Recherche de la preuve informatique — Stanislas Krawezyk
Date : 03 June 2005 à 11:30 — 30 min.
À partir d'un scellé, il s'agit de retrouver l'ensemble des preuves répondant à un délit ou crime. Après clonage du disque, et vérification que le clone est totalement identique à l'original (utilisation de différents algorithmes de hachages), les investigations peuvent commencer. Les fichiers ne peuvent être qu'en lecture seule. Un journal de toutes les investigations effectuées est généré. Dans ce journal, l'ensemble des preuves (objet évidence) est retranscrit.
Différentes analyses sont effectuées. - Sur les répertoires par la cartographie complète de l'ensemble des données contenues dans le disque y compris les données effacées. Les espaces inter-partitons sont récupérés ainsi que les queues de clusters (partie du cluster non utilisée). - sur les fichiers avec un interpréteur de données puissant. - sur les images avec une prévisualisation directe. -sur la base de registre.
Les images peuvent ensuite être comparées et une analyse probabiliste présente un éventuel rapprochement des couleurs avec la couleur de la peau.