Après la perquisition effectuée au Parquet général le 30 octobre, l’Unité centrale opérationnelle (UCO) a remis un rapport dans lequel elle déclare n’avoir trouvé « aucun message appartenant à un quelconque type d’application de messagerie instantanée » entre le 8 et le 14 octobre. Mars 2024, dates clés de l’affaire. Le rapport ne suggérait pas suppression intentionnelle de messagesmais depuis 2019, l’institution recommande la suppression périodique des appareils électroniques pour des raisons de sécurité.
Dans ce guide d’actions en matière de protection des données, outre la limitation de la durée de conservation voire la destruction des appareils non utilisés, il a été évoqué mesures de sécurité liées aux appareils électroniques. Ainsi, il a évoqué la limitation « au maximum » du « stockage des informations contenant des données personnelles sur des supports électroniques portables (disques durs externes, clés USB, etc.) » et a exigé « leur cryptage en cas d’utilisation ».
En tout cas, à ne pas trouver ces messages sur l’appareil mobile et les cartes SIM intervenuesHurtado a demandé à l’UCO de se renseigner numéros de téléphone et IMSI/IMEI qui leur correspondent, outre la propriété associée à ces numéros de téléphone. Pour cette raison, il n’est pas exclu que des informations soient requises de la part d’entreprises telles que Butla matrice WhatsApp et d’autres moyens sont utilisés pour tenter de savoir si les cartes ont été utilisées sur d’autres appareils mobiles qui n’ont pas encore été trouvés.
Les enquêtes de ce type incombent généralement à des experts en informatique judiciaire, qui connaissent en détail Dans quelle mesure et avec quels outils peut-on récupérer les informations supprimées d’un appareil ? ou un compte d’application de messagerie. C’est pour cette raison qu’EL ESPAÑOL-Omicrono a souhaité avoir la participation de deux experts du domaine dans la préparation de ce rapport.
Les appareils de communication peuvent utiliser des cartes de données pour envoyer et recevoir des informations ou passer des appels téléphoniques. Pour identifier les appareils qui effectuent ces appels Un numéro est nécessaire attribué non seulement à chaque appareil, mais à chaque emplacement SIM. Avant d’essayer de récupérer les informations de messagerie d’un appareil spécifique, vous devez connaître son IMEI et son IMSI.
Il IMSI (International Mobile Subscriber Identity) et le IMEI (International Mobile Equipment Identity) sont des codes uniques qui identifient tout appareil pouvant envoyer et recevoir des messages et des appels sur un réseau téléphonique mobile. C’est ainsi que l’infrastructure sait qui nous voulons contacter et quel appareil physique ils utilisent.
L’IMSI est un certain nombre de 15 chiffres qui identifie la carte physique, ou l’eSIM en cas d’utilisation d’une carte virtuelle. C’est une sorte de ID de la carte elle-même lié au numéro de téléphone. L’IMEI est un code unique 15 à 17 chiffres identifiant l’appareil mobile lui-même, quelle que soit la carte SIM. Les téléphones mobiles dotés de deux emplacements SIM ont également deux IMEI, puisque chaque emplacement a le sien.
Autrement dit, l’IMSI identifie le numéro de téléphone via la carte SIM et l’IMEI identifie le téléphone lui-même. Dans des déclarations à ce journal, David Del Olmoinformaticien médico-légal spécialisé dans les appareils mobiles, indique que ces données « sont essentielles pour assurer la traçabilité et l’authenticité des preuves numériques dans la chaîne de contrôle. « Ils permettent l’identification, la localisation, la mise en relation des appareils et des utilisateurs impliqués dans des activités suspectes ou illicites. »
L’expert souligne qu’il existe plusieurs façons de récupérer les informations supprimées d’un appareil mobile. En cas de recherche d’informations sur WhatsApple processus est plus complet car l’information « se trouve dans le partie physique de l’appareiln’étant ni visible ni accessible à un utilisateur. Sur la carte microSD (si vous l’avez), ce serait l’option la plus simple avec un programme de récupération de données. » D’autres options sont liées aux copies de sauvegarde, telles que « la sauvegarde iTunes ou vos propres applications telles que Samsung Kies ».
Javier Rubio Alamilloinformaticien et doyen du Collège Professionnel des Ingénieurs Techniques en Informatique de la Communauté de Madrid, nous dit que la chose habituelle est d’essayer de récupérer l’information « en effectuant un dump, qui récupère les bases de données de l’application. Grâce à l’analyse, les messages pourrait être récupéré. Cependant, suite aux « dernières évolutions des technologies SQLite, le type de bases de données dans lesquelles la plupart des applications stockent leurs messages » empêcher cette récupération« .
Récupération de données sur le terminal
Lorsque des informations ont été supprimées d’un appareil informatique, il peut être possible de récupérer tout ou partie de ces données. même après le formatage. En effet, lorsque vous restaurez un appareil ou lorsque vous effacez certains éléments, il le code n’est pas toujours supprimé qui leur est associé, mais seul le début de ce code est supprimé.
Il en est ainsi parce que c’est beaucoup plus rapide et, au fil du temps, le système d’exploitation lui-même stockera les informations par-dessus les anciennes, éliminant ainsi les précédentes. Ce serait comme fermer une porte : le bâtiment n’a pas été démoli, mais on ne peut pas y entrer sans autorisation. Mais il serait possible d’entrer dans certaines pièces en se faufilant par une fenêtre. C’est ce que font certains programmes de récupération de données, capables de récupérer une partie des informations qui ont théoriquement été supprimées.
Une autre question est de savoir si les informations récupérées qu’il soit crypté ou non. Si tel est le cas, les données que nous avons réussi à récupérer seraient masquées afin qu’elles ne soient pas faciles à lire. Le système de cryptage varie d’une application à l’autre et d’un système d’exploitation à un autre. Il existe des programmes capables de briser ce cryptage, mais cela prend beaucoup de temps et de ressources.
En revanche, il y a systèmes d’effacement que ce qu’ils font, c’est éliminer toutes les informations. Cela prend beaucoup plus de temps, mais garantit que rien ne pourra être sauvé, car a été écrasé par-dessus toutes les informations. Cela s’applique généralement lorsqu’un disque dur entier ou une mémoire interne est supprimé, mais ce n’est généralement pas le cas lorsque certains messages sont supprimés à des dates précises, comme c’est le cas avec le téléphone portable du procureur général.
Tentative récupérer des messages spécifiques est beaucoup plus compliqué, comme le raconte le doyen. « En raison de l’évolution de la technologie, cela devient plus complexe. Les sauvegardes remplacent l’original. Et si vous supprimez un message dans la copie originale, la nouvelle sauvegarde n’aura plus ce message. »
Sauvegarde d’application
Interface de sauvegarde WhatsApp sur un smartphone El Androide Libre
Bien entendu, en raison du cryptage dont disposent généralement ces applications, il doit être l’utilisateur lui-même quiconque restaure ces informations. Chaque service a différentes méthodes d’identificationcomme un lien avec un numéro de téléphone, avec un e-mail de récupération de mot de passe, etc. Rubio Alamillo assure que tenter de briser le cryptage « est très complexe ».
Sans les clés, explique-t-il, « c’est très difficile, et la seule option ce serait de la force brute ou d’autres techniques qui consistent à infiltrer des terminaux pour lire des messages en temps réel via des chevaux de Troie« . Mais « ces opérations devraient être autorisées par un magistrat », précise-t-il.
David del Olmo explique que, dans le cas de WhatsApp, les informations « sont stockées dans la base de données locale de l’appareil, donc la récupération des messages supprimés sans accès à la sauvegarde est techniquement possible dans certains cas. » Tout dépendra « des outils appropriés, du niveau de cryptage et des éventuelles limitations physiques ou logiques de l’appareil ».
Mais dans le cas d’autres applications, comme Le télégramme peut être encore plus complexe. Dans le cas où il s’agit d’une discussion secrète, « nous n’avons aucun moyen de la récupérer car elle utilise un cryptage de bout en bout. Dans certains cas, j’ai pu récupérer des discussions complètes, et non secrètes, car l’utilisateur avait un précédent sauvegarde effectuée avec Telegram Desktop , le version de bureaudans votre équipe. »
Sauvegarde du système
La troisième façon de récupérer les données d’un téléphone mobile supprimé est recourir à des copies de sauvegarde des systèmes d’exploitation. iOS et Android disposent de copies de sauvegarde qui peuvent être automatisées et qui vous permettent de restaurer les informations d’un téléphone mobile vers un autre complètement différent.
Dans ce cas, c’est important grâce aux SMS, qui ne dépendent pas d’applications tierces comme cela peut arriver dans le cas des applications de messagerie telles que Telegram ou WhatsApp. Dans le cas d’Android par exemple, les SMS sont gérés par l’application Google Messageset tous ceux que nous avons sur notre mobile sont répliqués dans la copie de sauvegarde de notre mobile sur les serveurs de l’entreprise.
Sauvegardes Android El Androide Libre
David del Olmo nous a dit que la récupération des données d’un appareil Android « dépendra toujours de la marque et du modèle du téléphone mobile, du correctif de sécurité Android dont il dispose à ce moment-là, de l’outil médico-légal que nous utilisons et du temps qui s’est écoulé depuis que le le ou les messages ont été supprimés, car Normalement, les données sont écrasées, ce qui rend la tâche difficile« .
En effet, lors de la configuration d’un nouvel appareil avec Android, le système lui-même nous demande si nous souhaitons restaurer la copie de sauvegarde de notre compte, liée à notre email. Dans cette restauration, vous pouvez sélectionner des éléments comme les applications, les emails ou les images, mais aussi l’historique des appels ou les SMS que nous avons reçus sur l’ancien mobile.
Requêtes judiciaires
Les forces de sécurité de l’État ont le pouvoir de demander aux entreprises copies des informations de chat qui sont liés à toute enquête en cours. Cependant, « l’accès à ces entreprises qui opèrent ou possèdent habituellement leurs données en dehors de l’Union européenne est très limité », selon Del Olmo.
Les demandes de commissions rogatoires et d’autorisations judiciaires sont généralement lentes et, selon l’expert, « dans de nombreux cas, nous n’obtiendrons que les données d’accès, mais pas le contenu des messages, qui sont cryptés ». Dans ce cas, il faudrait « effectuer une analyse médico-légale sur l’appareil mobile puis comparer les données avec l’opérateur, s’il souhaite collaborer ».
Dispositif de récupération de données de marque Cellebrite Omicrono
Cette analyse est généralement effectuée avec outils matériels conçu à cet effet. « Une analyse médico-légale avec l’outil Cellebrite peut non seulement récupérer les messages supprimés, mais déterminer si où ont-ils été supprimés« , explique l’informaticien.
Des données telles que le type d’application, si elle était mobile ou de bureau, si elle était connectée ou non à un réseau WiFi, la géolocalisation de l’appareil, etc. peuvent être extraites. Ces types d’outils sont si puissants qu’ils « peuvent collecter Rapports de 500 000 pages à partir d’un téléphone ordinaire de n’importe lequel d’entre nous. »
Javier Rubio convient que Cellebrite est l’outil le plus connu, mais il en existe d’autres comme XRY ou Oxygène qui pourrait également être utilisé par l’UCO pour tenter de récupérer les messages supprimés de García Ortiz ou pour déduire l’utilisation d’autres terminaux non inclus dans la première procédure.