Comment prouver légalement que deux fichiers sont identiques?

Quelqu'un a volé des fichiers avant de quitter et cela a finalement abouti à un procès. J'ai maintenant reçu un CD de fichiers et je dois "prouver" que ce sont nos fichiers en les faisant correspondre à nos fichiers à partir de notre propre serveur de fichiers.

Je ne sais pas si c'est uniquement pour notre avocat ou pour le tribunal ou les deux. Je me rends également compte que je ne suis pas un tiers impartial.

En pensant comment «prouver» que ces fichiers provenaient de nos serveurs, nous avons réalisé que je devais également prouver que nous avions les fichiers avant de recevoir le cd. Mon patron a pris des captures d'écran de nos fenêtres d'exploration des fichiers en question avec les dates de création et les noms de fichiers les montrant et les a envoyés par courriel à notre avocat la veille de la réception du cd. J'aurais aimé fournir des sommes md5 mais je n'ai pas été impliqué dans cette partie du processus.

Mes premières pensées ont été d'utiliser le programme diff unix et de donner une sortie shell console. J'ai également pensé que je pouvais le coupler avec les sommes md5 de nos fichiers et de leurs fichiers. Ces deux éléments peuvent facilement être truqués.

Je suis à court de ce que je dois réellement fournir, puis à nouveau sur la façon de fournir une piste vérifiable pour reproduire mes résultats, donc si cela doit être prouvé par un tiers, cela peut l'être.

Est-ce que quelqu'un a de l'expérience avec ça?

Faits sur l'affaire:

1. Les fichiers proviennent d'un serveur de fichiers Windows 2003
2. L'incident s'est produit il y a plus d'un an et les fichiers n'ont pas été modifiés depuis avant l'incident.

Les problèmes techniques sont assez simples. L'utilisation d'une combinaison de hachages SHA et MD5 est assez typique dans l'industrie médico-légale.

Si vous parlez de fichiers texte qui pourraient avoir été modifiés - par exemple des fichiers de code source, etc., alors effectuer un certain type de "diff" structuré serait assez courant. Je ne peux pas citer de cas, mais il y a certainement un précédent: le fichier "volé" est une œuvre dérivée de "l'original".

Les problèmes de chaîne de possession vous préoccupent beaucoup plus que de prouver que les fichiers correspondent. Je parlerais à votre avocat de ce qu'ils recherchent et envisagerais fortement de contacter un avocat expérimenté dans ce type de litige ou de professeur d'informatique judiciaire et d'obtenir leurs conseils sur la meilleure façon de procéder pour que vous ne le fassiez pas. t soufflez votre cas.

Si vous avez effectivement reçu une copie des dossiers, j'espère que vous avez fait du bon travail pour maintenir une chaîne de possession. Si j'étais l'avocat de la partie adverse, je dirais que vous avez reçu le CD et que vous l'avez utilisé comme source pour produire les fichiers "originaux" qui ont été "volés". J'aurais gardé ce CD de fichiers "copiés" loin, très loin des "originaux" et j'aurais demandé à une partie indépendante de faire des "diffs" des fichiers.

En règle générale, votre avocat devrait déjà avoir beaucoup de choses sous contrôle.

Pour prouver que les fichiers sont identiques, md5 doit être utilisé. Mais plus encore, vous devez prouver la chaîne de possession en utilisant des pistes vérifiables. Si quelqu'un d'autre a les dossiers en sa garde, vous aurez du mal à prouver devant le tribunal que les preuves n'ont pas été «déposées».

Il existe des sociétés de preuves électroniques et de criminalistique qui traitent spécifiquement de ce problème. Selon la gravité de votre affaire dans cette affaire, vous devez engager un avocat qui a des connaissances dans ce domaine et peut vous référer à un cabinet qui peut vous aider dans ce processus.

Une question importante est de savoir comment vous connectez l'accès aux fichiers de votre entreprise et comment vous gérez le contrôle de version sur les fichiers de votre entreprise.

En ce qui concerne les fichiers eux-mêmes, vous voulez utiliser un outil comme diff plutôt qu'un outil comme md5 parce que vous voulez démontrer que les fichiers sont les mêmes, sauf que l'un a une notice de copyright au début et l'autre a un autre avis de copyright au début du fichier.

Idéalement, vous pouvez démontrer d'où proviennent les fichiers en question, quand ils auraient été copiés à partir de votre environnement, qui a eu accès à ces fichiers à l'époque et qui en a fait des copies.

a) Oui, j'ai de l'expérience avec cela.

b) Les réponses ci-dessus sur l'utilisation des hachages ne répondent qu'à la question que vous avez posée dans le titre de ce fil, pas dans le corps. Pour prouver que vous les aviez avant d'obtenir le CD-ROM, vous devrez fournir des journaux de la dernière fois qu'ils ont été touchés, ce que vous n'avez probablement pas, car ce type d'informations est rarement conservé.

c) Cela dit, votre entreprise conserve probablement des sauvegardes, et ces sauvegardes ont des dates sur elles, et ces sauvegardes peuvent avoir des fichiers sélectivement restaurés à partir d'eux pour leur correspondance. Si votre entreprise a une politique de sauvegarde écrite et que les sauvegardes que vous avez conservées correspondent à la politique, il sera beaucoup plus facile de convaincre quelqu'un que vous n'avez pas falsifié les sauvegardes. Si vous n'avez pas de politique mais que les sauvegardes sont clairement marquées, cela pourrait être suffisant (même si l'avocat de l'autre côté remettra cela en question dans le wazoo).

d) Si votre entreprise n'a pas conservé de sauvegardes et que vous n'avez que les captures d'écran décrites, oubliez-les. Vous aurez du mal à convaincre quiconque que vous contrôlez suffisamment vos données pour «prouver» que vous aviez ces fichiers en premier.

diff est ce que j'utiliserais, je pense que vous êtes sur la bonne voie.

Je pensais à MD5sum et comparais les sommes de contrôle. Mais toute petite différence pourrait bouleverser les sommes de contrôle.

Vous devriez également avoir des sauvegardes sur bande ou quelque part pour prouver que vous les aviez avant l'heure XYZ, car tout le monde pourrait affirmer que vous avez enregistré les fichiers du CD sur le serveur (les dates de création peuvent être modifiées avec une certaine astuce des paramètres d'horloge, les images peuvent être photoshoppé, etc.)

Vous devez vraiment trouver un moyen d'établir, que ce soit par le biais de sauvegardes ou d'une autre preuve, que vous aviez les fichiers en premier, car ils vous ont donné pour une raison quelconque les fichiers nécessaires qui auraient pu être utilisés pour fabriquer facilement votre histoire (pourquoi l'ont-ils fait cette??)

Vous devez vous renseigner auprès de votre avocat, qui connaît la technologie, ce qui est exactement nécessaire et peut-être parler à des agents de sécurité spécialisés en criminalistique numérique.

Le fait est qu'à moins que quelqu'un ici ne soit avocat, tout ce que nous pouvons vous dire, c'est comment comparer ces fichiers (md5sum) et que votre meilleure défense est peut-être les anciennes sauvegardes de médias pour établir que vous aviez les fichiers avant d'obtenir le CD et, espérons-le, avant que XYZ ne soit parti avec vos données (envoyé par e-mail certains des fichiers afin que vous ayez des horodatages à partir de cela? Toujours dans les données archivées?)