Quelle est la différence entre la récupération de données, la criminalistique informatique et la découverte électronique?
Les trois domaines concernent les données et en particulier les données numériques. Il s’agit du zéro électronique et de la forme unique. Et il s’agit de prendre des informations qui peuvent être difficiles à trouver et de les présenter de manière lisible. Mais bien qu’il y ait chevauchement, les ensembles de compétences nécessitent différents outils, différentes spécialisations, différents environnements de travail et différentes façons de voir les choses.
La récupération de données implique généralement des choses cassées – matériel ou logiciel. Lorsque votre ordinateur tombe en panne et ne démarre pas pendant une sauvegarde, lorsqu’un disque dur externe, un pouce ou une carte mémoire de lecteur devient illisible, la récupération des données peut être nécessaire. Souvent, un appareil numérique qui a besoin de données récupérées présente des dommages électriques, physiques ou une combinaison des deux. Dans ce cas, la réparation matérielle est une grande partie du processus de récupération de données. Cela peut nécessiter la réparation de l’électronique du lecteur ou même le remplacement des piles de lecture / écriture à l’intérieur de la partie fermée du lecteur.
Si le matériel est intact, la structure du fichier ou de la partition est probablement endommagée. Certains outils de récupération de données tentent de réparer une structure de partition ou de fichier, tandis que d’autres examinent la structure de fichier endommagée et tentent d’extraire les fichiers. Les partitions et les répertoires peuvent également être reconstruits manuellement avec un éditeur hexadécimal, mais étant donné la taille des lecteurs de disque modernes et la quantité d’informations qu’ils contiennent, cela n’est généralement pas pratique.
La récupération de données est généralement une sorte de « macro » processus. Le résultat final est généralement une grande quantité de données stockées sans accorder autant d’attention aux fichiers individuels. Les travaux de récupération de données sont souvent des unités de disque individuelles ou d’autres supports de stockage numérique dont le matériel ou les logiciels sont endommagés. Il n’y a pas de normes spécifiques à l’industrie pour l’utilisation des données.
Une recherche électronique porte généralement sur du matériel et des logiciels intacts. Les défis de la recherche électronique comprennent la «suppression de copie». Une recherche peut être effectuée sur un très grand nombre d’e-mails et de documents existants ou sauvegardés.
En raison de la nature des ordinateurs et des e-mails, il existe probablement de très nombreuses copies identiques de différents documents et e-mails (« arnaque »). Les outils de récupération électronique sont conçus pour détruire ce qui pourrait autrement être un torrent de données ingérable à une taille gérable en indexant et en supprimant les doublons, également connus sous le nom de copie.
La récupération électronique traite souvent de grandes quantités de données à partir de matériel non endommagé, et les procédures sont couvertes par le Code fédéral de procédure civile (« FRCP »).
La technologie médico-légale des données a des considérations à la fois pour la récupération électronique et la récupération des données.
Dans la criminalistique des données, l’inspecteur judiciaire (CFE) recherche à la fois les informations existantes et les informations existantes ou supprimées. Avec ce type de découverte électronique, un expert médico-légal traite parfois du matériel endommagé, bien que ce soit assez rare. Des procédures de récupération de données peuvent être mises en œuvre pour restaurer les fichiers récupérés intacts. Mais souvent, le CFE doit faire face à des tentatives appropriées de cacher ou de détruire des données qui nécessitent des compétences qui ne se trouvent pas dans l’industrie de la récupération de données.
Lors du traitement du courrier électronique, le CFE recherche souvent de l’espace non alloué pour les données d’environnement – des données qui ne sont plus un fichier lisible par l’utilisateur. Cela peut inclure la recherche de mots ou d’expressions spécifiques (« recherches par mots clés ») ou d’adresses e-mail dans un espace non ciblé. Cela peut inclure le piratage de fichiers Outlook pour trouver des e-mails supprimés. Cela peut inclure la recherche de cache ou de fichiers journaux, ou même des fichiers d’historique Internet pour rechercher des données. Et bien sûr, cela implique souvent de rechercher les mêmes informations dans les fichiers actifs.
Les pratiques sont similaires lors de la recherche de documents spécifiques à l’appui d’une affaire ou d’une poursuite. Des recherches par mot-clé sont effectuées sur les documents actifs ou visibles et les données environnementales. Les recherches de mots clés doivent être soigneusement planifiées. Dans un de ces cas, l’auteur de Schlinger Foundation c. Blair Smith a révélé plus d’un million de «hits» de mots-clés sur deux lecteurs de disque.
Enfin, un expert en informatique judiciaire est également souvent appelé à témoigner en tant qu’expert en tant que témoin en dépôt ou devant un tribunal. En conséquence, les méthodes et procédures CFE peuvent être placées au microscope et un expert peut être invité à expliquer et défendre les résultats et les actions. La CFE, qui est également un témoin expert, devra peut-être défendre des faits qui ont été prononcés devant un tribunal ou ailleurs dans des écrits.
La récupération de données gère généralement les données d’un seul disque dur ou d’un seul système. L’installation de récupération de données a ses propres normes et procédures, et elle fonctionne sur la réputation, pas sur la certification. La recherche électronique traite souvent les données d’un grand nombre de systèmes ou de serveurs qui peuvent avoir de nombreux comptes d’utilisateurs. Les méthodes de recherche électronique sont basées sur des combinaisons éprouvées de logiciels et de matériel et sont mieux conçues bien à l’avance (bien qu’un manque de planification préalable soit très courant). Les technologies de l’information peuvent gérer un ou plusieurs systèmes ou appareils, peuvent être assez fluides en ce qui concerne les réclamations et demandes faites, traitent souvent les informations manquantes et doivent être défendables – et défendables – devant les tribunaux.
EZ
[amazon bestseller= »computer » items= »3″ ]