À retenir : La messagerie éphémère crée des risques juridiques et de conformité en supprimant automatiquement les échanges professionnels, ce qui complique les enquêtes numériques. Les solutions d’archivage automatisé permettent aux organisations de capturer et conserver ces messages, garantissant une préparation criminalistique et des dossiers défendables. Agissez vite : mettez à jour vos politiques,formez vos équipes et utilisez des plateformes approuvées pour préserver les données en toute sécurité.

La messagerie éphémère redéfinit les règles de la communication digitale et pose de nouveaux défis aux experts en criminalistique numérique. Les messages sont conçus pour disparaître après un délai ou dès leur lecture. Surmonter ces défis exige une approche stratégique et multi-niveaux, qui équilibre confidentialité, conformité et préparation criminalistique.

Pourquoi la messagerie éphémère compte en criminalistique numérique

En September 2022, la SEC a infligé plus de 1,1 milliard de dollars d’amende à 16 grandes sociétés de Wall Street pour ne pas avoir conservé les communications électroniques, y compris celles envoyées via des applications éphémères et des appareils personnels. Cette affaire illustre l’évolution des normes de conformité et sert d’avertissement.

Les experts juridiques conseillent désormais aux organisations de gérer et conserver de manière proactive toutes les communications professionnelles, même celles envoyées via des applications chiffrées ou auto-supprimées, afin d’éviter des enquêtes coûteuses, des amendes et des actions correctives.

Risques de conformité et défis liés à la découverte légale avec la messagerie éphémère

Les applications de messagerie éphémère permettent aux utilisateurs de définir des politiques de suppression automatique spécifiques à chaque fil, ce qui supprime les messages et rend les mesures de conservation légale inefficaces. Dans certains cas, la durée de conservation peut être fixée par n’importe quel participant pour supprimer le message après une seconde seulement. Les communications professionnelles pertinentes peuvent ainsi être effacées avant toute possibilité de préservation. Cela laisse peu, voire aucune option en criminalistique numérique pour collecter ou récupérer ces données.

Criminalistique mobile : obstacles à la collecte

WhatsApp, Signal et Telegram sont trois plateformes courantes de messagerie éphémère rencontrées lors des enquêtes numériques. Chacune présente des défis uniques, mais elles partagent aussi plusieurs similitudes.

• WhatsApp : la fonction de messagerie éphémère est désactivée par défaut. Une fois activée, l’utilisateur peut définir des paramètres de conservation très limités.
• Telegram : stocke les messages dans le cloud, ce qui réduit l’efficacité des collectes sur mobile. Bien que Telegram puisse mettre en cache certaines données sur l’appareil, il s’agit généralement d’une image incomplète. La collecte se fait via l’interface cloud, à condition que les messages existent encore et n’aient pas été supprimés.
• Signal : conçu pour la confidentialité, c’est sans doute l’application éphémère la plus difficile à collecter et à préserver. Elle chiffre les données au repos et ne les stocke ni dans les sauvegardes standard ni sur un serveur cloud. Signal ne synchronise pas les données entre appareils : chaque appareil nécessite un compte distinct. Une collecte complète du système de fichiers et les identifiants de déchiffrement de l’appareil sont indispensables, mais certains modèles et versions d’OS mobile ne sont pas pris en charge par les outils avancés.

Certaines solutions commerciales d’archivage proposent des versions capables de capturer et conserver automatiquement les messages éphémères pour la conformité et l’eDiscovery. En intégrant cette technologie, les entreprises maintiennent des dossiers défendables, permettant une récupération et un examen ultérieurs via une collecte criminalistique. Ces solutions nécessitent des politiques claires imposant aux employés d’utiliser uniquement la version approuvée et compatible avec l’archivage pour les communications professionnelles.

Ces politiques doivent également interdire l’utilisation de méthodes personnelles ou « hors plateforme » pour les échanges professionnels. De même, les clients doivent être informés des canaux officiels de communication et des moyens d’éviter les échanges non autorisés ou potentiellement frauduleux.

Préservation plutôt que récupération en criminalistique numérique

Une fois les données supprimées dans une application de messagerie éphémère, la récupération est souvent impossible. Ainsi, lorsqu’aucune solution commerciale d’archivage à l’échelle de l’entreprise n’est en place, la priorité doit passer à la préservation rapide. Cela nécessite des outils et techniques criminalistiques qui garantissent une collecte défendable. Les examinateurs doivent poser des questions clés sur l’appareil du dépositaire, notamment sa marque, son modèle, son système d’exploitation et les types de données requis, afin de recommander la meilleure approche. Cette impossibilité de récupérer les informations, bien qu’elle vise à préserver la sécurité, crée des obstacles potentiels liés à la spoliation pour les dépositaires et les parties en litige.

Conservation légale et défendabilité à l’ère de la messagerie éphémère

La messagerie éphémère entre fondamentalement en conflit avec le concept de conservation légale. Le paramètre de messages éphémères dans WhatsApp, Telegram et Signal peut être contrôlé par n’importe quel utilisateur du fil. Dans la plupart des cas, cela signifie que tout participant peut modifier le paramètre de disparition des messages à tout moment. Certains fils de discussion multi-utilisateurs permettent aux administrateurs de groupe de réguler les messages éphémères. Cependant, cette option n’existe pas pour les messages directs. Bien qu’un dépositaire soit soumis à une conservation légale, d’autres participants peuvent, volontairement ou non, amener ce dépositaire à violer cette obligation en supprimant des messages qui doivent être conservés.

Les messages éphémères compromettent la capacité à maintenir les communications professionnelles pour des litiges ou des obligations réglementaires, sauf si des politiques et solutions d’archivage appropriées sont mises en place en amont. Dans de rares cas, si les données sont collectées avant suppression à l’aide de méthodes criminalistiques validées, elles peuvent être présentées au tribunal avec une chaîne de conservation appropriée.

Tendances et bonnes pratiques en matière de communications mobiles

À mesure que davantage d’applications introduisent des fonctionnalités de messages éphémères, les organisations revoient et mettent à jour leurs politiques de communication et d’appareils mobiles pour gérer les risques liés à la messagerie éphémère.

Une bonne pratique émergente consiste à maintenir une liste définie de plateformes de communication officielles. Cela inclut l’e-mail, Microsoft Teams, Slack, ICE Chat ou des versions archivées de WhatsApp. Certains secteurs abandonnent les SMS ou les applications de messagerie mobile avec paramètres éphémères comme canal officiel de communication professionnelle.

Si une conversation professionnelle commence sur une plateforme non autorisée, les employés sont formés à transférer la discussion vers un canal approuvé. Par exemple, si un collègue initie une conversation sur un accord via iMessage, la réponse doit être de déplacer la discussion vers l’e-mail ou Teams pour garantir une conservation appropriée et la conformité.

Conseils de conclusion

Agissez rapidement pour préserver de manière proactive les données de messagerie éphémère lorsqu’elles sont requises pour des enquêtes ou des litiges. Envisagez de revoir et mettre à jour les politiques de communication afin de lister les applications approuvées pour les échanges professionnels, surtout lorsque la politique autorise les employés à utiliser leurs appareils personnels.

La messagerie éphémère est là pour durer, mais les organisations gardent une longueur d’avance en mettant à jour leurs politiques, en formant leurs employés et en utilisant les bons outils criminalistiques.

Découvrez comment préserver les communications critiques et soutenir des enquêtes défendables avec les services Epiq Forensics et Data Collection. 
 

Andrew Crouse, Directeur, Criminalistique, Solutions eDiscovery, Epiq
En tant que Directeur de la criminalistique numérique chez Epiq, Andrew Crouse dirige les examens criminalistiques numériques, les missions de conseil, la prestation de services et les exigences liées à la pratique criminalistique. Crouse gère une équipe de consultants, d’analystes et de personnel des opérations de laboratoire pour les activités d’Epiq aux États-Unis.