On va remettre les pendules à l’heure direct. Tu vois ce petit bouton ‘Supprimer’ sur lequel tu cliques avec la satisfaction d’un ninja qui efface ses traces ? C’est un placebo. C’est le doudou des cyber-criminels du dimanche. Dans la vraie vie, supprimer un fichier, c’est aussi efficace que de mettre un post-it ‘Je n’existe pas’ sur un cadavre au milieu de ton salon.
Le mec qui pense qu’il est en sécurité parce qu’il a vidé sa corbeille, c’est mon client préféré. C’est celui qui me facilite le travail. Pourquoi ? Parce qu’il est arrogant. Et l’arrogance, en Forensic, ça laisse des traces de pneus sur le silicium.
SECTION 1 : LE MYTHE DU « SUPPRIMER » (OU L’ART DE SE FOUTRE LE DOIGT DANS L’ŒIL)
L’Expertise pour les Nuls (mais pas trop) :
On va parler technique sans te donner envie de t’ouvrir les veines. Ton disque dur (HDD), c’est une pile de plateaux qui tournent à 7200 tours par minute. C’est une platine vinyle de l’espace. Quand tu enregistres un film de cul ou ton plan pour braquer la boulangerie, une tête de lecture vient graver des zones magnétiques.
Le système d’exploitation (Windows, ce grand bavard), il gère ça avec la MFT (Master File Table). Imagine un immense classeur à l’entrée d’une bibliothèque. Tu demandes le livre ‘Comment fabriquer une bombe’, la MFT te dit : ‘Rayon 4, Étagère B’.
Quand tu fais ‘Supprimer’, tu ne brûles pas le livre. Tu vas juste à l’entrée de la bibliothèque et tu arraches la page du classeur. Le livre est toujours sur l’étagère. Il attend juste qu’un autre livre prenne sa place. Et tant que personne ne s’est garé sur sa place de parking, moi, je peux le lire. On appelle ça le Data Carving. Je ne cherche plus l’index, je cherche la chair, le texte, le binaire pur.
SECTION 2 : LE COMBAT DES CHEFS (HDD VS SSD : LE SILENCE EST UN CRIME)
Alors là, on change de division. Si le HDD est une vieille balance qui bavarde, le SSD (Solid State Drive), c’est le tueur à gages silencieux. Il n’a pas de plateaux, juste des puces. Et il a un truc que les flics détestent : le TRIM.
Le TRIM, c’est le majordome du SSD. Dès que tu supprimes un truc, il passe derrière avec son aspirateur pour ‘nettoyer’ les cellules et garder le disque rapide. C’est notre pire ennemi. Si le TRIM passe avant que je branche mon bloqueur d’écriture, la donnée n’est pas juste ‘cachée’, elle est physiquement désintégrée.
SECTION 3 : LES « BRICOLOS » DE LA DESTRUCTION (RIRE UN BON COUP)
C’est ma partie préférée. Le moment où le suspect panique et essaie de détruire son disque dur physiquement. Spoiler : C’est souvent pathétique.
- La Perceuse : Là, on commence à discuter. Si tu fais un trou pile dans le moteur, c’est chiant. Mais si tu ne touches pas la zone où sont les données, je peux encore récupérer 90% du disque.
- Le Micro-ondes : ‘Chef, j’ai mis le disque au four !’ Résultat ? Le plastique a fondu, ça pue le cancer dans tout l’appart, mais les plateaux magnétiques à l’intérieur ? Ils s’en balancent. On les sort, on les met dans un nouveau boîtier en salle blanche, et on rigole en regardant ses fichiers.
- L’Eau : Sérieusement ? On n’est pas dans un film d’espionnage des années 90. L’eau ne détruit pas les aimants. On sèche, on nettoie à l’alcool isopropylique, et c’est reparti pour un tour.
SECTION 4 : LA MORGUE DES FICHIERS (OÙ CACHENT-ILS LES CADAVRES ?)
Les ‘Shadow Copies’
(Les Clichés Instantanés)
Windows, c’est ce pote un peu flippant qui prend des photos de toi quand tu ne regardes pas. Il crée des ‘points de restauration’. Le suspect efface son fichier compromettant le mardi ? Pas de bol, Windows avait pris un cliché du système le lundi. Je remonte le temps, et paf, le fichier réapparaît. C’est la DeLorean de la Forensic.
Le dossier ‘Recycle.Bin’
(La Corbeille qui parle trop)
Même quand tu vides la corbeille, elle garde un index. Chaque fichier supprimé a un petit nom de code ( genre $R et $I). Le $I contient la date de suppression et le chemin d’origine. C’est l’acte de décès du fichier. Je sais quand tu as paniqué, je sais quel dossier tu as voulu vider en priorité. Ton stress laisse une empreinte horodatée.
Le ‘Pagefile.sys’ et le ‘Hiberfil.sys’
C’est le Graal. Quand ton ordi n’a plus assez de RAM (mémoire vive), il écrit ses ‘pensées’ sur le disque dur pour faire de la place. C’est là qu’on trouve des fragments de chats chiffrés, des mots de passe en clair, ou des morceaux de pages Web que tu consultais en mode ‘Incognito’.
SECTION 5 : LE PROFILAGE DU SILICIUM (DIS-MOI CE QUE TU PORTES, JE TE DIRAI QUI TU TUES)
Là, on rentre dans ma zone : le mélange entre la Cyber-Traque et l’Analyse Comportementale. Un disque dur, c’est une empreinte digitale mentale.
Les Artefacts de Navigation
On ne regarde pas juste l’historique (trop facile). On regarde les Favicons (les petites icônes des sites). Tu as supprimé ton historique de recherche sur le Darknet ? Dommage, ton navigateur a gardé l’icône du forum pédocriminel ou de la marketplace de drogue dans son cache. C’est comme laisser un ticket de caisse de chez l’armurier dans ta poche alors que tu dis que tu n’as pas de flingue.
Les ‘LNK Files’ (Les raccourcis mouchards)
À chaque fois que tu ouvres un fichier, Windows crée un petit fichier .lnk. Même si tu supprimes le fichier d’origine et que tu jettes la clé USB, le fichier .lnk reste sur ton disque. Il me dit : ‘Hé, ce mec a ouvert un document qui s’appelait Plan_Attaque.docx le 12 mars à 22h12 depuis une clé USB de marque Kingston’.
C’est là que l’humour s’arrête : C’est avec ces micro-détails qu’on prouve la préméditation.
Le ‘Shellbags’
C’est mon préféré. C’est une clé de registre qui retient la taille et la position des fenêtres que tu as ouvertes. Même si le dossier n’existe plus, le ‘Shellbag’ me prouve que tu as navigué dans un dossier nommé ‘VIDÉOS_INTERDITES’. Tu ne peux pas dire ‘C’est pas moi, je savais pas’, quand ton ordi prouve que tu as passé 4 heures à réorganiser ce dossier.
SECTION 6 : LE CAS RÉEL « L’ARROGANTE DU CHIFFREMENT » (NOM DE CODE : OPÉRATION BITLOCKER)
Un mec, appelons-le ‘X’. Un vrai malin. Il avait chiffré tout son disque avec BitLocker. Un mur d’acier binaire. Il nous riait au nez : ‘Bonne chance pour craquer ma clé de 256 bits, les gars.’
L’erreur humaine (Ma spécialité) :
Il on fait une perquise chez lui. Pas de code écrit sur un post-it, rien. Mais en analysant son Smartphone (notre prochain article, reste branchée), on a trouvé une photo de son chat. Le nom du chat ? ‘Gribouille2024!’.
On a testé des variantes. La clé Bitlocker n’était pas un code aléatoire, c’était le nom de sa première voiture combiné à la date de naissance de sa mère.
Résultat : Disque ouvert en 15 minutes.
Morale : Tu peux avoir le meilleur coffre-fort du monde, si tu laisses la clé sous le paillasson (ton cerveau), on finit toujours par entrer. »
👻LE SILICIUM NE SAIGNE PAS, MAIS IL PARLE
Alors, on en est où ? On a vu que ton disque dur est un cimetière d’éléphants numériques. On a vu que ‘supprimer’, c’est juste un mot poli pour dire ‘cacher sous le tapis’. Et on a surtout vu que la technologie, aussi sophistiquée soit-elle, finit toujours par se heurter à la plus grande faille de sécurité du monde : l’humain.
Le suspect que j’ai en face de moi en garde à vue, il peut nier, hurler, ou garder le silence. Je m’en moque. Pendant qu’il transpire sous les néons, son disque dur, lui, est sur ma table d’opération. Il me raconte ses doutes, ses recherches Google à 3h du matin, ses dossiers cachés et ses tentatives désespérées de formatage.
Tu pensais être seul devant ton écran ? Tu ne l’as jamais été. Chaque clic est une cicatrice sur le silicium. Et mon job, c’est de lire les cicatrices.
Teaser pour la semaine prochaine
[ ÉPISODE 2 ] – LE SMARTPHONE, CE TRAÎTRE DE POCHE
»Tu penses que ton disque dur était bavard ? Attend de voir la suite.
La semaine prochaine, on s’attaque à l’objet que tu touches 2 600 fois par jour. Ton smartphone. Ce n’est pas un téléphone, c’est un mouchard de haut vol qui vit dans ta poche, dort à côté de ton lit et connaît tes secrets les plus intimes.
- Messages supprimés sur WhatsApp ou Telegram ? On va voir pourquoi le ‘chiffrement de bout en bout’ ne protège pas tes fesses quand j’ai le terminal entre les mains.
- Localisation coupée ? Je vais t’expliquer comment ton accéléromètre et ton baromètre racontent à quel étage tu étais et si tu courais ou marchais au moment des faits.
- Photos ‘privées’ ? On va parler des métadonnées EXIF, ces petites lignes invisibles qui crient ton adresse GPS exacte sur chaque selfie.
Prépare tes câbles et ton code PIN (ou pas, on s’en fiche, on passera quand même). La semaine prochaine, on fait cracher les tripes à ton iPhone.
Je ne sais pas encore tout, mais je cherche partout.
Warrior soul, Shadow hunter, Hope builder.
