Sem14.1 Continuite

Question 1

Qu’est-ce qu’élément de preuve numérique? D’où ça provient?

Answer 1

Un fichier qui provient soit:

• numérisation d’un élément de preuve analogique
• d’une copie d’une facette de la trace qui est numérique par nature

Question 2

Citer des exemple de la numérisation d’un élément de preuve analogique?

Answer 2

• photographie numérique d’une scène de crime
• résultat numérique d’une analyse chimique

Question 3

Citer des exemple de traces numérique?

Answer 3

• info sur le disque dur d’un ordi
• contenu sur le web ou le darkweb

Question 4

Il faut pouvoir être suffisamment convaincus de quoi pour qu’un élément de preuve puisse être recevable au tribunal?

Answer 4

• son authenticité
• son intégrité

Question 5

Quel est l’authenticité d’un élément de preuve?

Answer 5

La trace correspondante provient bien de l’événement d’intérêt (pertinence)

Question 6

Quel est l’intégrité d’un élément de preuve?

Answer 6

La trace correspondante n’a pas été trop altérée par des événements extrinsèque (qualité)

Question 7

Qu’est ce qu’ un élément de preuve (numérique) est censé apporter ?

Answer 7

• éclairage fiable, pertinent et objectif
• un événement d’intérêt (délit, catastrophe naturelle, voire un simple incident)

Question 8

Comment l’intégrité (qualité) d’une preuve peut empêcher la continuité de la preuve?

Answer 8

• après sa création, la trace évolue selon sa dynamique interne qui lui est propre
• la trace peut être perturbé par des évènements extrinsèques

Question 9

L’élément de preuve est séparé …………. de l’………….. et résulte d’une …………….. de ………. et d’………….

Answer 9

Temporellement
Événement
Succession
Processus
Activité

Question 10

Pour la continuité de la
Preuve qu’essaye de faire l’intervenant? (Authenticité et intégrité) en T1

Answer 10

• l’intervenant essaie de détecter toutes les traces pertinentes (authenticité)
• l’intervenant minimise la contamination de la scène de crime (intégrité)

Question 11

En T2 comment assurer la continuité de la preuve (authenticité et intégrité )

Answer 11

• authenticité :
  documentation du processus de numérisation
• intégrité:
  Numérisation (si possible reproductible)

Question 12

De quoi le forensicien doit il s’assurer pour les copies numérique? Pour l’authenticité en T2

Answer 12

Authenticité:
Le forensicien s’assure qu’il a le bon élément de preuve à copier

Question 13

Que créé le forensicien lors de la copie numérique de pdv intégrité?

Answer 13

• le forensicien copie fidèlement l’élément de preuve ( write blocker)
• il crée ainsi un élément de preuve numérique : un fichier

Question 14

Quel est le
To
T1
T2 de la continuité de la preuve?

Answer 14

To = événement
T1 = détection/ prélèvement matériel
T2 = numérisation ou copie numérique

Question 15

Quelles sont les différence d’accès de la preuve numérique?

Answer 15

Cas 1 : accès directe au support physique (et info durable)

Cas 2 : information éphémère

Cas 3 : pas d’accès direct au support physique

Question 16

Comment est l’intégrité lors d’un accès direct au support physique?
Pk?

Answer 16

Intégrité Forte
Parce que
- copie parfaite
- copie pure

Question 17

Qu’est-ce qu’une copie parfaite? Pk l’a considéré t’on parfaite?
Le processus de virtualisation peut être répété comment?

Answer 17

Empreinte du support identique avant et après copie
- on peut considérer que le processus de virtualisation a agi de façon non destructive (pas d’altération du support)

• le processus de virtualisation peut être répété de façon indépendante

Question 18

Qu’est-ce qu’une copie pure?
Comment est décrit le processus de virtualisation
Peut on considérer que la copie est identique à l’original du support?

Answer 18

Empreinte du support ( avant copie) = empreinte de la copie

• processus de virtualisation est décrit comme fidèle
• oui la copie est identique

Question 19

Citer des exemples d’informations éphémère du preuve numérique ai accès directe?

Answer 19

• écoute des câbles intercontinentaux
• observation passive d’un flux d’information
• l’information est éphémère

Question 20

Lors d’information numérique l’observation est reproductible?

Answer 20

Non

Question 21

Citer des exemples de preuve numérique à accès indirect?

Answer 21

Pas d’accès direct au support physique
- recherche sur Internet
- investigation d’un serveur à distance

Question 22

Si pas d’accès direct au support physique comment est la facette de la trace numérique observée et copie?

Answer 22

Déjà virtuelle. On extrait directement de l’information codée sous forme binaire

Question 23

Comment est l’observation si on a pas d’accès direct au support physique?

Answer 23

Observation est indirecte et active

Question 24

L’observation active se fait au travers de quoi?

Answer 24

De requêtes

Question 25

Lors d’observation active, l’observation observé est parfois même crée au moment de la requête et donc initier par quoi?

Answer 25

Initié par l’observation elle-même

Question 26

Lors d’une observation active, si une requête est répétée il est garanti que l’info observée soit identique?

Answer 26

Non aucune garantie

Question 27

Lors d’une observation active par quoi l’information peut être influencée ou dépendre?

Answer 27

- l’outil d’observation - la géolocalisation apparente de l’outil d’observation - le moment où l’observation à lieu

Question 28

Lors d’une observation active l’observation est reproductible?

Answer 28

Нет

Question 29

Lors d’une observation non reproductible la notion de copie parfait près son sens, pk? (Cas 2 et 3)

Answer 29

L’info (et son empreinte) issus de l’observation de la douce peut changer à chaque requête

Question 30

Lors d’une observation non reproductible (cas 2 et 3) , pk la notion de copie pure est pas adaptée non plus?

Answer 30

L’information issue de l’observation de la source peut changer à chaque requête

Question 31

Lors d’observation non reproductible on perd la notion d’intégrité forte?

Answer 31

Vrai

Question 32

Lors d’observation non reproductible cas 2 et 3, le général de copie n’est pas reproductible?

Answer 32

En général c’est vrai ce n’est pas reproductible

Question 33

Comment appréhender un accès indirect ou information éphémère ?

Answer 33

- appréhender comme une analyse destructive d’une facette de la trace

Question 34

À quelle question une observation non reproductible doit répondre dans sa documentation?

Answer 34

- pk? - quoi - qui - quand - depuis quel environnement - depuis où - comment

Question 35

Lors d’observation non reproductible que fait il faire avec les résultats obtenus?

Answer 35

Enregistrement systématique

Question 36

Que faut il faire pour renforcer la confiance en l’authenticité des observations?

Answer 36

Documenter

Question 37

Citer des exemples dle registrement systématique des résultats obtenus?

Answer 37

- observation documentée - film de l’écran pdt l’observation - copie de l’écran et des pages - copie du code serveur et du code client affichés par le navigateur

Question 38

Quels sont les éléments des preuves observée lors d’enregistrement systématique des résultats obtenus?

Answer 38

- données primaires récoltée (document, liens internet) - meta-donnees extraites (z.B dans le code client) - contexte

Question 39

Dans la continuité de la preuve numérique, comment rester confiant dans le fait que le fichier correspond bien à l’élément de preuve authentique? Comment prouver l’authenticité d’un fichier?

Answer 39

maintenir la chaîne d’authenticité: - certificat numérique d’authenticité lors de la création du fichier - nouveau scellés protégeant le support contenant le fichier - identification des personnes ayant accès au fichier - journée avec l’historique des accès au fichier

Question 40

Que contient un certificat numérique d’authenticité? (Élément de preuve numérique)

Answer 40

- contient les éventuelles infos d’un scellé du support copie ou numérisé - contient une empreinte numérique du fichier - signé numériquement par l’entité garante

Question 41

Comment rester confiant dans le fait que le fichier n’a pas été modifié ultérieurement par inadvertance ou intentionnellement?

Answer 41

En enregistrant toute preuve numérique sous forme: - d’un fichier (contenant ou non un certificat d’authenticité) - d’une empreinte numérique associée

Question 42

À quoi sert l’empreinte numérique?

Answer 42

À vérifier l’intégrité du fichier

Question 43

De quoi l’empreinte numérique ne protège pas?

Answer 43

- Contre une modification intentionnelle de ce fichier - Contre modification antérieur à l’empreinte d’un fichier

Question 44

Que faire pour détecter toute modification ultérieur des (intentionnelle ou non) du fichier?

Answer 44

Rendre son empreinte de référence non modifiable

Question 45

Pour garantir la continuité de la preuve numérique il suffit de signer l’empreinte du fichier?

Answer 45

Non car le signataire pourrait recalculer et signer l’empreinte du fichier modifié

Question 46

Quels type de mesure pour détecter toute modification ultérieur intentionnelle ou non d’une preuve numérique?

Answer 46

- Mesure technique - Mesure organisationnelle

Question 47

Citer des exemples de mesures techniques ?

Answer 47

- système d’horodatage - registre permanent d’informations ordonnées temporellement

Question 48

Lors de mesures techniques une fois dans le registre permanent d’infos ordonnés temporellement une info peut être effacée, déplacée et ou modifiée?

Answer 48

Non plus du tout

Question 49

Lors de mesure organisationelle on enregistre quoi et où?

Answer 49

- toute empreinte pertinente - dans un registre permanent d’informations ordonnées temporellement

Question 50

Selon quel système le registre d’informations ordonnées temporellement est basé?

Answer 50

- système d’horodatage basé sur un registre centralisé

Question 51

Comment fonctionne le système d’horodatage base sur un registre centralisé?

Answer 51

Un prestataire de confiance: - reçoit l’info à intégrer dans le registre - ajoute un nouvel enregistrement contenant l’info à intégrer et la date et l’heure de réception de l’information - lie de façon permanent le nouvel enregistrement avec les précédents

Question 52

Citer un exemple de prestataire de confiance

Answer 52

Un notaire

Question 53

Un système d’horodatage est basé sur quoi? De quel type?

Answer 53

Sur un registre décentralisé de type blockchain (confiance distribuée)

Question 54

Citer des mesures technique ?

Answer 54

Empreinte, système d’horodatage, registre permanent ordonnée temporellement

Question 55

Les mesures techniques seules permettent de garantir la qualité et la continuité de la preuve numérique?

Answer 55

Non

Question 56

Citer des exemple de mesures organisationnelles

Answer 56

Quelles informations enregistrer? Quand enregistrer? Authentification des personnes ayant accès à la preuve

Question 57

À quoi servent des mesures organisationnelles?

Answer 57

Doivent renforcer les mesures techniques

Question 58

Ensemble à quoi servent les mesures techniques et organisationnelles permettent quoi?

Answer 58

De se protéger contre des modifications ultérieures, intentionnelles ou non d’une preuve numérique postérieures à sa numérisation ou copie numérique

Question 59

Les mesures technico-organisationnelles permettent de garantir l’authenticité de la preuve avant son premier enregistrement, et la qualité de sa provenance

Answer 59

Faut ne permettent PAS