joindre à l'EEC. Son intérêt est né au cours d'une affaire de leurre en ligne à laquelle il a travaillé lorsqu'il était affecté aux services généraux au Nouveau-Brunswick. Il avait alors demandé conseil au GCT de sa division.

« Avec l'aide des fournisseurs de servi-ces, j'ai pu, à partir des adresses IP, retrouver la trace du suspect. Ce travail m'a vraiment allumé, raconte le cap. Laurendeau. Les gens croient bénéficier de l'anonymat quand ils sont en ligne, mais ils se trompent. J'ai fini par trouver mon suspect, je l'ai arrêté, puis il a été jugé et condamné. »

Cette expérience l'a conduit à poursuivre sa carrière en criminalistique numérique. Il a suivi quelques cours pour élargir ses connaissances, puis a postulé. Il a fait partie du GCT du Nouveau-Brunswick avant d'intégrer l'EEC à Ottawa.

Plusieurs des membres du GCT ont des connaissances en informatique, mais ce n'est pas requis. Aux candidats retenus est offert un programme de formation pratique qui combine mentorat en contexte de travail et cours d'informatique judiciaire au Collège canadien de police.

D'ordinaire, l'employé a besoin d'un an ou deux pour devenir un ECN autonome, ce qui veut dire qu'un long laps de temps s'écoule entre son embauche et le moment où il peut commencer à travailler de façon indépendante.

Domaine en expansion

À en juger par les outils et l'équipement de pointe dont l'équipe dispose, par exemple la salle de serveur de plusieurs millions de dollars qui fournit une protection contre les attaques informatiques, il est évident que le GCT est une priorité pour la GRC.

Chaque province est dotée d'un GCT appelé à soutenir les détachements locaux. Ces groupes provinciaux ont le plus souvent affaire à des crimes de rue (p. ex. voies de fait, entrée par effraction, vol, fraude, querelles de ménage), mais il leur arrive aussi de participer à des enquêtes majeures (p. ex. homicide, fraude à grande échelle, trafic de drogue, crime organisé, criminalité aux frontières et aux douanes, sécurité nationale).

Le GCT d'Ottawa se distingue en ceci qu'il contribue surtout aux affaires de grande envergure et de longue haleine dont sont chargées les Enquêtes internationales et délicates de la Division nationale, qui s'occupent des dossiers de nature politique et des cas de corruption, d'abus de confiance, de crime de guerre et d'enlèvement. Le GCT d'Ottawa soutient également les services de sécurité routière de la RCN, les services généraux de la Police de protection, les Services de PDM ainsi que le Peloton de protection du premier ministre et celui du gouverneur général. Et comme le GCT d'Ottawa est intégré à l'EEC, il travaille aussi à élucider des cybercrimes.

Aujourd'hui, presque toutes les enquêtes comportent un élément de criminalistique numérique. « En réalité, chaque affaire peut receler un aspect numérique, analyse le cap. Birnie. Mais c'est aussi une réalité que les ressources sont rares, de sorte qu'il faut faire le tri entre ce qui mérite qu'on y consacre du temps et ce qui peut être négligé sans nuire à la poursuite et à ses chances de succès. Il n'y a tout simplement pas assez de technologues judiciaires. »

D'après le serg. Connors, cela signifie qu'il demeure nécessaire de former des employés en criminalistique numérique et de fournir au personnel de première ligne l'information dont il a besoin.

« À mesure qu'augmente le nombre de gens qui règlent leurs affaires quotidiennes dans le monde virtuel, de plus en plus de criminels cherchent à pénétrer dans cet espace et, par conséquent, de plus en plus d'opérations policières y sont menées », conclut le serg. Connors.

*Certains noms ont été omis pour des raisons de sécurité.

Date de modification :