2. Sommaire
Qu’est-ce que le forensic ?
Déroulement judiciaire
Déroulement en entreprise
Outils
Conclusion
3. Qu’est-ce que le forensic ?
L’ensemble des méthodes et outils utilisés afin de
réaliser une investigation.
Trouver des preuves, retracer les évènements sur
un appareils électroniques.
Etablir un rapport servant de témoignage.
4. Qu’est-ce que le forensic ?
3 façons:
Analyse à froid
Analyse à chaud
Analyse en temps réel
5. Déroulement Judiciaire
Cas d’un ordinateur fixe récupéré chez une personne soupçonnée
de terrorisme
Prise de photo général (tour, écran, périphérique connecté sur la
tour)
Si le poste est allumé:
Récupération des informations contenu dans la RAM
Vérification si mot de passe
Vérification si disque chiffré
Vérification de la présence de lecteur réseau
6. Déroulement Judiciaire
Vérification des ports USB et du lecteur CD/DVD
Récupération du disque
Prise de photo et emplacement du disque
Collecte des informations physiques du disque
Copie du disque
Vérification de l’intégrité de la copie
7. Déroulement Judiciaire
Exploitation de la copie du disque
Recherche de logiciel de communication (Skype,
Whatsapp,mesagerie,…) et récupération des discutions
Recherche de contenu lié au terrorisme localement sur le poste
Vérifications des fichiers effacés sur le disque
Vérification de l’historique de navigation internet
8. Déroulement Judiciaire
Rédaction d’un rapport à remettre au juge en charge de l’affaire
Rédaction sous serment, possible témoignage (anonyme)
Liste des informations incriminent la personne
Document(s) trouvé(s)
Capture d’écran
L’absence de preuve doit aussi être noté de façon précise
Ce document à une valeur officielle et est une preuve recevable
9. Déroulement en entreprise
Cas d’un ordinateur fixe infecté par un ransomware
Demande d’informations à l’utilisateur ( lien reçu par mail,
téléchargement,…)
Récupération des informations contenu dans la RAM
Mise en quarantaine du poste infecté
Copie du disque physique
Vérification de l’intégrité de la copie
10. Déroulement en entreprise
Exploitation de la copie du disque
Analyse des fichiers cryptés (extension, forme)
Recherche web si le ransomware est connu et décryptable
Analyse de l’infection
Interview avec l’utilisateur
Analyse des journaux d’évènements
Analyse des dates de modication des fichiers
Récupération et analyse du fichier source
Création d’une timeline et d’un arbre d’attaque pour comprendre
l’infection
11. Déroulement en entreprise
Durcissement des règles de filtrage (mail/web/…)
Si l’origine est détecté, durcir le filtrage pour bloquer la menace et
empêcher qu’elle se reproduise
Plan de veille sur les ransomwares
Veille sur les sources de menaces et modifications des règles en
filtrage en fonctions des nouvelles menaces
Plan de communication
Rappel des bonnes pratiques sur les pièces jointes et les
téléchargement
Rappel sur les attaques de ransomwares
13. Outils
Lister les partitions d’un disque
Mmls (linux)
Recherche de fichier dans un disque
Fls (recherche de fichiers/numéro inode)
Icat/istat (recherche par numéro inode)
Création de time line
Mactime (linux)
14. Outils
Autopsy (Sleuth Kit)
Permet de réaliser de façon automatique l’ensemble des tâches
présentées ci-dessus.
Timeline
Analyse web
Analyse de fichiers
15. Conclusion
En développement dans le monde de l’entreprise
Très présent dans le milieu judiciaire
Possible emploi au ministère de l’intérieur