Expériences
Professionnelles en Informatique
Authentification forensique de courriels dans le cadre d'une procédure de travail avec des informations confidentielles

Dans ce cas, une organisation avait besoin de transformer un ensemble de communications numériques en preuve d’expertise solide pour une procédure de travail, avec un objectif clair : garantir l’authenticité des courriels analysés et pouvoir étayer des conclusions techniques sans dépendre de simples captures ou exportations sans contrôle forensique.
Le point de départ était particulièrement sensible : il a été détecté que, depuis un compte d’entreprise, de nombreux courriels à caractère confidentiel avaient été envoyés à un compte personnel à une même date précise, dans une plage horaire pertinente pour le dossier. Cela nécessitait une analyse qui prouve non seulement le « quoi », mais aussi le « comment » et le « pourquoi » d’un point de vue technique.
Le besoin d’expertise était double :
(1) confirmer que ces courriels ont effectivement été envoyés/reçus et
(2) démontrer qu’ils n’avaient pas été modifiés, y compris également tout le contenu joint.
De plus, il fallait fournir le contenu intégral pour une révision indépendante, renforçant ainsi la transparence et la vérifiabilité du travail.
À partir de là, l’analyse ne s’est pas limitée à un « lot fermé » : il a été documenté qu’il existait des dizaines de courriels supplémentaires échangés entre le compte d’entreprise et le compte personnel, et le travail a été élargi avec des recherches à l’aveugle étendant la plage de dates pour détecter et vérifier les communications connexes, en les intégrant pour évaluation avec leur authenticité prouvée.
Chez martinsdelima, nous appliquons une méthodologie conçue pour que chaque conclusion soit traçable, reproductible et défendable : nous réalisons une acquisition forensique assurant la non-modification des bases de données, des en-têtes et des contenus, et en étudiant les métadonnées en laboratoire avec des outils forensiques (p. ex., Autopsy, X-Ways et EnCase). Le cœur technique du rapport a été l’analyse des en-têtes (lecture chronologique de bas en haut) et des champs critiques tels que Message-ID et Received, complétée par des validations de provenance/destination par consultation du titulaire d’IP publiques dans RIPE, et des vérifications supplémentaires avec des outils tels que WinHex et OsForensics pour écarter les manipulations dans les courriels et les pièces jointes.
Le résultat a été excellent car il a clos le débat technique : il a été conclu que les courriels expertisés étaient réels et que leur contenu n’avait pas été altéré (ni les dates, ni les serveurs d’envoi/réception), réitérant la NON-manipulation et apportant le contenu reproduit et sa version originale pour révision. En pratique, cela a permis de passer d’une suspicion à une preuve technique robuste, minimisant ainsi la marge de contestation et donnant à la procédure une base probatoire de qualité maximale.