Service réservé aux Forces de l’Ordre & Magistrature

Cellule d’Investigation Numérique Judiciaire

Support technique spécialisé pour enquêteurs, magistrats et OPJ : forensic mobile et informatique, déchiffrement BitLocker / FileVault / LUKS, cassage de mots de passe sur cluster GPU, analyse d’images et vidéos par IA, OSINT augmenté, reverse engineering, témoignage en audience. Sur réquisition uniquement.

Demande de prise en charge Voir les 10 modules

H+24

Astreinte urgence

300 GH/s

Cluster GPU NTLM

7 ans

Stockage scellé

ISO 27001

+ RGPD art. 89

CADRE D’INTERVENTION

Une cellule au service des enquêtes complexes

Les enquêtes modernes affrontent des volumes de données chiffrées, des dépôts cloud échappés, et des artefacts mobiles dispersés sur 12 plateformes. Notre cellule fournit aux services d’enquête la capacité technique pour exploiter ces preuves dans le respect strict du Code de procédure pénale.

Sur réquisition uniquement

Intervention strictement encadrée par les articles 60-1, 60-2, 77-1-1 et 99-3 du Code de procédure pénale. Aucune prestation sans réquisition d’OPJ, mandat de juge d’instruction ou demande de magistrat.

Chaîne de custody tracée

Hash SHA-256 et SHA-3 de chaque copie, scellés numériques horodatés, journal d’intervention signé, conservation 7 ans minimum. Recevable en procédure pénale et instruction.

Confidentialité absolue

Infrastructure isolée, chiffrement disque AES-256, réseau air-gap pour analyse, NDA systématique. Personnel formé au secret de l’enquête et de l’instruction (art. 11 CPP).

CATALOGUE TECHNIQUE

10 modules opérationnels

Cinq pôles spécialisés, dix modules combinables selon les besoins de l’enquête. Chaque intervention est cadrée par une fiche de mission validée par l’OPJ ou le magistrat réquisitionnaire.

M1 Mobile forensics

Acquisition physique et logique iOS / Android, même sur téléphones verrouillés ou chiffrés.

Cellebrite UFED 4PC + Premium, MSAB XRY Pro, Magnet AXIOM Mobile, Oxygen Detective Suite
Bypass écran de verrouillage (FDE, Knox, Secure Enclave selon modèles)
Récupération WhatsApp, Signal, Telegram, Wickr (clés et bases chiffrées)
Reconstitution timeline géolocalisée + analyse SQLite des apps
Extraction iCloud / Google backups sur réquisition

M2 Computer forensics

Imagerie disque et mémoire vive, analyse artefacts Windows, macOS, Linux.

Write-blocker matériel + FTK Imager, Magnet Acquire, dd / dcfldd
Windows : SRUM, Prefetch, ShimCache, AmCache, USB history, Event Logs, NTFS $MFT, $LogFile
macOS : KnowledgeC, FSEvents, Unified Logs, Spotlight metadata, APFS
Linux : auditd, journald, bash_history, syslog, btrfs / ext4 metadata
Outils : Autopsy 4, X-Ways Forensics, EnCase, KAPE, Velociraptor

M3 Network forensics

Reconstitution flux réseau, détection C2, capture passive sur saisie d’infrastructure.

Analyse PCAP / PCAPNG : Wireshark, Zeek, Suricata, Arkime
Détection beacons C2 (jitter analysis, Cobalt Strike, Sliver, Brute Ratel)
Live response : Velociraptor, KAPE, GRR Rapid Response
Déchiffrement TLS sur clés saisies (SSLKEYLOGFILE, RAM dumps)

M4 Déchiffrement disques

BitLocker, FileVault 2, LUKS, VeraCrypt : récupération de clés, attaque passphrase, exploitation RAM live.

BitLocker : récupération clés VMK depuis memory dump (Volatility, Rekall), TPM unwrap, Elcomsoft Forensic Disk Decryptor
LUKS / dm-crypt : attaque cudahashcat sur header LUKS1/LUKS2 (mode 14600/29541)
VeraCrypt : hashcat mode 137xx selon algo, optimisation PIM
FileVault 2 : extraction recovery key, attaque keychain, Passware Kit Forensic

M5 Cassage de mots de passe (cluster GPU)

Plateforme GPU dédiée pour brute force et attaques par dictionnaire+règles, optimisée par algorithme ciblé.

4× RTX 4090 (extensible) — ~300 GH/s NTLM, ~17 GH/s Kerberos RC4, ~108 KH/s AES256
hashcat 6.2 + John the Ripper, dictionnaires customisés, rules combinatoires
Windows : NTLM, NTLMv2, DPAPI, MSCASH, Credentials.dat
WiFi : WPA2/WPA3 (PMKID + handshake), KRACK / Dragonblood le cas échéant
Archives chiffrées : ZIP / 7Z / RAR5, PDF, Office Open XML, KeePass, 1Password

M6 Analyse IA d’images et vidéos

Reconnaissance faciale, détection deepfakes, OCR, géolocalisation, identification d’objets & plaques.

Reconnaissance faciale : modèles FRVT-validated, vraisemblance score documents
Détection deepfakes / videos manipulées : FaceForensics++, modèles adéquats
OCR multilingue (44 langues) avec post-correction LLM contextuelle
Géolocalisation par EXIF + reverse image search + analyse de fond visuel
Détection d’objets : armes, plaques d’immatriculation, marques, logos (YOLOv9, DINOv2)
Hash matching PhotoDNA pour signalements CSAM en lien avec PHAROS

M7 Audio & transcription

Transcription, identification de locuteurs, séparation de sources, traduction.

Whisper Large v3 + custom fine-tuning : 99+ langues, timeline judiciaire au seconde près
Diarisation (séparation de locuteurs) + identification par empreinte vocale
Séparation de sources (musique, voix, bruit) sur enregistrements dégradés
Débruitage et amélioration spectrale, préservation forensique

M8 OSINT augmenté IA

Recherche en sources ouvertes, dark web monitoring, traçage cryptomonnaies.

Profilage réseaux sociaux automatisé : Maltego, Spiderfoot, OSRFramework, Sherlock
Dark web monitoring : forums Tor, markets, fuites de données
Cryptocurrency tracing : clustering wallets, suivi transactions Bitcoin / Ethereum / Monero
Reconnaissance réseau : Shodan, Censys, FOFA, ZoomEye, passive DNS
Synthèse LLM contextualisée pour rapport d’enquête

M9 Reverse & malware analysis

Désassemblage, sandbox, détection de spyware d’État, analyse de firmware.

Outils : Ghidra, IDA Pro, x64dbg, Cutter, REMnux, FLARE-VM
Sandboxing automatisé : Cuckoo, Joe Sandbox, ANY.RUN, CAPE
Détection spyware : Pegasus, Predator, Reign — analyse iOS & Android (MVT)
Analyse firmware IoT, routeurs, automates industriels (binwalk, Ghidra)
Extraction IOC pour partage TLP CLEAR / AMBER / RED

M10 Rapport & témoignage judiciaire

Rapports d’expertise, supertimeline, témoignage en audience.

Rapport format CRPC / expert judiciaire : présentation, méthodologie, constatations, conclusions
Supertimeline Plaso + Timesketch pour reconstitution chronologique multi-sources
Présentation orale au tribunal correctionnel, cour d’assises, juge d’instruction
Vulgarisation technique pour magistrats, jurés et avocats

PROCESSUS

De la réquisition au scellé numérique

Étape 1

Prise de contact

Formulaire qualifié ou ligne directe pour service d’enquête. Réponse sous 4h.

Étape 2

Réquisition

Réception de la réquisition (art. 60-1 ou 77-1-1 CPP), fiche de mission validée.

Étape 3

Acquisition scellée

Imagerie write-blocker, double hash SHA-256 + SHA-3, journal d’intervention.

Étape 4

Analyse experte

Application des modules requis sur infrastructure isolée air-gap.

Étape 5

Livrables judiciaires

Rapport d’expertise, scellés numériques, pièces à conviction, témoignage si requis.

CADRE JURIDIQUE

Garanties légales et techniques

Toute prestation est strictement encadrée par le Code de procédure pénale et les normes applicables aux experts techniques externes. L’ensemble de l’infrastructure est conforme aux exigences ANSSI, RGPD article 89 et ISO/IEC 27037 (preuve numérique).

Art. 60-1, 60-2, 77-1-1, 99-3 CPP
Intervention exclusivement sur réquisition d’OPJ, magistrat ou juge d’instruction.
ISO/IEC 27037 + ENFSI Guidelines
Méthodologie d’acquisition de preuves numériques recevables.
RGPD art. 89 & LIL
Traitements de données à finalité judiciaire encadrés, registre dédié.
Secret de l’enquête (art. 11 CPP)
Personnel formé et engagé par décision écrite, sanctions pénales en cas de violation.
Chaîne de custody documentaire
Hash SHA-256/SHA-3, scellés numériques horodatés, journal signé, conservation 7 ans.
Habilitation Confidentiel Défense
Disponible sur demande pour dossiers classés, sous réserve de validation étatique.

FAQ

Questions fréquentes

Quels services peuvent saisir la cellule ?

Police nationale (DCPJ, OCLCTIC, OFAC), Gendarmerie nationale (C3N, DGSI, IRCGN), Douanes, Parquet, juges d’instruction, magistrats du siège, ainsi que les services administratifs habilités (ANSSI, AMF, AAI à compétence pénale).

Quels délais pour une intervention ?

Réponse sous 4 heures ouvrées, prise en charge sous 24 heures pour urgences (enquêtes en flagrance, garde à vue). Une astreinte 7j/7 H+24 est disponible pour les services partenaires sous convention.

Peut-on confier une enquête entière ou seulement un module ?

Les deux. Vous pouvez déclencher un module unique (ex : déchiffrement BitLocker sur un dossier précis) ou une mission combinée (acquisition mobile + analyse + rapport). Le devis et la fiche de mission s’adaptent au périmètre.

Quelle conservation des données traitées ?

Conservation minimale 7 ans des scellés numériques (en cohérence avec les délais de prescription). Suppression et destruction certifiées au-delà, ou restitution à l’autorité requérante. Aucune donnée n’est réutilisée à d’autres fins.

L’expert peut-il témoigner devant un tribunal ?

Oui, sur convocation. L’expert se déplace pour présenter ses constatations devant le tribunal correctionnel, la cour d’assises ou le juge d’instruction, et répond aux questions de la défense et du ministère public.

Y a-t-il une convention-cadre annuelle disponible ?

Oui, des conventions-cadres pluriannuelles sont proposées aux parquets, préfectures et directions centrales avec engagement de volume. Cela ouvre droit à une astreinte permanente, à des tarifs négociés et à des SLA renforcés.

Pouvez-vous intervenir pour des dossiers de cybermalveillance classique (rapport entre particuliers, entreprises) ?

Cette cellule est strictement réservée aux services réquisiteurs et magistrats. Pour les entreprises victimes : voir nos services Réponse à incident et Investigation numérique.

PRISE DE CONTACT QUALIFIÉE

Demande de prestation

Service réservé. Veuillez utiliser une adresse email professionnelle de votre administration (en .gouv.fr, .interieur.gouv.fr, .gendarmerie.interieur.gouv.fr ou équivalent). Toute demande non qualifiée sera redirigée vers les services généralistes.

Nom & prénom *

Fonction / grade *

Email professionnel *

Une adresse administrative est obligatoire pour valider la qualité de requérant.

Téléphone professionnel

Niveau d’urgence

Nature de la demande *

Je certifie agir dans le cadre légal de mes fonctions et que cette demande est faite ou sera couverte par une réquisition judiciaire en bonne et due forme (art. 60-1, 60-2, 77-1-1, 99-3 CPP).

Réponse sous 4 heures ouvrées. Tarification communiquée après qualification, sur devis nominatif uniquement.