L’École normale supérieure de Paris organisait en septembre dernier une « nuit de l’ENS » consacrée à l’incertitude. L’une des conférences s’interrogeait sur la scène de crime numérique et la complexité de l’extraction, l’analyse et l’expertise de ces nouvelles preuves, utiles voire déterminantes pour résoudre certaines enquêtes.
L’incertitude est une pièce maîtresse des droits de
l’accusé. Le Code de procédure pénale indique que « le juge ne peut fonder sa
décision que sur des preuves qui lui sont apportées au cours des débats et
contradictoirement discutées devant lui ». Quand une preuve intervient dans une
enquête, une partie va tâcher de démontrer sa certitude scientifique pendant
que l’autre va s’efforcer de montrer sa part d’incertitude. C’est la notion de
doute acceptable ou non acceptable qui va être discutée en fonction des
éléments de preuve qui seront apportés devant les juridictions. Toujours dans
le Code de procédure pénale, il est rappelé aux jurés d’assises le principe
d’incertitude lors de leur prestation de serment : « Vous jurez et promettez de
vous rappeler que l’accusé est présumé innocent et que le doute doit lui
profiter. »
Une expertise
scientifique qui évolue au fil des époques
C’est ici qu’interviennent les experts judiciaires. Leur
rôle : montrer et quantifier cette part d’incertitude avant le procès pénal. «
L’expertise judiciaire scientifique a pour but d’éclairer le juge et les jurés
d’assises sur des questions d’ordre technique ou scientifique utiles à la
manifestation de la vérité », affirme Thibaut Heckmann, doctorant au
département informatique de l’École normale supérieure et chef d’escadron au
Centre de recherche de la Gendarmerie nationale. Le métier d’expert a connu un
gain de popularité à partir des années 2000, notamment grâce aux différentes
séries Les experts. « Beaucoup d’étudiants se sont présentés à nos concours
d’entrée en gendarmerie en nous disant que leur motivation pour intégrer la
police technique et scientifique venait des séries qu’ils ont pu voir et qui
les ont passionnés. »
Toutefois, ce domaine existait bien avant l’apparition des
séries télévisées. Déjà au XVIe siècle, avec la naissance de la médecine
légale, on commence à chercher des éléments scientifiques par l’analyse des
corps. À partir de 1808, on analyse les autres éléments de preuve qui vont
pouvoir être retrouvés sur une scène de crime. En 1832, le marquage au fer
rouge des délinquants devient interdit, ce qui rend l’identification des
récidivistes plus complexe. Des personnes étaient payées pour repérer les suspects.
Le taux d’identification était devenu très fort, la rémunération se faisant
selon le nombre d’identifications, mais l’incertitude était maximale et les
vrais coupables rarement retrouvés. Alphonse Bertillon, à l’époque simple
employé à la Préfecture de police de Paris, était chargé de copier le nom des
personnes arrêtées. Il constatait que les mêmes personnes revenaient souvent,
mais avec des noms différents. Cependant, aucun moyen n’était disponible à
l’époque pour le prouver.
Il a donc eu l’idée d’apporter de la science afin de
caractériser au maximum ces délinquants. Il a commencé à donner des
descriptions un peu plus scientifiques des personnes arrêtées, en prenant neuf
mesures anthropométriques, par exemple la longueur de l’avant-bras ou des
oreilles. Un peu plus tard, des mesures plus visuelles ont aussi été utilisées,
comme la couleur des yeux, les tatouages ou les cicatrices.
Sont ensuite intervenues les empreintes digitales, puis, à
partir de 1986, l’ADN. L’expertise devient technique et scientifique. L’idée de
la fixation de la scène de crime s’est également imposée, notamment en raison
du délai entre une action criminelle et son procès qui empêchait de savoir
précisément ce qu’il s’était passé et de se souvenir de l’image de la scène. «
C’est exactement la même chose dans le domaine numérique, assure Thibaut
Heckmann. Par exemple, quand on effectue un prélèvement sur un téléphone
portable, on extrait les données, et on fait ensuite des manipulations dessus.
On fait en quelque sorte une fixation numérique de la scène de crime. »
Le numérique comme nouvelle aide
pour réduire l’incertitude
Avec l’évolution du numérique, les experts utilisent
désormais des lasers pour modéliser en 3D les scènes de crime. Cela permet de
prendre des mesures à présenter en cour d’assises afin que juge et jurés
puissent avoir une vision de ce qu’il s’est passé.
Le médecin légiste Edmond Locard a lui émis l’hypothèse que
tout individu séjournant à un point donné y laisse forcément la marque de son
passage, ce que l’on appelle la contamination de la scène de crime, et qu’à
l’inverse, ce qu’il touche sur la scène de crime peut se retrouver sur lui. Le
premier laboratoire de police technique et scientifique est créé en 1910 dans
les locaux du palais de justice de Lyon. À l’époque, très peu de matériel
adapté existe pour caractériser les scènes de crime ou pour réaliser des
expertises. Edmond Locard va développer plusieurs instruments scientifiques en
conséquence. Il écrit un traité de criminalistique en plusieurs volumes
représentant les départements encore actuels de la police technique et
scientifique.
Le numérique est maintenant venu se greffer comme
complément à tout cela, devenant omniprésent sur les enquêtes criminelles. Des
scènes de crime numériques existent désormais, et les experts vont utiliser
énormément de matériel numérique et scientifique afin de les aider dans les
différentes expertises, que ce soit sur l’ADN, la balistique ou le numérique
avec l’extraction des données et la fixation des scènes de crime. Ce principe
de trace et d’incertitude récoltée se retrouve dans le domaine numérique,
notamment sur les téléphones et GPS, mais également les cryptomonnaies ; une
diversification des preuves appréciable pour confirmer ou infirmer des doutes
lors d’une enquête. « Généralement, quand un expert se trouve en présence d’une
preuve, le jugement ne va pas se fonder uniquement sur celle-ci, mais sur
l’ensemble des preuves que l’on va pouvoir récolter sur une scène de crime,
explique Thibaut Heckmann. Les avocats vont pouvoir discuter de ces preuves
avec des expertises et des contre-expertises. »
Ces preuves inédites font partie de la criminalistique
numérique, nouvelle branche des sciences criminalistiques portant sur la
recherche, l’acquisition, le traitement et l’analyse des données stockées sur
un support numérique. Le premier objectif va être d’extraire l’information d’un
support. « Cela peut déjà être un challenge puisque les supports que l’on va
recevoir peuvent varier », d’après Nicolas Hugget, doctorant à l’ENS et
officier de gendarmerie au Centre national d’expertise numérique. Son rôle :
extraire des données d’un appareil, les analyser et fournir un rapport pour que
les juges et les jurés puissent se faire un avis sur une enquête. Ces éléments
peuvent provenir d’un ordinateur ou d’un téléphone tout à fait classique, avec
les difficultés que cela peut représenter en termes de mot de passe et de
protections sur le système. Cela peut aussi être des éléments plus atypiques,
comme des objets connectés, des véhicules, ou des supports endommagés. « Notre
travail consiste à faire parler ces supports et à récupérer de l’information
sans l’altérer. On va devoir transformer le renseignement que l’on extrait en
une information exploitable pour que ça soit parlant, avec une interface
utilisateur. » En clair, rendre des données informatiques, composées de code
indéchiffrable par un non-professionnel, lisibles par tous, et principalement
par les parties travaillant sur une enquête, qu’il s’agisse d’un juge, d’un
plaignant, d’un accusé ou d’un avocat.
Des
éléments de preuve multiples…
Plusieurs éléments vont être recherchés par les experts
judiciaires pour analyser une scène de crime : échanges par SMS, adresses IP,
informations de géolocalisation via le GPS ou le bornage d’un téléphone,
photographies et vidéos présentes dans un appareil.
Derrière tous les fichiers et systèmes informatiques, se
cachent des métadonnées. Mises en place à la base dans les librairies pour
retrouver rapidement l’emplacement, l’auteur et la thématique d’un ouvrage,
elles sont basées sur le même principe en informatique lorsqu’on prend une
photo. Le système de fichiers de l’ordinateur ou du téléphone reçoit la date,
l’heure, la localisation avec d’autres informations pour classer des prises de
vue. Des informations qui peuvent s’avérer très utiles aux enquêteurs. « Ça
nous permet d’avoir des informations assez intéressantes sur les photos : la
date de création ou de dernière utilisation d’un fichier et des coordonnées
géographiques du lieu où la photo a été prise, sous condition que ce soit mis
en place sur l’appareil », assure le Nicolas Hugget. Dans ce contexte, la CNIL
a toutefois donné aux utilisateurs des protections. Il est notamment possible
de refuser un tel marquage sur ses propres documents.
Tout cet arsenal d’informations disponibles peut permettre,
dans le meilleur des cas, de confondre un suspect ou d’innocenter un accusé.
Pour illustrer son propos, Thibaut Heckmann cite en exemple une fausse
accusation. Un homme est accusé par sa femme de consulter des sites
pédopornographiques. Les gendarmes effectuent alors une analyse sur
l’ordinateur de la personne et retrouvent en effet des traces de consultation
de ces sites. Pourtant, le mari, une fois en garde à vue, dément les avoir
consultés. « On doit donc aussi enquêter à partir de ses déclarations pour voir
s’il peut dire la vérité ou non. » Comme preuve de son innocence, l’accusé
réussit à fournir aux enquêteurs des photos de lui prises avec son téléphone
portable. Dans les métadonnées de la prise de vue, il est noté que la création
de la photographie s’effectue au même moment qu’une consultation d’un site
pédopornographique depuis son propre ordinateur. Ces mêmes métadonnées
indiquent également que le selfie a été pris à 100 kilomètres de là. Une
enquête a ensuite été menée sur son épouse, durant laquelle l’équipe
d’enquêteurs a découvert que cette dernière avait consulté, quelques mois
auparavant, des sites d’astuces pour inculper son mari et obtenir un divorce
favorable. Elle a donc consulté ces sites pédopornographiques pour faire
accuser son mari. « Si on s’était basé simplement sur les déclarations de
l’épouse, on aurait pu envoyer le suspect en cours d’assises, et il aurait pu
être condamné », assure l’officier de gendarmerie, qui souligne par cet exemple
qu’il faut en fait « aller beaucoup plus loin avec la concordance de tous les
éléments. Ce n’est pas simplement une seule extraction de données sur un
téléphone qui va apporter les preuves. »
C’est donc l’environnement numérique dans son ensemble qui
doit être examiné, avec l’intégralité des téléphones, des photos qu’ils
contiennent. Il peut aussi s’agir d’objets présents sur la scène de crime,
comme des caméras de vidéosurveillance qui auraient capté le passage d’un
véhicule. Pour faciliter le travail des enquêteurs, la reconnaissance d’images
peut notamment être utilisée, si un ordinateur contient un grand nombre de
photographies, pour effectuer un pré-tri ne conservant que les images
suspectes, comme la détection d’une arme par exemple. « Si on a, grâce à un
premier filtre, réussi à extraire suffisamment d’informations pour émettre un
doute et faire apparaître que l’information que l’on a est intéressante pour
l’enquête, ça peut nous suffire », explique Nicolas Hugget. La concordance de
tous ces éléments, avec des preuves physiques quand il peut y en avoir, et des
expertises réalisées par des enquêteurs spécialisés dans chacun des domaines,
va amener à constituer un dossier. « On ne doit pas faire une expertise à
charge. On arrive à prouver la culpabilité dans le domaine
numérique, mais ce n’est pas simplement une seule analyse qui va la démontrer.
»
… mais manipulables
Et comme tout autre type de preuve, ces données peuvent
être manipulées pour innocenter le vrai coupable, voire pour faire accuser un
innocent. Le lieutenant Hugget a pris l’exemple d’une photographie semblant,
d’après certains éléments visuels, montrer l’hôtel des Invalides un soir de
septembre 2022.
Pour les photos, le format standardisé EXIF (exchangeable
image file format), utilisé sur la grande majorité des téléphones et
ordinateurs, contient beaucoup d’informations : GPS, date, fabricant et modèle
de l’appareil, ou encore paramètres de réglage de l’appareil photo. Pour lire
correctement ces données, les enquêteurs utilisent un logiciel open source qui
permet de lire, d’écrire, mais aussi d’éditer des métadonnées. Toutefois, « Le
fait de pouvoir modifier ces données peut être problématique pour nous »,
regrette Nicolas Hugget.
Et justement, selon ce logiciel, la photo en exemple a été
prise le 12 novembre 2037, ce qui est illogique. Le colonel explique qu’avant
de prendre cette photo, il a tout simplement modifié la date sur son téléphone.
« On se rend compte que le paramétrage d’un support est essentiel. Ici, toutes
les photos ou toutes les informations que je vais trouver sur le téléphone
auront un horodatage potentiellement faux. Le technicien doit donc prendre en
compte les paramètres de configuration d’un appareil. » Même chose pour les
coordonnées GPS : d’après les métadonnées, la photo aurait été prise au Canada.
Une application installée sur le smartphone a permis de modifier virtuellement l’emplacement
de l’appareil, pour le faire apparaître à 5 000 kilomètres de sa position
réelle. Les données EXIF permettent certes d’avoir une carte d’identité de
notre photographie, mais cet exemple met en évidence qu’il faut les utiliser
avec précaution, notamment en relevant les paramètres de réglage du système. « Il faut garder en tête que les informations peuvent
toujours avoir été modifiées. », précise l’officier.
Un mis en cause dans une affaire criminelle pourrait-il
pratiquer cette manipulation de preuve numérique dans le but de s’innocenter ?
« C’est toujours possible, mais il ne le fera probablement pas, car il a
d’autres choses à penser dans son intention criminelle. Mais c’est une
démonstration assez simple qui montre qu’il faut faire attention aux données »,
nuance le lieutenant.
En revanche, les photos publiées sur certains réseaux
sociaux comme Facebook perdent leurs métadonnées. Si l’enquête s’effectue
principalement autour d’un compte Facebook, les informations de contexte ne
pourront pas être utilisées. Sur certaines messageries comme Whatsapp, la photo
étant chiffrée, les métadonnées le seront également. « Notre travail va alors
être de déchiffrer cette application et sans la clé, cela peut s’avérer
compliqué », explique Nicolas Hugget.
La question de l’éthique
La Gendarmerie travaille
également sur les questions d’éthique des nouvelles technologies utilisées dans
le cadre d’une enquête, par exemple la comparaison d’images ou des
reconnaissances faciales. « Le Code de procédure pénale est assez flou à ce
sujet, reconnaît Thibaut Heckmann. Dans le Code de cybersécurité sorti
récemment, on voit qu’il y a des éléments qui ne sont pas encore pris en
compte. » L’intelligence artificielle est utilisée dès que c’est possible par
les enquêteurs, mais aussi par les gendarmes, pour leur faire gagner du temps
au quotidien, notamment en les aidant dans leur prise de décision, ou en leur
proposant des hypothèses auxquelles ils n’auraient pas forcément pensé, mais
qui peuvent être proposées par l’intelligence artificielle au regard de
l’ensemble des enquêtes du même domaine, dans un système d’archivage numérique
donné.
La scène de crime numérique aussi
peut être contaminée
Dès que les experts vont travailler sur un ordinateur, ils
peuvent potentiellement, comme pour une scène de crime physique, contaminer la
scène de crime numérique. En accédant à des fichiers, ils peuvent en modifier
les métadonnées. Par exemple, un SMS qui est lu ou non dans le cadre d’un
jugement peut avoir une importance majeure, notamment sur la préméditation des
faits. L’information de lecture est présente dans les métadonnées. Si le SMS
est ouvert par mégarde par un expert sans avoir consulté ces informations
avant, ces dernières peuvent être par conséquent faussées. Par le même système,
si un enquêteur modifie la photo sans le vouloir, on peut alors perdre des informations.
Une toute petite erreur peut ainsi avoir un impact énorme sur l’issue d’une
enquête. Pour éviter cela, les gendarmes utilisent des systèmes de blocage en
écriture, bloquant toute modification des fichiers et protégeant les
métadonnées. « Tous les enquêteurs numériques, qu’ils soient dans le public ou
le privé, ont des logiciels qui permettent de réaliser ce genre d’action »,
assure Nicolas Hugget.
Tout le travail des enquêteurs numériques est d’extraire
les informations et de les remettre dans un contexte, sans pour autant cacher
aux magistrats les doutes qu’il pourrait y avoir. « Si un enquêteur n’a pas pu
relever les paramètres de configuration du système en termes d’horodatage, il
va préciser dans son rapport qu’il est incapable de certifier ces informations
par le paramétrage de l’appareil. Même en donnant correctement ces
informations, c’est aux jurés et magistrats de se faire un avis sur la valeur
de la preuve, en se demandant si l’utilisateur de l’appareil n’aurait pas pu y
effectuer des modifications, peut-être non intentionnellement d’ailleurs »,
précise Thibaut Heckmann.
Alexis Duvauchelle