Dans le cadre d’une investigation judiciaire ou d’une investigation privée, un service de police ou un laboratoire informatique indépendant peut être amené à rechercher les empreintes numériques laissées par les auteurs d’une infraction sur un support de stockage.
Traces numériques et métadonnées
En effet, toute utilisation d’un disque de stockage laisse nécessairement des traces : chaque copie ou téléchargement d’un document stocké sur le disque apparaît dans ses propriétés, chaque altération accidentelle ou modification délibérée d’un fichier cause aussitôt une modification de sa « signature numérique », et chaque consultation d’une page web provoque l’installation de cookies sur le disque. Il est donc possible de vérifier l’usage qui a été fait d’un disque de stockage en cas de soupçon de vol de données ou d’une utilisation contraire aux règles en vigueur dans une organisation.
Le processus de recherche
L’ensemble de ces métadonnées peuvent être récupérées par des experts informatiques en réalisant un clone du dispositif de stockage, soit une copie-image « pure et parfaite » du disque à l’instant T qui n’entraîne pas de modification des informations numériques contenues. S’en suit une analyse pour déterminer si les empreintes numériques ainsi recueillies peuvent servir de preuves numériques.
Utilisation des preuves numériques
Les preuves récoltées sont plus tard placées dans un rapport d’expertise dans un format aisément exploitable par les autorités compétentes, et pourront être utilisées au cours d’un éventuel procès. Pour éviter que ces preuves ne soient remises en cause ultérieurement, il est important de ne rien faire qui puisse les endommager ou les modifier : seuls des experts désignés peuvent intervenir sur les disques durs suspects.