24 avril 2013

L'art de la copie d'écran

Il m'est arrivé, au début de mon activité d'expert judiciaire en informatique, d'assister des huissiers de justice lors de la constitution de preuves, en matière de publication sur internet.

En clair, aider un huissier à faire une copie d'écran.

Puis, avec le temps, les compétences informatiques des huissiers ont fortement augmenté, et il devient rare que l'on me demande de l'aide pour faire une copie d'écran.

Pourtant...

Comme vient de le montrer une affaire récente, une copie d'écran peut être refusée par un tribunal, si elle ne présente pas un caractère probant suffisant.

Extrait du jugement :
"Attendu que si la preuve d’un fait juridique n’est, en principe, et ainsi qu’en dispose l’article 1348 du code civil, soumise à aucune condition de forme, il demeure néanmoins que lorsqu’il s’agit d’établir la réalité d’une publication sur le réseau internet, la production d’une simple impression sur papier est insuffisante pour établir la réalité de la publication, tant dans son contenu, que dans sa date et dans son caractère public, dès lors que ces faits font l’objet d’une contestation ; qu’en effet, et comme le souligne le défendeur l’impression peut avoir été modifiée ou être issue de la mémoire cache de l’ordinateur utilisé dont il n’est pas justifié que cette mémoire ait été, en l’occurrence, préalablement vidée ;"
A l’intention de mes lecteurs, surtout s'ils sont huissiers, je propose une méthode de copie d'écran d'une page web qui me semble respecter les règles de l'art:

Étape 1: Choisir un ordinateur "sur" pour établir le constat.
Idéalement, il faut prendre un ordinateur réinstallé "from scratch", à partir d'un template de machine virtuelle par exemple, ou un ordinateur réinitialisé à partir de ses DVD de restauration.
Pour gagner du temps, il est souvent préféré l'utilisation d'une machine ayant déjà servi (le PC du directeur, de l'huissier, du secrétaire...).
[EDIT] Il est possible de booter une machine à partir d'un liveCD pour plus de sécurité (commentaire de KaitoKito). 

Étape 2: Vider le cache local.
Sur l'ordinateur choisi pour effectuer le constat, lancer le navigateur et vider le cache. Cette opération peut être complétée par l'utilisation d'un utilitaire de nettoyage (tel que CCleaner par exemple, qui existe en version portable sur une LiberKey par exemple).

Étape 3: Vérifier les DNS.
Vous allez surfer sur internet, en entrant l'adresse d'un site web. Il faut donc vérifier que sa traduction en adresse IP se fait correctement. Au besoin, il est possible de faire plusieurs essais avec des serveurs DNS différents.

Étape 4: Afficher la page incriminée.
Saisir l'adresse complète du site web dans le champ approprié du navigateur (et non pas dans un moteur de recherche).

Étape 5: Imprimer la page.
Une fois la page affichée, en faire l'impression sur une imprimante de confiance. Si l'imprimante n'est pas sure, faire une comparaison intégrale de l'impression papier. Vérifier que l'adresse complète de la page apparaît sur l'impression: en effet, en cas d'adresse longue, celle-ci est souvent tronquée. Il faut agir sur les paramètres de mise en page d'impression (variables en fonction des imprimantes). La date doit apparaître clairement et il faut vérifier qu'elle est correcte (et mentionner la vérification sur le procès verbal!).
Notez que cette étape peut être dématérialisée par la création d'un fichier PDF (à l'aide d'une imprimante pdf) ou la sauvegarde de la page complète dans un format approprié.
Je conseille également d'imprimer le code source de la page, contenant beaucoup plus d'informations pouvant être utiles à la manifestation de la vérité.

Étape 6: Recommencer avec un autre navigateur.
Une clef USB contenant par exemple les logiciels du kit Liberkey, peut accueillir différents navigateurs sans qu'il soit besoin de les installer: Chromium, Firefox, Chrome, Opera, QtWeb...
L'utilisation d'un autre navigateur permet de vérifier les différents comportements qu'une page web peut avoir (code source, plugings...).

Étape 7: Recommencer avec un autre ordinateur et un autre réseau.
Le plus simple est d'utiliser un smartphone fonctionnant en 3G, et de vérifier que les informations affichées par la page web incriminée sont les mêmes que précédemment.

Voilà. La procédure est complète. Vous avez votre copie d'écran et le PV mentionnant scrupuleusement toutes les opérations effectuées.

-------------------------------------------------------------------------------

Cela  suffit-il à constituer une preuve irréfutable ?
La réponse est non.

Si la partie adverse souhaite réellement contester cette procédure, rien de plus simple: il suffit de me contacter pour une contre expertise.

Exemples:

Étape 1: Choisir un ordinateur "sur" pour établir le constat.
Il est extrêmement rare que l'ordinateur utilisé pour faire le constat soit "sur". Le seul moyen d'en être certain est un ordinateur tout neuf sorti de son emballage (et encore ;-). L'hypothèse d'une contamination par un malware ou un virus n'est pas à exclure. D'où la nécessité de faire les constatations avec au moins un autre ordinateur (un smartphone par exemple), ce qui est rarement fait.

Étape 2: Vider le cache local.
Il n'est pas rare que l'entreprise dispose d'un serveur proxy pouvant faire office de cache. Ce cache a-t-il été neutralisé?

Étape X: Quelles vérifications ont été faites sur le serveur hébergeant la page web incriminée? Qui a vérifié s'il n'y a pas eu falsification des codes sources à un moment ou à un autre? Qui peut assurer que la personne ayant créé les codes sources incriminés est la seule à pouvoir y accéder?

Je suis sur que parmi mes lecteurs férus de sécurité informatique, nombreux seront ceux qui trouveront des failles à la procédure que j'ai présentée.

Donc, de nombreuses contestations sont possibles. Elles dépendent des moyens financiers que vous mettrez en œuvre pour vous défendre, de la compétence de votre avocat, et bien sur, de celle de votre expert judiciaire ;-)

La copie d'écran est un art complexe.

----------------------------------
Source image Dessins de communication

12 commentaires:

  1. Dans les procédures de diffamation récentes, la présidente du TGI a jugé que si les propos avaient été retirés, le trouble a cessé et hop la procédure s'arrête.
    De plus dans l'affaire groupe solaire de France contre consoglobe, la présidente du TGI s'est connectée en Live pour vérifier que les propos incriminés avaient été retirés :D
    http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3701
    http://www.pcinpact.com/news/79224-le-juge-peut-constater-retrait-messages-litigieux-en-cours-daudience.htm

    RépondreSupprimer
  2. Quelle est la pertinence d'un site spécialisé comme celui-ci alors: https://www.netconstat.com/ ?

    RépondreSupprimer
    Réponses
    1. Serait-il possible d'argumenter le "LOL" ? Pour un néophyte, le site paraît tout à fait sérieux et semble proposer des garanties pour un tarif abordable...

      Supprimer
    2. Il y a tellement de sites web paraissant tout à fait sérieux et semblant proposer des garanties pour des tarifs abordables.

      Je me méfie des sites comportant des fautes de frappe en page d'accueil: "Votre navigation est engregistrée et authentifiée en temps réel".

      Pour le reste, je pense que mon billet est assez clair, même pour un néophyte, non ? ;-)

      Supprimer
  3. Si je puis me permettre une remarque je ferais mes captures d'écran depuis une Live CD. Ainsi le système est 100% sûr et en cas de doute il est facilement possible de fournir l'image du Live CD utilisé. De plus on peut l'utiliser sur n'importe quel ordinateur. Pas besoin de faire 3 fois le tour d'une entreprise pour en trouver le pc le plus propre.

    Bon article en tout cas :)

    RépondreSupprimer
    Réponses
    1. Good point ! Je corrige l'étape 1 en ce sens. Merci.

      Supprimer
  4. Bonjour Zythom,

    Tu précises qu'il faut utiliser l'adresse directe plutôt que de passer par un moteur de recherche, cela ne pourrait il pas être un point faible de la méthodologie ? Je m'explique :

    Si la page n'est pas accessible par un parcours classique, mais uniquement par une adresse direct, on ne peut dire que cela n'est pas vraiment significatif (différence entre une insulte publique et privé, par exemple).

    Au passage merci pour ton site ;)

    RépondreSupprimer
  5. Etape 2:

    Votre FAI peu aussi avoir des caches. C'est une tres bonne raison de ne pas manquer l'etape 7.

    Etape 2:

    D'autres cache proxy peuvent aussi intervenire. Par example, les grosses entreprises qui offrent un service de blog vont souvent mettre un cache devant votre blog.

    Etape 5:

    Meme si l'addresse apparais comme la meme, il y a des characteres unicode qui ressemblent exactement a d'autres characters, mais sont different en ce qui concerne une addresse.


    Une question: Comment faites vous si un changement DNS est en train de se propager?

    RépondreSupprimer
  6. Bonjour,

    Concernant l'étape 7 ("Le plus simple est d'utiliser un smartphone fonctionnant en 3G"), ceci n'est plus vrai dès lors que l'on est chez SFR (cf http://reflets.info/sfr-modifie-le-source-html-des-pages-que-vous-visitez-en-3g/ )

    Après, chaque étape peut être contestée (non-neutralité du réseau, machine physique/virtuelle contaminée, plugins, navigateur/imprimante pdf vérolé, etc).

    Comme vous l'affirmez, la partie adverse peut remettre toute capture d'écran en doute, et ainsi la rendre irrecevable, existe-t-il une méthode 100% fiable pour donner à une capture un "caractère probant suffisant" ? (recours à une tierce personne assermentée ?)

    RépondreSupprimer
  7. Est-ce qu'un snapshot de web.archive.org peut servir de preuve ?

    RépondreSupprimer
  8. Bonjour,

    Ça me fait penser qu'il existe une norme AFNOR pour les constats d'huissiers en ligne (exactement "Mode opératoire de procès-verbal de constat sur internet effectué par Huissier de justice" - NF Z67-147) qui reprend ce qui est dit dans l'article :)

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.