Basée sur l’analyse des informations présentes sur n’importe quel support informatique, cette nouvelle activité, lancée fin 2002, par la société Kroll Ontrack vise à accompagner les entreprises, les cabinets d’avocats ou les départements de justice dans leurs recherches d’information ou investigations.

Gilles Prola, responsable du Service Recherche de Preuves Informatiques chez Kroll Ontrack France nous dresse un portait de cette nouvelle activité en plein essor en France et répond à nos questions.

Pouvez vous nous présenter la société Kroll Ontrack ?

Ontrack est une société créée en 1985 dont les 3 métiers sont la récupération de données informatiques perdues après incident ou sinistre, activité sur laquelle Ontrack a été pionnier (services et logiciels), l’investigation informatique, et l’Electronic Discovery (seulement aux USA).

Elle est implantée en Europe depuis plus de 10 ans et depuis 5 ans en France. La société compte environ 500 collaborateurs dont près de 200 ingénieurs, sur 9 laboratoires. L’effectif en France est de 9 personnes. Depuis 2002, Ontrack est devenu KrollOntrack, division technologique du groupe Kroll, 1ère société mondiale de risk consulting.

Quel est votre rôle au seins de cette société ?

Je suis responsable de l’activité investigation informatique (Computer Forensic) pour la France, Belgique et Luxembourg.

Quels types de missions votre cellule peut elle prendre en charge et plus généralement Ontrack ?

L’activité principale de la société Ontrack en France et Europe reste la récupération de données perdues après incident (sinistre, attaque virale, erreur humaine, panne matérielle ou logicielle) qui intéresse tout utilisateur.

En ce qui concerne l’activité d’investigation notre cible est plus réduite que la précédente. Il s’agit de rechercher des preuves ou indices informatiques, ce qui signifie qu’une situation juridique particulière en est l’origine.

Ceux qui utilisent nos services sont les directeurs juridiques, DRH, Dr Généraux de sociétés, à l’occasion de conflits avec certains de leurs employés, ou lorsque certains employés sont suspectés de se livrer à des faits délictueux.

Quelques exemples de missions récentes :

– Un cadre supérieur quitte son employeur et rend son PC portable et son PDA : les données importantes et confidentielles ont disparu… Nous récupérons a c’est notre activité historique – les données, et démontrons que l’effacement a été volontaire,

– Un  » corbeau  » adresse des lettres injurieuses dans l’entreprise, celle ci mène une enquête interne puis nous confie l’analyse du disque dur de quelques suspects : nous montrons que les courriers ont été créés sur un des PC de l’entreprise.

– Victime d’une attaque virale, une entreprise cherche à savoir si le responsable est un ex employé : nous trouvons trace du développement du virus sur une machine, après l’avoir décompilé. Cette affaire pourrait atterrir sur le bureau de l’un des services de police spécialisé (BEFTI, OCLCTI), mais seulement si le client porte plainte.

– Une entreprise cherche à récupérer ses données chez un sous traitant (développeur de programmes) qui a déposé le bilan : nous intervenons en réalisant une copie de plusieurs disques durs de serveurs Raid, en présence d’un huissier, d’un commissaire de police et d’un serrurier.

Pourquoi une entreprise fait elle appel aux services aux services d’investigation numérique ?

Pour recueillir des éléments de preuves afin d’envisager le cas échéant un licenciement, ou après le licenciement en cas de contestation devant les tribunaux.

Pour recueillir des informations permettant de répondre à des arguments techniques utilisés par l’adversaire (il n’est pas possible de faire cela avec un PC, je n’avais pas ce logiciel d’installé, etc.). Ce type de mission peut se traduire par l’examen du disque dur, mais peut également être une simple consultation d’expert.

Réunir des éléments de preuve permettant éventuellement de porter plainte, ou de menacer de le faire (stratégie / tactique judiciaire).

Et enfin pour tout simplement préserver une preuve (copie devant huissier) à toutes fins utiles ou pour l’investiguer elle même.

Dans quel cadre légal une entreprise peut solliciter votre aide ?

Il est contractuel. Nous demandons à l’entreprise de nous confirmer qu’elle respecte le droit du travail relatif à la cyber surveillance, et refusons bien entendu toute action illégale, comme celle de porter atteinte à la vie privée (pas d’examen de messagerie à caractère privé, cf. Arrêt Nikon qui a condamné un employeur pour avoir consulté des mails d’un employé alors que ceux ci étaient spécifiés comme privés).

Etes vous déjà intervenus dans le cadre de procès au tribunal ?

Une partie non négligeable de notre activité investigation est faite pour des Juges d’instruction, des Parquets, en relation avec les services de Police Judiciaire.

Dans ce cas l’un de nos ingénieurs est nommé expert et nous rendons un rapport d’expertise. Les affaires les plus courantes ont trait à la pédophilie, à la délinquance financière, et à la délinquance informatique.

Quelle valeur juridique êtes vous en mesure d’apporter ?

La valeur juridique de la preuve informatique est à l’appréciation des juges, comme toute autre preuve. Le client doit être attentif sur le mode de recueil de la preuve (respecter le droit du travail et l’atteinte à la vie privée) qui est plus souvent contesté que la preuve elle même. Nous conseillons au client qui ne vient pas chez nous sur les recommandations de son avocat de consulter son avocat avant toute action.

Comment se passe concrètement une investigation sur un support tel qu’un disque dur pouvant contenir des dizaine de giga d’informations ? Quelles sont vos méthodes ?

Avant toute investigation, il faut prévoir de préserver l’intégrité de la preuve et la possibilité d’une contre expertise : c’est la raison pour laquelle nous réalisons systématiquement deux copies parfaites du support, de préférence devant huissier.

Tous nos travaux sont effectués sur cette copie avec des logiciels spécialisés permettant de consulter, extraire, visualiser tous les fichiers sans altérer ni modifier la preuve, la copie en l’espèce.

La difficulté est d’isoler l’information pertinente, tout dépend de la recherche et des données. Ainsi, un disque de quelques gigas ou un simple CD-ROM peut contenir une quantité de tableaux Excel inexploitables sans outils et expérience. Il n’est pas possible de tout automatiser.

Nous disposons d’une technologie propre en ce qui concerne la récupération de documents perdus ou effacés, les copies bit à bit de disques durs ou autres supports, permettant des images de très haute qualité, nous utilisons également des outils propriétaires de recherche par mots clés ou de recherche par  » concepts  » dérivés de l’intelligence artificielle. L’expérience est primordiale dans cette activité.

Quelle était pour vous la mission la plus intéressante ?

Celle sur la question de savoir si un virus a été développé sur un PC. Plusieurs pistes s’offraient à nous, certaines fausses, nous avons eu par moment des doutes mais avons découvert de nombreux indices concordants. Nous avons fait également d’une pierre deux coups en démontrant que d’autres actions illicites avaient été tentées depuis ce poste.