Luc Golvers
Luc Golvers
IR. Luc Golvers est président du club de la sécurité Informatique Belge (Clusib) et expert judiciaire en informatique.
Opinion

13/09/13 à 12:03 - Mise à jour à 12:03

Touche pas à ça p'tit con... !

Touche pas à ça p'tit con... ! Des erreurs à ne pas commettre dans la collecte de preuves informatiques.

Un de vos collaborateurs est suspecté d'avoir commis un acte délictuel (fraude, utilisation abusive du courriel, consultation non autorisée de sites, copiage illicite de données confidentielles, etc.). Vous pensez disposer de suffisamment d'éléments concordants pour le prouver et décidez de le licencier sur-le-champ pour faute grave. Attention, en matière de surveillance des courriels de vos collaborateurs ou de leurs consultations de sites internet, il faut respecter les dispositions légales, notamment la CCT n° 81. Cet article n'abordera pas ces aspects juridiques mais uniquement les aspects techniques de la collecte de preuves dans les systèmes informatiques.

Vous pensez, et cela se vérifie souvent en pratique, que le poste de travail du collaborateur licencié est susceptible de livrer la manne de preuves, qui vous permettra de prouver de manière irréfutable devant un Tribunal, le bien-fondé du licenciement, si besoin en est. La probabilité que vous commettiez des erreurs grossières, qui ruineront vos chances dans une procédure judiciaire, est considérable. Il y a en effet des fautes à ne pas commettre.

Lorsque vous licenciez un collaborateur, son poste de travail doit être laissé dans l'état où celui-ci se trouvait au moment du licenciement, sans la moindre altération ultérieure. Veillez donc à ce que ce poste soit mis sous scellés, en présence du collaborateur, et conservé sous la garde d'un officier ministériel, tel qu'un huissier de justice, jusqu'à ce qu'un expert, voire un policier spécialisé, ait pu prendre une copie "inforensique" (1) du ou des disques durs. En fait, ce n'est pas tant l'ordinateur lui-même que le ou les disques durs, qui doivent être conservés selon une procédure qui empêche toute possibilité d'altération.

Si vous désirez réutiliser le poste de travail, faites enlever le ou les disques durs en présence du collaborateur et de l'huissier. Vous pourrez ensuite placer de nouveaux disques durs dans le poste de travail et le réutiliser. Un nouveau poste de travail coûte de toute façon considérablement moins que celui d'un licenciement pour faute grave raté, qui contraindrait l'employeur à payer des indemnités compensatoires de préavis qui peuvent s'avérer très lourdes en cas de licenciement d'un collaborateur ayant une importante ancienneté.

Il importe que le poste de travail ne soit pas redémarré après le licenciement de la personne. Le simple fait de redémarrer un ordinateur va avoir pour effet que le système d'exploitation modifiera la date de dernier accès de centaines de fichiers, en leur conférant une date postérieure au licenciement du collaborateur, enlevant ainsi toute crédibilité à vos preuves. L'avocat du collaborateur licencié aura jeu facile de prouver que le(s) disque(s) dur a(ont) fait l'objet de manipulations postérieures au licenciement.

Résistez donc à la tentation de procéder à une "simple consultation" après le licenciement! Ne laissez pas non plus vos informaticiens ou votre prestataire de service faire une copie de disque à disque des disques du poste de travail. Le simple fait de connecter sans précautions spéciales le disque à un ordinateur aura aussi pour effet de modifier la date de dernier accès de multiples fichiers! Le même risque existe lorsqu'on consulte le contenu d'un stick USB, sans avoir au préalable verrouillé les portes USB contre l'écriture!

La bonne approche consiste à faire prendre par un spécialiste une copie "inforensique" du disque. Cela requiert le recours à des logiciels spécialisés et à un dispositif matériel, que l'on appelle un "write blocking device." Il s'agit d'un dispositif matériel, qui se place entre le disque à copier et l'ordinateur qui prend la copie. Il bloque toute écriture sur le disque à copier. Par ce procédé, on peut prendre une image intégrale bit-à-bit du contenu du disque dur, sans risque de modification. Cette approche est suivie par les services de police, les experts judiciaires et les auditeurs spécialisés. Cette copie inforensique comportera entre autres les secteurs "non alloués" du disque et les fichiers effacés, qui livrent souvent de précieuses preuves, mais ceux-ci ne sont pas repris dans les copies simples ou les back-up! Cette méthode permet de garantir le caractère fiable et inaltérable de la copie, qui pourra sans risques de contestation être utilisée dans le cadre d'une procédure judiciaire.

L'analyse et la collecte des preuves du poste de travail de la personne licenciée se feront toujours sur cette image inforensique et jamais sur le système original. Cela évite tout risque de corruption des preuves.

Alors, soyez vigilants. Le non-respect de ces précautions annihilera ou compromettra très sérieusement vos chances de réussite dans le cadre d'une action en justice. Ne pas le faire consiste à modifier la "scène du crime"!

Dérivé du terme anglais "forensic" qui, initialement, désignait les "médecins légistes." Le vocable "inforensique" désigne les méthodes de collecte, conservation et analyse des preuves issues de supports numériques en vue de les produire dans le cadre d'une action en justice.

Nos partenaires