R v F (2025): Addressing the Defence of Hacking

Cette étude de cas unique sur l'affaire R v F (2025) propose des leçons pratiques et des techniques pour que les enquêteurs en criminalistique numérique puissent contester efficacement la défense du « piratage » (ou « SODDI ») et fournir des preuves empiriques aux tribunaux afin de distinguer les innocents des coupables.

L'essentiel

🕵️‍♂️ L'histoire du "Cheval de Troie" numérique : Comment on a démystifié une excuse de voleur

Imaginez que vous êtes accusé d'avoir volé des bonbons dans une usine de confiseries. Votre avocat arrive au tribunal et dit : "Monsieur le Juge, ce n'est pas moi ! C'est un robot invisible qui a piraté ma maison, ouvert les portes, et déposé les bonbons dans mon panier. Je suis innocent, c'est un 'Cheval de Troie' !".

C'est exactement ce que l'on appelle la défense du piratage (ou "SODDI" : Some Other Dude Did It – "C'est un autre mec qui l'a fait"). C'est une excuse très courante dans les affaires informatiques, mais souvent difficile à prouver ou à réfuter.

Cet article raconte l'histoire vraie d'un procès (R contre F) où un expert, le Dr Junade Ali, a dû jouer au détective pour voir si cette excuse tenait la route.

1. Le décor : Une accusation grave

Un homme (appelé "F") a été arrêté car son téléphone contenait des images illégales et choquantes d'enfants.

• L'accusation : Il a téléchargé et stocké ces images.
• La défense de F : "Je n'ai rien fait ! Mon téléphone a été piraté. Des inconnus ont pris le contrôle à distance et ont planté ces images sur mon appareil."

2. L'enquête en trois étapes (La méthode du détective)

Au lieu de simplement dire "non, c'est faux", le Dr Ali a utilisé une approche en trois temps, comme un cuisinier qui vérifie ses ingrédients avant de servir le plat.

• Étape 1 : Le test de la logique (Sur papier)
  Avant même de toucher aux téléphones, l'expert a regardé les arguments de la défense.

  • L'argument : "Regardez ma facture de téléphone, il y avait une activité bizarre !"
  • La réalité : C'était une erreur de lecture. Les factures de téléphone regroupent tout le trafic, c'est comme dire "j'ai bu de l'eau" alors qu'on a juste bu un verre. Les données correspondaient à une utilisation normale.
  • Le coup de grâce : Pour pirater un téléphone moderne (comme un iPhone ou un Android récent) sans laisser de traces, il faut utiliser des "super-pouvoirs" informatiques (des failles secrètes valant des millions de dollars). C'est comme essayer de casser un coffre-fort en or avec un cure-dent. C'est statistiquement impossible, surtout sur deux téléphones différents en même temps.

• Étape 2 : L'autopsie numérique (L'analyse technique)
  L'expert a examiné les téléphones comme un médecin examine un corps.

  • Il a cherché des traces de "virus" ou de "portes dérobées".
  • Résultat : Rien. Pas de traces de piratage. Le téléphone n'avait pas été "cassé" de l'extérieur.
  • La découverte clé : Il a trouvé que la majorité des images illégales étaient dans le cache de l'application Telegram.
  • L'analogie : Imaginez que Telegram est un distributeur automatique de bonbons. Si vous rejoignez un groupe où l'on distribue des bonbons, le distributeur les dépose automatiquement dans votre panier (le cache) pour que vous puissiez les voir rapidement, même si vous ne les avez pas achetés un par un.
  • Conclusion : L'homme avait rejoint un groupe illégal. L'application a téléchargé automatiquement les images. Il n'avait pas besoin de pirater son téléphone pour avoir ces images ; il suffisait de cliquer sur "Rejoindre le groupe".

• Étape 3 : La validation (Le travail d'équipe)
  L'expert a travaillé main dans la main avec le policie. Ils ont comparé leurs notes et sont tombés d'accord : Pas de piratage. C'est l'homme qui a rejoint le groupe, et l'application a fait le reste.

3. Le procès : Le verdict

Au tribunal, le jury a eu une question importante : "Si l'application a téléchargé les images toute seule, l'homme est-il coupable ?"
Le juge a expliqué que pour être coupable, il faut avoir eu l'intention de rejoindre le groupe et de voir ce qui s'y passait.

• L'homme a essayé un autre mensonge : "J'étais ivre et mes amis ont utilisé mon téléphone."
• Mais les preuves (les messages envoyés par lui-même) ont montré qu'il avait lui-même demandé à rejoindre le groupe.

Résultat : Le jury a été convaincu. L'homme a été déclaré coupable sur tous les chefs d'accusation.

4. Pourquoi cet article est important ?

Cet article est une première mondiale. C'est la première fois qu'un expert explique exactement comment on a démystifié cette excuse de "piratage" dans un cas réel.

• Leçon principale : On ne peut pas se fier uniquement aux outils automatiques. Parfois, un outil informatique peut se tromper (comme dans un autre cas mentionné où un logiciel pensait à tort qu'un homme avait créé un groupe, alors que c'était un bug).
• L'avenir : Il faut que les experts soient comme des détectives humains qui testent des hypothèses, pas juste des machines qui lisent des fichiers.

En résumé

Cette histoire nous apprend que dire "C'est un pirate informatique" est une excuse facile, mais que la science forensique (l'enquête numérique) peut souvent prouver le contraire. En combinant la logique, l'analyse technique et la compréhension de la façon dont les applications fonctionnent (comme le téléchargement automatique de Telegram), on peut distinguer l'innocent du coupable et éviter les erreurs judiciaires.

Résumé technique

Voici un résumé technique détaillé de l'article « R v F (2025) : Addressing the Defence of Hacking » de Junade Ali, présenté en français.

1. Problématique

L'article aborde la difficulté croissante rencontrée par le système de justice pénale face à la « défense du piratage » (souvent appelée « Défense du Cheval de Troie » ou « SODDI » pour Some Other Dude Did It – « Un autre gars l'a fait »). Dans les affaires de cybercriminalité, notamment celles impliquant des images sexuelles d'enfants (CSAM), les accusés affirment fréquemment que leurs appareils ont été compromis par des tiers pour y déposer illégalement du contenu.

Le problème central identifié par l'auteur est l'absence de cas pratiques documentés dans la littérature académique montrant comment les enquêteurs en informatique forensique peuvent réfuter empiriquement cette défense. Les travaux existants sont soit obsolètes (ne tenant pas compte des téléphones mobiles modernes), soit purement théoriques, sans preuves empiriques issues de cas réels capables de distinguer les innocents des coupables.

2. Méthodologie

L'auteur, Dr Junade Ali, a collaboré avec un enquêteur de police pour examiner l'affaire R v F, où l'accusé (F) a plaidé non coupable en alléguant que ses appareils (un iPhone et un téléphone Android) avaient été piratés. Une approche en trois étapes a été adoptée :

• A. Enquête préliminaire (Hypothèses techniques) :

  • Analyse des documents fournis par la défense (factures téléphoniques, notifications de compromission de mots de passe).
  • Réfutation de l'argument des factures : explication du fait que les factures mobiles agrègent les données et ne prouvent pas une activité anormale à un instant T.
  • Réfutation de l'hypothèse de piratage à distance : démonstration que le contenu illicite se trouvait dans une application nécessitant le contrôle du numéro de téléphone (impossible à pirater à distance sans accès physique) et que l'accusé avait admis des interactions directes dans d'autres applications.
  • Analyse de la vulnérabilité : soulignement que les firmwares modernes (iOS et Android) rendent l'exploitation de zéro-jour (coûteuse et rare) hautement improbable, d'autant plus que deux systèmes d'exploitation différents étaient compromis simultanément.

• B. Enquête forensique approfondie :

  • Analyse des artefacts et des IOCs (Indicateurs de Compromission) : Utilisation manuelle et du Mobile Verification Toolkit (MVT) d'Amnesty International.
    • Sur l'iPhone : Des IOCs liés au module de favoris Safari ont été trouvés, mais ils correspondaient à une recherche de l'utilisateur sur les outils de cybersécurité, et non à une infrastructure de commande et contrôle (C2). L'appareil n'était pas jailbreaké.
    • Sur l'Android : Aucun accès root, aucune fonction de débogage avancée activée, ni d'applications non standard suspectes.
  • Investigation de la source du contenu :
    • Identification que la majorité du contenu CSAM résidait dans le cache de l'application Telegram.
    • Compréhension du mécanisme de Telegram : l'application télécharge automatiquement les médias dans le cache (d'abord pour la lecture automatique, puis le fichier complet si la taille est inférieure à un seuil) dès qu'un utilisateur rejoint un groupe.
    • Conclusion : Le volume massif de contenu s'expliquait par l'adhésion de l'accusé à un groupe Telegram partageant du CSAM, et non par un téléchargement manuel de chaque fichier ou un piratage.

• C. Rapport conjoint et validation :

  • Élaboration d'un rapport consolidé avec l'enquêteur de police.
  • Accord total sur les conclusions (quantité de matériel, absence de piratage, mécanisme de téléchargement automatique).
  • Présentation de ces faits convenus au tribunal.

3. Contributions Clés

• Premier cas pratique documenté : Il s'agit de la première étude de cas détaillant comment réfuter la défense du piratage dans un contexte pénal réel, en combinant expertise technique et procédure judiciaire.
• Approche par hypothèses en couches : L'article propose une méthodologie qui ne se limite pas à l'extraction d'artefacts, mais qui teste activement les hypothèses de la défense (vulnérabilités, vecteurs d'attaque) avant de reconstruire la séquence réelle des événements.
• Démonstration de l'insuffisance des outils automatisés : L'auteur illustre (via une référence à l'affaire R v M en 2026) que les outils forensiques automatisés peuvent produire des erreurs d'attribution (ex: attribuer la création d'un groupe WhatsApp à l'utilisateur alors qu'il n'en est que membre). Une analyse manuelle des bases de données sous-jacentes (SQLite) et une analyse chronologique sont indispensables.
• Intégration de la cybersécurité moderne : Utilisation d'outils de pointe (MVT) et compréhension des architectures mobiles modernes (sandboxing, nécessité de jailbreak/root pour le piratage) pour écarter les fausses pistes.

4. Résultats

• Verdict : Le jury a déclaré l'accusé coupable de tous les chefs d'accusation en moins d'une heure après avoir reçu les éclaircissements du juge sur l'intention (mens rea).
• Démantèlement de la défense : La preuve a établi que :
  1. Les appareils n'avaient pas été piratés (pas d'IOCs de malware, pas de jailbreak/root).
  2. Le contenu était présent via un mécanisme automatique de l'application Telegram (cache) suite à l'adhésion volontaire à un groupe.
  3. L'accusé avait admis avoir sollicité des images, rendant l'argument de l'ignorance ou du piratage non crédible.
• Impact procédural : Le rapport conjoint a permis de clarifier les faits techniques pour le jury, éliminant le doute raisonnable sur l'origine du contenu.

5. Signification

• Pour la justice pénale : Ce cas démontre qu'une expertise forensique rigoureuse peut réfuter efficacement les défenses basées sur le piratage, assurant ainsi que les coupables sont condamnés et évitant les erreurs judiciaires.
• Pour la communauté forensique : Il met en lumière le besoin de dépasser la simple extraction d'artefacts pour adopter une approche d'investigation hypothético-déductive. Il souligne également la nécessité de valider les outils automatisés et de comprendre le comportement des applications modernes (comme le préchargement automatique de Telegram).
• Pour la recherche : L'article comble un vide dans la littérature en fournissant une étude de cas réelle, anonymisée pour des raisons éthiques, qui peut servir de modèle pour d'autres experts et avocats. Il appelle à une meilleure documentation des résultats des affaires pénales pour enrichir les connaissances pratiques, souvent perdues car les experts ne sont pas toujours informés des verdicts finaux.