Les phases d'un rapport médico-légal - Forensics
Certaines ou toutes les activités suivantes peuvent être effectuées pour effectuer un rapport médico-légal : identification, acquisition et conservation, analyse, reporting.
L'activité d'identification consiste à reconnaître quelles pourraient être les sources d'origine des données.
C'est une phase moins triviale qu'on ne le pense, en effet le nombre d'appareils numériques capables de contenir des informations augmente de plus en plus, qu'il s'agisse de systèmes de sauvegarde de conception ou d'appareils IOT, comme les montres connectées, les bracelets intelligents, etc.
L'activité de acquisition et conservation médico-légales présente tout d'abord deux scénarios distincts :acquisition "en direct" d'un système déjà allumé et l'acquisition d'un système numérique éteint. Si le système est allumé, il faut utiliser des technologies capables de collecter les soi-disant « preuves volatiles », telles que les mémoires, les processus et connexions actifs, les utilisateurs connectés…, qui sont perdus lorsque le système est éteint. Dans cette phase, le technicien veillera également à utiliser les fonctions de Calcul de hachage (MD5, SHA256 par exemple) pour démontrer que le constat d'origine coïncide avec la copie numérique utilisée pour le rapport médico-légal, garantissant également sa répétabilité.
Une fois toutes les opérations préliminaires effectuées, vous pouvez alors procéder à l'activité pivot d'un rapport médico-légal : l'analyse. Dans cette phase, l'expert médico-légal utilise ses connaissances informatiques et divers logiciels pour faire ressortir les données supprimées, construire des chronologies, rechercher des mots-clés et identifier des traces numériques.