Forensique informatique : ce que le détective peut récupérer (et ce qu'il ne peut pas)
SMS effacés, emails supprimés, fichiers exfiltrés : la forensique informatique judiciaire repousse les limites. Mais elle est strictement encadrée par le droit français.
SMS effacés, emails supprimés, fichiers exfiltrés : la forensique informatique judiciaire repousse les limites. Mais elle est strictement encadrée par le droit français.
Le périmètre du légal
Le détective ne peut intervenir en forensique informatique que sur des supports dont l'accès lui a été légalement donné par le mandant. Concrètement : le téléphone professionnel d'un salarié est analysable par l'employeur si le règlement intérieur le prévoit ; le téléphone personnel ne l'est pas. Le PC professionnel est analysable hors session privée nominative. La récupération de données sur un compte cloud sans accord est interdite, même si le détective dispose techniquement du moyen.
Ce que la forensique peut récupérer
- SMS supprimés depuis moins de 3 mois (selon le modèle de téléphone)
- Emails effacés conservés sur le serveur ou en cache
- Fichiers Office et PDF supprimés mais récupérables sur le disque
- Historique de navigation et bookmarks effacés
- Métadonnées EXIF (date, GPS) sur photos
- Logs de connexion à des services tiers
La récupération dépend du temps écoulé depuis la suppression et de l'usage du support depuis (un disque réécrit perd ses données récupérables).
L'interface détective × ingénieur forensique
La grande majorité des cabinets ne font pas la forensique en interne — ils sous-traitent à un laboratoire spécialisé (3-5 acteurs sérieux en France). Le détective qualifie le besoin (« retrouver les communications avec X entre le 1er et le 15 mars »), produit la chaîne de garde du support (PV de saisie signé), et le laboratoire produit l'extraction. Le détective intègre ensuite les éléments dans son rapport global.
La chaîne de garde, élément critique
Pour qu'une preuve forensique soit recevable au tribunal, la chaîne de garde doit être documentée minute par minute : qui a manipulé le support, à quelle heure, avec quels outils, dans quel local sécurisé. Toute rupture de la chaîne (le téléphone laissé 30 minutes sans surveillance) peut faire écarter l'élément lors du contradictoire. Les détectives sérieux disposent de coffres-forts et de procédures écrites pour cette gestion.
Coût et délai
| Type d'analyse | Coût HT | Délai |
|---|---|---|
| Récupération SMS effacés (1 téléphone) | 800-1 800 € | 3-7 jours |
| Analyse complète disque dur PC (250 Go) | 1 500-3 500 € | 5-10 jours |
| Investigation réseau interne entreprise | 5 000-15 000 € | 2-4 semaines |
| Reconstitution exfiltration de données | 8 000-25 000 € | 3-6 semaines |