Avec l'omniprésence des appareils mobiles, les avocats ont de plus en plus besoin de collecter des informations à partir de ces appareils pour les utiliser dans le cadre de litiges. En raison des défis particuliers que pose la collecte de données à partir de ces appareils, la « criminalistique des appareils mobiles » est devenue un domaine à part entière, et de nombreux experts en criminalistique ont développé une expertise dans ce domaine.

Appareils mobiles 101 : sécurité et stockage

Les appareils mobiles étant, par définition, mobiles, et pouvant être coûteux et très recherchés, ils sont susceptibles d'être perdus ou volés, ce qui soulève des préoccupations accrues en matière de sécurité. Ces préoccupations accrues s'accompagnent d'un besoin accru de sécurité et, par conséquent, d'une collecte de données plus difficile. 

À mesure que les volumes de données augmentent, il devient de plus en plus difficile de stocker une telle quantité de données sur un appareil petit et portable. Cela a conduit au développement d'appareils mobiles dotés de stratégies de stockage exponentiellement plus importantes. C'est l'une des raisons pour lesquelles il est désormais courant de stocker des données dans le cloud et de n'y accéder qu'en cas de besoin à partir d'un appareil mobile. Le cloud offre une capacité de stockage presque illimitée et est moins susceptible de subir des pertes de données. Nous n'avons donc pas besoin de tout stocker sur notre appareil mobile ; nous avons simplement besoin que celui-ci affiche les informations lorsque nous voulons les consulter.

Il est donc très difficile pour les avocats de savoir où se trouvent les données clés et comment les collecter de la manière la plus rapide et la plus rentable possible.

Pour cette raison, les avocats doivent comprendre que tout ce qui s'affiche sur un appareil mobile n'y est pas nécessairement stocké. Même pour les données qui se trouvent sur un appareil mobile, il peut être plus efficace de les collecter à partir d'une source cloud plutôt que directement sur l'appareil. Enfin, certaines applications sont « axées sur la sécurité », ce qui limite les options de collecte de données par rapport à des applications similaires. La collecte à partir de ces applications est plus difficile, plus longue et plus coûteuse que ce à quoi un avocat pourrait s'attendre au départ.

Les sections suivantes décrivent les stratégies courantes pour collecter des données à partir de différents types d'applications.

Applications qui stockent leurs données sur l'appareil mobile — principalement

Pour les iPhones, le moyen le plus simple d'obtenir les données qui existent sur l'appareil lui-même est d'utiliser un outil qui collecte et traite une sauvegarde de l'iPhone. À première vue, ce processus semble facile, mais dans la pratique, il comporte plusieurs obstacles. 

Tout d'abord, les données doivent exister sur l'iPhone, mais ce n'est pas toujours le cas. Par exemple, les iMessages résident sur l'iPhone lorsque le dépositaire ne synchronise pas ses messages avec iCloud. Certaines personnes synchronisent leurs messages avec iCloud afin de pouvoir les consulter sur tous les appareils qu'elles utilisent et y répondre depuis n'importe lequel de leurs appareils. Les messages restent synchronisés, ce qui signifie que si un message est créé ou répondu sur un appareil, il apparaît comme créé ou répondu sur tous les appareils. Cependant, lorsqu'un dépositaire configure ses appareils de cette manière, ses messages et les pièces jointes à ces messages résident dans iCloud, et non sur l'iPhone, l'iPad ou le Mac qu'il utilise. Ainsi, si nous essayons de collecter des messages à partir d'un seul appareil, certaines données peuvent manquer. 
Pour collecter ces messages à partir d'un seul appareil, nous devons forcer tous les messages vers cet appareil, puis les télécharger. Cependant, dans certaines circonstances, Apple peut conserver certaines pièces jointes dans iCloud et ne pas les télécharger. Dans ces cas-là, la collecte permettrait de récupérer le message, mais la pièce jointe pourrait être « manquante » car elle ne se trouvait pas sur le téléphone ni dans la sauvegarde. Un autre piège pour les avocats est que si un dépositaire possède beaucoup de messages, le téléchargement des messages depuis iCloud vers l'iPhone pour la collecte peut prendre beaucoup de temps. Ainsi, si nous n'attendons pas suffisamment longtemps pour que le téléchargement se fasse, nous risquons de n'obtenir qu'une collecte partielle. En bref, lorsqu'il s'agit de la synchronisation des messages Apple, il peut être nécessaire de procéder à plusieurs collectes, à la fois des données de messages iCloud et de la sauvegarde locale du téléphone et d'iCloud.

Applications qui stockent leurs données dans le cloud

Certaines applications existent sur un appareil et ressemblent à n'importe quelle autre application, mais stockent toujours leurs données dans le cloud. En réalité, l'application est essentiellement un navigateur web sophistiqué qui affiche les données basées sur le cloud dans l'application sur l'appareil, mais ne les stocke pas localement, ou ne stocke que temporairement certains contenus mis en cache. Les applications bancaires, les applications de messagerie Web (par exemple, Gmail) et les applications d'entreprise telles que Teams et Slack en sont de bons exemples. Pour ce type d'applications, la meilleure collection provient de la source cloud (par exemple, Microsoft 365, Gmail, etc.) et non de l'appareil mobile. 

Applications qui stockent leurs données cryptées sur l'appareil et ne permettent pas leur sauvegarde

Si de nombreuses applications stockent leurs données sur l'iPhone, certaines ne permettent pas leur sauvegarde via iTunes ou iCloud. De plus, les données des applications sont généralement cryptées, et les clés nécessaires à leur décryptage sont stockées dans le trousseau de l'utilisateur sur un appareil Apple ou dans le keystore pour un appareil Android. Les applications de messagerie éphémère telles que Signal et Telegram en sont des exemples. Pour ces applications, un expert en criminalistique doit utiliser des outils spéciaux pour collecter l'intégralité du système de fichiers (y compris le trousseau ou le magasin de clés) plutôt que de se fier à l'analyse des données d'une sauvegarde. Cela permet d'obtenir les communications provenant d'applications telles que Signal. Cellebrite et Magnet Forensics disposent d'outils qui collectent l'intégralité du système de fichiers et le trousseau ou le magasin de clés pour Signal. Les données Telegram, cependant, peuvent être partiellement mises en cache dans un conteneur crypté, tandis que l'ensemble complet des données se trouve dans le cloud. Pour Telegram, comme pour les autres applications qui stockent les données dans le cloud, la meilleure collecte se fait directement à partir de leur compte en ligne plutôt que de l'appareil mobile.

Applications qui ne sauvegardent pas localement

Les outils d'investigation standard s'appuient généralement sur l'interface de programmation d'application de sauvegarde du fabricant. Dans le cas d'Android Backup, les développeurs d'applications tierces peuvent écrire leur code de manière à ne pas inclure les données de l'application. De nombreux développeurs d'applications Android excluent leurs données des sauvegardes, ce qui explique pourquoi la plupart des outils d'analyse forensique standard ne peuvent pas collecter et analyser les données provenant d'applications tierces. Même Google exclut la majorité de ses applications standard, telles que Drive et Messages, des sauvegardes Android. Dans ces cas Android, l'expert en analyse forensique doit se tourner vers d'autres méthodes validées, telles que la collecte complète du système de fichiers, pour collecter les données des applications tierces. 

Applications qui synchronisent les données avec les ordinateurs

Certaines applications de messagerie permettent à l'utilisateur d'enregistrer une application informatique ou un navigateur web afin de « synchroniser » ses données, ce qui lui permet d'utiliser l'application de messagerie sur son ordinateur ou son navigateur. Bien que l'utilisateur puisse accéder à ses données sur un ordinateur et sur son appareil mobile, il n'existe pas de « serveur central » hébergeant ces données. Son appareil mobile est la source principale des données de l'application, les ordinateurs autorisés jouant un rôle secondaire et ne recevant que ce que l'appareil mobile leur transmet. Dans le cas de WhatsApp, un utilisateur peut enregistrer son ordinateur à l'aide d'un code QR qui lui permettra de consulter l'historique de ses messages récents sur l'ordinateur enregistré et d'envoyer ou de recevoir des messages. Les messages et les fils de discussion antérieurs à l'enregistrement de l'ordinateur ne seront pas synchronisés. Il faut donc garder cela à l'esprit si l'on recherche des messages plus anciens. Certains outils d'investigation utilisent cette fonctionnalité avec WhatsApp pour collecter des données à distance, qui stockeront les données des messages récents. Cependant, cela n'inclura probablement pas l'intégralité de l'historique des messages WhatsApp. Seul le téléphone disposerait de l'ensemble complet des données de messagerie, ce qui en fait la meilleure source pour les données WhatsApp. 

Conclusion

Ce ne sont là que quelques exemples des problèmes liés à la collecte de données qui se posent avec certaines des applications les plus couramment utilisées aujourd'hui. Comme pour tout ce qui touche aux technologies émergentes qui cherchent à améliorer la convivialité et la sécurité, ce qui est vrai aujourd'hui ne le sera peut-être plus demain, car chaque avancée technologique vise à améliorer l'un ou l'autre de ces aspects.

Les avocats qui passent à côté de données importantes peuvent en subir les conséquences en aval dans le cadre de leurs enquêtes et de leurs litiges. Les erreurs peuvent entraîner des conséquences négatives telles que la nécessité de procéder à une nouvelle collecte (parfois dans un pays étranger), une perte de temps et d'argent, le non-respect des dispositions et des ordonnances en matière de divulgation, et des répercussions négatives sur l'affaire, telles que des rejets, des jugements sommaires, des instructions défavorables du jury et, bien sûr, l'insatisfaction générale du client.

Lorsque vous avez besoin de données importantes pour votre enquête ou votre litige et que vous ne savez pas où elles se trouvent ni comment les collecter au mieux, consultez votre spécialiste en collecte de données judiciaires et élaborez une stratégie avec lui.


Jason Paroff, directeur principal, responsable des pratiques judiciaires, Epiq   
Jason Paroff est directeur principal et responsable des pratiques judiciaires chez Epiq. À ce titre, M. Paroff dirige les pratiques judiciaires et de collecte de données aux États-Unis et coordonne les ressources et les services à l'échelle mondiale. Outre son rôle de gestion, M. Paroff a examiné de nombreux ordinateurs et systèmes informatiques à la recherche de preuves de fraude, de vol de secrets commerciaux, de harcèlement et d'autres comportements civils et criminels inappropriés. Il est membre de l'Académie américaine des sciences judiciaires et siège actuellement au conseil d'administration de l'Académie (mandat de trois ans - 2025-2028) et a été président de la section des sciences numériques et multimédias (2020-2022). M. Paroff a témoigné devant un tribunal fédéral en tant que témoin expert et a été conférencier et maître de conférences invité à la Columbia University's School of Business. M. Paroff a également enseigné la criminalistique numérique à des entreprises du Fortune 500, à des avocats et à des membres de la police et des services de renseignement étrangers. 

M. Paroff est avocat agréé et est habilité à exercer le droit à New York, dans le Connecticut et devant les tribunaux fédéraux des districts sud et est de New York.



Andrew Crouse, directeur, Criminalistique, Solutions eDiscovery, EpiqAndrew Crouse est directeur de la criminalistique numérique chez Epiq, où il dirige les examens de criminalistique numérique, les missions de conseil, la prestation de services et les exigences en matière de pratiques criminalistiques. M. Crouse gère une équipe de consultants, d'analystes et de personnel de laboratoire pour les opérations d'Epiq aux États-Unis. Il possède une vaste expérience dans la direction de projets complexes d'expertise judiciaire numérique et d'eDiscovery pour des entreprises du classement Fortune 500 à travers le monde, ainsi que dans le développement, la mise en œuvre et l'audit de procédures de contrôle qualité dans des laboratoires d'expertise judiciaire numérique. Il est reconnu comme expert en DOMEX, en informatique judiciaire, en expertise judiciaire mobile et en gestion des risques liés aux données eDiscovery, et a obtenu une habilitation de sécurité « Top Secret » auprès du DHS. M. Crouse a témoigné en tant que témoin expert devant des tribunaux fédéraux et d'État.