En théorie, tout acte délictuel peut laisser des traces numériques. Le cambrioleur a-t-il utilisé son smartphone pour rechercher sa destination sur Google Maps? L’assassin a-t-il menacé sa victime au préalable par e-mail? Le délit a-t-il été commis en ligne, p. ex. dans le cas d’une fraude financière? Les messages envoyés et reçus sont sauvegardés sur des clouds, les photos téléchargées peuvent contenir des données de localisation si le GPS a été activé et le trajet d’un smartphone peut être retracé à l’aide des cellules radio contactées.
Pour que les preuves soient valables devant un tribunal, le processus de conservation et d’analyse des preuves doit être entièrement documenté.
Sécuriser les appareils
Sur la scène de crime, tous les appareils numériques tels que les disques durs, les clés USB, les téléphones mobiles, les scanners, les caméras de surveillance etc. sont sécurisés et, si possible, les mots de passe des personnes impliquées sont récupérés. Contrairement à ce que l’on voit souvent dans les films, le craquage des mots de passe peut s’avérer laborieux.
Les téléphones mobiles sont directement éteints, placés dans un sac Faraday ou réglés sur le mode avion afin d’éviter toute connexion avec le réseau qui permettrait de modifier les don-nées existantes. Les écrans d’ordinateurs sont photographiés afin de sauvegarder l’état actuel. Une décision importante doit être prise sans tarder: faut-il laisser l’ordinateur allumé ou l’éteindre? Le laisser allumé permet de suivre les activités criminelles en cours et de ne pas compromettre l’accès ultérieur aux données suite à un chiffrement du disque dur. L’éteindre permet d’empêcher la suppression des données.