← Retour au blog

Acquisition de preuves web ISO 27037 : le guide complet 2026 d’une forensique numérique défendable pour le web

La plupart des litiges numériques d’aujourd’hui reposent sur ce qui figurait sur une page web à un moment précis. Une capture d’écran, aussi soigneusement prise soit-elle, ne suffit pas — elle ne porte aucun sceau cryptographique, aucun horodatage qualifié, aucune chaîne de preuve, et aucune preuve que la page a réellement été servie par le domaine revendiqué. L’ISO/IEC 27037:2012 est le standard international pour l’acquisition forensique de preuves numériques, et l’appliquer correctement au contenu web en direct est ce qui sépare la preuve qui survit à une contestation adverse de celle qui s’effondre à la première objection qualifiée. Ce guide couvre le standard en profondeur opérationnelle : les rôles DEFR et DES, les quatre principes fondamentaux, les sept éléments que chaque capture web forensique doit inclure, l’approche de double ancrage combinant horodatages qualifiés eIDAS et Bitcoin OpenTimestamps, et le workflow complet en trois phases.

ISO/IEC 27037 Acquisition forensique Chaîne de preuve Double ancrage

1. La preuve web en 2026 — pourquoi l’ISO 27037 est devenue la référence absolue

Dans la plupart des litiges numériques qui atteignent le contentieux en 2026, la preuve décisive réside sur une page web. Une publication diffamatoire de réseau social, une annonce contrefaite sur une place de marché en ligne, la page marketing d’un concurrent faisant une affirmation problématique, une communication financière hors canal, une déclaration d’un dirigeant qui contredit une déclaration sous serment — tout cela est du contenu web. Le défi technique et juridique est identique à travers ces scénarios : comment préserver un élément de contenu dynamique, éphémère, contrôlé par un tiers d’une manière qui survive à l’examen adverse en justice ?

L’instinct de nombreux praticiens est de prendre une capture d’écran. La capture d’écran satisfait le besoin immédiat de capturer quelque chose, et pour des fins à faible enjeu (registres internes, due diligence, journalisme) elle est souvent adéquate. Mais pour une preuve qui peut faire face à une recevabilité contestée — contentieux civil, application réglementaire, procédures pénales, arbitrage international — une capture d’écran brute échoue à pratiquement tous les tests que l’avocat adverse expérimenté soulèvera. Elle ne porte aucun sceau cryptographique liant le contenu visuel à quoi que ce soit de vérifiable. Elle ne porte aucun horodatage qualifié émis par un prestataire de services de confiance. Elle ne contient aucune métadonnée sur le serveur qui a produit le contenu. Elle peut être modifiée en quelques secondes avec un logiciel grand public. Elle ne peut pas être reproduite par un expert indépendant.

L’ISO/IEC 27037:2012 est le standard international qui traite ces lacunes. Publié conjointement par l’ISO et l’IEC en 2012, il spécifie des lignes directrices pour l’identification, la collecte, l’acquisition, et la préservation de preuves numériques potentielles. Il s’applique également aux appareils physiques et aux environnements web en direct, et il est devenu le standard international le plus cité pour la recevabilité des preuves numériques dans la littérature forensique européenne et américaine. Les tribunaux et les experts judiciaires attendent de plus en plus que la preuve numérique soit acquise de manières cohérentes avec le standard, et les adversaires soulèvent de plus en plus la conformité à l’ISO 27037 comme référence lorsqu’ils contestent la méthodologie de la preuve adverse.

Appliquer l’ISO 27037 à la preuve web n’est pas un exercice de traduction trivial. Le standard a été rédigé en pensant à un disque dur — un support physique statique qui peut être mis hors tension, protégé en écriture, et imagé bit par bit. Une page web en direct est l’opposé de cela. Elle n’existe que comme une interaction en direct entre le client, le serveur, l’infrastructure réseau, le réseau de diffusion de contenu, les autorités de certification, le runtime JavaScript, et l’état de l’utilisateur. Il n’y a rien à mettre hors tension, rien à saisir physiquement, et le contenu peut changer avant que vous ne finissiez de le capturer. Ce guide montre comment les principes fondamentaux du standard se traduisent en pratique opérationnelle pour la preuve web en 2026.

Le lecteur qui termine ce guide saura exactement ce que l’ISO 27037 exige pour l’acquisition de preuves web, quels éléments techniques spécifiques doivent être capturés pour satisfaire le standard, pourquoi les captures d’écran échouent et ce qui les remplace, comment mettre en œuvre le workflow forensique en trois phases, et comment combiner les horodatages qualifiés eIDAS avec l’ancrage Bitcoin OpenTimestamps pour une preuve qui survive à la fois dans les juridictions de l’UE et mondiales. Pour une couverture plus approfondie de la catégorie de plateforme de preuve numérique sous-jacente, consultez notre guide complet des systèmes de preuve numérique et notre analyse des raisons pour lesquelles les captures d’écran ne suffisent pas.

2. ISO/IEC 27037:2012 — anatomie du standard

L’ISO/IEC 27037:2012, formellement intitulé « Technologies de l’information — Techniques de sécurité — Lignes directrices pour l’identification, la collecte, l’acquisition et la préservation de preuves numériques », est publié conjointement par l’Organisation internationale de normalisation et la Commission électrotechnique internationale. Le standard fait environ 40 pages d’orientations normatives et représente plus d’une décennie de travail de consensus entre experts forensiques, forces de l’ordre, et praticiens judiciaires à travers plusieurs juridictions.

Les quatre processus opérationnels

Le standard structure le traitement des preuves numériques en quatre processus distincts qui se produisent en séquence. L’identification est le processus de reconnaissance des preuves numériques potentielles sur une scène, y compris l’évaluation de la priorité et du risque de perte. La collecte est le processus d’acquisition des éléments physiques qui peuvent contenir des preuves numériques. L’acquisition est le processus de création de copies numériques adaptées à l’examen. La préservation est le processus de maintien de l’intégrité de la preuve tout au long de son cycle de vie. Pour la preuve web, les frontières entre ces processus s’estompent — il n’y a pas d’élément physique à collecter, et l’identification et l’acquisition se produisent souvent simultanément — mais les principes sous-jacents s’appliquent toujours.

La portée et les limites du standard

L’ISO/IEC 27037 spécifie ce qui devrait être fait, pas comment le faire avec des outils spécifiques. Il prescrit des principes comme l’auditabilité et la reproductibilité, mais laisse les choix de mise en œuvre au praticien. C’est intentionnel — la technologie forensique évolue plus vite que les standards internationaux ne peuvent être révisés — mais cela signifie que deux praticiens suivant le standard peuvent produire des artefacts et des processus différents. La référence de conformité n’est pas de savoir si les artefacts correspondent à une implémentation de référence, mais si le travail satisfait les principes d’une manière qu’un tiers indépendant peut vérifier.

Standards connexes et de soutien

L’ISO/IEC 27037 se situe au sein d’une famille plus large de standards forensiques. L’ISO/IEC 27041:2015 couvre l’assurance pour les méthodes d’investigation d’incidents. L’ISO/IEC 27042:2015 traite de l’analyse et de l’interprétation des preuves numériques. L’ISO/IEC 27043:2015 couvre les principes et processus d’investigation d’incidents. L’ISO/IEC 27050 (plusieurs parties) traite de la découverte électronique. Pour l’archivage web à long terme, l’ISO 28500:2017 spécifie le format WARC utilisé par l’Internet Archive et d’autres institutions de préservation. Une opération forensique mature référence typiquement l’ISO 27037 comme le standard d’acquisition central tout en s’appuyant sur les autres pour les processus connexes.

Reconnaissance par les tribunaux et les régulateurs

L’ISO/IEC 27037 est référencé dans la pratique forensique à travers la plupart des États membres de l’UE, le Royaume-Uni, l’Australie, le Canada, et un nombre croissant de juridictions non alignées. Les modules Education for Justice de l’Office des Nations unies contre la drogue et le crime (UNODC) le citent comme le standard international le plus fréquemment référencé pour la recevabilité des preuves électroniques. Bien que tous les tribunaux ne citent pas le standard explicitement, les méthodologies qu’il prescrit — en particulier la documentation de la chaîne de preuve et les contrôles d’intégrité cryptographiques — sont devenues des attentes de facto pour une preuve numérique sérieuse dans les procédures contestées. Le conseil qui peut démontrer la conformité à l’ISO 27037 dans son acquisition de preuves a un avantage défensif significatif lorsqu’il fait face à des contestations d’authentification.

3. DEFR et DES — les deux rôles d’opérateur forensique

L’ISO/IEC 27037 introduit deux rôles d’opérateur spécifiques avec des responsabilités et des qualifications distinctes. Comprendre ces rôles, et quel rôle s’applique à une tâche donnée, est fondamental pour organiser une acquisition de preuves web défendable.

DEFR — le premier intervenant en preuve numérique

Le premier intervenant en preuve numérique (DEFR, Digital Evidence First Responder) est l’opérateur formé et autorisé qui agit en premier sur une scène où des preuves numériques peuvent être présentes. Les responsabilités du DEFR incluent l’identification des preuves potentielles, la sécurisation de la scène, la préservation de l’intégrité des preuves, et la documentation des actions initiales. Pour la preuve web, le DEFR est typiquement la première personne qui reconnaît qu’une page web contient du matériel qui peut être nécessaire dans des procédures ultérieures — souvent un avocat, un assistant juridique, un responsable conformité, un enquêteur, ou un membre du personnel technique répondant à un incident. Le DEFR n’a pas besoin d’une expertise senior en forensique numérique, mais doit être formé et autorisé à effectuer l’acquisition de première intervention, et doit suivre des procédures documentées appropriées à sa formation.

DES — le spécialiste en preuve numérique

Le spécialiste en preuve numérique (DES, Digital Evidence Specialist) est l’expert senior avec des compétences avancées en systèmes d’exploitation, réseau, forensique applicative, et les technologies spécifiques pertinentes pour l’affaire. Le DES traite les tâches d’acquisition et d’analyse complexes qui dépassent la formation du DEFR, effectue la vérification technique des preuves acquises, prépare les rapports techniques, et peut servir de témoin expert dans les procédures. Pour la preuve web, le DES est typiquement un professionnel certifié en forensique numérique, un expert technique désigné par le tribunal, ou une capacité forensique interne avec les qualifications pertinentes.

Comment les rôles se divisent dans le travail moderne de preuve web

Dans la forensique traditionnelle des appareils physiques, la division entre DEFR et DES est simple : le DEFR sécurise l’appareil, le DES effectue l’examen approfondi. Pour la preuve web, la division est souvent moins nette. Un DEFR compétent utilisant une plateforme d’acquisition forensique moderne peut effectuer une capture pleinement conforme à l’ISO 27037 sans implication du DES, parce que la plateforme gère automatiquement la complexité technique (sérialisation du DOM rendu, empaquetage MHTML, capture de certificat SSL, calcul d’empreinte, application d’horodatage qualifié). Le rôle du DES intervient alors pour la vérification, le rapport d’expert, et la réponse adverse — pas pour l’acquisition de routine elle-même. C’est une efficacité opérationnelle significative pour les équipes juridiques et les organisations de conformité.

Documenter l’attribution des rôles dans la chaîne de preuve

Quiconque effectue chaque étape doit être identifié dans la documentation de la chaîne de preuve. Le journal d’acquisition devrait enregistrer le nom de l’opérateur, le rôle (DEFR ou DES), les qualifications ou la formation, et les actions spécifiques prises. Lorsqu’un DEFR utilise une plateforme automatisée, le journal devrait tout de même identifier l’opérateur humain responsable du déclenchement et de la supervision de l’acquisition. Lorsqu’un DES est engagé pour la vérification ou l’analyse, sa participation devrait être documentée séparément. Cette division de responsabilité devient particulièrement importante dans les procédures adverses, où l’avocat adverse peut sonder les qualifications de chaque personne qui a manipulé la preuve.

4. Les quatre principes fondamentaux — auditabilité, répétabilité, reproductibilité, justifiabilité

Les sections 5.3 et 5.4 de l’ISO/IEC 27037 spécifient quatre principes fondamentaux qui doivent être satisfaits dans toute acquisition de preuves numériques. Ce ne sont pas des objectifs ambitieux ou des bonnes pratiques — ce sont des exigences normatives. Si même un seul principe échoue, la preuve résultante a une faiblesse structurelle que l’avocat adverse peut exploiter. Les principes s’appliquent à l’acquisition de preuves web avec pleine force.

Auditabilité — chaque action traçable

L’auditabilité exige que chaque action prise pendant l’acquisition soit traçable et vérifiable par un tiers indépendant. Pour la preuve web, cela signifie un journal complet de la session d’acquisition : qui l’a initiée, quand, avec quel outil, contre quelle URL, avec quelle configuration, et avec quels résultats intermédiaires. Le journal doit être inviolable et conservé tout au long du cycle de vie de la preuve. Une simple capture d’écran échoue complètement à l’auditabilité — il n’y a aucun journal de la façon dont la capture d’écran a été créée, par qui, ou dans quel environnement. Une plateforme de capture forensique moderne satisfait l’auditabilité en maintenant un registre en ajout seul de chaque acquisition, avec une protection cryptographique contre la modification a posteriori.

Répétabilité — les mêmes procédures produisent les mêmes résultats

La répétabilité exige que les mêmes procédures effectuées sur les mêmes données dans les mêmes conditions produisent les mêmes résultats. Pour la preuve web, c’est plus nuancé que pour les supports physiques — le web en direct n’est pas les mêmes données deux fois — mais le principe s’applique toujours à l’artefact capturé. Le DOM, le MHTML, le certificat, et les métadonnées capturés, une fois acquis et scellés, doivent être reproductibles depuis la preuve scellée. Si le paquet de preuve est corrompu ou si le sceau cryptographique est brisé, la répétabilité échoue. L’usage d’un hachage standardisé (SHA-256), de formats d’archive ouverts (MHTML, WARC), et de procédures de sérialisation documentées soutient la répétabilité.

Reproductibilité — un examen indépendant produit les mêmes conclusions

La reproductibilité exige qu’un autre examinateur avec des outils différents atteigne les mêmes conclusions en travaillant à partir des mêmes données source. Pour la preuve web, cela signifie qu’un expert tiers, à qui l’on donne l’URL cible originale et le moment de l’acquisition, pourrait effectuer un processus de vérification indépendant et atteindre des conclusions cohérentes sur ce que la page affichait. C’est difficile pour le contenu web en direct (la page peut avoir changé), mais l’artefact capturé devrait être dans des formats que tout examinateur qualifié peut analyser avec des outils standard — pas des formats de conteneur propriétaires qui verrouillent la preuve au logiciel d’un fournisseur spécifique.

Justifiabilité — chaque choix technique défendable

La justifiabilité exige que chaque choix technique fait pendant l’acquisition soit défendable — que le praticien puisse expliquer pourquoi chaque étape a été prise et pourquoi l’approche choisie était appropriée. Pour la preuve web, cela signifie avoir des raisons documentées pour l’outil spécifique utilisé, les paramètres de capture sélectionnés, la source d’horodatage choisie, l’algorithme de hachage appliqué, et le format de stockage utilisé. L’avocat adverse peut sonder chacun de ces choix en contre-interrogatoire ou dans des objections techniques. Un praticien qui ne peut pas défendre un choix — même si le choix était raisonnable — a fourni des munitions pour une contestation d’authentification.

Comment les principes interagissent en pratique

Les quatre principes se renforcent mutuellement mais peuvent aussi créer une tension. Une auditabilité maximale peut exiger des journaux détaillés qui compliquent le workflow. Une reproductibilité maximale peut exiger des formats ouverts qui manquent de certaines fonctionnalités des alternatives propriétaires. Le praticien compétent équilibre ces tensions par des décisions documentées : choisir des formats ouverts standardisés lorsque possible, accepter des compromis de performance pour l’intégrité probante, et maintenir des journaux à la granularité appropriée. La référence n’est pas la perfection sur chaque principe individuellement, mais une méthodologie cohérente et défendable qui satisfait les quatre ensemble.

5. Pourquoi les captures d’écran échouent à chaque test ISO 27037

Il vaut la peine d’être explicite sur les raisons pour lesquelles les captures d’écran ordinaires — créées par la fonction PrintScreen du système d’exploitation ou un outil de capture d’écran — ne satisfont pas aux exigences de l’ISO 27037. Chacun des quatre principes fondamentaux produit un mode d’échec distinct pour la preuve basée sur les captures d’écran.

Les captures d’écran échouent à l’auditabilité

Une capture d’écran du système d’exploitation crée un fichier image avec des métadonnées minimales : nom de fichier, horodatage de création du système de fichiers local, dimensions de l’image, et éventuellement des données de type EXIF. Il n’y a aucun journal inviolable de la façon dont la capture d’écran a été créée. Il n’y a aucun enregistrement de l’URL qui était à l’écran, du navigateur utilisé, du compte utilisateur, du chemin réseau, ou du serveur qui a produit le contenu affiché. Le fichier image lui-même peut être modifié dans n’importe quel éditeur d’images sans laisser de trace forensiquement détectable, selon la modification. L’auditabilité échoue parce que la piste d’audit n’existe pas.

Les captures d’écran échouent à la répétabilité

Une capture d’écran capture le rendu visuel à un moment, sans enregistrement des données sous-jacentes, de l’état réseau, ou des conditions environnementales. Il n’y a aucun moyen pour la même personne de répéter l’acquisition sur les mêmes données — la capture d’écran n’est liée au contenu source d’aucune manière reproductible. Si la page originale a disparu, la capture d’écran est le seul artefact, sans voie de vérification. La répétabilité échoue parce qu’il n’y a rien à répéter.

Les captures d’écran échouent à la reproductibilité

Un examinateur indépendant ne peut pas utiliser une capture d’écran pour vérifier ce que la page contenait réellement. L’image montre des pixels, mais ces pixels pourraient avoir été générés par n’importe quel moteur de rendu sur n’importe quelle entrée. Il n’y a aucun certificat SSL pour vérifier l’identité du serveur. Il n’y a aucun DOM pour confirmer la structure sous-jacente. Il n’y a aucune trace réseau pour confirmer que le contenu a réellement été servi par le domaine revendiqué. Un examinateur à qui l’on demande de vérifier une capture d’écran ne peut que confirmer que le fichier image contient certains pixels — pas que ces pixels représentent exactement l’état historique d’une quelconque ressource web.

Les captures d’écran échouent à la justifiabilité

Lorsqu’il est pressé sur le choix d’utiliser une capture d’écran plutôt qu’une capture forensique, un praticien a des réponses défendables limitées. Le choix échange la rigueur probante contre la commodité, et ce compromis est de plus en plus indéfendable en 2026 lorsque les outils de capture forensique sont largement disponibles, bien documentés, et pas significativement plus chers que le coût juridique d’une seule contestation d’authentification. La justifiabilité échoue parce que la méthodologie ne peut pas être défendue sur son fond — seulement au motif de la pratique antérieure, qui est une défense qui s’affaiblit à mesure que l’attente standard évolue.

Ce qui remplace la capture d’écran

L’acquisition de preuves web conforme à l’ISO 27037 remplace la capture d’écran par une capture forensique structurée à multiples éléments. La section suivante détaille les sept éléments que chaque capture web conforme à l’ISO 27037 doit inclure. Ce n’est pas une bonne pratique optionnelle — c’est la référence opérationnelle pour une preuve qui survive à l’examen adverse en 2026.

6. Les sept éléments essentiels de la capture web forensique

Une capture web forensique alignée sur l’ISO/IEC 27037 inclut sept éléments techniques distincts. Chacun ferme une ligne d’attaque spécifique que l’avocat adverse pourrait autrement exploiter. Aucun ne peut se substituer à un autre — ils fonctionnent comme une défense en couches dans laquelle chaque élément traite un risque probant différent.

Élément 1 — Le DOM rendu

Le Document Object Model (DOM) est la représentation en mémoire de la page après que le navigateur a analysé le HTML et exécuté tout JavaScript. Pour les pages web modernes — en particulier les applications monopages, les places de marché avec des annonces dynamiques, les flux de réseaux sociaux, et les applications interactives — le DOM rendu est ce que l’utilisateur voit réellement, et est souvent très différent du HTML brut que le serveur a initialement envoyé. Une capture forensique sérialise le DOM rendu (typiquement via outerHTML de la racine du document) après l’achèvement du rendu. Cela est couvert en détail à la section 7.

Élément 2 — L’archive MHTML ou WARC

L’archive MHTML (MIME HTML) empaquette la page avec toutes les ressources dépendantes — CSS, images, JavaScript, polices, et médias intégrés — en un seul fichier autonome qu’un examinateur peut rouvrir hors ligne des années plus tard. WARC (ISO 28500:2017) est le format d’archive alternatif utilisé par les grandes institutions d’archivage web. Les deux formats sont ouverts et standardisés. Le choix entre eux dépend du cas d’usage (couvert à la section 8). Ce qui compte pour la conformité à l’ISO 27037 est que la page capturée existe comme un artefact autonome et vérifiable indépendant de la source en direct, qui peut changer ou disparaître.

Élément 3 — Le certificat SSL/TLS

Le certificat SSL/TLS côté serveur est le document X.509 que le serveur présente pendant la poignée de main cryptographique. Capturer ce certificat, avec sa chaîne de confiance complète jusqu’à une autorité de certification racine reconnue, lie le contenu capturé cryptographiquement à l’identité vérifiée du domaine qui l’a servi. Sans cet élément, l’avocat adverse peut soutenir que la page a été servie par un attaquant de type homme du milieu, un serveur clone avec DNS détourné, ou un environnement de développement mis en place pour l’occasion. Avec cet élément, l’attribution du serveur devient un fait cryptographique plutôt qu’une affirmation verbale.

Élément 4 — IP du serveur et résolution DNS

La résolution DNS au moment de l’acquisition — enregistrements A et AAAA, chaînes CNAME, enregistrements NS, et le cas échéant un instantané WHOIS — prouve qu’à cet instant spécifique le domaine pointait vers une adresse IP spécifique, et donc vers une machine spécifique dans un emplacement géographique spécifique. Cela devient critique lorsqu’un domaine est ultérieurement transféré, saisi, ou nettoyé. Pour l’application contre la contrefaçon, les enquêtes de hameçonnage, et les campagnes de diffamation coordonnées, l’emplacement du serveur résolu et l’ASN déterminent souvent la juridiction et la stratégie procédurale. Capturer le DNS au moment de l’acquisition gèle des informations qui pourraient disparaître en quelques jours.

Élément 5 — En-têtes HTTP et trace réseau

Au-delà de l’IP résolue, la conformité à l’ISO 27037 exige de capturer les en-têtes de requête et de réponse HTTP (qui portent l’identification du logiciel serveur, les directives de mise en cache, les en-têtes de sécurité, et les codes de réponse), et la trace réseau en direct de la session d’acquisition (enregistrée via un analyseur de paquets ou un proxy forensique). La trace réseau sert un objectif probant spécifique : elle prouve l’absence de redirections inattendues, d’injections JavaScript, ou d’altérations en transit pendant la capture. SWGDE 21-F-001 exige explicitement cet élément pour une acquisition web défendable.

Élément 6 — Manifeste d’empreintes SHA-256

Chaque artefact capturé doit être haché individuellement à l’aide de SHA-256, et un manifeste doit être créé listant tous les artefacts avec leurs empreintes. Le manifeste lui-même est ensuite haché, fournissant une empreinte cryptographique de l’ensemble du paquet de preuve. C’est la pierre angulaire de la vérification d’intégrité — deux parties comparant une seule valeur d’empreinte peuvent confirmer avec une certitude mathématique si elles détiennent des paquets identiques. L’élément 6 est détaillé davantage à la section 11.

7. Le DOM rendu — capturer ce que les utilisateurs voient réellement

Parmi les sept éléments, le DOM rendu mérite un traitement dédié parce qu’il est à la fois le plus subtil techniquement et le plus souvent mal réalisé par les praticiens utilisant des outils inadéquats. Un échec à capturer correctement le DOM rendu signifie capturer une page qui ne correspond pas à ce que l’utilisateur a réellement vu — ce qui défait tout l’objectif probant.

Ce qu’est le DOM et comment il diffère du HTML brut

Lorsqu’un navigateur charge une page web, il reçoit le HTML brut du serveur. Pour les sites statiques de la fin des années 1990 et du début des années 2000, ce HTML brut était essentiellement ce que l’utilisateur voyait. Les applications web modernes fonctionnent très différemment. Le navigateur analyse le HTML, puis exécute tout code JavaScript référencé ou intégré dans la page. Le JavaScript modifie le DOM — ajoutant des éléments, supprimant des éléments, récupérant des données depuis des API, rendant du contenu à partir de structures de données internes, et réagissant aux interactions de l’utilisateur. Le DOM final, après que tout le JavaScript a été exécuté, est la représentation en mémoire de la page qui produit ce que l’utilisateur voit à l’écran. Le HTML brut et le DOM rendu peuvent être radicalement différents.

Pourquoi cela compte pour la preuve juridique

Considérez une page de place de marché moderne typique affichant un produit contrefait. Le HTML brut peut ne contenir qu’une barre de navigation, un élément de conteneur de produit, et du JavaScript qui récupère les données du produit depuis une API interne. Aucune des informations réelles du produit — le titre, la description, le prix, les détails du vendeur, les images — n’apparaît dans le HTML brut. Tout cela est rendu dans le DOM seulement après l’exécution du JavaScript. Une capture forensique qui n’enregistre que le HTML brut ne capture essentiellement rien de valeur probante. Une capture qui n’enregistre qu’une capture d’écran capture l’apparence mais pas la structure sous-jacente qui prouve ce qui était réellement là. Seule une capture du DOM rendu combine la fidélité structurelle avec l’exhaustivité du contenu.

Les mécanismes techniques de la capture du DOM

Capturer le DOM rendu exige de charger la page dans un environnement de navigateur contrôlé, d’attendre que le rendu s’achève (y compris toute requête réseau initiée par JavaScript), puis de sérialiser le DOM en accédant à la propriété outerHTML de l’élément racine du document. Le résultat est un document HTML qui reflète l’état post-rendu de la page. Le hachage SHA-256 est appliqué au DOM sérialisé immédiatement après la capture, liant l’empreinte à cet état de page spécifique. La sérialisation devrait se produire dans un navigateur forensique s’exécutant dans un environnement isolé, pas dans le navigateur quotidien de l’opérateur — le navigateur quotidien porte des cookies, des extensions, un état de connexion, et un cache qui affectent ce que le serveur renvoie.

Cas limites — défilement infini, chargement paresseux, modales

Les pages modernes présentent plusieurs cas limites qui compliquent la capture du DOM. Les flux à défilement infini (réseaux sociaux, annonces de places de marché) chargent le contenu à mesure que l’utilisateur défile ; capturer le DOM à un moment ne capture que ce qui a été chargé à ce moment. Les images à chargement paresseux peuvent ne pas avoir été téléchargées au moment où le DOM est sérialisé. Les dialogues modaux, les bannières de consentement aux cookies, et les superpositions de notification peuvent ou non être dans le DOM selon l’état d’interaction de l’utilisateur. Le praticien forensique doit décider, en fonction de la preuve que l’affaire exige, s’il faut faire défiler la page, rejeter les bannières, développer les modales, ou capturer la page dans son état initial. Quel que soit le choix fait, il devrait être documenté dans l’enregistrement de la chaîne de preuve.

8. MHTML et WARC — comparaison des formats d’archive

Une fois le DOM capturé, la question suivante est comment préserver l’ensemble de la page — y compris toutes les ressources dépendantes — dans un format autonome qu’un examinateur peut rouvrir hors ligne. Deux standards ouverts dominent cet espace : MHTML et WARC. Ils servent des objectifs qui se chevauchent mais ne sont pas identiques, et le choix entre eux affecte la défendabilité à long terme.

MHTML — pratique et nativement pris en charge

Le MHTML (MIME HTML) empaquette le document HTML avec toutes les ressources dépendantes — feuilles de style, images, scripts, polices, médias intégrés — en un seul fichier encodé en MIME. Le format est nativement pris en charge par les navigateurs basés sur Chromium (Chrome, Edge, Brave) et peut être ouvert par ces navigateurs hors ligne. Le format à fichier unique rend le MHTML facile à manipuler, partager, et intégrer dans les paquets de preuve. Pour l’acquisition forensique épisodique de qualité judiciaire de pages individuelles, le MHTML est typiquement suffisant et significativement plus facile à utiliser que le WARC.

WARC — le standard d’archivage

WARC (Web ARChive), spécifié par l’ISO 28500:2017, est le format utilisé par l’Internet Archive, la Library of Congress, la British Library, et d’autres grandes institutions de préservation pour l’archivage web à grande échelle. WARC stocke les transactions de requête et de réponse HTTP dans un format séquencé optimisé pour l’archivage à long terme et le traitement en masse. Les fichiers WARC peuvent capturer efficacement un grand nombre de pages, et le format est le standard de facto pour la préservation web institutionnelle. Pour les opérations forensiques structurées à volume élevé ou la rétention de preuves à long terme par les entreprises, WARC est souvent le choix préféré.

Choisir entre les deux formats

Pour la plupart des acquisitions de preuves juridiques — pages individuelles ou petits ensembles de pages, capturés en réponse à des incidents spécifiques ou pour un contentieux spécifique — le MHTML est le choix pratique. Il produit un seul fichier facile à joindre aux dépôts, à partager avec les co-conseils, et à présenter en justice. Pour les programmes continus de protection de marque, l’archivage réglementaire, ou la préservation web d’entreprise, le WARC peut être préférable pour sa robustesse d’archivage et son efficacité de traitement en masse. Une plateforme forensique qui prend en charge les deux formats fournit la plus grande flexibilité. Quel que soit le format utilisé, l’enregistrement de la chaîne de preuve devrait documenter le choix du format et la raison de celui-ci (le principe de justifiabilité).

Bonnes pratiques indépendantes du format

Indépendamment du format, certaines pratiques s’appliquent universellement. L’archive devrait être hachée (SHA-256) immédiatement après sa création, avec l’empreinte enregistrée dans le manifeste. L’archive devrait être vérifiée pour son exhaustivité — références externes brisées, médias manquants, ou CSS incomplet indiquent des échecs de capture qui peuvent devoir être retentés. L’archive devrait être stockée de manière inviolable (typiquement en faisant partie d’un registre de preuve chaîné par empreintes ou scellée avec une signature électronique qualifiée). Et l’archive devrait être conservée pour tout le cycle de vie probant, avec une vérification périodique que l’archive reste lisible et que l’empreinte se vérifie toujours.

9. Capture du certificat SSL/TLS et chaîne de confiance

Le certificat SSL/TLS est l’un des éléments les plus souvent négligés de la capture web forensique, et l’un des plus importants lorsqu’il s’agit de défendre la preuve contre les contestations d’attribution. Un certificat correctement capturé transforme la question de « quel serveur a produit ce contenu » d’une affirmation contestable en un fait cryptographique.

Ce que le certificat prouve

Lorsqu’un navigateur se connecte à un site web HTTPS, le serveur présente un certificat X.509 pendant la poignée de main TLS. Le certificat contient le nom de domaine, la clé publique associée au serveur, l’autorité de certification (CA) émettrice, la période de validité, et une signature numérique par la CA liant tout cela ensemble. Le navigateur valide le certificat en vérifiant la chaîne de signature jusqu’à une CA racine de confiance dans son magasin de confiance. Si la validation réussit, le navigateur accepte que la connexion soit vers le serveur légitime pour le domaine nommé. Capturer le certificat au moment de l’acquisition gèle cette preuve : au moment de la capture, le domaine nommé opérait avec le certificat capturé signé par la chaîne CA capturée.

La chaîne de confiance complète

La capture forensique devrait enregistrer non seulement le certificat feuille (celui émis pour le domaine spécifique) mais toute la chaîne de confiance jusqu’à la CA racine. Cela inclut typiquement le certificat feuille, un ou plusieurs certificats de CA intermédiaires, et l’identification de la CA racine (la racine elle-même est généralement préinstallée dans les magasins de confiance plutôt que transmise dans la chaîne). Les empreintes de tous les certificats de la chaîne devraient être capturées comme empreintes SHA-256. Cette chaîne complète est ce qui permet la vérification ultérieure — un examinateur peut valider indépendamment que la chaîne capturée produit un chemin de signature valide jusqu’à une CA racine reconnue dans son propre magasin de confiance.

Vérification OCSP et CRL

La validation moderne des certificats inclut souvent des vérifications OCSP (Online Certificate Status Protocol) ou des consultations de listes de révocation de certificats (CRL) pour vérifier que le certificat n’a pas été révoqué. Une capture forensique approfondie enregistre la réponse OCSP ou le statut CRL au moment de l’acquisition. Cela est parfois capturé comme un OCSP staple — une réponse OCSP récente signée par la CA et délivrée aux côtés du certificat par le serveur. La preuve OCSP/CRL prouve qu’au moment de la capture, le certificat était non seulement valide dans sa forme mais n’avait pas été révoqué.

Se défendre contre les contestations d’attribution

Sans capture de certificat, l’avocat adverse peut soulever plusieurs contestations d’attribution qui sont difficiles à réfuter. La page pourrait avoir été servie par un attaquant de type homme du milieu. Le DNS pourrait avoir été détourné, pointant le navigateur de l’opérateur vers un serveur malveillant. Un environnement de test ou de développement pourrait avoir été mis en place à une URL similaire. Avec la capture de certificat, toutes ces contestations tombent — la chaîne de confiance cryptographique lie le contenu au propriétaire légitime du domaine avec une certitude mathématique. C’est pourquoi la capture de certificat n’est pas un raffinement optionnel mais une exigence structurelle pour une preuve web défendable.

10. Forensique réseau — DNS, IP, trace de paquets

Au-delà du certificat, la capture web conforme à l’ISO 27037 exige de préserver la preuve de couche réseau qui prouve que le contenu a réellement été servi par le serveur revendiqué, sans modification en transit. C’est le rôle des enregistrements DNS, de la capture IP, et de la trace de paquets.

Preuve de résolution DNS

Au moment de la capture, le praticien devrait enregistrer la résolution DNS du domaine cible : enregistrements A (adresses IPv4), enregistrements AAAA (adresses IPv6), chaînes CNAME (alias de nom canonique), et enregistrements NS (serveurs de noms autoritaires). Pour les affaires à fort enjeu, un instantané WHOIS devrait être capturé séparément, enregistrant les données d’enregistrement du domaine dont le titulaire, le bureau d’enregistrement, la date d’enregistrement, et l’expiration. Cette preuve DNS répond à la question de savoir où le domaine pointait au moment de la capture — information qui change fréquemment après le début du contentieux.

Attribution de l’IP du serveur et ASN

L’adresse IP résolue se rattache à une machine spécifique, un fournisseur d’hébergement spécifique (via le DNS inverse et la consultation du numéro de système autonome), et un emplacement géographique spécifique. Pour les actions d’application contre la contrefaçon, cela détermine souvent quelle juridiction a autorité sur l’opérateur du serveur, quelles procédures juridiques s’appliquent pour le retrait ou la saisie, et quelle coopération internationale (Budapest Convention, MLAT) peut être nécessaire. L’ASN de l’adresse IP identifie fréquemment le fournisseur d’hébergement, qui à son tour identifie la relation client qui peut être soumise à assignation.

Trace réseau en direct

SWGDE 21-F-001 exige explicitement que l’acquisition de preuves web inclue un enregistrement du trafic réseau réel pendant la session de capture. Cela est typiquement réalisé via un analyseur de paquets (comme tcpdump ou Wireshark) s’exécutant en mode capture, ou via un proxy forensique qui enregistre les transactions HTTP. La trace réseau sert un objectif probant spécifique : elle prouve que le contenu capturé a bien été servi par le point de terminaison réseau à l’adresse IP capturée, sans redirections inattendues, sans injection JavaScript de parties intermédiaires, et sans modification en transit par l’infrastructure réseau. Pour les affaires à fort enjeu, la capture de paquets complète devrait être incluse dans le paquet de preuve.

En-têtes HTTP et indicateurs de sécurité

Les en-têtes de requête et de réponse HTTP portent des informations forensiques significatives. L’en-tête Server peut identifier le logiciel de serveur web. Les en-têtes de cache indiquent si la réponse provenait de l’origine ou du cache. Les en-têtes de sécurité (Content-Security-Policy, Strict-Transport-Security, X-Frame-Options) documentent la posture de sécurité de la source. L’en-tête Date du serveur fournit une référence temporelle supplémentaire (qui peut être comparée à l’heure locale et à l’horodatage qualifié pour des incohérences indiquant une manipulation d’horloge). Tous ceux-ci devraient être capturés dans le cadre du paquet forensique.

11. Stratégies de hachage SHA-256 — manifeste, par fichier, et chaîne en ajout seul

Le hachage cryptographique est le cœur mathématique de la protection d’intégrité de l’ISO 27037. SHA-256, spécifié par le NIST dans FIPS 180-4, est l’algorithme standard de l’industrie et est reconnu dans les cadres de preuve à travers pratiquement chaque juridiction. La question pour la capture web forensique n’est pas de savoir s’il faut utiliser SHA-256, mais comment organiser le hachage à travers le paquet de preuve à multiples éléments.

Hachage par fichier

Chaque artefact individuel du paquet de preuve devrait avoir sa propre empreinte SHA-256 calculée au moment de l’acquisition. Cela inclut la sérialisation du DOM rendu, l’archive MHTML ou WARC, chaque certificat capturé, le fichier de trace réseau, la capture d’écran, le journal de chaîne de preuve, et tout autre composant. Les empreintes par fichier permettent la vérification de composants individuels sans re-hacher l’ensemble du paquet, et elles permettent la détection de corruption ou de modification localisée.

Hachage du manifeste

Toutes les empreintes par fichier devraient être rassemblées dans un fichier manifeste — un document structuré listant chaque artefact, son nom de fichier, sa taille, et son empreinte SHA-256. Le manifeste lui-même est ensuite haché, produisant une seule valeur SHA-256 qui représente l’ensemble du paquet de preuve. Deux parties détenant des paquets identiques produiront la même empreinte de manifeste ; toute divergence indique que les paquets diffèrent. L’empreinte du manifeste est la valeur qui devrait être intégrée dans les horodatages électroniques qualifiés, les reçus signés, et les enregistrements de chaîne de preuve.

Chaîne d’empreintes en ajout seul

Pour les opérations forensiques continues — où de nouvelles acquisitions sont ajoutées à un dépôt de preuves au fil du temps — l’approche la plus défendable est une chaîne d’empreintes en ajout seul. L’empreinte du manifeste de chaque nouvelle acquisition est combinée avec l’empreinte de tête précédente de la chaîne pour produire une nouvelle empreinte de tête. Le résultat est une structure où toute modification ou insertion dans l’historique de la chaîne invaliderait chaque empreinte ultérieure. C’est le même principe architectural qui sous-tend les blockchains, les journaux de transparence des certificats, et les dépôts Git. Pour les entreprises maintenant des opérations continues de preuve web (programmes de protection de marque, archives de conformité), la chaîne en ajout seul fournit des garanties d’intégrité à long terme bien plus solides que les empreintes par acquisition seules.

Sélection d’algorithme et planification prospective

SHA-256 est le standard actuel, mais les algorithmes cryptographiques finissent par s’affaiblir ou devenir obsolètes. Les opérations forensiques avec de longs horizons de rétention (litiges d’assurance s’étendant sur des décennies, application continue de la PI, archivage réglementaire) devraient considérer le besoin éventuel d’une transition d’algorithme. La stratégie est typiquement de conserver la chaîne d’empreintes SHA-256 originale tout en re-hachant périodiquement le paquet avec des algorithmes plus récents (SHA-3, BLAKE2, ou algorithmes successeurs) et en créant une chaîne d’empreintes parallèle. eIDAS 2.0 (règlement 2024/1183) a introduit des services d’archivage électronique qualifiés spécifiquement pour traiter ce défi de préservation cryptographique à long terme.

12. Double ancrage — horodatages qualifiés eIDAS et Bitcoin OpenTimestamps

Le hachage cryptographique seul fournit l’intégrité, mais pas la chronologie. Pour prouver qu’une empreinte de manifeste spécifique existait à un moment précis — et n’a donc pas été produite après coup en réponse au contentieux — la capture forensique doit être ancrée à une référence temporelle externe que les parties adverses ne peuvent pas manipuler. C’est là qu’intervient le double ancrage : combiner les horodatages électroniques qualifiés eIDAS avec Bitcoin OpenTimestamps pour une preuve qui survive aux contestations à la fois dans les juridictions de l’UE et mondiales.

Horodatages qualifiés eIDAS au titre des articles 41 et 42

Le règlement (UE) n° 910/2014 (eIDAS) établit que les horodatages électroniques qualifiés émis par des prestataires de services de confiance qualifiés (QTSP) inscrits sur l’EU Trusted List bénéficient d’une présomption légale d’exactitude de la date et de l’heure qu’ils indiquent, et d’intégrité des données auxquelles ils sont liés. Cette présomption s’applique dans les procédures devant les tribunaux des 27 États membres de l’UE plus les pays de l’EEE. Les exigences techniques (article 42) spécifient une source liée à l’UTC, une liaison inviolable, et une signature ou un cachet par le QTSP. Pour la preuve web acquise et utilisée principalement dans les juridictions de l’UE, l’horodatage qualifié eIDAS est l’ancrage temporel de référence absolue.

Bitcoin OpenTimestamps comme ancrage mondial sans confiance

OpenTimestamps est un standard ouvert (protocole de type BIP) qui ancre des empreintes de données arbitraires à la blockchain Bitcoin via un processus d’agrégation d’arbre de Merkle déterministe. Une fois qu’une empreinte est ancrée, le bloc Bitcoin correspondant confirme son existence à l’horodatage du bloc. Le consensus par preuve de travail distribué de Bitcoin rend l’horodatage essentiellement impossible à manipuler rétroactivement — modifier l’horodatage exigerait de réécrire toute la blockchain à partir de ce bloc, ce qui est calculatoirement infaisable. L’ancrage OpenTimestamps est gratuit, décentralisé, et vérifiable mondialement. Pour la preuve destinée à un usage dans les juridictions hors UE, ou pour les affaires où la chaîne probante doit survivre à des changements à long terme des prestataires de services de confiance, OpenTimestamps fournit un ancrage temporel indépendant qui ne dépend d’aucune organisation unique restant en activité.

Pourquoi combiner les deux

Les deux mécanismes d’ancrage ont des propriétés complémentaires. Les horodatages qualifiés eIDAS fournissent une présomption légale automatique dans les juridictions de l’UE mais dépendent de la poursuite de l’activité de prestataires de services de confiance spécifiques, de la continuité institutionnelle de l’UE, et du maintien en vigueur du cadre de reconnaissance. Bitcoin OpenTimestamps fournit une preuve cryptographique qui survive à tout changement institutionnel mais manque de présomption légale automatique dans toute juridiction. Combiner les deux produit une preuve qui a à la fois l’avantage procédural de la présomption légale (eIDAS) et l’indépendance institutionnelle du consensus distribué (Bitcoin). Pour les affaires à fort enjeu ou transfrontalières, ce double ancrage fournit une défendabilité à travers les cadres à la fois de l’UE et mondiaux. Pour une couverture plus approfondie du fonctionnement des horodatages qualifiés en pratique, consultez notre guide complet des horodatages qualifiés eIDAS.

Le workflow technique

Sur le plan opérationnel, le double ancrage fonctionne comme suit. Après le calcul de l’empreinte du manifeste, la plateforme soumet l’empreinte à un QTSP, qui renvoie un jeton d’horodatage qualifié (une structure signée liant l’empreinte au temps certifié du QTSP). L’empreinte est ensuite soumise à un serveur de calendrier OpenTimestamps, qui l’agrège avec d’autres soumissions dans un arbre de Merkle, calcule une empreinte racine, et intègre cette empreinte racine dans une transaction Bitcoin. Une fois que la transaction Bitcoin est confirmée (typiquement en une heure, mais la preuve mûrit sur les confirmations ultérieures), la preuve OpenTimestamps peut être dérivée : une séquence d’empreintes de Merkle qui, appliquée à l’empreinte du manifeste originale, produit l’empreinte racine qui apparaît dans le bloc Bitcoin nommé. Les deux preuves — le jeton eIDAS et la preuve OpenTimestamps — sont stockées aux côtés du paquet de preuve et peuvent être vérifiées par toute partie disposant des outils appropriés.

13. Le workflow forensique en trois phases

Combiner tout ce qui précède en un processus opérationnel cohérent produit le workflow forensique en trois phases : préparation, acquisition, et scellement. Chaque phase a des exigences spécifiques dérivées de l’ISO 27037, et sauter ou raccourcir une phase mine la preuve résultante.

Phase 1 — Préparation de l’environnement

Avant que toute URL ne soit touchée, l’opérateur prépare l’environnement d’acquisition. Cela signifie utiliser un navigateur forensique dédié ou une session isolée — pas le navigateur quotidien de l’opérateur, qui porte des cookies, un état de connexion, des réponses en cache, des extensions de navigateur, et des affectations personnalisées de tests A/B qui affectent ce que le serveur renvoie. L’horloge système doit être synchronisée contre une source NTP autoritaire (typiquement time.cloudflare.com, pool.ntp.org, ou un service de temps national). La langue du navigateur, le fuseau horaire, les dimensions de la fenêtre d’affichage, et la chaîne user-agent doivent être enregistrés. Toute configuration VPN, proxy, ou tunneling doit être documentée explicitement. Le ACPO Good Practice Guide for Digital Evidence (version 5), référencé dans la pratique européenne et du Commonwealth aux côtés de l’ISO 27037, codifie ces principes de préparation.

Phase 2 — Acquisition avec chaîne de preuve

La phase d’acquisition centrale capture les sept éléments (DOM, MHTML/WARC, certificat SSL, IP/DNS, trace réseau, en-têtes HTTP, capture d’écran) en parallèle, tous liés par le hachage SHA-256 au moment de l’acquisition. Chaque élément atterrit dans un journal structuré et signé avec un horodatage précis. L’enregistrement de la chaîne de preuve commence à ce moment, et continue tout au long du cycle de vie de la preuve. Les informations requises dans la chaîne de preuve incluent : qui a acquis la preuve (avec rôle et qualifications), quand (avec horodatage synchronisé NTP), avec quel outil (avec version), contre quelle cible (URL, avec encodage complet), avec quelle configuration (environnement de navigateur, fenêtre d’affichage, user-agent), et les empreintes résultantes. Le journal de chaîne de preuve lui-même doit être inviolable — typiquement en étant inclus dans un registre en ajout seul ou scellé avec une signature électronique qualifiée.

Phase 3 — Scellement avec empreinte, cachet qualifié, et horodatage

La phase finale produit les sceaux cryptographiques qui transforment les artefacts capturés en preuve juridiquement opposable. Le paquet de preuve complet (tous les artefacts plus le manifeste) est haché avec SHA-256, produisant l’empreinte racine du manifeste. Un cachet électronique qualifié au titre de l’article 35 d’eIDAS est appliqué (fournissant une présomption d’intégrité et d’origine). Un horodatage électronique qualifié au titre de l’article 41 est appliqué (fournissant une présomption d’exactitude de la date et de l’heure). L’ancrage Bitcoin OpenTimestamps est initié. Le paquet de preuve est ensuite stocké dans une archive inviolable, l’archive elle-même participant à la chaîne d’empreintes en ajout seul de l’opérateur. Toutes ces opérations devraient être effectuées automatiquement par la plateforme — l’application manuelle de sceaux cryptographiques à ce stade introduit un risque d’erreur humaine que le principe de répétabilité de l’ISO 27037 désavantage.

Documentation et génération de rapport

Tout au long des trois phases, une documentation technique complète est produite. Le rapport forensique — typiquement un document PDF/A signé — décrit la méthodologie, l’opérateur, l’environnement, la cible, les éléments capturés avec leurs empreintes, les horodatages, et toute observation significative pendant la capture. Ce rapport est ce qui est joint aux dépôts juridiques, aux soumissions réglementaires, ou aux documents d’arbitrage. La qualité du rapport affecte directement la capacité du praticien à défendre la méthodologie en contre-interrogatoire. La bonne pratique est d’utiliser des modèles de rapport standardisés qui garantissent que tous les éléments ISO 27037 requis sont traités dans chaque acquisition.

14. Erreurs courantes lors de la mise en œuvre de l’ISO 27037 pour les preuves web

Les acquisitions web forensiques qui s’effondrent en justice s’effondrent typiquement pour des raisons prévisibles. Reconnaître ces schémas d’échec à l’avance est le moyen le plus simple de bâtir un processus défendable. La liste ci-dessous capture douze erreurs récurrentes observées en pratique.

  • **Ne capturer qu’une capture d’écran sans le DOM rendu.** Une capture d’écran capture des pixels, pas une structure. Sans le DOM, la preuve ne peut pas prouver quel contenu était réellement affiché d’une manière qui survive à l’examen technique. Une capture défendable exige les deux — la capture d’écran pour la représentation visuelle et le DOM pour la fidélité structurelle.
  • **Enregistrer le HTML brut au lieu du DOM rendu.** Pour les sites modernes riches en JavaScript, le HTML brut peut ne contenir presque aucun contenu substantiel. Enregistrer le HTML brut pour une application monopage ne capture essentiellement rien de valeur. La capture doit attendre que le rendu s’achève et sérialiser le DOM post-rendu.
  • **Omettre la capture du certificat SSL/TLS.** Sans la chaîne de certificats, la défense peut soutenir que la page a été servie par un intermédiaire non autorisé. C’est l’un des vecteurs d’attaque les plus simples à fermer (tout navigateur forensique capture le certificat automatiquement) mais l’un des plus souvent négligés.
  • **Opérer avec une horloge système non synchronisée sur NTP.** Les horloges d’ordinateur local dérivent, parfois de plusieurs minutes par jour. Sans synchronisation NTP, l’horodatage local peut être décalé de suffisamment pour créer des incohérences chronologiques que l’avocat adverse peut exploiter. La synchronisation NTP est un changement de configuration d’une ligne qui prévient toute cette classe de contestation.
  • **Calculer l’empreinte SHA-256 uniquement sur la capture d’écran, pas sur le paquet.** Hacher uniquement la capture d’écran laisse le DOM, le MHTML, le certificat, et les autres éléments non authentifiés. Le paquet de preuve complet doit être haché, chaque élément ayant sa propre empreinte et le manifeste fournissant une empreinte cryptographique de l’ensemble.
  • **Utiliser un environnement de navigateur contaminé.** Les cookies, extensions, état de connexion, et réponses en cache affectent ce que le serveur renvoie. Une capture effectuée sur un navigateur quotidien n’est pas reproductible par un examinateur indépendant avec une configuration de navigateur différente. Un environnement forensique isolé et propre est obligatoire pour les principes de répétabilité et de reproductibilité.
  • **Ne pas documenter la chaîne de preuve.** L’ISO 27037 exige un enregistrement complet de qui a manipulé la preuve, quand, avec quel outil, où elle a été stockée, et qui y a accédé. Un journal incomplet brise la piste d’audit et mine la recevabilité. La chaîne de preuve n’est pas une surcharge bureaucratique — c’est l’épine dorsale structurelle d’une preuve défendable.
  • **Ne pas journaliser le trafic réseau pendant l’acquisition.** SWGDE 21-F-001 exige l’enregistrement de la trace réseau pour prouver l’absence de redirections, d’injection JavaScript, et de modification en transit. Sauter cette étape fournit une ouverture claire pour que l’avocat adverse conteste l’intégrité du contenu capturé.
  • **S’appuyer uniquement sur l’horodatage local sans ancrage temporel qualifié.** L’horodatage du système local est auto-déclaré et contestable. Un horodatage électronique qualifié au titre de l’article 41 d’eIDAS fournit une présomption légale que l’horodatage local ne fournit pas. Pour la preuve destinée à un contentieux sérieux, l’ancrage temporel qualifié est obligatoire, pas optionnel.
  • **Utiliser des outils conçus pour le HTML statique sur des pages dynamiques.** De nombreux outils d’archivage web plus anciens ont été construits pour le HTML statique et ne peuvent pas gérer le contenu rendu en JavaScript. Utiliser de tels outils sur les sites modernes produit des captures incomplètes qui déforment ce que les utilisateurs ont réellement vu. La sélection de l’outil devrait correspondre au type de contenu capturé.
  • **Supposer que la rétention des preuves est automatique.** La preuve capturée doit être activement préservée avec une vérification périodique que l’intégrité cryptographique reste intacte, que le support de stockage est lisible, et que les ancrages temporels sont toujours vérifiables. La rétention à long terme est un programme opérationnel, pas une activité passive. Les services d’archivage électronique qualifiés d’eIDAS 2.0 formalisent cette exigence au niveau de l’UE.
  • **Retarder l’acquisition après l’identification de la preuve.** Le contenu web peut changer ou disparaître en quelques heures. L’intervalle entre l’identification du besoin de préserver le contenu et sa capture effective est une fenêtre de risque probant irréductible. La bonne pratique est de capturer immédiatement à l’identification, même si le processus juridique d’utilisation de la preuve est encore en cours de planification.

15. Questions fréquentes et conclusion

Les questions suivantes traitent des préoccupations pratiques les plus courantes soulevées par les avocats, responsables conformité, et praticiens forensiques lors de la mise en œuvre de l’ISO 27037 pour l’acquisition de preuves web.

Qu’exige réellement l’ISO/IEC 27037 pour l’acquisition de preuves numériques ?
L’ISO/IEC 27037:2012 spécifie quatre processus opérationnels (identification, collecte, acquisition, préservation) et quatre principes fondamentaux (auditabilité, répétabilité, reproductibilité, justifiabilité) qui doivent être satisfaits tout au long du traitement des preuves numériques. Le standard distingue les rôles de premier intervenant en preuve numérique (DEFR) et de spécialiste en preuve numérique (DES), exige une manipulation minimale des données originales, exige une documentation complète de la chaîne de preuve, et s’applique à la fois aux appareils physiques et aux environnements web en direct. Pour la preuve web spécifiquement, le standard exige que l’artefact capturé soit un paquet structuré à multiples éléments (DOM, archive, certificat, métadonnées réseau, empreintes) plutôt qu’une seule image ou un seul document.
Une capture d’écran est-elle jamais suffisante comme preuve juridique en justice ?
Pour les affaires non contestées à faible enjeu (registres internes, due diligence de routine, recherche générale, journalisme), une capture d’écran peut être adéquate. Pour le contentieux civil contesté, l’application réglementaire, les procédures pénales, ou l’arbitrage international, une simple capture d’écran est structurellement insuffisante car elle échoue aux quatre principes fondamentaux de l’ISO 27037. L’approche fiable en 2026 est d’utiliser la capture forensique pour toute preuve qui peut faire face à un examen adverse, et de réserver les captures d’écran aux contextes véritablement informels.
Quelle est la différence entre DEFR et DES, et quel rôle devrait effectuer les acquisitions web ?
Le premier intervenant en preuve numérique (DEFR) est un opérateur formé et autorisé qui traite l’acquisition initiale. Le spécialiste en preuve numérique (DES) est un expert senior avec des compétences forensiques avancées qui traite l’acquisition complexe, l’analyse, et le témoignage d’expert. Pour la plupart des acquisitions de preuves web de routine utilisant une plateforme forensique moderne, le DEFR peut effectuer la capture, le DES étant engagé uniquement pour la vérification, le rapport d’expert, et la réponse adverse. Cette division produit une efficacité opérationnelle : le rôle du DEFR est supervisé par des contrôles de plateforme automatisés qui gèrent la complexité technique, tandis que le rôle du DES est réservé aux tâches qui exigent une expertise avancée.
Qu’est-ce que le DOM rendu et pourquoi est-il important pour la capture forensique ?
Le Document Object Model (DOM) est la représentation en mémoire d’une page web après que le navigateur a analysé le HTML et exécuté tout JavaScript. Pour les applications web modernes — applications monopages, places de marché, flux de réseaux sociaux — le DOM rendu est ce que l’utilisateur voit réellement et est souvent très différent du HTML brut que le serveur a initialement envoyé. Une capture forensique qui n’enregistre que le HTML brut peut ne capturer essentiellement aucun contenu substantiel pour un site riche en JavaScript. Le DOM rendu, capturé après l’achèvement du rendu et sérialisé via outerHTML, est le cœur technique d’une acquisition de preuves web défendable.
Quelle est la différence entre les formats d’archive MHTML et WARC ?
Le MHTML (MIME HTML) empaquette une page web avec toutes les ressources dépendantes (CSS, images, scripts, polices) en un seul fichier encodé en MIME, nativement pris en charge par les navigateurs basés sur Chromium. WARC (Web ARChive, ISO 28500:2017) est le format d’archivage institutionnel utilisé par l’Internet Archive et les grandes bibliothèques. Le MHTML est pratique pour l’acquisition épisodique de preuves juridiques (pages individuelles, faciles à partager). Le WARC est préférable pour l’archivage à volume élevé ou la préservation institutionnelle à long terme. Une plateforme forensique qui prend en charge les deux formats fournit une flexibilité maximale.
Pourquoi la capture du certificat SSL/TLS est-elle si importante ?
Le certificat SSL/TLS lie cryptographiquement le contenu capturé à l’identité vérifiée du domaine qui l’a servi. Sans capture de certificat, l’avocat adverse peut soutenir que la page a été servie par un attaquant de type homme du milieu, un serveur clone avec DNS détourné, ou un environnement de développement. Avec la capture de certificat (y compris la chaîne de confiance complète jusqu’à une CA racine reconnue), l’attribution du serveur devient un fait cryptographique plutôt qu’une affirmation verbale contestable. Cet élément prend typiquement une seconde à capturer automatiquement, mais se défend contre toute une classe de contestations d’attribution.
Quelle est la différence entre un horodatage qualifié eIDAS et un horodatage ordinaire ?
Un horodatage électronique qualifié eIDAS est émis par un prestataire de services de confiance qualifié (QTSP) inscrit sur l’EU Trusted List au titre des articles 41 et 42 du règlement (UE) n° 910/2014. Il porte une présomption légale d’exactitude de la date et de l’heure qu’il indique, et d’intégrité des données qu’il lie, dans les procédures devant les tribunaux des 27 États membres de l’UE. Un horodatage ordinaire (horloge système, horodatage d’application, simple horodatage RFC 3161) ne porte aucune présomption légale de ce type et peut être contesté en soi. Pour la preuve destinée au contentieux de l’UE, l’horodatage qualifié est le standard.
Qu’est-ce qu’OpenTimestamps et quel est son rapport avec la preuve ?
OpenTimestamps est un standard ouvert pour ancrer des empreintes de données arbitraires à la blockchain Bitcoin via l’agrégation d’arbre de Merkle. Une fois qu’une empreinte est ancrée, le bloc Bitcoin correspondant confirme son existence à l’horodatage du bloc. Le consensus distribué de Bitcoin rend l’horodatage essentiellement impossible à manipuler rétroactivement — le falsifier exigerait de réécrire toute la blockchain à partir de ce bloc, ce qui est calculatoirement infaisable. OpenTimestamps fournit un ancrage temporel gratuit, décentralisé, et vérifiable mondialement qui complète les horodatages qualifiés eIDAS pour la préservation de preuves transfrontalière ou à long terme.
Puis-je utiliser un navigateur Chrome ordinaire pour l’acquisition de preuves web ISO 27037 ?
Un navigateur Chrome ordinaire utilisé pour l’activité quotidienne ne convient pas, car il porte des cookies, un état de connexion, des extensions de navigateur, des réponses en cache, et des configurations de serveur personnalisées qui affectent quel contenu est renvoyé. Les principes de répétabilité et de reproductibilité de l’ISO 27037 exigent un environnement isolé et propre. Les options acceptables sont : un navigateur forensique dédié (conçu spécifiquement pour l’acquisition de preuves), un profil Chrome propre sans extensions ni connexions, ou une instance Chromium contrôlée s’exécutant sur l’infrastructure côté serveur d’une plateforme de capture forensique. La troisième option (côté serveur) est généralement la plus défendable parce que l’opérateur ne contrôle pas du tout l’environnement de capture.
Qu’est-ce que la capture forensique côté serveur et en quoi diffère-t-elle d’une extension de navigateur ?
La capture forensique côté serveur est un processus où la plateforme forensique exécute son propre navigateur contrôlé sur sa propre infrastructure pour capturer l’URL cible. Les artefacts capturés sont produits dans un environnement que l’utilisateur ne contrôle pas et ne peut pas altérer, puis immédiatement hachés et scellés avant toute interaction humaine. C’est structurellement différent d’une capture par extension de navigateur, où l’acquisition s’exécute dans le navigateur local de l’utilisateur et les artefacts passent par un environnement que l’utilisateur contrôle. La capture côté serveur élimine le vecteur d’attaque architectural où un utilisateur sophistiqué pourrait modifier le contenu capturé avant le hachage. Pour la preuve faisant face à un examen adverse, la capture côté serveur est architecturalement plus solide.
Combien de temps la preuve web forensique ISO 27037 devrait-elle être conservée ?
La rétention devrait être dimensionnée au regard du délai de prescription pour la classe de litige pertinente, avec une marge prudente. Pour le contentieux commercial typique, 7 à 10 ans est courant ; pour l’application de la PI, 15 à 20 ans ; pour les affaires réglementaires, la rétention exigée par le régulateur plus une marge ; pour les affaires pénales, une rétention indéfinie est souvent appropriée. eIDAS 2.0 (règlement 2024/1183) a introduit des services d’archivage électronique qualifiés spécifiquement conçus pour la préservation cryptographique à long terme, ce qui traite l’obsolescence éventuelle des algorithmes cryptographiques sur des horizons de rétention pluridécennaux.
La conformité à l’ISO 27037 est-elle reconnue hors de l’Union européenne ?
Oui. L’ISO/IEC 27037 est un standard international, reconnu dans la pratique forensique à travers les États-Unis, le Royaume-Uni, l’Australie, le Canada, le Japon, Singapour, et la plupart des autres juridictions. La combinaison de la méthodologie ISO 27037 avec des algorithmes cryptographiques approuvés par le NIST (SHA-256) et un ancrage temporel reconnu (horodatages qualifiés eIDAS pour la reconnaissance de l’UE, Bitcoin OpenTimestamps pour la vérification cryptographique mondiale) produit une preuve qui franchit les lignes juridictionnelles. Des règles de preuve nationales spécifiques (FRE 902(13) et 902(14) aux États-Unis, dispositions équivalentes dans d’autres pays) peuvent fournir des voies d’auto-authentification qui s’alignent sur les artefacts conformes à l’ISO 27037.
Qu’en est-il des SWGDE Best Practices for Acquiring Online Content ?
SWGDE 21-F-001 (Best Practices for Acquiring Online Content), version 1.1 publiée en 2024, est un complément axé sur les États-Unis à l’ISO 27037 avec des orientations techniques détaillées sur la méthodologie d’acquisition, les exigences de journalisation réseau, et les procédures de vérification. SWGDE est consulté par les forces de l’ordre et les praticiens forensiques aux États-Unis et a une influence dans les procédures adverses comme une autorité reconnue sur les bonnes pratiques. L’ISO 27037 et SWGDE sont largement cohérents — le document SWGDE opérationnalise de nombreux principes de l’ISO 27037 avec un détail technique spécifique. Un praticien qui satisfait les deux a une forte couverture défensive.
Comment l’acquisition web forensique gère-t-elle le contenu authentifié ?
Le contenu authentifié (pages protégées par connexion, tableaux de bord de membres, portails clients, interfaces SaaS internes) ne peut pas être capturé par des robots publics automatisés. L’acquisition forensique ISO 27037 de contenu authentifié exige qu’un utilisateur autorisé effectue la capture, l’autorisation étant documentée dans la chaîne de preuve. Le navigateur forensique se connecte avec les identifiants autorisés, capture le contenu authentifié tel qu’il apparaît à cet utilisateur, et scelle le résultat. C’est un domaine où les instantanés de la Wayback Machine sont structurellement incapables de fournir une preuve — le robot de l’Internet Archive ne peut pas capturer le contenu derrière une authentification. La capture forensique par un utilisateur autorisé est la seule voie. Pour en savoir plus sur la Wayback Machine spécifiquement, consultez notre guide sur la preuve de la Wayback Machine en justice.
Quel est le rapport coût-bénéfice pratique de la conformité à l’ISO 27037 pour les équipes juridiques typiques ?
Le coût d’utilisation d’une plateforme de capture forensique est faible — typiquement une fraction du coût d’une seule heure de temps de conseil senior pour une capture. Le coût d’une contestation d’authentification qui réussit — perte d’affaire, règlement à des conditions défavorables, sanctions, ou refaire la preuve à un coût de découverte supplémentaire — est important. L’analyse ajustée au risque favorise fortement la capture conforme à l’ISO 27037 pour toute preuve web qui peut être contestée. L’approche prudente en 2026 est d’utiliser la capture forensique comme défaut pour la préservation de preuves juridiques, avec les captures d’écran réservées aux contextes véritablement informels.

L’ISO/IEC 27037 est devenu la référence opérationnelle pour l’acquisition défendable de preuves numériques, et l’appliquer correctement au contenu web est désormais une capacité essentielle pour les équipes juridiques, les organisations de conformité, les programmes d’application de la PI, et les praticiens forensiques. Les sept éléments essentiels (DOM, archive, certificat, métadonnées réseau, en-têtes, capture d’écran, empreintes), les quatre principes fondamentaux (auditabilité, répétabilité, reproductibilité, justifiabilité), et le workflow en trois phases (préparation, acquisition, scellement) forment ensemble une méthodologie qui survit à l’examen adverse à travers pratiquement chaque juridiction. L’approche de double ancrage — horodatages qualifiés eIDAS pour la présomption légale de l’UE, Bitcoin OpenTimestamps pour l’indépendance cryptographique mondiale — fournit une défendabilité à travers les contextes à la fois régionaux et mondiaux.

GetProofAnchor est construit spécifiquement pour l’acquisition de preuves web conforme à l’ISO/IEC 27037, avec les sept éléments essentiels capturés en parallèle par un navigateur forensique côté serveur, scellés avec le hachage de manifeste SHA-256, la participation à une chaîne d’empreintes en ajout seul, des horodatages électroniques qualifiés eIDAS d’un prestataire de services de confiance qualifié inscrit sur l’EU Trusted List, un ancrage optionnel Bitcoin OpenTimestamps, et un point de vérification public entièrement ouvert. Chaque acquisition produit un rapport forensique complet aligné sur les exigences de documentation de l’ISO 27037, adapté au contentieux, aux procédures réglementaires, et à l’arbitrage international à travers les juridictions de l’UE, des États-Unis, du Royaume-Uni, et mondiales.

Que vous choisissiez GetProofAnchor ou une autre plateforme, l’étape la plus importante est d’intégrer maintenant la capture forensique conforme à l’ISO 27037 dans votre workflow de preuve standard, avant que la prochaine affaire contestée ne survienne. Le coût est faible ; la protection est significative ; et le paysage juridique favorise clairement les plaideurs qui arrivent en justice avec une preuve formellement authentifiée plutôt que des captures d’écran non authentifiées. Pour une couverture plus approfondie des sujets connexes, consultez notre guide complet des systèmes de preuve numérique et notre analyse des raisons pour lesquelles les captures d’écran seules ne suffisent pas.

Capture web forensique conforme à l’ISO 27037 — DOM, MHTML, SSL, double ancrage, le tout scellé à la source.

Navigateur forensique côté serveur, manifeste SHA-256, chaîne d’empreintes en ajout seul, horodatage électronique qualifié eIDAS, ancrage optionnel Bitcoin OpenTimestamps, et un point de vérification public ouvert. Preuve défendable pour le contentieux, les procédures réglementaires, et l’arbitrage international.

Essai gratuit de 7 jours · Annulable à tout moment