3. Forensic ?
● L’analyse forensic ou médico-légale désigne l’examen et
l’investigation du crime par des méthodes scientifiques.
● Pour s'assurer que les preuves sont recevables devant les
tribunaux, les examinateurs légaux ont l’obligation de suivre des
procédures légaux lors de la collecte et du traitement des preuves.
● les examinateurs légaux documentent chaque étape pour assurer
que les preuves sont traitées de manière inviolable.
4. Forensic Digital ?
Le forensic digital est la branche du forensic focalisée sur des preuves
numériques telles qu'un ordinateur ou données réseau, smartphone,
USB et données GPS.
5. Forensic digital: Objectifs
● Identifier,
● analyser,
● reconstruire des événements et de
● présenter des preuves irréfutables devant une cour de justice.
6. Forensic digital: Type
● Lives forensic,
● network,
● computer forensic
● mobile forensic
● database forensic
7. Forensic digital: cas d’usage
● Dans une cadre légale,
● En réponse à un incidents de sécurité,
● Analyse de malware
9. Forensic digital: Étapes
● Collecter des données,
● Préserver les données collectées,
● Analyser les données collectées,
● Documenter les actions menées
10. Forensic digital: Étapes
Deux types de données:
● Volatiles
○ données mémoire RAM, SWAP,
○ Processus en cours, fichiers ouverts, ...
● non-volatiles
○ données disque dur,
○ support amovibles
Outils:
● FTK Imager: génère un fichier .001 et .txt, 2 types de hash: MD5,
SHA1
● ipconfig /all > infosreseau.txt, ifconfig -a > infosreseau.txt
● DD, dcfldd, Volatily
Collecte des données
11. Forensic digital: Étapes
Afin de préserver l’intégrité des données:
● Utilisation d’un “Write blocker”, Bitstream copy
● Utilisation de Hash
○ comparer des hashs,
○ si hash1 = hash2 => données intègres
Outils:
● md5sum (linux) : générer et comparer des hash
● Hashcal (windows)
Préservation des données
12. Forensic digital: Étapes
● L’analyse commence en rechercher la table des partitions
disponibles sur le disque suspect
● Générer un timeline et se basant sur les fichiers de log
● Restaurer les fichier supprimé et/ou disponibles dans la Corbeille
● Rechercher les fichiers cachés
● Analyser les signatures/Hash
● Effectuer les recherches relatives aux cas spécifique de
l’investigation
● Vérifier les informations dans le registre,
● ...
Analyse des données
13. Forensic digital: Étapes
La document se matérialise à travers la Chaîne de Custody qui contient
des informations sur:
● le matériel et informations numériques (nom de fichier, hachage
md5)
● Comment l'as-tu obtenu ?
● les outils utilisés,
● le type d'acquisition (en direct ou hors ligne),
● le format de stockage
● Quand a-t-il été collecté? Qui l'a manipulé ?
...
Documenter les actions
Type de hash généralement utilisés
MD5
SHA (1-2-3)
Si la date de compromission est connue:
Identification de l’environnement et de la machine
Génération de la timeline globale
Analyse de la time line
Recherche d’événement suspects à la date donnée (EVTX, $MFT, Registry)
Recherche par mot clé, par date
Si la date de compromission n’est pas connue:
Recherche de signes de compromission
Il important de documenter toutes les étapes de l’investigation numérique. L’objectif est de fournir une traçabilité des actions menées
Il important de documenter toutes les étapes de l’investigation numérique. L’objectif est de fournir une traçabilité des actions menées
Il important de documenter toutes les étapes de l’investigation numérique. L’objectif est de fournir une traçabilité des actions menées
Il important de documenter toutes les étapes de l’investigation numérique. L’objectif est de fournir une traçabilité des actions menées