Sem14.1 Continuite Flashcards
Qu’est-ce qu’élément de preuve numérique? D’où ça provient?
Un fichier qui provient soit:
- numérisation d’un élément de preuve analogique
- d’une copie d’une facette de la trace qui est numérique par nature
Citer des exemple de la numérisation d’un élément de preuve analogique?
- photographie numérique d’une scène de crime
- résultat numérique d’une analyse chimique
Citer des exemple de traces numérique?
- info sur le disque dur d’un ordi
- contenu sur le web ou le darkweb
Il faut pouvoir être suffisamment convaincus de quoi pour qu’un élément de preuve puisse être recevable au tribunal?
- son authenticité
- son intégrité
Quel est l’authenticité d’un élément de preuve?
La trace correspondante provient bien de l’événement d’intérêt (pertinence)
Quel est l’intégrité d’un élément de preuve?
La trace correspondante n’a pas été trop altérée par des événements extrinsèque (qualité)
Qu’est ce qu’ un élément de preuve (numérique) est censé apporter ?
- éclairage fiable, pertinent et objectif
- un événement d’intérêt (délit, catastrophe naturelle, voire un simple incident)
Comment l’intégrité (qualité) d’une preuve peut empêcher la continuité de la preuve?
- après sa création, la trace évolue selon sa dynamique interne qui lui est propre
- la trace peut être perturbé par des évènements extrinsèques
L’élément de preuve est séparé …………. de l’………….. et résulte d’une …………….. de ………. et d’………….
Temporellement
Événement
Succession
Processus
Activité
Pour la continuité de la
Preuve qu’essaye de faire l’intervenant? (Authenticité et intégrité) en T1
- l’intervenant essaie de détecter toutes les traces pertinentes (authenticité)
- l’intervenant minimise la contamination de la scène de crime (intégrité)
En T2 comment assurer la continuité de la preuve (authenticité et intégrité )
- authenticité :
documentation du processus de numérisation - intégrité:
Numérisation (si possible reproductible)
De quoi le forensicien doit il s’assurer pour les copies numérique? Pour l’authenticité en T2
Authenticité:
Le forensicien s’assure qu’il a le bon élément de preuve à copier
Que créé le forensicien lors de la copie numérique de pdv intégrité?
- le forensicien copie fidèlement l’élément de preuve ( write blocker)
- il crée ainsi un élément de preuve numérique : un fichier
Quel est le
To
T1
T2 de la continuité de la preuve?
To = événement
T1 = détection/ prélèvement matériel
T2 = numérisation ou copie numérique
Quelles sont les différence d’accès de la preuve numérique?
Cas 1 : accès directe au support physique (et info durable)
Cas 2 : information éphémère
Cas 3 : pas d’accès direct au support physique
Comment est l’intégrité lors d’un accès direct au support physique?
Pk?
Intégrité Forte
Parce que
- copie parfaite
- copie pure
Qu’est-ce qu’une copie parfaite? Pk l’a considéré t’on parfaite?
Le processus de virtualisation peut être répété comment?
Empreinte du support identique avant et après copie
- on peut considérer que le processus de virtualisation a agi de façon non destructive (pas d’altération du support)
- le processus de virtualisation peut être répété de façon indépendante
Qu’est-ce qu’une copie pure?
Comment est décrit le processus de virtualisation
Peut on considérer que la copie est identique à l’original du support?
Empreinte du support ( avant copie) = empreinte de la copie
- processus de virtualisation est décrit comme fidèle
- oui la copie est identique
Citer des exemples d’informations éphémère du preuve numérique ai accès directe?
- écoute des câbles intercontinentaux
- observation passive d’un flux d’information
- l’information est éphémère
Lors d’information numérique l’observation est reproductible?
Non
Citer des exemples de preuve numérique à accès indirect?
Pas d’accès direct au support physique
- recherche sur Internet
- investigation d’un serveur à distance
Si pas d’accès direct au support physique comment est la facette de la trace numérique observée et copie?
Déjà virtuelle. On extrait directement de l’information codée sous forme binaire
Comment est l’observation si on a pas d’accès direct au support physique?
Observation est indirecte et active
L’observation active se fait au travers de quoi?
De requêtes
Lors d’observation active, l’observation observé est parfois même crée au moment de la requête et donc initier par quoi?
Initié par l’observation elle-même
Lors d’une observation active, si une requête est répétée il est garanti que l’info observée soit identique?
Non aucune garantie
Lors d’une observation active par quoi l’information peut être influencée ou dépendre?
- l’outil d’observation
- la géolocalisation apparente de l’outil d’observation
- le moment où l’observation à lieu
Lors d’une observation active l’observation est reproductible?
Нет
Lors d’une observation non reproductible la notion de copie parfait près son sens, pk? (Cas 2 et 3)
L’info (et son empreinte) issus de l’observation de la douce peut changer à chaque requête
Lors d’une observation non reproductible (cas 2 et 3) , pk la notion de copie pure est pas adaptée non plus?
L’information issue de l’observation de la source peut changer à chaque requête
Lors d’observation non reproductible on perd la notion d’intégrité forte?
Vrai
Lors d’observation non reproductible cas 2 et 3, le général de copie n’est pas reproductible?
En général c’est vrai ce n’est pas reproductible
Comment appréhender un accès indirect ou information éphémère ?
- appréhender comme une analyse destructive d’une facette de la trace
À quelle question une observation non reproductible doit répondre dans sa documentation?
- pk?
- quoi
- qui
- quand
- depuis quel environnement
- depuis où
- comment
Lors d’observation non reproductible que fait il faire avec les résultats obtenus?
Enregistrement systématique
Que faut il faire pour renforcer la confiance en l’authenticité des observations?
Documenter
Citer des exemples dle registrement systématique des résultats obtenus?
- observation documentée
- film de l’écran pdt l’observation
- copie de l’écran et des pages
- copie du code serveur et du code client affichés par le navigateur
Quels sont les éléments des preuves observée lors d’enregistrement systématique des résultats obtenus?
- données primaires récoltée (document, liens internet)
- meta-donnees extraites (z.B dans le code client)
- contexte
Dans la continuité de la preuve numérique, comment rester confiant dans le fait que le fichier correspond bien à l’élément de preuve authentique? Comment prouver l’authenticité d’un fichier?
maintenir la chaîne d’authenticité:
- certificat numérique d’authenticité lors de la création du fichier
- nouveau scellés protégeant le support contenant le fichier
- identification des personnes ayant accès au fichier
- journée avec l’historique des accès au fichier
Que contient un certificat numérique d’authenticité? (Élément de preuve numérique)
- contient les éventuelles infos d’un scellé du support copie ou numérisé
- contient une empreinte numérique du fichier
- signé numériquement par l’entité garante
Comment rester confiant dans le fait que le fichier n’a pas été modifié ultérieurement par inadvertance ou intentionnellement?
En enregistrant toute preuve numérique sous forme:
- d’un fichier (contenant ou non un certificat d’authenticité)
- d’une empreinte numérique associée
À quoi sert l’empreinte numérique?
À vérifier l’intégrité du fichier
De quoi l’empreinte numérique ne protège pas?
- Contre une modification intentionnelle de ce fichier
- Contre modification antérieur à l’empreinte d’un fichier
Que faire pour détecter toute modification ultérieur des (intentionnelle ou non) du fichier?
Rendre son empreinte de référence non modifiable
Pour garantir la continuité de la preuve numérique il suffit de signer l’empreinte du fichier?
Non car le signataire pourrait recalculer et signer l’empreinte du fichier modifié
Quels type de mesure pour détecter toute modification ultérieur intentionnelle ou non d’une preuve numérique?
- Mesure technique
- Mesure organisationnelle
Citer des exemples de mesures techniques ?
- système d’horodatage
- registre permanent d’informations ordonnées temporellement
Lors de mesures techniques une fois dans le registre permanent d’infos ordonnés temporellement une info peut être effacée, déplacée et ou modifiée?
Non plus du tout
Lors de mesure organisationelle on enregistre quoi et où?
- toute empreinte pertinente
- dans un registre permanent d’informations ordonnées temporellement
Selon quel système le registre d’informations ordonnées temporellement est basé?
- système d’horodatage basé sur un registre centralisé
Comment fonctionne le système d’horodatage base sur un registre centralisé?
Un prestataire de confiance:
- reçoit l’info à intégrer dans le registre
- ajoute un nouvel enregistrement contenant l’info à intégrer et la date et l’heure de réception de l’information
- lie de façon permanent le nouvel enregistrement avec les précédents
Citer un exemple de prestataire de confiance
Un notaire
Un système d’horodatage est basé sur quoi? De quel type?
Sur un registre décentralisé de type blockchain (confiance distribuée)
Citer des mesures technique ?
Empreinte, système d’horodatage, registre permanent ordonnée temporellement
Les mesures techniques seules permettent de garantir la qualité et la continuité de la preuve numérique?
Non
Citer des exemple de mesures organisationnelles
Quelles informations enregistrer?
Quand enregistrer?
Authentification des personnes ayant accès à la preuve
À quoi servent des mesures organisationnelles?
Doivent renforcer les mesures techniques
Ensemble à quoi servent les mesures techniques et organisationnelles permettent quoi?
De se protéger contre des modifications ultérieures, intentionnelles ou non d’une preuve numérique postérieures à sa numérisation ou copie numérique
Les mesures technico-organisationnelles permettent de garantir l’authenticité de la preuve avant son premier enregistrement, et la qualité de sa provenance
Faut ne permettent PAS
