Article

RelativityOne, une boîte à outils Forensic

Benjamin Pondé
By:
RelativityOne, une boîte à outils Forensic
« Un bon ouvrier se reconnaît à ses outils. »
Contents

Cet adage se vérifie aussi en enquêtes internes où l’enquêteur se doit d’être capable d’analyser toutes sortes de données numériques afin d’établir des faits qui serviront à conclure l’investigation.

Les logiciels Digital Forensic sont un incontournable dans les enquêtes internes car ils sont construits dans une logique d’aide à l’investigation. Il en existe de plusieurs sortes, pour plusieurs usages, mais peu sont à même d’intégrer des quantités de données conséquentes tout en offrant une hauteur de vue à l’enquêteur permettant, par exemple, d’identifier facilement ce lien entre deux personnes ou tout autre information qui permettra d’orienter l’enquête.

Le réseau international de Grant Thornton a choisi de s’appuyer sur la plateforme RelativityOne tant pour sa souplesse d’utilisation que pour ses performances dans la gestion des volumes.
Par volumes, l’on entend une quantité de données assez classique pour une enquête d’envergure que l’on ne peut traiter qu’avec la technologie Digital Forensic. Par exemple, il peut s’agir de l’analyse d’une centaine de boîtes mails ou d’ordinateurs, couvrant une période de plusieurs années représentant des millions de mails, de pièces jointes …, où seulement une cinquantaine de messages seront intéressants pour notre enquête.

En tant que Platform As A Service (PAAS), RelativityOne nous permet, au moyen d’une connexion sécurisée, une alimentation de la base de données et une manipulation de cette dernière à distance, ce qui peut s’avérer décisif dans les enquêtes internationales. De même, cette technologie autorise des recherches simultanées quel que soit le niveau de maîtrise de l’utilisateur (du profane à l’expert). Ainsi, il est tout à fait possible d’effectuer de simples revues de documents alors qu’une autre partie de l’équipe s’attardera sur des recherches approfondies nécessitant des compétences particulières dans la manipulation de données. En pratique, nous pouvons donc mettre à disposition du cabinet juridique de notre client à Paris, les documents jugés pertinents pour la revue à partir d’informations obtenues sur place dans sa filiale à l’autre bout du monde.

Lorsque nous avons la charge de toute l’investigation, nous procédons nous même aux recherches d’éléments pertinents. Pour cela, nous utilisons alors plusieurs méthodes :

  • Les analyses par mots-clés.

RelativityOne permet des recherches poussées à partir de listes de mots-clés. En tant que bon outil Forensic, chaque mot est recherché dans l’ensemble des éléments de chaque fichier (les éléments accessibles à l’utilisateur et les éléments qui lui sont cachés). Les mails, les pièces jointes, les fichiers zippés, les fichiers effacés d’un ordinateur ainsi que les messages de téléphones sont ainsi passés en revue. Chaque résultat (qu’il soit exact ou approchant) est analysé.

  • Les recherches dynamiques.

Ce type de recherche propre à la Police Judiciaire utilise une très large gamme de filtres qui permettent d’affiner nos recherches au maximum. RelativityOne nous autorise à classer l’ensemble des données (nous parlons ici de plusieurs millions de documents) en fonction d’une cinquantaine de caractéristiques propres à chaque fichier. Les plus classiques sont l’expéditeur / destinataire d’un mail, la date de modification, les tags (lu, non-lu) …, jusqu’aux plus exotiques comme les niveaux de sécurité accordés ou l’empreinte numérique du fichier.

Des recherches complexes (inclusion / exclusion / fourchette de certaines valeurs, caractères spéciaux, …) peuvent ainsi être effectuées en cumulant les filtres les uns après les autres.
Il devient alors enfantin d’isoler un ensemble de mails envoyés un dimanche du mois de décembre entre 12 et 14 heures à destination d’une adresse électronique externe, comprenant un fichier joint sous format PDF, comportant au moins une fois le mot « secret » et n’ayant pas obtenu de réponse.

  • L’intelligence artificielle de première génération.

RelativityOne propose l’utilisation de deux types d’intelligences artificielles. La première est une aide directe à la sélection de contenus intéressants dans le cadre d’une enquête. Ainsi, après une phase d’apprentissage où l’utilisateur enseigne à la machine des exemples de fichiers intéressants, RelativityOne est capable de faire remonter l’ensemble des fichiers à revoir.

  • L’intelligence artificielle de seconde génération (la compréhension contextuelle).

Ce second degré d’analyse est basé sur la compréhension de la signification d’un texte. L’utilisateur peut alors demander à la plateforme d’afficher l’ensemble des documents traitant d’un même sujet. Cette fonction nous permet, par exemple, de consulter toutes les conversations (par chat ou par mail) et les documents concernant un appel d’offre.

RelativityOne nous permet, également, de mettre en perspective les relations entre les différents utilisateurs, d’approcher les données par un angle statistique, …etc. Il devient possible d’avoir une vue générale des communications entre une 50aine d’utilisateurs et de déterminer les groupes de discussion ainsi que la fréquence de leurs échanges.

Trouver l’aiguille dans une meule de foin, voilà tout simplement l’intérêt d’un tel outil, ce qui est, en matière d’investigation Forensic, le propre de chacune de nos missions.