Par Tae Kim
Illustration : Cathy Pentland
Cette étude de cas montre que les preuves électroniques peuvent parfois se cacher dans les endroits les plus inattendus
«Il est très intelligent. S'il est coupable, je doute qu'il ait laissé des traces», déclarait Charles Grant, conseiller juridique interne de l'important fabricant Meubles Strathcona ltée, au sujet d'André Stukowitz, directeur des achats, incriminé dans une lettre anonyme. Celle-ci laissait entendre qu'il avait reçu des pots-de-vin de trois des plus gros fournisseurs de l'entreprise — dont le nom figurait dans la lettre.
Charles s'adressait ainsi à Karine Moreau, une juricomptable à qui il avait fait appel après avoir reçu la lettre. «Je n'aime pas André, dit-il. Il a un je-ne-sais-quoi qui me rend mal à l'aise. Il fait par contre un bon travail et son dossier est sans tache, mais c'est le genre de personne qui n'hésitera pas à nous poursuivre — et à le faire savoir — si nous commettons la moindre erreur à son égard.» Pour cette raison, Charles a demandé à Karine d'enquêter de façon très discrète et limitée sur les faits reprochés. «N'interviewez personne, dit-il, surtout pas les fournisseurs. Je ne veux pas courir le risque qu'André entende parler de cette enquête.»
Avec une restriction aussi importante, Karine savait que sa mission serait difficile. Cela dit, si elle obtenait suffisamment de preuves préliminaires pour donner suite aux allégations, y compris des éléments pour les étayer, Charles l'autoriserait probablement à mener une enquête plus approfondie. Son plan consistait à examiner les preuves électroniques emmagasinées dans des appareils qu'André avait utilisés ou auxquels il avait accès dans le cadre de son travail.
«Je ne crois pas qu'André soit assez négligent pour laisser des preuves incriminantes sur son disque dur», a indiqué Charles lorsque Karine lui a exposé sa stratégie. «De plus, il s'y connaît en suppression et en extraction de fichiers. Je l'ai entendu expliquer à des collègues comment des fichiers supprimés peuvent souvent être récupérés.»
On peut trouver des preuves électroniques ailleurs que sur les disques durs, a répliqué Karine. «Nous avons un expert en la matière, Martin Monette, qui travaillera avec moi à cette affaire. Vous serez étonné de voir le nombre de preuves qui peuvent être examinées, hormis celles qui se trouvent sur les disques durs.»
Le plan de Karine prévoyait que Martin et elle allaient effectuer la plus grande partie de leur travail le soir et les fins de semaine. Pour réduire le risque qu'André les surprenne (il venait souvent travailler tard le soir ou la fin de semaine), ils ont demandé à Charles de l'envoyer suivre un cours à l'extérieur de la ville pendant quelques jours. Avant qu'il parte, cependant, Martin est allé au bureau un soir et a discrètement copié le disque dur du portable d'André, présumant que celui-ci allait probablement le prendre avec lui, ce qu'il n'a pas manqué de faire.
Charles avait vu juste — si André demandait bel et bien des pots-de-vin aux fournisseurs, rien dans les fichiers actifs ou supprimés de son disque dur ne permettait de l'accuser de quoi que ce soit. L'étape suivante, selon Martin, consistait à consulter les courriels d'André. En 2002, le Wall Street Journal estimait qu'en Amérique du Nord, 3,25 billions de courriels seraient envoyés à partir des entreprises [Elizabeth Weinstein, «Help I'm Drowning in E-Mail!», The Wall Street Journal, 10 janvier 2002]. «Les gens sont souvent peu prudents par rapport aux courriels, a dit Martin à Karine. Voyons ceux d'André.» Il n'est pas difficile d'avoir accès à ces courriels, puisqu'ils peuvent se trouver à plusieurs endroits : sur le disque dur de l'utilisateur, dans les serveurs de courriel, dans les serveurs des fournisseurs de services Internet (il faut alors une ordonnance d'un tribunal pour y accéder) et sur les bandes de sauvegarde de l'entreprise (bien qu'elles ne soient parfois conservées que pendant une courte période, selon la politique de l'entreprise).
Dans le cas qui nous intéresse, l'entreprise avait une copie du disque dur d'André, y compris ses courriels récents. Karine et Martin ont été en mesure de consulter les courriels malgré le fait que certaines lois en matière de protection des renseignements personnels considèrent les courriels comme des conversations personnelles. Strathcona a pour politique d'exiger de tous ses employés qu'ils signent une entente établissant clairement que les courriels et toutes les autres formes de communication s'appuyant sur les moyens techniques de Strathcona appartiennent à cette dernière et qu'ils peuvent faire l'objet d'un examen en tout temps.
Les courriels récents d'André n'ont toutefois pas fourni eux non plus de preuve d'actes illicites de sa part. Karine a alors demandé s'il était possible d'examiner les courriels antérieurs supprimés qui pouvaient avoir été conservés sur les bandes de sauvegarde de l'entreprise. «Cela est possible, a répondu Martin, mais comme André semble avoir été très prudent, la lecture des bandes de sauvegarde pourrait être longue et coûteuse. Nous pourrons utiliser cette option en dernier recours.»
«Peut-être est-il innocent, a alors dit Karine. Les lettres anonymes comme celle que Strathcona a reçue sont parfois uniquement vindicatives.» Tout en acquiesçant, Martin a malgré tout proposé de poursuivre l'examen des sources disponibles. La piste suivante était l'analyse des relevés des appels d'André, tant pour la ligne téléphonique de son bureau que pour son cellulaire. Les enquêteurs se sont concentrés sur les communications entrantes et sortantes avec les fournisseurs mentionnés dans la lettre. Après avoir examiné le relevé électronique des appels à l'aide de certains outils de visualisation, ils ont décelé des habitudes particulières dans la façon dont André faisait ses appels. «C'est étrange», dit Karine en examinant les résultats d'analyse de plusieurs périodes précédant la renégociation des contrats avec les fournisseurs en cause. «Je ne vois pas de volume d'appels inhabituel, ajouta Martin. En fait, le nombre d'appels est plutôt minime.» C'est précisément ce que Karine trouvait étrange. Elle avait comparé le nombre d'appels logés durant les heures de travail entre André et les fournisseurs, outre ceux mentionnés dans la lettre, au moment de la renégociation de leurs contrats. «Le volume est beaucoup plus important, plus normal à mon avis dans un tel contexte.»
Elle s'est dit qu'André appelait peut-être les fournisseurs de chez lui ou à partir d'un téléphone public. Martin pour sa part avait un autre scénario en tête. «Nous savons qu'il travaillait tard le soir, dit-il. Peut-être faisait-il ses appels d'ici, mais à partir d'un autre téléphone.» La seule idée d'avoir à éplucher le relevé des appels de tous les employés de Strathcona faisait paniquer Karine. «Vérifions d'abord le relevé d'un téléphone bien précis», a dit Martin en se dirigeant avec elle vers la salle du courrier. Martin savait par expérience que les fraudeurs à l'interne utilisent parfois le téléphone d'un télécopieur de l'entreprise pour faire des appels qui ne peuvent leur être associés. Comme prévu, l'examen du relevé des appels du télécopieur principal a révélé un grand nombre de communications avec les trois fournisseurs les soirs précédant la renégociation de leurs contrats.
«C'est encourageant, a dit Karine, mais nous ne pouvons prouver qui est l'auteur de ces appels. Charles a raison, il est vraiment habile.» Peut-être, dit Martin, mais il existe toujours une piste, un détail dont le fraudeur n'a pas tenu compte. «Je me souviens d'un cas où un membre du service des TI d'une entreprise avait décidé de saboter le système de gestion de la paie de son employeur, dit-il. Il voulait que les dirigeants subissent un stress financier en ne pouvant émettre leurs chèques à temps. Il a donc créé un script et l'a introduit dans le système pour qu'il s'active le lendemain de son départ de l'entreprise. Il a également modifié les mots de passe dans le serveur pour que personne d'autre ne puisse intervenir et rétablir le système. Et il a réussi. Il a fallu près de deux semaines pour que l'entreprise parvienne à régler le problème.» L'entreprise avait demandé à Martin de l'aider à identifier le coupable. «Il se croyait à l'abri parce que le méfait pouvait être attribué à n'importe quel membre d'un groupe d'employés. Il avait cependant négligé un élément de preuve.»
Martin a alors sorti la carte de sécurité que lui et Karine venaient d'utiliser pour entrer dans la salle du courrier. Il a expliqué que beaucoup d'employés croient que cette carte permet seulement d'ouvrir les portes. Ils ne se rendent pas compte qu'elle permet de retracer les allées et venues de chacun. «C'est ainsi que nous avons découvert qui, du service des TI, avait modifié le programme. Une seule personne avait accédé à la salle du serveur pendant la réécriture du programme, dit-il. Voyons ce que les relevés d'utilisation de la carte de sécurité d'André nous indiquent.»
Comme prévu, les relevés ont confirmé qu'André se trouvait dans la salle du courrier les soirs où des appels avaient été logés auprès des fournisseurs, aux heures correspondantes. Les relevés des télécopies envoyées au cours des soirées en question ont permis de constater qu'aucun document n'avait été transmis. Les enquêteurs détenaient maintenant la preuve qu'André communiquait avec les fournisseurs de manière suspecte pendant la renégociation des contrats. Mais Karine doutait que cette preuve suffirait à convaincre leur client prudent de les laisser interviewer André ou les fournisseurs. «Nous avons besoin d'un autre élément liant André à ces fournisseurs», a-t-elle dit.
Martin a proposé d'examiner les données de l'assistant numérique personnel BlackBerry d'André, acheté par l'entreprise. «Les gens ont tendance à être moins prudents par rapport à ce qu'ils enregistrent sur ces appareils, car ils les considèrent comme des outils très personnels et privés, contrairement à leurs ordinateurs.» Il a aussi ajouté que les gens ne suppriment pas les inscriptions de leur calendrier avec autant de diligence que leurs courriels. Karine a cependant soulevé une question : «Comment recueillir ces données sans éveiller les soupçons d'André?»
«Il n'est pas nécessaire d'aller les chercher», a expliqué Martin. Strathcona exploite un serveur Outlook Exchange qui est synchronisé sans fil avec les appareils BlackBerry de ses employés. Toutes les données du BlackBerry d'André se trouvaient donc aussi dans le serveur.
Cet élément a été le tournant décisif de l'affaire. L'examen de l'agenda d'André pour les six mois antérieurs a révélé qu'il avait rencontré un des fournisseurs la fin de semaine précédant la renégociation d'un contrat lucratif avec Strathcona, à un prix tout juste inférieur à la seconde soumission la plus basse. «Ou bien le fournisseur a été très chanceux, ou bien il connaissait le prix offert par ses concurrents», a dit Karine.
André s'était aussi laissé une note plus incriminante : donner au fournisseur «les indications pour se rendre au chalet». Une enquête plus poussée a permis d'apprendre qu'André venait de se faire construire un chalet coûteux, et que le fournisseur lui avait fourni gratuitement certains matériaux de construction, de même que de la main-d'œuvre.
L'ensemble de ces preuves a suffi à convaincre Charles d'autoriser la tenue d'une enquête exhaustive. Karine s'est alors adressée aux directeurs de chacun des trois fournisseurs, qui l'ont autorisée à interviewer des employés clés de leur organisation. De prime abord, tous ont nié avoir versé des pots-de-vin à André. Mais lorsque Karine a montré au chef de la direction du fournisseur impliqué dans la construction du chalet les preuves qu'elle avait rassemblées, il a admis ce qui s'était passé. Et après lui, les autres sont passés aux aveux. En fait, ils se sont dits soulagés que la vérité éclate au grand jour, affirmant qu'André Stukowitz ne leur laissait pas d'autre choix s'ils voulaient obtenir des contrats. Ils devaient lui offrir des avantages (habituellement autres qu'en argent; il préférait les biens et services, particulièrement les voyages dans des lieux exotiques), sinon ils perdaient le contrat. Des entrevues avec certains fournisseurs n'ayant pas obtenu de contrat avec Strathcona ont confirmé qu'André les avait retirés de la course après qu'ils eurent refusé d'accéder à ses demandes. «Je suis sûre que l'un d'eux a envoyé la lettre, dit Karine à Charles, peut-être un de ceux qui ont refusé d'offrir des avantages à André.»
Une fois les entrevues avec les fournisseurs terminées, Karine et Charles ont confronté André. Celui-ci a rejeté toutes les allégations, a menacé de poursuivre Strathcona et quitté la pièce avec fracas. Le lendemain, cependant, il est revenu avec son avocat et a déclaré qu'il était disposé à négocier une réparation. Charles a remercié Karine pour son travail et celui de Martin, et il a pris le relais dans ce dossier.
«Je ne pouvais imaginer qu'il existait autant de sources de preuves», a-t-il confié à Karine alors qu'elle s'apprêtait à partir. Heureusement, André l'ignorait lui aussi, tout comme bon nombre de fraudeurs qui croient naïvement qu'ils n'ont laissé aucune trace.
Tae Kim est enquêteur principal en informatique judiciaire au bureau de Toronto de Kroll Lindquist Avey. On peut le joindre à tkim@krollworldwide.com. Cette rubrique est dirigée par Roddy Allan, CA•EJC, directeur chez Kroll Lindquist Avey à Toronto. | 
