Sem14.1 Continuite Flashcards

1
Q

Qu’est-ce qu’élément de preuve numérique? D’où ça provient?

A

Un fichier qui provient soit:

  • numérisation d’un élément de preuve analogique
  • d’une copie d’une facette de la trace qui est numérique par nature
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Citer des exemple de la numérisation d’un élément de preuve analogique?

A
  • photographie numérique d’une scène de crime
  • résultat numérique d’une analyse chimique
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Citer des exemple de traces numérique?

A
  • info sur le disque dur d’un ordi
  • contenu sur le web ou le darkweb
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Il faut pouvoir être suffisamment convaincus de quoi pour qu’un élément de preuve puisse être recevable au tribunal?

A
  • son authenticité
  • son intégrité
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Quel est l’authenticité d’un élément de preuve?

A

La trace correspondante provient bien de l’événement d’intérêt (pertinence)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Quel est l’intégrité d’un élément de preuve?

A

La trace correspondante n’a pas été trop altérée par des événements extrinsèque (qualité)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Qu’est ce qu’ un élément de preuve (numérique) est censé apporter ?

A
  • éclairage fiable, pertinent et objectif
  • un événement d’intérêt (délit, catastrophe naturelle, voire un simple incident)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Comment l’intégrité (qualité) d’une preuve peut empêcher la continuité de la preuve?

A
  • après sa création, la trace évolue selon sa dynamique interne qui lui est propre
  • la trace peut être perturbé par des évènements extrinsèques
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

L’élément de preuve est séparé …………. de l’………….. et résulte d’une …………….. de ………. et d’………….

A

Temporellement
Événement
Processus
Activité

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Pour la continuité de la
Preuve qu’essaye de faire l’intervenant? (Authenticité et intégrité) en T1

A
  • l’intervenant essaie de détecter toutes les traces pertinentes (authenticité)
  • l’intervenant minimise la contamination de la scène de crime (intégrité)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

En T2 comment assurer la continuité de la preuve (authenticité et intégrité )

A
  • authenticité :
    documentation du processus de numérisation
  • intégrité:
    Numérisation (si possible reproductible)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

De quoi le forensicien doit il s’assurer pour les copies numérique? Pour l’authenticité en T2

A

Authenticité:
Le forensicien s’assure qu’il a le bon élément de preuve à copier

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Que créé le forensicien lors de la copie numérique de pdv intégrité?

A
  • le forensicien copie fidèlement l’élément de preuve ( write blocker)
  • il crée ainsi un élément de preuve numérique : un fichier
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Quel est le
To
T1
T2 de la continuité de la preuve?

A

To = événement
T1 = détection/ prélèvement matériel
T2 = numérisation ou copie numérique

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Quelles sont les différence d’accès de la preuve numérique?

A

Cas 1 : accès directe au support physique (et info durable)

Cas 2 : information éphémère

Cas 3 : pas d’accès direct au support physique

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Comment est l’intégrité lors d’un accès direct au support physique?
Pk?

A

Intégrité Forte
Parce que
- copie parfaite
- copie pure

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Qu’est-ce qu’une copie parfaite? Pk l’a considéré t’on parfaite?
Le processus de virtualisation peut être répété comment?

A

Empreinte du support identique avant et après copie
- on peut considérer que le processus de virtualisation a agi de façon non destructive (pas d’altération du support)

  • le processus de virtualisation peut être répété de façon indépendante
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Qu’est-ce qu’une copie pure?
Comment est décrit le processus de virtualisation
Peut on considérer que la copie est identique à l’original du support?

A

Empreinte du support ( avant copie) = empreinte de la copie

  • processus de virtualisation est décrit comme fidèle
  • oui la copie est identique
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Citer des exemples d’informations éphémère du preuve numérique ai accès directe?

A
  • écoute des câbles intercontinentaux
  • observation passive d’un flux d’information
  • l’information est éphémère
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Lors d’information numérique l’observation est reproductible?

A

Non

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Citer des exemples de preuve numérique à accès indirect?

A

Pas d’accès direct au support physique
- recherche sur Internet
- investigation d’un serveur à distance

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Si pas d’accès direct au support physique comme test la facette de la trace numérique observée et copie?

A

Déjà virtuelle. On extrait directement de l’information codée sous forme binaire

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Comment est l’observation si on a pas d’accès direct au support physique?

A

Observation est indirecte et active

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

L’observation active se fait au travers de quoi?

A

De requêtes

25
Q

Lors d’observation active, l’observation observé est parfois même crée au moment de la requête et donc initier par quoi?

A

Initié par l’observation elle-même

26
Q

Lors d’une observation active, si une requête est répétée il est garanti que l’info observée soit identique?

A

Non aucune garantie

27
Q

Lors d’une observation active par quoi l’information peut être influencée ou dépendre?

A
  • l’outil d’observation
  • la géolocalisation apparente de l’outil d’observation
  • le moment où l’observation à lieu
28
Q

Lors d’une observation active l’observation est reproductible?

A

Нет

29
Q

Lors d’une observation non reproductible la notion de copie parfait près son sens, pk? (Cas 2 et 3)

A

L’info (et son empreinte) issus de l’observation de la douce peut changer à chaque requête

30
Q

Lors d’une observation non reproductible (cas 2 et 3) , pk la notion de copie pure est pas adaptée non plus?

A

L’information issue de l’observation de la source peut changer à chaque requête

31
Q

Lors d’observation non reproductible on perd la notion d’intégrité forte?

A

Vrai

32
Q

Lors d’observation non reproductible cas 2 et 3, le général de copie n’est pas reproductible?

A

En général c’est vrai ce n’est pas reproductible

33
Q

Comment appréhender un accès indirect ou information éphémère ?

A
  • appréhender comme une analyse destructive d’une facette de la trace
34
Q

À quelle question une observation non reproductible doit répondre dans sa documentation?

A
  • pk?
  • quoi
  • qui
  • quand
  • depuis quel environnement
  • depuis où
  • comment
35
Q

Lors d’observation non reproductible que fait il faire avec les résultats obtenus?

A

Enregistrement systématique

36
Q

Que faut il faire pour renforcer la confiance en l’authenticité des observations?

A

Documenter

37
Q

Citer des exemples dle registrement systématique des résultats obtenus?

A
  • observation documentée
  • film de l’écran pdt l’observation
  • copie de l’écran et des pages
  • copie du code serveur et du code client affichés par le navigateur
38
Q

Quels sont les éléments des preuves observée lors d’enregistrement systématique des résultats obtenus?

A
  • données primaires récoltée (document, liens internet)
  • meta-donnees extraites (z.B dans le code client)
  • contexte
39
Q

Dans la continuité de la preuve numérique, comment rester confiant dans le fait que le fichier correspond bien à l’élément de preuve authentique? Comment prouver l’authenticité d’un fichier?

A

maintenir la chaîne d’authenticité:
- certificat numérique d’authenticité lors de la création du fichier
- nouveau scellés protégeant le support contenant le fichier
- identification des personnes ayant accès au fichier
- journée avec l’historique des accès au fichier

40
Q

Que contient un certificat numérique d’authenticité? (Élément de preuve numérique)

A
  • contient les éventuelles infos d’un scellé du support copie ou numérisé
  • contient une empreinte numérique du fichier
  • signé numériquement par l’entité garante
41
Q

Comment rester confiant dans le fait que le fichier n’a pas été modifié ultérieurement par inadvertance ou intentionnellement?

A

En enregistrant toute preuve numérique sous forme:
- d’un fichier (contenant ou non un certificat d’authenticité)
- d’une empreinte numérique associée

42
Q

À quoi sert l’empreinte numérique?

A

À vérifier l’intégrité du fichier

43
Q

De quoi l’empreinte numérique ne protège pas?

A
  • Contre une modification intentionnelle de ce fichier
  • Contre modification antérieur à l’empreinte d’un fichier
44
Q

Que faire pour détecter toute modification ultérieur des (intentionnelle ou non) du fichier?

A

Rendre son empreinte de référence non modifiable

45
Q

Pour garantir la continuité de la preuve numérique il suffit de signer l’empreinte du fichier?

A

Non car le signataire pourrait recalculer et signer l’empreinte du fichier modifié

46
Q

Quels type de mesure pour détecter toute modification ultérieur intentionnelle ou non d’une preuve numérique?

A
  • Mesure technique
  • Mesure organisationnelle
47
Q

Citer des exemples de mesures techniques ?

A
  • système d’horodatage
  • registre permanent d’informations ordonnées temporellement
48
Q

Lors de mesures techniques une fois dans le registre permanent d’infos ordonnés temporellement une info peut être effacée, déplacée et ou modifiée?

A

Non plus du tout

49
Q

Lors de mesure organisationelle on enregistre quoi et où?

A
  • toute empreinte pertinente
  • dans un registre permanent d’informations ordonnées temporellement
50
Q

Selon quel système le registre d’informations ordonnées temporellement est basé?

A
  • système d’horodatage basé sur un registre centralisé
51
Q

Comment fonctionne le système d’horodatage base sur un registre centralisé?

A

Un prestataire de confiance:
- reçoit l’info à intégrer dans le registre
- ajoute un nouvel enregistrement contenant l’info à intégrer et la date et l’heure de réception de l’information
- lie de façon permanent le nouvel enregistrement avec les précédents

52
Q

Citer un exemple de prestataire de confiance

A

Un notaire

53
Q

Un système d’horodatage est basé sur quoi? De quel type?

A

Sur un registre décentralisé de type blockchain (confiance distribuée)

54
Q

Citer des mesures technique ?

A

Empreinte, système d’horodatage, registre permanent ordonnée temporellement

55
Q

Les mesures techniques seules permettent de garantir la qualité et la continuité de la preuve numérique?

A

Non

56
Q

Citer des exemple de mesures organisationnelles

A

Quelles informations enregistrer?
Quand enregistrer?
Authentification des personnes ayant accès à la preuve

57
Q

À quoi servent des mesures organisationnelles?

A

Doivent renforcer les mesures techniques

58
Q

Ensemble à quoi servent les mesures techniques et organisationnelles permettent quoi?

A

De se protéger contre des modifications ultérieures, intentionnelles ou non d’une preuve numérique postérieures à sa numérisation ou copie numérique

59
Q

Les mesures technico-organisationnelles permettent de garantir l’authenticité de la preuve avant son premier enregistrement, et la qualité de sa provenance

A

Faut ne permettent PAS