Les forces de l'ordre peuvent-elles vraiment récupérer les fichiers que vous avez supprimés?
Lorsqu'un fichier est effacé de votre disque dur, il ne disparaît pas complètement. Avec des compétences techniques avancées et un effort conséquent, il est souvent possible de récupérer des documents ou des images que l'on croyait définitivement supprimés. Ces techniques de criminalistique informatique sont précieuses pour les forces de l'ordre. Mais comment fonctionnent-elles exactement ?
Les fondements juridiques de la procédure
Avant d'entrer dans les détails techniques, il est important de souligner les aspects juridiques et procéduraux liés à la criminalistique informatique dans le cadre de l'application de la loi.
Tout d'abord, il est nécessaire de déconstruire l'idée reçue selon laquelle un mandat est systématiquement indispensable pour qu'un agent de police examine un appareil numérique tel qu'un téléphone ou un ordinateur. Bien que cela soit fréquent, de nombreuses exceptions légales existent.
De nombreuses juridictions, notamment au Royaume-Uni et aux États-Unis, autorisent les agents des douanes et de l'immigration à examiner les appareils électroniques sans mandat. Les agents frontaliers américains peuvent également consulter le contenu des appareils sans mandat s'il existe une menace de destruction imminente de preuves, comme le confirme une décision du 11e circuit de 2018.
Les policiers britanniques, par rapport à leurs homologues américains, disposent d'une plus grande marge de manœuvre pour saisir le contenu des appareils sans avoir à obtenir l'approbation d'un juge. Ils peuvent, par exemple, télécharger les données d'un téléphone en vertu d'une loi appelée le Police and Criminal Evidence Act (PACE), même en l'absence de charges retenues. Cependant, si la police souhaite examiner le contenu plus en détail, l'approbation des tribunaux est requise.
La législation permet également à la police britannique d'examiner des appareils sans mandat dans des situations urgentes, par exemple dans les cas de terrorisme, ou en cas de risque avéré d'exploitation sexuelle d'un enfant.
En définitive, la saisie d'un ordinateur n'est que le début d'une longue procédure. Celle-ci débute par le placement de l'appareil dans un sac en plastique scellé et peut se conclure par la présentation de preuves devant un tribunal.
La police doit suivre des règles et procédures strictes afin de garantir l'admissibilité des preuves. Les équipes de criminalistique informatique documentent chaque étape de leurs interventions afin de pouvoir reproduire les mêmes actions et obtenir des résultats identiques si nécessaire. Elles utilisent des outils spécifiques pour garantir l'intégrité des fichiers, comme les "bloqueurs d'écriture", qui permettent d'extraire des informations sans modifier les preuves.
C'est cette base juridique et cette rigueur procédurale, et non pas uniquement la sophistication technique, qui déterminent le succès d'une enquête judiciaire informatique.
Mécanismes de stockage : Disques durs et SSD
Malgré les contraintes juridiques, il est intéressant de noter les nombreux facteurs qui influencent la facilité avec laquelle les fichiers supprimés peuvent être récupérés par les forces de l'ordre. Ceux-ci incluent le type de disque utilisé, la présence ou non d'un chiffrement, et le système de fichiers du disque.
Considérons les disques durs. Bien que les disques SSD plus rapides les aient en grande partie remplacés, les disques durs mécaniques (HDD) ont été le support de stockage dominant pendant plus de 30 ans.
Les disques durs utilisent des plateaux magnétiques pour stocker les données. Si vous avez déjà démonté un disque dur, vous avez probablement remarqué qu'il ressemble à un CD, avec sa forme circulaire et sa couleur argentée.
En fonctionnement, ces plateaux tournent à des vitesses très élevées, généralement entre 5400 et 7200 tours par minute, et parfois jusqu'à 15 000 tours par minute. Des têtes de lecture/écriture sont connectées à ces plateaux. Lorsque vous enregistrez un fichier, cette tête se déplace vers une partie spécifique du plateau et transforme un courant électrique en champ magnétique, modifiant ainsi les propriétés du plateau.
Mais comment la tête sait-elle où aller ? Elle consulte une table d'allocation, qui répertorie tous les fichiers enregistrés sur le disque. Mais que se passe-t-il lorsqu'un fichier est supprimé ?
La réponse simple : pas grand-chose.
Voici une explication plus détaillée : l'entrée correspondant à ce fichier dans la table d'allocation est supprimée, ce qui permet à l'espace qu'il occupait sur le disque dur d'être réutilisé. Cependant, les données restent physiquement présentes sur les plateaux magnétiques et ne sont réellement effacées que lorsque de nouvelles données sont enregistrées à cet endroit précis.
En effet, la suppression physique nécessiterait que la tête magnétique se déplace jusqu'à cet emplacement sur le plateau et écrase les données. Cela pourrait gêner d'autres applications et ralentir les performances de l'ordinateur. Pour les disques durs, il est plus simple de simuler l'inexistence des fichiers supprimés.
Cela facilite grandement la récupération des fichiers supprimés pour les forces de l'ordre. Il leur suffit de reconstituer les informations manquantes dans la table d'allocation, ce qui peut être fait à l'aide d'outils gratuits, comme Recuva.
Les disques SSD : une technologie différente
Les disques SSD sont différents. Ils ne contiennent aucune pièce mobile. Les fichiers y sont représentés sous forme d'électrons stockés par des milliards de transistors microscopiques à grille flottante, regroupés dans des puces de mémoire flash NAND.
Les disques SSD ont quelques points communs avec les disques durs, en ce sens que les fichiers ne sont réellement supprimés que lorsqu'ils sont écrasés. Cependant, certaines différences essentielles compliquent la tâche des professionnels de la criminalistique numérique. Comme pour les disques durs, les SSD organisent les données en blocs, mais leur taille peut varier considérablement selon les fabricants.
La principale différence est que, pour qu'un SSD puisse enregistrer des données, un bloc doit être complètement vide. Afin de s'assurer qu'il y ait toujours des blocs disponibles, l'ordinateur émet une "commande TRIM", qui informe le SSD des blocs qui ne sont plus nécessaires.
Pour les enquêteurs, cela signifie que lorsqu'ils essaient de retrouver des fichiers supprimés sur un SSD, ils peuvent découvrir que le lecteur les a, sans intention malveillante, rendus inaccessibles.
Les disques SSD peuvent également répartir les fichiers sur différents blocs du disque afin de réduire l'usure due à une utilisation quotidienne. Comme les disques SSD ne peuvent supporter qu'un nombre limité d'écritures, il est essentiel qu'elles soient réparties sur l'ensemble du disque plutôt que concentrées sur un petit emplacement. Cette technologie, appelée "nivellement de l'usure", est connue pour complexifier la tâche des experts en criminalistique numérique.
De plus, les disques SSD sont souvent plus difficiles à imager, car il est fréquent de ne pas pouvoir les retirer physiquement d'un appareil.
Alors que les disques durs sont presque toujours remplaçables et connectés via des interfaces standard comme IDE ou SATA, certains fabricants d'ordinateurs portables choisissent de souder la mémoire de stockage directement sur la carte mère. Cela rend l'extraction de données pour les experts judiciaires beaucoup plus difficile.
Les défis réels
En conclusion, oui, les forces de l'ordre peuvent récupérer les fichiers que vous avez supprimés. Cependant, les avancées dans la technologie de stockage et le recours au cryptage ont complexifié la situation.
Néanmoins, les obstacles techniques peuvent souvent être surmontés. En matière d'enquêtes numériques, le principal défi auquel les forces de l'ordre sont confrontées n'est pas le fonctionnement des disques SSD, mais plutôt le manque de ressources.
Il n'y a pas assez de professionnels compétents pour effectuer ce travail. Par conséquent, de nombreuses forces de police dans le monde sont confrontées à un retard conséquent dans le traitement des téléphones, ordinateurs et serveurs saisis.
Une demande d'accès à l'information du journal britannique The Times a révélé que les 32 forces de police d'Angleterre et du Pays de Galles avaient plus de 12 000 appareils en attente d'examen. Le délai de traitement d'un appareil varie entre un mois et plus d'un an.
Ceci a des répercussions importantes. Le principe fondamental de tout système judiciaire équitable est que les accusés bénéficient d'un procès rapide. Comme le dit l'adage, "justice retardée est justice refusée". Ce principe est tellement important qu'il est même mentionné dans le sixième amendement de la Constitution américaine.
Malheureusement, ce problème n'est pas facile à résoudre sans augmenter les investissements des forces de l'ordre dans le recrutement et la formation. Il ne peut pas être résolu par une simple amélioration des technologies.