Les perquisitions d'ordinateurs portables révèlent souvent les secrets des criminels.

Quand les criminels sont trahis par leur ordinateur

MONTRÉAL - Trahi par son propre ordinateur? Les procédures criminelles intentées contre le tireur de la Grande mosquée de Québec ont ouvert une fenêtre qui a permis de jeter un oeil dans le monde bien gardé de l’extraction informatique, ou comment les forces de l’ordre peuvent extirper d’un ordinateur toutes sortes d’informations qui s’y trouvent - ou même qui ont été effacées.

Dans le cas d’Alexandre Bissonnette, son ordinateur portable a été saisi par perquisition, et forcé de révéler ses secrets.

Le gendarme Marc Levasseur de la GRC a percé son armure notamment à l’aide d’un logiciel spécialisé Internet evidence finder IEF, créé par une entreprise canadienne, Magnet Forensics, fondée par un ex-policier de l’Ontario, Jad Saliba.

Et la demande explose.

«Il n’y a plus une scène de crime aujourd’hui qui n’a pas un élément technologique», souligne Geneviève Lajeunesse de Crypto.Québec, un média indépendant sur les enjeux de sécurité informatique, de technologie de l’information et du renseignement.

De nombreuses forces policières du monde occidental se servent du IEF, dit l’entreprise, qui a aussi pour client le FBI, le gouvernement fédéral du Danemark et du Royaume-Uni aussi, ainsi que la police de Lima, au Pérou.

Un tel logiciel est vital pour monter le dossier de la poursuite. Cet outil permet la recherche précise de preuves: dans le cas d’Alexandre Bissonnette, la police cherchait à savoir si ses six meurtres étaient prémédités - une telle accusation, si prouvée, entraîne une plus lourde peine - et aussi s’ils avaient été perpétrés au nom d’une idéologie.

Concrètement, le logiciel donne accès au contenu des fichiers zip, à la mémoire RAM, aux répertoires, aux données de conversations sur les médias sociaux, le clavardage (chats) les partages de fichiers P2P, le courrier web, les vidéos sur YouTube, les photos, l’usage de clés USB, comment l’info a été partagée, sur Icloud ou dropbox, sans oublier l’historique du navigateur internet - même s’il a été effacé.

Ces outils de recherche informatique - il y en a plusieurs - permettent un énorme gain de temps. Pas besoin pour les policiers d’aller tout lire sur Facebook, Skype et sur les navigateurs web.

La quantité de données qui peuvent être extraites est imposante: dans le cas de Bissonnette, 31 895 liens internet ont été déterrés, 4742 recherches Google, 3388 liens Facebook et 60 417 images.

L’outil de pointe voit tout, même des données invisibles pour l’oeil humain: sur l’ordinateur de Bissonnette, le sergent Levasseur a pu voir des vidéos d’exécutions incriminantes, mais aussi des visites qui étaient assez anodines, comme des recherches de costumes d’Halloween et la recette de vol-au-vent de Ricardo.

Et il est précis: il a notamment permis de déterminer qu’environ une heure et demie avant la tuerie, Bissonnette avait visionné une vidéo sur comment bien manipuler un Glock, l’arme à feu avec laquelle il a tué six hommes.

Mais si les policiers cherchent des infos précises, le contexte plus large peut être occulté, prévient Mme Lajeunesse. Que valent 20 recherches sur des bombes, quand il y en a 1200 sur des recettes de cuisine?

«C’est certain qu’il a quand même un risque que cela soit réducteur. Mais ça sauve du temps», juge-t-elle.

«Mon historique de recherches internet ressemble pas mal à celui d’Alexandre Bissonnette, a d’ailleurs signalé Mme Lajeunesse, pour illustrer son propos. Car l’on peut faire des recherches qui attirent l’attention des forces de l’ordre, sans avoir d’intention malicieuse. Elle indique faire, pour son travail, beaucoup de recherche sur des groupes d’extrême droite.

Bref, à quel point peut-on inférer quelque chose d’un historique de recherche? demande-t-elle. «De consulter, c’est une chose. De commenter, c’en est une autre».

La police discrète

Les corps policiers sont réticents à discuter de leurs techniques d’enquêtes. Pour ne pas aider les criminels à déjouer leurs méthodes, dit-on.

Questionnée à ce sujet par La Presse canadienne, la GRC n’a fait que confirmer utiliser certains outils de Magnet Forensics. La Sûreté du Québec refuse de dévoiler les siens: «L’information, c’est le nerf de la guerre», indique Hugo Fournier porte-parole de la SQ. Il précise toutefois qu’il y a une Unité de soutien technologique, soit une quarantaine de policiers, appuyés d’informaticiens, qui, armés de logiciels informatiques, s’attaquent surtout au crime organisé.

Les policiers ne sont toutefois pas les seuls à utiliser ces outils de haute technologie. Des firmes spécialisées font le même boulot qu’eux.

Ryan Duquette est le fondateur d’Hexigent Consulting. Il fait de l’extraction informatique et de l’analyse digitale pour des firmes d’avocats et parfois pour des corps policiers. Il a lui aussi commencé sa carrière avec la police en Ontario.

Pourquoi ses clients le contactent-ils? Pour passer au peigne fin des ordinateurs et des téléphones cellulaires afin de mettre la main sur des preuves incriminantes. De nos jours, il travaille surtout sur des causes au civil, dans des litiges de vol de propriété intellectuelle.

Des logiciels qui permettent de faire des recherches non seulement avec des mots-clés (musulmans, tueries, dans le cas d’Alexandre Bissonnette), mais aussi avec des codes de hachage. Il s’agit d’une espèce d’empreinte digitale d’un document ou d’une photo, soit une série alphanumérique qui est propre à chacun d’entre eux, a-t-il expliqué.

Faire les recherches manuellement prendrait... «à tout jamais», a-t-il laissé tomber.

Cela permet aussi de potentiellement récupérer des données effacées et de retourner en arrière - parfois même sur plusieurs années, dit M. Duquette.

L’homme précise toutefois que son travail est de présenter les informations de façon neutre. Il laisse aux autres dans le processus judiciaire le soin de tirer des conclusions.

Obstacles à l’enquête

Un criminel sophistiqué peut réussir à cacher ses données compromettantes, indique M. Duquette.

Certaines personnes utilisent aussi des VPN (virtual private network) qui font rebondir l’adresse IP partout dans le monde, ce qui rend beaucoup plus difficile la tâche de retracer quelqu’un. Des outils anti-judiciaires sont de plus en plus utilisés, comme l’encryptage. Cela rend le travail des enquêteurs plus difficile.

«Mais pas impossible. Il faut être plus créatif», dit le fondateur d’Hexigent Consulting.

Camoufler toutes ses traces? Mme Lajeunesse n’y croit pas.

«Se connecter, c’est se commettre», a-t-elle dit, illustrant son propos en indiquant être en train de donner une entrevue dans un café alors qu’une caméra de sécurité est pointée sur elle. Les gens finissent par faire de petites erreurs. Un exemple? AlphaBay, l’un des plus gros marchés sur le darknet. L’administrateur a envoyé un courriel de confirmation en se servant de son ancien compte courriel Hotmail. «Une erreur bête», commente la spécialiste.

Bonne nouvelle: les outils des enquêteurs sont aussi de plus en plus sophistiqués.

Mais pas au point de ressembler à une émission de «CSI: crime scene investigation». La série télé - fort populaire - où les enquêteurs règlent tout en une heure, rigole M. Duquette: «Cela prend plus de temps que ça!»

«La quantité de données pour les enquêteurs est parfois vertigineuse, massive. Et cela ne fait que devenir plus gros avec le temps».

Et puis, il ne faut pas oublier: si cette extraction informatique met au jour de la preuve pour faire condamner des criminels, elle sert aussi à faire innocenter ceux qui sont arrêtés injustement.

Pour Geneviève Lajeunesse, ces multiples possibilités sont une bonne chose pour les forces de l’ordre, mais elle n’est pas sans crainte.

Il est essentiel que cette recherche informatique «soit faite dans les règles de l’art», avec un mandat judiciaire, qui ne doit pas autoriser des parties de pêche.

Puis, une fois les données saisies, elles doivent être bien protégées, et leur intégrité préservée par les forces de l’ordre. Il y a eu des failles dans le passé. Des images des caméras de corps de policiers, hébergées chez un tiers, ont été effacées par erreur, rappelle-t-elle.

«C’est pour protéger l’intégrité du processus judiciaire, pour protéger les policiers et les accusés», insiste-t-elle. Sinon, à quoi bon récupérer toutes ces preuves si elles sont rejetées en cour, car elles sont jugées être contaminées?

----------------------------

EXEMPLES DE PROCÈS OÙ L'EXTRACTION INFORMATIQUE A ÉTÉ UTILISÉE

Au Québec - Guy Turcotte

L’analyse informatique au procès de Guy Turcotte - accusé d’avoir poignardé à mort ses deux jeunes enfants - a permis de constater que l’ex-cardiologue avait fait des recherches internet pour savoir comment se suicider sans douleur et s’était attardé à la toxicité de produits comme le méthanol. «Suicide mode d’emploi» et «suicide sans souffrance» faisaient partie des mots-clés que Turcotte avait inscrits dans son moteur de recherche.

En Ontario - Bruce McArthur

Les experts en enquête juridico-informatique ont aidé les forces de l’ordre avec leurs démarches sur le prétendu tueur en série Bruce McArthur, accusé de huit meurtres à Toronto, pour révéler un trésor d’information dans son ordinateur. Et cela, dans l’espoir que cela révèle des indices sur la façon dont ses présumées victimes sont mortes.

Aux États-Unis - Attentat du marathon de Boston

Chez nos voisins du sud, tous les appareils électroniques liés aux deux frères Djokhar et Tamerlan Tsarnaïev, qui ont fait exploser deux bombes au Marathon de Boston en 2013, ont été passés au peigne fin. L’avoir fait manuellement aurait pris plus de 10 ans, ont dit en cour les enquêteurs. L’un des ordinateurs analysés contenait plus de 500 000 fichiers. La preuve déterrée a aussi aidé à prouver la préméditation.