Qu’il s’agisse d’un message WhatsApp organisant la distribution de cocaïne de São Paulo à Amsterdam ou d’autres conversations cryptées pour attirer l’ennemi dans une embuscade mortelle; les criminels tentent depuis longtemps de cacher leurs empreintes numériques.

Les preuves de crime sont toutes stockées dans les archives numériques: e-mails, photos et données de stockage dans le cloud. Les forces de l’ordre peuvent utiliser ces indices numériques pour savoir où se trouvent les criminels et ce qu’ils font actuellement.

Les plateformes d’analyse de données deviennent de plus en plus cruciales dans la lutte contre la criminalité. Nous avons discuté avec deux experts en logiciels médico-légaux de Hansken de la manière dont ils soutiennent les agences d’application de la loi, comme la police nationale néerlandaise et le service néerlandais d’information et d’enquête fiscale.

Creusement numérique
Aucun détective isolé ne peut rechercher efficacement le vaste pool de données stockées sur des supports de données confisqués.

Depuis 2012, le Netherlands Forensic Institute (NFI) se concentre sur la criminalistique numérique en tant que service (DFaaS) dans le but de fournir un service qui peut traiter d’énormes quantités de matériel médico-légal numérique avec un accès accessible et sécurisé aux données analysées.

En 2015, le NFI a lancé la plate-forme Hansken – du nom du célèbre éléphant du XVIIe siècle immortalisé – en tant qu’outil précieux d’analyse médico-légale numérique.

Hansken traite les conversations de chat, les photos, les e-mails, l’audio, etc. Il rend les données transparentes et consultables, comme un moteur de recherche. L’objectif est que les détectives et les experts puissent utiliser des requêtes de recherche standard et puissent accéder aux données 48 heures après un crime. La plate-forme minimise le délai de traitement des dossiers, garantit une couverture maximale et les utilisateurs peuvent facilement y effectuer des recherches.

Les tenants et aboutissants
Hansken peut être divisé en trois niveaux: le back-end qui contient les connaissances médico-légales, la plate-forme DFaaS centralisée et le front-end qui peut être utilisé dans les enquêtes criminelles, la recherche et le développement.

«La plate-forme principale de Hansken et ses outils d’extraction sont codés en Java», note Hansken forensic développeur de logiciels Christophe Creeten. Creeten travaille dans l’équipe back-end qui est responsable de la collaboration avec des tiers. En leur permettant d’ajouter leurs propres connaissances et outils de criminalistique numérique, qui peuvent ensuite être partagés avec encore plus de personnes, la plate-forme peut être développée davantage.

Les développeurs de logiciels médico-légaux de NFI utilisent des outils existants et auto-développés, du logiciel open source Hadoop pour le traitement distribué à Elasticsearch pour rendre les informations consultables. «Nous utilisons également Cassandra pour stocker de gros blocs de données, Kafka, pour envoyer des messages entre les services, et Zookeeper pour nommer, stocker des informations et synchroniser les services», explique Creeten.

Lorsque les forces de l’ordre confisquent légalement un support de données, celui-ci est envoyé à Hansken pour traiter ses données, les séparer, puis décrire d’où proviennent les informations.

«Tout est stocké. Dans Elasticsearch, nous stockons des traces ainsi que des informations sur la façon dont nous avons dérivé ces traces, afin que nous puissions remonter », explique Creeten TNW. « Donc, si un détective tape quelque chose dans Hansken, cela devient une requête de recherche qui est lancée sur la base de données Elasticsearch et recherche les traces qui y correspondent et la restitue en conséquence. »

Qu’il s’agisse de drogue, de fraude, de blanchiment d’argent ou d’une autre forme de crime organisé, de plus en plus de données sont cryptées. L’accès aux données lorsque la clé n’est plus disponible est une tâche ardue. «Mais c’est un défi amusant de plonger plus profondément dans diverses structures de données», déclare Carly Bakker, développeur de logiciels médico-légaux pour l’équipe des bibliothèques back-end de Hansken.

Bakker et ses collègues travaillent dur pour interpréter correctement les données des transporteurs confisqués. «Metal est une bibliothèque Java développée par le NFI pour vraiment lire les données au niveau des octets. Nous l’utilisons donc souvent pour lire des formats de fichiers et pour extraire des octets. Ensuite, nous pouvons analyser un fichier et le diviser en petits morceaux où nous pouvons délibérément extraire les informations », explique Bakker. « Vous n’avez donc pas à passer par un processus laborieux en Java pour extraire tous ces octets un par celui de ce flux qui rend souvent le code illisible.  »

Expérience utilisateur fluide
La convivialité de la plate-forme garantit que les détectives, avec ou sans connaissances informatiques, peuvent utiliser le moteur de recherche pour extraire des preuves à partir des données disponibles.

L’expérience utilisateur des détectives et des experts numériques améliore les tests automatisés et l’intégration pour un déploiement continu. Un ajustement était une chronologie visuelle, explique Bakker: «Ce sur quoi nous avons travaillé, c’est que nous pouvons tout afficher dans un laps de temps. Il existe une chronologie dans laquelle les utilisateurs peuvent voir quand certaines données ont été modifiées. Le détective ou l’expert voit alors immédiatement ce qui s’est passé pendant une certaine période de temps. Il est souvent utile pour le trafic des e-mails ou les chats. »

Les développeurs NFI s’assurent que Hansken est capable d’exposer les e-mails (supprimés), de reconnaître les modèles, de catégoriser les images et de cartographier les emplacements des données avec des coordonnées, mais c’est aux détectives et aux experts numériques de interpréter et évaluer les données présentées.

Cas de haut niveau
La plate-forme de Hansken est conçue pour gérer la confidentialité, la transparence et la sécurité dans les enquêtes criminelles, et a maintenant été utilisée dans plus de 700 affaires pénales.

En 2016, le parquet néerlandais a saisi des serveurs de messagerie au Canada qui étaient utilisés pour des communications sécurisées (PGP) avec des téléphones Blackberry adaptés. En 2018, la Cour d’Amsterdam a statué que Hansken pouvait légalement être utilisé pour rechercher et fournir un aperçu des preuves déjà disponibles – 3,6 millions de messages cryptés provenant de serveurs de messagerie canadiens ont été légalement fouillés.

C’était une pilule amère à avaler pour le criminel néerlandais Naoufal F., surnommé Noffel, lorsqu’il a été condamné en 2018 à 18 ans de prison pour une liquidation ratée. Un an plus tard, six hommes ont été condamnés, avec des peines allant de sept ans à la réclusion à perpétuité pour leur vague extrêmement violente de préparation et de (tentative) de liquidation. Le parquet néerlandais, avec l’aide de Hansken, a utilisé les preuves trouvées dans les messages cryptés pour les condamner.

L’assistant intelligent
Hansken met au défi les développeurs de logiciels médico-légaux de continuer à évaluer et à développer des méthodes pour analyser efficacement de grandes collections de données. Bakker: «Le travail résume notre amour pour les énigmes, la résolution de problèmes et notre passion pour la programmation.»

Le NFI s’assure que les forces de l’ordre reçoivent une aide suffisante lors des enquêtes médico-légales numériques. Hansken gagne du temps en résolvant les problèmes, en analysant rapidement les données, en garantissant la protection des connaissances médico-légales et en fournissant des pistes précieuses dans les affaires criminelles. L’enquête médico-légale numérique jouera un rôle de plus en plus important dans la justice pénale. «Nous continuons à développer la plateforme et à étendre ses capacités médico-légales. Il y a toujours place à l’amélioration », ajoute Creeten.

Cet article vous est fourni par Click and Collect.