3. Forensic ?
● L’analyse forensic ou médico-légale désigne l’examen et
l’investigation du crime par des méthodes scientifiques.
● Pour s'assurer que les preuves sont recevables devant les
tribunaux, les examinateurs légaux ont l’obligation de suivre des
procédures légaux lors de la collecte et du traitement des preuves.
● les examinateurs légaux documentent chaque étape pour assurer
que les preuves sont traitées de manière inviolable.
4. Forensic Digital ?
Le forensic digital est la branche du forensic focalisée sur des preuves
numériques telles qu'un ordinateur ou données réseau, smartphone,
USB et données GPS.
5. Forensic digital: Objectifs
● Identifier,
● analyser,
● reconstruire des événements et de
● présenter des preuves irréfutables devant une cour de justice.
6. Forensic digital: Type
● Lives forensic,
● network,
● computer forensic
● mobile forensic
● database forensic
7. Forensic digital: cas d’usage
● Dans un cadre légale,
● En réponse à un incidents de sécurité,
● Analyse de malware
9. Forensic digital: Étapes
● Collecter des données,
● Préserver les données collectées,
● Analyser les données collectées,
● Documenter les actions menées
10. Forensic digital: Étapes
Deux types de données:
● Volatiles
○ données mémoire RAM, SWAP,
○ Processus en cours, fichiers ouverts, ...
● non-volatiles
○ données disque dur,
○ support amovibles
Outils:
● FTK Imager: génère un fichier .001 et .txt, 2 types de hash: MD5,
SHA1
● ipconfig /all > infosreseau.txt, ifconfig -a > infosreseau.txt
● DD, dcfldd, Volatily
Collecte des données
11. Forensic digital: Étapes
Afin de préserver l’intégrité des données:
● Utilisation d’un “Write blocker”, Bitstream copy
● Utilisation de Hash
○ comparer des hashs,
○ si hash1 = hash2 => données intègres
Outils:
● md5sum (linux) : générer et comparer des hash
● Hashcal (windows)
Préservation des données
12. Forensic digital: Étapes
● L’analyse commence en rechercher la table des partitions
disponibles sur le disque suspect
● Générer un timeline et se basant sur les fichiers de log
● Restaurer les fichier supprimé et/ou disponibles dans la Corbeille
● Rechercher les fichiers cachés
● Analyser les signatures/Hash
● Effectuer les recherches relatives aux cas spécifique de
l’investigation
● Vérifier les informations dans le registre,
● ...
Analyse des données
13. Forensic digital: Étapes
La document se matérialise à travers la Chaîne de Custody qui contient
des informations sur:
● le matériel et informations numériques (nom de fichier, hachage
md5)
● Comment l'as-tu obtenu ?
● les outils utilisés,
● le type d'acquisition (en direct ou hors ligne),
● le format de stockage
● Quand a-t-il été collecté? Qui l'a manipulé ?
...
Documenter les actions