L'acquisition de données dans le domaine de l'investigation numérique est l'une des étapes les plus importantes et les plus critiques. La plupart du temps, le résultat de l'acquisition de données est un fichier "image technico-légale" du disque source, du support numérique ou de l'ensemble de données exportées.

Les actions de copie technico-légale se font soit sur place sur les lieux de l'opération ou dans les bureaux de WINDIFE. Cela dépendra du cas et de la demande du client.

L'acquisition de données numériques englobe toutes les étapes impliquant l'identification, la saisie, la collecte légale de preuves numériques, ce qui inclut la copie/clonage ou l'exportation de données à partir de toute source informatique.

En fonction de l'appareil saisi et de la source de données à acquérir, le spécialiste pourra avoir différentes approches pour la copie légale à réaliser. L'examinateur en criminalistique numérique est formé pour cela, certifié et possède toutes les connaissances pour décider de la méthode à employer.

Il peut effectuer une acquisition technico-légale (copie numérique légale) de tout type d'appareil ou support de données informatiques tel que PC/Mac, CD-Rom/DVD, disque dur, disque dur amovible/externe, téléphone mobile type "smartphone", tablette numérique, clé USB, données de serveur ou stockage NAS.

Le type d'acquisition de données peut être par exemple une copie disque physique vers disque physique (clonage), une acquisition disque physique ou disque logique/volume/partition vers un fichier image numérique. Mais peut aussi être une simple extraction légale de fichiers et/ou de dossiers (basée sur des critères de recherche spécifiques), le tout sauvegardé à la fin du processus dans un fichier image numérique.

Dans le cas d'un téléphone mobile ou d'une tablette numérique, l'acquisition de données peut être plus complexe en fonction de la protection de l'appareil et/ou du cryptage.

Le spécialiste informatique est chargé de préparer à l'avance les disques durs de destination qui seront utilisés pour sauvegarder les copies numériques légales. Tous les supports de stockage ou disques durs utilisés par l'examinateur en criminalistique informatique seront d'abord effacés en profondeur avec un logiciel ou outil dédié pour assurer la suppression sécurisée et totale de toutes les données stockées à l'origine sur les disques.

L'expert veillera, si besoin était et en accord avec le client, à ce que les données numériques saisies ou copiées soient mises sous scellés et stockées dans une zone sécurisée pour être préservées de toute altération ou modification. Les preuves numériques probantes ne doivent pas être compromises pendant le processus d'investigation numérique et la chaîne de contrôle et d'intégrité des données doit être garantie.

Les copies physiques et/ou logiques sont réalisées en utilisant du matériel de protection en écriture afin de protéger le périphérique et les données sources de toute modification ou altération durant le processus.

L'expert effectuera la plupart du temps deux copies technico-légales de la première image numérique créée. Une copie sera conservée en tant que copie de sauvegarde dans une zone sécurisée chez le client et la deuxième copie sera utilisée pour le traitement, l'examen et les recherches.

La première image numérique légale créée et représentant la copie technico-légale des données d'origine sera livrée au client avec un rapport d'acquisition détaillé.

Pour chaque fichier image numérique créé, une empreinte électronique d'acquisition est créée. C'est le résultat d'un calcul algorithmique qui produit une chaîne unique de caractères représentant une «empreinte digitale» numérique pour un ensemble de données particulier. Elle aide à authentifier la copie numérique légale et peut être utilisée pour vérifier l'état et l'intégrité des données preuves numériques.

WINDIFE dispose de tous les logiciels, outils, matériels spécialisés, compétences et connaissances nécessaires pour accomplir toutes les tâches de criminalistique numérique dont il est responsable.