Informatique légale

La criminalistique informatique, la récupération de données et la découverte électronique diffèrent

Posted by admin

Quelle est la différence entre Data Recovery, Computer Forensics et E-Discovery?

Les trois champs concernent les données, et en particulier les données numériques. Tout est question d’électrons sous forme de zéros et de uns. Et il s’agit de prendre des informations qui peuvent être difficiles à trouver et de les présenter de manière lisible. Mais même s’il y a des chevauchements, les compétences nécessitent différents outils, différentes spécialisations, différents environnements de travail et différentes façons de voir les choses.

La récupération de données implique généralement des éléments cassés, qu’il s’agisse de matériel ou de logiciel. Lorsqu’un ordinateur plante et ne démarre pas, lorsqu’un disque dur externe, une clé USB ou une carte mémoire devient illisible, la récupération des données peut être nécessaire. Souvent, un appareil numérique dont les données doivent être récupérées présente des dommages électroniques, physiques ou une combinaison des deux. Si tel est le cas, la réparation matérielle constituera une grande partie du processus de récupération de données. Cela peut inclure la réparation de l’électronique du lecteur, ou même le remplacement de la pile de têtes de lecture / écriture dans la partie scellée du lecteur de disque.

Si le matériel est intact, la structure du fichier ou de la partition est probablement endommagée. Certains utilitaires de récupération de données tenteront de récupérer la partition ou la structure de fichiers, tandis que d’autres examineront la structure de fichiers endommagée et essaieront d’en extraire des fichiers. Les partitions et les dossiers peuvent également être reconstruits manuellement avec un éditeur hexadécimal, mais étant donné la taille des disques durs modernes et la quantité de données qu’ils contiennent, cela n’est généralement pas pratique.

En général, la récupération de données est une sorte de processus «macro». Le résultat final est généralement une grande population de données stockées sans trop se concentrer sur les fichiers individuels. Les travaux de récupération de données sont souvent des lecteurs de disque individuels ou d’autres supports numériques avec du matériel ou des logiciels endommagés. Il n’existe pas de normes spécifiques acceptées à l’échelle de l’industrie pour la récupération de données.

Le traçage électronique implique généralement du matériel et des logiciels intacts. Les défis de la découverte électronique comprennent la «déduplication». Une recherche peut être effectuée sur un très grand nombre d’e-mails et de documents existants ou sauvegardés.

En raison de la nature des ordinateurs et du courrier électronique, il est probable qu’il y ait de nombreux doublons identiques («dupes») de différents documents et courriers électroniques. Les outils de découverte électronique sont conçus pour réduire ce qui pourrait autrement être un déluge de données ingérable à une taille gérable en indexant et en supprimant les doublons, également appelés déduplication.

E-discovery traite souvent de grandes quantités de données à partir de matériel non endommagé, et les procédures sont régies par les règles fédérales de procédure civile («FRCP»).

La criminalistique informatique a des aspects à la fois de la découverte électronique et de la récupération de données.

En criminalistique informatique, l’examinateur médico-légal (CFE) recherche et à travers les données existantes ainsi que préexistantes ou supprimées. Dans ce type de découverte électronique, un expert médico-légal doit parfois faire face à du matériel endommagé, bien que cela soit relativement inhabituel. Les procédures de récupération de données peuvent être appliquées pour restaurer les fichiers supprimés intacts. Mais souvent, le CFE fait face à des tentatives délibérées de cacher ou de détruire des données, ce qui nécessite des compétences en dehors de l’industrie de la récupération de données.

Lorsqu’il s’agit de courrier électronique, le CFE recherche souvent de l’espace non alloué pour les données d’environnement – des données qui n’existent plus en tant que fichier lisible par l’utilisateur. Cela peut inclure la recherche de mots ou d’expressions spécifiques (“recherche par mot-clé”) ou d’adresses e-mail dans un espace non alloué. Cela peut inclure le piratage de fichiers Outlook pour trouver des e-mails supprimés. Cela peut inclure la recherche de cache ou de fichiers journaux, ou même de fichiers d’historique Internet pour les restes de données. Et bien sûr, il inclut souvent une recherche de fichier active pour les mêmes données.

Les pratiques sont similaires lors de la recherche de documents spécifiques pour étayer une affaire ou une accusation. Les recherches par mots-clés sont effectuées sur des documents actifs ou visibles ainsi que sur des données environnementales. La recherche par mot-clé doit être soigneusement conçue. Dans ce cas Fondation Schlinger contre Blair Smith l’auteur a découvert plus d’un million de mots-clés “hits” sur deux lecteurs de disque.

Enfin, l’expert médico-légal informatique est également souvent appelé à témoigner en tant que témoin expert en déposition ou en cour. Par conséquent, les méthodes et procédures du CFE peuvent être scrutées et l’expert peut être appelé à expliquer et défendre ses résultats et ses actions. Un CFE qui est également un témoin expert peut avoir à défendre les choses dites au tribunal ou dans des écrits publiés ailleurs.

En règle générale, la récupération de données implique un seul lecteur de disque ou les données d’un système. La maison de récupération de données aura ses propres normes et procédures et travaille sur la réputation, pas sur la certification. La découverte électronique implique souvent des données provenant d’un grand nombre de systèmes ou de serveurs pouvant avoir de nombreux comptes d’utilisateurs. Les méthodes de découverte électronique sont basées sur des combinaisons logicielles et matérielles éprouvées et sont mieux planifiées longtemps à l’avance (bien qu’un manque de planification préalable soit très courant). La criminalistique informatique peut impliquer un ou plusieurs systèmes ou dispositifs, peut être assez fluide dans la portée des exigences et des demandes, impliquer souvent des données manquantes et doit être défendable et défendue devant les tribunaux.

CELUI-CI

Leave A Comment