Cet article a été initialement publié dans le Forensic Magazine.

Le temps nécessaire pour rassembler des preuves est particulièrement important, surtout lorsque vous courez le risque de perdre des données qui pourraient détenir toutes les réponses d’une affaire. Les données doivent être extraites le plus rapidement possible, surtout si vous devez préserver des données qui « attendent » d’être récupérées. Il s’agit souvent de messages supprimés sur un appareil. Si les données disparues peuvent créer des lacunes dans les preuves et entraver votre enquête, il est possible de récupérer les messages à l’aide d’outils et de techniques appropriés.

Que deviennent les messages supprimés

Les SMS sont stockés dans la base de données d’un téléphone. Lorsque des messages sont supprimés par un utilisateur, ils sont déplacés dans les pages libres de la base de données, où ils sont généralement conservés jusqu’à leur suppression définitive. Les messages supprimés peuvent être récupérés depuis cet emplacement, sans garantie que vous puissiez identifier leur date de suppression.

Si vous avez affaire à des messages supprimés, vous devez absolument connaître la période de nettoyage de la base de données, c’est-à-dire le moment où les données supprimées sont purgées, soit automatiquement par le fournisseur, soit à l’aide de la commande VACUUM. Jusqu’à la purge, la taille de la base de données reste la même. Il est donc très important de retrouver les preuves le plus rapidement possible pour récupérer les messages supprimés dans les pages libres de la base de données.

Vous devez absolument récupérer ces fichiers dans les plus brefs délais, car la plupart des smartphones modernes les suppriment rapidement. Les appareils plus anciens, tels que les téléphones jetables, peuvent conserver les données supprimées plus longtemps, ce qui facilite la récupération. Cela étant dit, les données dans le cloud vous seront peut-être utiles, car les sauvegardes peuvent contenir des doublons des données qui ont été supprimées de l’appareil.

Comment récupérer les messages supprimés 

À l’aide de la solution Inseyets Physical Analyzer (Inseyets.PA) de Cellebrite, vous pouvez rapidement rechercher les données supprimées dans le modèle Analyzed Data, comme l’illustre l’image ci-dessous. Notez que l’appareil testé ne contient aucun message supprimé. Par conséquent, nous affichons les données supprimées sous Networks and Connections.

Ci-dessus, vous pouvez constater la présence d’éléments en rouge, soit les éléments supprimés, ainsi que des croix correspondantes à droite. Si vous soupçonnez que l’un des éléments supprimés vous permettrait de résoudre votre enquête, la marche à suivre conseillée est la suivante : accédez au fichier source, consultez la base de données et assurez-vous que l’élément a bien été supprimé, et pas seulement extrait ou optimisé par votre outil de criminalistique numérique.

Les outils qui proposent la fonctionnalité Deep Carving dans SQLite, comme Physical Analyzer (PA), peuvent vous aider à récupérer les messages supprimés toujours présents sur l’appareil. Vous pouvez également effectuer une recherche par mot-clé dans la vue Hex de PA.

Pour trouver facilement les messages supprimés, commencez par passer en revue les données analysées afin de vérifier si des messages marqués comme supprimés ont déjà été récupérés. Si c’est le cas, cliquez sur le fichier source et examinez la base de données pour vérifier son exactitude. En revanche, si vous ne trouvez aucun message supprimé dans les données analysées, explorez la base de données à l’aide de l’outil Deep Carving ou SQLite pour essayer de récupérer les données supprimées.

Dans l’exemple ci-dessus, AUCUN message supprimé n’a été récupéré. Pourquoi ? La commande VACUUM a peut-être été exécutée sur la base de données (souvent configurée par les développeurs) ou alors aucun élément n’a été supprimé.

Que faire si vous ne parvenez pas à récupérer les messages ?

Dans certains cas, il est possible que vous ne puissiez pas récupérer les messages. Ils ont peut-être été supprimés il y a trop longtemps et les pages libres ont été nettoyées dans le cadre du fonctionnement normal de la base de données. Cependant, vous pouvez quand même tirer des informations de cette situation.

Lorsque vous consultez votre base de données, chaque message est stocké dans un ordre séquentiel et, comme vous pouvez le voir ici, l’entrée 30 est absente. Même en utilisant l’extraction approfondie, l’entrée 30 n’a pas pu être récupérée.

En examinant plus en détail la base de données, le message correspondant à l’entrée 29 a été envoyé le 28 avril 2023 et celui de l’entrée 31 le 1er mai 2023. Ainsi, vous pouvez déduire que le message manquant a été envoyé entre le 28 avril et le 1er mai.

Le plus souvent, les messages supprimés indiquent que quelqu’un a sciemment décidé de supprimer des informations de son appareil. Cette démarche pourrait signifier l’intention de dissimuler des données ou d’éliminer des preuves incriminantes.

Vous ne récupèrerez pas toujours les preuves dont vous avez besoin à partir de messages ou de données supprimés, mais ces informations peuvent vous donner quelques indices, même si elles ne constituent pas une preuve irréfutable.  Ces preuves sont peut-être indirectes, mais lorsqu’elles sont mises bout à bout, elles peuvent aider à contextualiser les actions et même devenir la pièce manquante du puzzle.

À propos des auteurs

Heather Barnhart est Senior Director of Community Engagement chez Cellebrite, leader mondial des solutions d’enquête numérique de premier ordre pour les secteurs public et privé. Elle forme et conseille des professionnels de la criminalistique numérique sur des affaires dans le monde entier. Depuis plus de 20 ans, Heather Barnhart travaille sur des affaires très médiatisées dans de nombreux domaines, de l’exploitation des enfants aux médias numériques d’Oussama ben Laden. 

En tant que Product Specialist chez Cellebrite, Paul Lorentz aide régulièrement les clients à avancer sur des affaires complexes en laboratoire. Il aime guider et conseiller les enquêteurs, que ce soit en étudiant les données avec eux ou en les épaulant lorsqu’ils ont besoin d’un autre point de vue. Ancien membre chevronné des forces de l’ordre, Paul Lorentz est fier de son métier. Pour lui, les données deviennent un témoin muet qui donne une voix à ceux qui n’en ont pas.

Share this post