Garanties forensic & bonnes pratiques
Principes forensic, garanties d’intégrité et recommandations d’usage pour les enquêtes e-mail.
Forensic by design
EML Forensic Suite est conçu selon une approche forensic by design. Toutes les fonctionnalités respectent les principes fondamentaux de préservation des preuves numériques.
- Lecture seule des fichiers .eml
- Aucune modification des données source
- Hashing systématique des e-mails et des pièces jointes
- Rapports horodatés
Intégrité des fichiers EML
Les fichiers .eml ne sont jamais modifiés. Les dates de modification au niveau du système de fichiers restent inchangées.
Il est fortement déconseillé d’ouvrir ou de sauvegarder les fichiers .eml dans des clients mails non-forensic.
Pièces jointes
- Les pièces jointes sont copiées et jamais déplacées
- Un hash SHA256 est calculé pour chaque fichier extrait
- Un rapport forensic individuel est généré pour chaque pièce jointe
Export IMAP
Chaque export IMAP génère des artefacts permettant de démontrer l’intégrité et la complétude de l’extraction.
- hashes.txt (hash par e-mail + hash global)
- rapport_imap_export.txt (détails de l’export)
Bonnes pratiques recommandées
- Conserver une copie brute du dossier d’export IMAP en lecture seule.
- Utiliser un dossier distinct par enquête.
- Documenter la date d’export, le compte analysé et l’opérateur.
- Travailler sur des copies pour toute analyse non strictement forensic.
Valeur probante
Le respect de ces principes renforce la valeur probante des analyses réalisées avec EML Forensic Suite.