SlideShare une entreprise Scribd logo
25/08/2016
1
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Hacking & Sécurité, Expert :
Module :
Les sciences forensiques:
L’investigation numérique
25/08/2016
2
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Présentation du formateur
• Mes formations sur Alphorm
• Le plan de formation
• Objectifs de la formation
• Publics concernés
• Connaissances requises
• Liens utiles
25/08/2016
2
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Présentation du formateur
• Mes formations sur Alphorm
• Le plan de formation
• Objectifs de la formation
• Publics concernés
• Connaissances requises
• Liens utiles
25/08/2016
4
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Mes formations sur Alphorm
25/08/2016
5
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hacking & Sécurité
Réseaux sans
fils
Reconnaissance
& Scanning
Vulnérabilités
web
Vulnérabilités
applicatifs
Metasploit
Exploitation
Forensics
Mobile
Reporting
Mise en
situation
Contre mesures
Reverse
Engineering
Vulnérabilité
réseaux
25/08/2016
6
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation
• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous
Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques
d'investigation
• Rapports d'investigation
• Conclusion
25/08/2016
7
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Objectifs de la formation
• Identifier et analyser les traces laissées lors de l’intrusion dans un
système informatique
• Collecter correctement les preuves nécessaires à des poursuites
judiciaires
• Collecter et Analyser des informations à des fins d’investigation
• Bypasser les protections : Pas que de l’analyse finalement ☺
• Tracking
• Retrouver les traces : personnes ou journaux
• Trouver les traces cachées
25/08/2016
8
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Publics concernés
• Pentesteur
• Consultant
• Responsables DSI
• Responsables sécurité SI
• Gendarmerie numérique
• Personne désirant apprendre de nouvelles choses ;)
25/08/2016
9
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Connaissances requises
• Culture IT
• Avoir suivi les deux premiers niveaux
• Conseillés : Avoir suivi tous les niveaux expert
25/08/2016
10
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité
• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des
dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza
KONDAH ni Alphorm directement ou indirectement, des usages directs
ou indirects de quelconque qui a suivi ou appliqué les techniques
enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
25/08/2016
11
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Let’s Rock ? ☺
25/08/2016
12
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La mise en situation
de la formation
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
13
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Définition du forensique
•Statistiques
•Aspects de la sécurité organisationnelle
25/08/2016
14
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Définition du forensique
• Le forensique consiste à appliquer la science (dans ce cas, des
techniques informatisés) pour des fins de recherches légales suite à un
incident ou crime.
• Méthodologie de techniques et procédures pour la récupération de
preuves
• Investigation
• Preuves légalement valides
• Orientation Ethique
• Techniques utilisées par les Hackers
25/08/2016
15
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Statistiques
25/08/2016
16
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Aspects de la sécurité organisationnelle
Sécurité IT
• Application, Antivirus, Réseaux …
Sécurité Physique
• Personnes physique, Sécurité biométrique …
Sécurité Financière
• Fraude, Botnets, Phishing
Sécurité Légale
• Sécurité nationale, Copyright …
25/08/2016
17
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Mise en situation par rapport au forensique
•Définitions
•Vue globale
•Maintenant passons aux détails ☺
25/08/2016
18
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Forensique des
temps modernes
Introduction à la formation
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
19
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Historique
• Objectifs du forensique
• Pourquoi on a besoin du forensique?
• Cyber crime
• Types de cyber crime
25/08/2016
20
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Une évolution rapide
• Une nécessité par rapport à l’afflue des cyber crimes
• Techniques utilisées par les hackers
• Centre SOC
• Analyse temps réel
• Menaces inconnues Le forensique devient dès lors une nécessité au
sein des grandes structures
25/08/2016
21
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Historique
1984
• Computer Analysis and Response Team (CART)
• Assistance FBI
1993 • Première conférence sur les preuves informatiques
1995
• International Organization on Computer Evidence (IOCE)
1998
• International Forensic Science Symposium (IFSS)
2000
• FBI Regional Computer Forensic Laboratory (RCFL)
25/08/2016
3
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Présentation du formateur
Kondah Hamza
• Kondah.hamza@gmail.com
• Consultant & Chercheur en Sécurité informatique
• Microsoft MVP en sécurité des entreprises
• Conférencier
• Mes références :
Mon profil LinkedIn : https://ma.linkedin.com/in/kondah
Mon profil Microsoft MVP : https://mvp.microsoft.com/en-us/PublicProfile/5000286?fullName=Kondah Hamza
Mon Site Web : http://www.kondah.com
Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah
25/08/2016
23
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Pourquoi on a besoin du forensique ?
Protéger une
organisation
Tracking
Disposition
de preuves
Préserver
l’intégrité
Préserver le
bon
fonctionnement
du SI
Arrêter une
attaque
silencieuse
25/08/2016
24
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Cyber crime
• Terme désigné pour définir une activité criminelle où les ordinateurs et
les réseaux sont utilisés comme des outils pour cette dernière
• Crime où la machine contient les preuves nécessaires
• Ceci n’est pas une liste exhaustive
• accidentel et non accidentel
• Challenges Rapidité + Anonymat + Nature de la preuve
• La menace peut être interne comme externe
25/08/2016
25
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de cyber crime
• Cyber Stalking
• Phishing
• Spoofing
• Fraude
• Email Bombing
• Malwares Meilleur exemple : Cryptolocker
• DoS
25/08/2016
26
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Evolution des temps modernes
•Cyber crime
•Pourquoi on a besoin du forensique?
•Compréhension
•Orientation
25/08/2016
27
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction au chapitre sur
les sciences forensiques
Les sciences Forensiques
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
28
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Recherches
25/08/2016
29
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• En vue de l’évolution continue des techniques de cyber attaques, les
sciences forensiques sont devenues une obligation
• Aussi bien pour des institutions judiciaires que pour les centres SOC en
passant par les entreprises qui ont une activité orientée digitale
• Etude de cas : Fraude
• Institution étatique : A ne pas discuter ☺
• Analyse de malware
• La bulle smartphone
25/08/2016
30
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Recherches
25/08/2016
31
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction au chapitre sur les sciences forensiques
25/08/2016
32
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus
de forensique
Les sciences Forensiques
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
33
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Investigation de crime informatique
• Avant l’investigation
• Construire un lab
• Structurer son équipe
• Revoir les lois
• Remonter l’information
• Analyse du risque
• Construire sa boite à outils
• Méthodologie d’investigation
25/08/2016
34
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Approche méthodologique
• Il faut obligatoirement structurer son approche
• Le processus de forensique qu’on va découvrir est une vue globale et
générale et peut être customisé selon votre situation, approche et
besoin.
25/08/2016
35
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigation de crime informatique
Déterminer
si un
incident a eu
lieu
Trouver et
interpréter
les
évidences
Conduire
une
recherche
de preuves
Recherche
et analyse
de
l’équipement
Collecte des
preuves
25/08/2016
36
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Avant l’investigation
• Construire un lab
• Structurer son équipe
• Revoir les lois
• Remonter l’information
• Analyse du risque
• Construire sa boite à outils
• Définir la méthodologie
25/08/2016
37
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Construire un lab
• Définition des besoins
• Benchmarking
• Doit comporter quelques points importants :
Duplication des disques
Analyse des fichiers
Support USB
Isolation
25/08/2016
38
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Structurer son équipe
• L’équipe doit contenir le moins de personnes possibles
• Définir la personne responsable de la réactivité face à un incident
• Suivis ( SCRUM )
• Définir les responsabilités et partenariat externe (Expert, Fiduciaire,
Analyse d’incident, Chef d’équipe)
• Définir le « Lead »
25/08/2016
39
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Revoir les lois
• Comprendre les lois en vigueur
• Lois concernées : CCPA,CCPA,PATRIOT ACT …
• Meilleures pratiques
• Confidentialité
25/08/2016
40
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse du risque
• Identification de l’incident et de la cause
• Classifier le risque
• Déterminer les dégâts Dans ce cas, on peut définir des plans de
recovery pour d’éventuels nouveaux dégâts
• Déterminer la surface affectée
• Arrêter la communication selon la surface affectée
25/08/2016
41
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Construire sa boite à outils
25/08/2016
4
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Mes formations sur Alphorm
25/08/2016
43
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Processus d’investigation
• Etapes élémentaires
• Customisation
• Récursivité
• Bien penser sa stratégie (aussi bien structurer le personnel, moyenne ou
grande)
25/08/2016
44
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Preuve Digitale
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
25/08/2016
45
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Obstacles
• Pourquoi ce besoin ?
• Caractéristiques
• Approche Anti-Digital Forensics (ADF)
• Lab : Disposition ADF
25/08/2016
46
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Preuve digitale dites vous ?
• Qu’elles sont ces types de données ?
• N’importe qu’elle information avec une valeur approbative
• Extraction d’informations, duplication de données etc …
Enregistrement
Logs
Emails
Word et compagnie
25/08/2016
47
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Obstacles
• Preuves non formalisées
• Données altérées
• Ambiguïté
• Tout est relatif !
25/08/2016
48
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Pourquoi ce besoin ?
• Etablir des liens
• Principe de Locards «Anyone or Anything,entering a crime
scene takes something of the scene with them ,and leaves
something of themeselves behind when they leave »
• Un exemple me dites vous ?
25/08/2016
49
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Caractéristiques
• Admissible
• Authentique
• Complète
• Compréhensible
• Pas de doute !
• Différentiation des types : Volatile, Non volatile, Transitoire
,Fragile
• Pensez processus d’examination de preuves
25/08/2016
50
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Approche Anti-Digital Forensics (ADF)
• Approche pour manipuler et exploiter les données
• Rend l’analyse forensique difficile , longue et quasi impossible
• Pourquoi une approche pareille ?
• Un hacker peut aussi bien exploiter une analyse contre vous ☺
• Comme quoi on joue sur les deux flans ☺
Wiping
Exploitation
Bugs
Obfuscation
Cacher les
données
25/08/2016
51
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Disposition ADF
25/08/2016
52
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Preuve digitale
•Caractéristiques
•Approche ADF
25/08/2016
53
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Procédure
“First Responder”
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
25/08/2016
54
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Rôles du First Responder
•La volatilité … Pourquoi ?
•Mise en Situation
25/08/2016
55
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Qu’est ce qu’un « First Responder »
• Le premier arrivé sur la scène du crime Le système
• Administrateur réseau ou responsable de la sécurité du SI …
• Ensemble de responsabilités
• Rôle primordial
• C’est aussi un ensemble d’outils
• Pourquoi ?
Une meilleure compréhension + Bonne Analyse + Output
25/08/2016
56
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Rôles du First Responder
Identifier les
faits
Protéger le
système
(Isolation)
Préserver les
preuves ( Les
Logs par
exemples)
Collection des
différentes
informations
* Smartphones
* Cartes
* USB
* Ordinateurs
* Disques durs
Etiqueter les
différents
éléments
(Checklist ,
Permissions
etc…
)
Possibilité de
déplacer les
différents
éléments
25/08/2016
57
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La volatilité … Pourquoi ?
Registres,
Cache
Table de
Routage,
Kernel,
Mémoire
Fichiers
temporaire
s
Disques
Durs
Monitoring
Configurati
on
physique
et réseau
Archive
Media
25/08/2016
58
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Mise en Situation
• Si l’ordinateur est allumé :
Enregistrer les programmes en cours
Photographier la scène
Ne rien toucher !
• Si l’ordinateur est éteint :
Surtout pas l’allumer
• Cas Réseau :
Enlever le câble réseau du routeur/switch Identifier les machines
connectées « Directement » Enlever les différents câbles
25/08/2016
59
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Procédure First Responder
•Etape Cruciale
•Je souligne procédure !
25/08/2016
60
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Préparation du Lab
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
25/08/2016
61
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Comment planifier la mise en place de son Lab ?
• Types d’investigations
• Choix Hardware
• Choix Software
• Architecture
• Lab : Mise en Place du Lab
25/08/2016
62
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Votre lab est votre ami !
• Il faut bien penser sa stratégie par rapport à l’instauration de votre lab
• Le budget est aussi un point primordial dans votre stratégie et
« selon vos besoins » Il existe plusieurs moyens vous permettant
d’automatiser Parfois la faciliter
• Si vous êtes professionnel Pensez sécurité physique de votre lab
25/08/2016
5
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hacking & Sécurité
Réseaux sans
fils
Reconnaissance
& Scanning
Vulnérabilités
web
Vulnérabilités
applicatifs
Metasploit
Exploitation
Forensics
Mobile
Reporting
Mise en
situation
Contre mesures
Reverse
Engineering
Vulnérabilité
réseaux
25/08/2016
5
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hacking & Sécurité
Réseaux sans
fils
Reconnaissance
& Scanning
Vulnérabilités
web
Vulnérabilités
applicatifs
Metasploit
Exploitation
Forensics
Mobile
Reporting
Mise en
situation
Contre mesures
Reverse
Engineering
Vulnérabilité
réseaux
25/08/2016
65
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Choix Hardware
25/08/2016
66
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Choix Software
• Identifier les besoins
• Analyse d’images
• Logiciel d’analyse de fichiers et de documents
• Logiciel de monitoring
• Analyse de la mémoire
• Logiciel de conversion
• Utilitaires de Sécurité
25/08/2016
67
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Architecture
25/08/2016
68
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Mise en Place du Lab
25/08/2016
69
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Compréhension de l’importance du lab
•Structuration des objectifs
•Mise en place des éléments de base de notre lab
25/08/2016
70
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Acquisition
des données
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
25/08/2016
71
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Format d’acquisition
• Pourquoi créer une image?
• Méthodes d’acquisition
• Données volatiles
25/08/2016
72
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• L’acquisition des données est le processus de récupération d’images
• Obtention des informations d’un équipement digital
• Il existe deux types d’acquisitions :
1. Statique
2. Temps réel
• Sécurisation et collecte d’information !
Ne jamais oublier les procédures forensiques
Combinaison d’outils Réseau, Périphériques, Boards
25/08/2016
73
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Format d’ acquisition
• Il existe trois formats d’acquisitions :
1. RAW
2. Propriétaire
3. AFF : Advanced Forensics Format
25/08/2016
74
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Pourquoi créer une image ?
• La scène du crime doit être protégée
• Préserver les preuves originales
• Altération
• Perte
• Pas de one shot
25/08/2016
75
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition
• Bit-Stream Image
• Bit-Stream Disque
• Acquisition logique
• Quoi choisir ? Selon vos besoins ☺ Et votre budget
surtout
25/08/2016
76
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Données volatiles
• L’acquisition de données volatile est extrêmement
importante
• Données hors prix
• Processus
• Mots de passes
• Ims
• Trojans
25/08/2016
77
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Acquisition de données
• Prochaine étape ?
25/08/2016
78
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l'investigation
légale sous Windows
Investigation légale sous Windows
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
79
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction à l’investigation légale sous Windows
25/08/2016
80
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• L’investigation sous Windows est l’un des points les plus nécessaires
• Une bonne compréhension des systèmes de fichiers est nécessaire
• Windows reste l’OS le plus accessible et donc le plus utilisé dans le
marché
• Lors de ce chapitre on va essayer d’approfondir nos connaissances pour
l’analyse d’images acquises lors du chapitre précédents.
• De l’analyse mais aussi de l’attaque !
• Extraction de données massives ☺
25/08/2016
81
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à l'investigation légale sous Windows
25/08/2016
82
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Systèmes de fichiers
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
83
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• NTFS
• Avantages NTFS
• Lab : Systèmes de fichiers
25/08/2016
84
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• FAT : File Allocation Table
FAT12
FAT16
FAT 32
• Depuis le DOS
• Table d’allocations
• Standard simple et robuste
25/08/2016
85
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
NTFS
• NTFS est le système de fichiers standard de Windows NT, y compris ses
versions ultérieures de Windows 2000, Windows XP, Windows Vista,
Windows Server 2003, Windows Server 2008, Windows 7 et Windows 8
et 10.
• Le NTFS est destiné à être utilisé sur des lecteurs avec le système
Windows (disques durs et SSD).
• NTFS dispose de plusieurs améliorations par rapport au FAT, telles que
l'amélioration du support des métadonnées et l'utilisation de structures
de données avancées pour améliorer la performance, la fiabilité et de
l'utilisation de l'espace disque, ainsi que d'autres extensions telles que
la sécurité des listes de contrôle d'accès et de système de fichiers
journalisé.
25/08/2016
86
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Avantages NTFS
• Compression
• Cryptage
• Autorisations d'accès et niveaux de permissions aux répertoires et aux
fichiers
• Gestion de quotas de disque
• Points de montage
• Stockage étendu (partitions de plus de 2 TO).
• Fichier de grande taille (jusqu'à la taille de la partition entière au lieu
d'un maximum de 4 GO en FAT32)
• Sécurité
• Fiabilité
• Performances
25/08/2016
87
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab:Systèmes de fichiers
25/08/2016
88
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Systèmes de fichiers
•NTFS
•Windows
25/08/2016
89
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Création d'une image
Investigation légale sous Windows
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
90
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Création d’une image
25/08/2016
91
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• La création d’image est une des étapes les plus cruciales
• Utilisation d’outils professionnels ou bien d’applications dédié
• Mémoire ou bien disque
• Copie dans un disque dur en mode read only
• Disque dur Backup
25/08/2016
92
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Création d’une image
25/08/2016
93
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Création d’une image sous windows
25/08/2016
94
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Collecte
d'information volatile
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
95
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Collecte d’information volatile
25/08/2016
96
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• La collecte d’informations volatiles est un des points les plus importants
du processus de forensique
• Les informations volatiles sont souvent ceux qui ont le plus de valeurs
• Exemple d’informations :
Interfaces réseaux
Services
Processus
Presse papier
…
25/08/2016
97
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Collecte d’information volatile
25/08/2016
98
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Collecte d’information volatile
•Outils
•Que faire ? Astuce : Netcat
25/08/2016
99
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse
de la mémoire
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
100
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Structure
• Volatility Framework
• Lab : Analyse de la mémoire
25/08/2016
101
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Le dump de la mémoire contient des informations capables
de retracer la véritable cause d’une panne ou les traces d’un
hacker etc…
• Cela permet aussi de récupérer les différentes informations
cités dans les vidéos précédentes : Réseau, Logs …
• L’analyse de la mémoire qu’on va découvrir se base sur
l’exploitation d’une image acquise via les méthodes citées
dans la vidéos précédente
•
25/08/2016
102
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Structure
25/08/2016
103
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Volatility Framework
• Collection d’outils
• Python
• Extraction de la mémoire
• Dump de la RAM
• Plateforme recherche forensique
• Puissant, précis et rapide
25/08/2016
104
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Systèmes d’exploitations supportés
25/08/2016
105
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse de la mémoire
25/08/2016
106
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse
•Structuration
•Attaque ☺
25/08/2016
107
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse des registres
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
108
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Analyse des registres
25/08/2016
109
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Un administrateur peut interagir avec les registres à travers des
programmes intermédiaires
• Interface GUI : Regedit.exe
• 7 pincipaux dossiers
25/08/2016
110
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse des registres
25/08/2016
111
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Importance des registres
•Navigation
•Exploitation
25/08/2016
112
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Navigateurs :
La mine d'or
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
113
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Navigateurs : La mine d'or
25/08/2016
114
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Les navigateurs peuvent contenir toutes les informations nécessaires
pour retracer l’activité d’un hacker, victime, ou autre
• Les fichiers parlent tous seuls ☺
• Possibilité d’utilisation d’outils automatisés
• Pour les fans de Meterpreter Modules intégrés
25/08/2016
115
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Forensique navigateurs
25/08/2016
116
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Navigateurs : La mine d'or
•Techniques forensiques navigateurs
25/08/2016
117
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hash
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
118
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Hash
25/08/2016
119
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• L'algorithme MD5, pour Message Digest 5, est une fonction de hachage
cryptographique
• Permet d'obtenir l'empreinte numérique d'un fichier.
• L'utilisation de cette fonction de hachage dans les signatures
numériques peut conduire à de multiples scénarios d'attaque et n'est
plus considérée comme un composant fiable de l'infrastructure à clés
publiques.
• Le calcul de la « signature » d'un fichier reste plutôt fiable, même si l'on
ne peut pas assurer qu'il y a une unicité entre l'empreinte calculée et le
fichier ou message source
25/08/2016
120
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Hash
25/08/2016
121
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Notion de hash
•Importance Hash
•Calcul Hash
25/08/2016
122
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Métadonnées
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
123
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Types de Métadonnées
•Lab : Métadonnées
25/08/2016
124
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Le mot signifie proprement « donnée de/à propos de donnée »)
• Une donnée servant à définir ou décrire une autre donnée quelle que
soit son support
• Exemple : Nom d’auteur, nom du réseau, Objets OLE…
• Importance :
Informations cachées à propos du document
Qui tente de supprimer, cacher ou altérer les données
Corrélation
25/08/2016
125
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de Métadonnées
• Il existe trois types de métadonnées :
Métadonnées Descriptives
Métadonnées Structurelles
Métadonnées Administratives
25/08/2016
126
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
25/08/2016
127
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Métadonnées
25/08/2016
128
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Définition
•Importance
•Pratique ☺
25/08/2016
129
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Logs
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
130
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Ce qu’on va découvrir?
•Lab : Logs
25/08/2016
131
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Les journaux contiennent une variété d’informations journalières
• Quelques informations sont automatiquement récoltées
• Evènements
• Important
• Accès simple
25/08/2016
132
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on va découvrir
• Structure de données des logs
• Analyse des logs
• Firewall
• Système
• Protocoles (FTP,HTTP …)
25/08/2016
133
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Logs
25/08/2016
134
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Utilité des Logs
•Exploitation des logs pour des fins forensiques
25/08/2016
135
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Bypasser les mots
de passe
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
136
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Bypasser les mots de passe
25/08/2016
137
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Une fois l’ordinateur récupéré, On peut avoir un obstacle assez sérieux
• Le mot de passe de la session !
• Les criminels (Hackers ou autres) oublient soudainement les mots de
passe ☺
• Malheureusement pour eux, tout a une solution
• Utilisation d’outils et d’exploits ☺
• Le Forensique ce n’est pas que de la défense et Analyse ;)
25/08/2016
138
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Formation Hacking et Sécurité : Avancé
25/08/2016
139
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Bypasser les mots de passe
25/08/2016
140
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Bypasser les mots de passe
•Exploits et outils de Bruteforcing
25/08/2016
141
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l'investigation
légale sous Linux
Investigation légale sous Linux
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
142
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction à l'investigation légale sous Linux
•Ce qu’on va découvrir
25/08/2016
143
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Ne jamais oublier les phases :
1. Préservation
2. Analyse
3. Reconstitution
• Le forensique sous linux est tout aussi important que sous Windows
• Plusieurs systèmes critiques tournent sous Linux
• Plusieurs incidents aussi …
25/08/2016
144
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on va découvrir
• Analyse des besoins
• Acquisition de données
• Récupération et analyse de logs
• Analyse de mémoire
• Bypasser les mots de passe
• LiME
• Et d’autres surprises … =)
25/08/2016
145
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Introduction chapitre d’investigation légale sous
Linux
25/08/2016
146
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Systèmes de fichiers
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
147
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Structure
25/08/2016
148
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Comme pour Windows, la bonne compréhension des systèmes de
fichiers est nécessaire afin de réaliser l’efficience
• Les systèmes de fichiers jouent exactement le même rôle que ces index :
organiser les fichiers de votre ordinateur sur votre disque dur de façon
à pouvoir les retrouver lorsque vous en aurez besoin
• FS les plus connus :
•Ext2fs
•Ext3fs
•Ext4fs
25/08/2016
149
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Structure d’un FS
25/08/2016
150
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Compréhension systèmes de fichiers
•Analyse
25/08/2016
151
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Quelles données
collecter ?
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
152
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Données à collecter
25/08/2016
153
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Tout au long des formations qu’on a pu suivre ensemble,
on a pu découvrir à quel point la structuration des
connaissances est importante
• En allant vers ce sens, il est très important de pouvoir
structurer les différentes informations nécessaires à trouver,
afin de ne pas perdre du temps et de gagner en efficacité
• Ce processus entre dans l’ingénierie organisationnelle
25/08/2016
154
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Données à collecter
• Informations relatives au temps
• Interfaces réseaux
• Connexions
• Ports
• Services
• Fichiers
• Modules du Kernel
• …
25/08/2016
155
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Quelles données collecter ?
•Pourquoi les collecter ?
•Ingénierie organisationnelle
25/08/2016
156
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus forensique
Linux
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
157
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Points importants
25/08/2016
158
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
25/08/2016
159
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Points importants
• Compréhension : FS, Fonctionnement, Boot …
• Débogage
• Importance de la structuration des connaissances
• Les procédures et processus peuvent changer selon vos
besoins
25/08/2016
160
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Processus
•But
•Importance de la méthodologie
25/08/2016
161
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Création d'une image
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
162
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Méthodes d’acquisition du disque
•Méthodes d’acquisition de la mémoire
•Acquisition à froid
•Lab : Création d'une image
25/08/2016
163
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition du disque
•Formats d’images :
• Raw
• Propriétaire incluant les métadonnées
• Propriétaire avec les métadonnées séparément
• Raw avec un hash
25/08/2016
164
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition de la mémoire
• Deux méthodes d’acquisition :
1. Méthode difficile :
http://hysteria.sk/~niekt0/foriana/fmem_current.tgz
Même principe que /dev/mem /dev/fmem
Image Raw
25/08/2016
165
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition de la mémoire
2. Méthode facile :
Linux Memory Extractor
Build pour un Kernel spécifique
25/08/2016
166
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Acquisition à froid
• Cool Boot Attack
• Attaque très intéressante
• Informations fraiches
• Pas de possibilités d’extraction via Volatility ou autre
• https://www.ethicalhacker.net/features/root/using-cold-boot-attacks-
forensic-techniques-penetration-tests
25/08/2016
167
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Création d'une image
25/08/2016
168
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Types d’images
•Création d’images
•Pensez à des HD puissants et sécurisés
25/08/2016
169
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lime
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
170
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Lime
25/08/2016
171
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Linux Memory Extractor (LiME)
• Build spécifique à un Kernel spécifique
• Ubuntu : apt-get install lime-forensics-dkms
• Repo Github : https://github.com/504ensicsLabs/LiME
• Format :
• Raw
• Padded
• Lime
25/08/2016
172
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Lime
25/08/2016
173
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Lime
•Exploitation de l’acquisition via Lime
•Le temps de l’analyse est arrivé
25/08/2016
174
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse
de la mémoire
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
175
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Analyse de la mémoire
25/08/2016
176
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Analyse de la mémoire
• Exploitation de volatility
• Puissance et efficacité
• Semblable à l’analyse de la mémoire sous Windows
• Combinaison parfaite avec LiME ☺
25/08/2016
177
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse de la mémoire
25/08/2016
178
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse de la mémoire sous linux
•Volatility
25/08/2016
179
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Récolte
d'informations
volatiles
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
180
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Récolte d'informations volatiles
25/08/2016
181
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Comme on a pu le voir auparavant, mais aussi pour les prochaines
vidéos, les informations volatiles sont une mine d’or à ne pas négliger
• Le but étant d’exploiter au maximum ces informations
• Les journaux doivent surtout répondre aux besoins en terme
d’informations à récolter
• Vous pourrez remarquez que tout au long de la formation, il y a des
informations complémentaires ☺
25/08/2016
182
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Récolte d'informations volatiles
25/08/2016
183
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Récolte d'informations volatiles
25/08/2016
184
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse de fichiers
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
185
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Analyse de fichiers
25/08/2016
186
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Suite à la création de l’image « mount », nous allons
pouvoir commencer l’analyse des différents éléments
• Pendant cette vidéo, nous allons analyser les différents
fichiers
• Exploitation d’outils
• De l’investigation ☺
25/08/2016
187
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse de fichiers
25/08/2016
6
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation
• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous
Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques
d'investigation
• Rapports d'investigation
• Conclusion
25/08/2016
6
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation
• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous
Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques
d'investigation
• Rapports d'investigation
• Conclusion
25/08/2016
6
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation
• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous
Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques
d'investigation
• Rapports d'investigation
• Conclusion
25/08/2016
6
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation
• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous
Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques
d'investigation
• Rapports d'investigation
• Conclusion
25/08/2016
6
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation
• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous
Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques
d'investigation
• Rapports d'investigation
• Conclusion
25/08/2016
193
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Mesures post exploitation
25/08/2016
194
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Bypasser les mots
de passe
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
195
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Bypasser les mots de passe
25/08/2016
196
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Point clé lors de l’analyse
• Passer par la grande porte
• Plusieurs techniques
• Etre le plus malin aussi peut jouer un grand rôle ☺
• Let’s find the Hash ☺
25/08/2016
197
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Bypasser les mots de passes
25/08/2016
198
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Bypasser les mots de passe
•Plusieurs techniques ☺
•Point clé
25/08/2016
199
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à
l’investigation légale USB
Investigation légale USB
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
200
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Analyse initiale des données USB
25/08/2016
201
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Les clés USB sont une mine d’or pour toute personne
pratiquant le forensique
• Point fort Flux de données dynamique
• Les données ne sont jamais vraiment supprimées On en
a parlé lors du chapitre introductif sur la formation
• Transport de données Données importantes
25/08/2016
202
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse initial données USB
25/08/2016
203
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à l’investigation légale USB
25/08/2016
204
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Création d’une image
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale USB
25/08/2016
205
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Snapshot USB
25/08/2016
206
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Effectuer un snapshot est un point des plus importants comme cité tout
au long de la formation
• Prendre un Snapshot est une étape qui peut prendre du temps
• L’outil utilisé pour la récupération de l’image est : Dc3dd , qui est un
outil extrêmement puissant et spécialisé dans le forensique
• L’analyse forensique n’est pas une chose simple, Il faut de la patience,
de la motivation et surtout de la compréhension Revoir bases
25/08/2016
7
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Objectifs de la formation
• Identifier et analyser les traces laissées lors de l’intrusion dans un
système informatique
• Collecter correctement les preuves nécessaires à des poursuites
judiciaires
• Collecter et Analyser des informations à des fins d’investigation
• Bypasser les protections : Pas que de l’analyse finalement ☺
• Tracking
• Retrouver les traces : personnes ou journaux
• Trouver les traces cachées
25/08/2016
208
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Création d’une image d’un périphérique USB
25/08/2016
209
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Sniffing
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale USB
25/08/2016
210
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Sniffing
25/08/2016
211
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
•Sniffer Intercepter, écouter
•Ecoute et analyse du Traffic USB
•Analyse
•Comportement
•Wireshark est ton ami ☺
25/08/2016
212
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Sniffing
25/08/2016
213
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Sniffing du traffic USB ;)
25/08/2016
214
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigation USB
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale USB
25/08/2016
215
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Forensique USB
25/08/2016
216
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Analyse
• Historique des connexion USB
• Vol de documents
• Infection ☺
• Méthodologie Encore et toujours
• Bien suivre les étapes
• Le forensique peut s’effectuer sur l’USB en tant que « Disque » ou
encore une analyse sur les périphériques
25/08/2016
217
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodologie de forensique USB
Déterminer le vendeur, produit, version
Numéro de serie
VID ET PID
Nom du dispositif
GUID
Utilisateur
Historique
25/08/2016
218
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Forensique USB
25/08/2016
219
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse USB
•Méthodologie d’analyse
•Historique : Très important
25/08/2016
220
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l'Investigation
légale Mobile
Investigation légale Mobile
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
221
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction à l'Investigation légale Mobile
25/08/2016
222
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Pourquoi le mobile ?
• Quelle est la chose la plus utilisée par une personne ☺ ?
• Quel trésor qui renferme le plus d’informations ☺ ?
• Pendant ce chapitre on va pouvoir découvrir plusieurs points
• Bypass de mots de passes Point crucial
• Analyse
• Extraction de données
• iOS, Android et WindowsPhone
25/08/2016
223
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Introduction à l'Investigation légale Mobile
25/08/2016
224
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Architecture Mobile
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
25/08/2016
225
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Caractéristiques du smartphone
•Architecture d’Android
25/08/2016
226
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Une bonne compréhension de l’architecture est primordiale
pour aller « Deeper »
• Différents OS
• Dans notre cas, on va se focaliser sur l’OS mobile le plus
utilisé Android
• Architecture et composants
25/08/2016
227
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Caractéristique smartphone
• Processeur
• Mémoire
• Affichage
• Camera
• Carte réseau
• Batterie
• …
25/08/2016
228
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Système d’exploitation
25/08/2016
229
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
L’architecture d’Android
25/08/2016
8
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Publics concernés
• Pentesteur
• Consultant
• Responsables DSI
• Responsables sécurité SI
• Gendarmerie numérique
• Personne désirant apprendre de nouvelles choses ;)
25/08/2016
8
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Publics concernés
• Pentesteur
• Consultant
• Responsables DSI
• Responsables sécurité SI
• Gendarmerie numérique
• Personne désirant apprendre de nouvelles choses ;)
25/08/2016
8
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Publics concernés
• Pentesteur
• Consultant
• Responsables DSI
• Responsables sécurité SI
• Gendarmerie numérique
• Personne désirant apprendre de nouvelles choses ;)
25/08/2016
8
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Publics concernés
• Pentesteur
• Consultant
• Responsables DSI
• Responsables sécurité SI
• Gendarmerie numérique
• Personne désirant apprendre de nouvelles choses ;)
25/08/2016
234
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
IMEI
• International Mobile Equipement Identifier
• *#06#
25/08/2016
235
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
IMSI
• International mobile subscriber identity
• Numéro unique, qui permet à un réseau mobile
d'identifier un usager.
• IMSI Catchers
25/08/2016
236
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Autres informations
•Mobile Country Code (MCC)
•Mobile Network Code (MNC)
•Mobile Subscriber Identification Number (MSIN)
•Mobile Station International Subscriber Directory Number (MSISDN)
•Abbreviated Dialing Numbers (ADN)
•Last Dialed Numbers (LDN)
•Short Message Service (SMS)
•Language Preference (LP)
•Ciphering Key (Kc)
•Ciphering Key Sequence Number
•Emergency Call Code
•Fixed Dialing Numbers (FDN)
•Local Area Identity (LAI)
•Own Dialing Number
•Temporary Mobile Subscriber Identity (TMSI)
25/08/2016
237
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Carte SIM
25/08/2016
238
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•La carte SIM peut être très utile
•Faites attention aux IMSI ☺
25/08/2016
239
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus Forensique
Mobile
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
25/08/2016
240
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Qu’est ce qu’on cherche?
•Processus forensique mobile
25/08/2016
241
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• L’évolution continue de l’utilisation des smartphones en fait une cible
parfaite pour les hacker
• Malware, Scamming ou autre techniques
• Preuve parfaite
• Complexe Pas tant que ça
• Comment bien appréhender le forensique mobile ?
• Suivre une méthodologie précise
25/08/2016
242
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Qu’est ce qu’on cherche ?
25/08/2016
243
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus forensique mobile
25/08/2016
244
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Compréhension
• Structuration
• Allez droit au but
• Méthodologie
“La méthode, c'est le chemin, une fois qu'on l'a parcouru.” J.Mestre
25/08/2016
245
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Techniques
Forensique Mobile
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
25/08/2016
246
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Santoku
•Lab : Techniques Forensique Mobile
25/08/2016
247
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Nous allons consacrer cette présentation spécialement pour
les techniques forensiques mobiles
• Cela peut être des techniques d’analyse ou d’attaque
• Ne jamais oublier la méthodologie !
25/08/2016
248
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Santoku
•Distribution Linux
•Spécialisé dans le forensique mobile
•Analyse de malwares
•Analyse d’applications
•Pentest mobile
25/08/2016
9
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Connaissances requises
• Culture IT
• Avoir suivi les deux premiers niveaux
• Conseillés : Avoir suivi tous les niveaux expert
25/08/2016
250
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Techniques forensique
•Multiple flans d’attaques
•La clé La pratique ☺
25/08/2016
251
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
à la Stéganographie
Stéganographie
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
252
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Fonctionnement
•En quoi la stéganographie est elle utilisée ?
•Techniques stéganographie
•Types stéganographie
25/08/2016
253
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Techniques pour cacher un message secret au sein d’un message
ordinaire
• Transiter des informations (cryptées ou non) sans attirer l'attention
• La stéganographie date de 1499 avec le traité Steganographie publié
par TRITHEMIUS et a pris depuis diverses formes au fur et à mesure de
son évolution et de l'ingéniosité de ses utilisateurs
• Stéganographie moderne Images (format bitmap) ou les fichiers
audios
25/08/2016
254
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Fonctionnement
25/08/2016
255
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
En quoi la stéganographie est elle utilisé ?
•Malwares
•Fraude
•Communication entre terroristes
•Paiement électronique
•Authentification
25/08/2016
256
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Techniques de stéganographie
•Substitution
•Transformation
•Spectre
•Fréquence
•Distorsion
25/08/2016
257
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de stéganographie
• Image
• Audio
• Video
• Web
• Documents
• Spam/Mail
• Fréquence texte
25/08/2016
10
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité
• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des
dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza
KONDAH ni Alphorm directement ou indirectement, des usages directs
ou indirects de quelconque qui a suivi ou appliqué les techniques
enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
25/08/2016
10
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité
• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des
dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza
KONDAH ni Alphorm directement ou indirectement, des usages directs
ou indirects de quelconque qui a suivi ou appliqué les techniques
enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
25/08/2016
10
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité
• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des
dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza
KONDAH ni Alphorm directement ou indirectement, des usages directs
ou indirects de quelconque qui a suivi ou appliqué les techniques
enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
25/08/2016
10
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité
• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des
dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza
KONDAH ni Alphorm directement ou indirectement, des usages directs
ou indirects de quelconque qui a suivi ou appliqué les techniques
enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
25/08/2016
262
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Techniques de stéganographie
25/08/2016
263
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Techniques de stéganographie
•Différents types
•Enjoy =)
25/08/2016
264
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à
l’investigation des réseaux
Investigation des Réseaux
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
265
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Méthodologie du forensique réseau
25/08/2016
266
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Le forensique au niveau des réseaux consiste à identifier une activité
« criminelle »
• Utilisation de plusieurs techniques : Sniffing, Enregistrement, Analyse…
• Inspection de traffic
• Logs – IDS/NIDS
• Pouvoir récupérer un ensemble d’éléments cruciaux :
Source
Technique
Destination
25/08/2016
267
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodologie du forensique réseau
25/08/2016
268
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Introduction forensique des réseaux
•Bien comprendre la méthodologie
•Les techniques ne sont pas tout ;)
25/08/2016
269
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Les attaques réseaux
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation des Réseaux
25/08/2016
270
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Vulnérabilités réseaux
•Types de vulnérabilités
25/08/2016
271
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• La bonne compréhension des attaques est un point important pour une
bonne analyse
• « La meilleure défense est l’attaque »
• Pour une bonne efficience, il faut suivre la formation Vulnérabilités
réseaux
25/08/2016
272
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Vulnérabilités réseaux
• Vulnérabilités internes
• Bande passante
• Bottlenecks
• Vulnérabilités externes
• Sniffing
• DoS
• DDoS
25/08/2016
273
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de vulnérabilités
Spoofing Sniffing Altération MiTM SHijacking
DoS BO Trojan Malware
Virus Email Ransomware Enumération
25/08/2016
274
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Les attaques réseaux
•Les principales attaques
25/08/2016
275
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse et investigation
des réseaux
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation des Réseaux
25/08/2016
276
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Analyse et investigation des réseaux
25/08/2016
277
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Pourquoi l’investigation du réseau ?
• Identification des problèmes
• Identification d’actions malicieuses
• Localisation des attaquants
• Diverse techniques et outils (Wireshark, Sonde, AI, SIEM…)
• Identification via des IDS
25/08/2016
11
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Let’s Rock ? ☺
25/08/2016
279
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Analyse et investigation des réseaux
• Outils
• IDS
• IA
• Solution de traçabilité ☺ Balabit, Wallix …
• Bientôt des formations sur des solutions de traçabilité
25/08/2016
280
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigation des
réseaux sans fils
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Investigation des Réseaux
25/08/2016
281
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Investigation réseaux sans fils
25/08/2016
282
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• On déjà eu la chance de pouvoir parler des réseaux sans fils
• Investigation sans fils
• Détection d’attaques
• Ne jamais oublier le routeur !
25/08/2016
283
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Investigation réseaux sans fils
25/08/2016
284
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Investigation réseaux sans fils
• Attaques
• Détection
• Testez !
25/08/2016
285
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Forensic Toolkit®
(FTK®)
Autres techniques d'investigation
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
286
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : FTK
25/08/2016
287
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• FTK : Forensic Toolkit est reconnu mondialement comme
standard de forensique
• Plateforme complète, rapide, stable et efficace
• Supporte de grandes quantités de données
• Méthode de recherches avancées
• Analyse heuristique malwares
• Hash
25/08/2016
288
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : FTK
25/08/2016
289
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Découverte et exploitation des options du FTK
25/08/2016
290
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Tracking de l’email
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Autres techniques d'investigation
25/08/2016
291
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Crime via email
•Lab : Tracking de l’email
25/08/2016
292
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• L’investigation sur les emails est un des points les plus
importants
• Renferme des données essentielles
• Quand le hacker devient une cible
• Header
• Catch me if you can !
25/08/2016
293
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Crime via mail
• Crime via envoi de mail : spamming, mail bombing…
Crime supporté par le mail : Blackmailing, fraude,
usurpation d’identité..
• Anonymat
• Rapidité
• Facilité
25/08/2016
294
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Tracking mail
25/08/2016
12
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La mise en situation
de la formation
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
12
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La mise en situation
de la formation
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
12
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La mise en situation
de la formation
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
12
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La mise en situation
de la formation
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
299
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Architecture
25/08/2016
300
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Etapes de l’investigation
• Etape 1 : Localisation des logs
• Etape 2 : Compréhension des logs
• Etape 3 : Analyse des logs
IP_ADDRESS - - [Date_Time Timezone] "HTTPMETHOD /URL HTTP_VERSION" HTTP_RESPONSE_CODE HTTP_LENGHT "REFERER"
"USER AGENT"
66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-" "Mozilla/5.0
(compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-"
"Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
$ cat access-log |grep -E "wp-admin|wp-login|POST /" | more
25/08/2016
301
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•L’investigation des attaques web
•Inspection des logs des serveurs
25/08/2016
302
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Récupération des données
et fichiers supprimés
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Autres techniques d'investigation
25/08/2016
303
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Récupération des données et fichiers
supprimés
25/08/2016
304
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Pendant cette présentation, nous allons pouvoir apprendre
comment analyser les fichiers supprimés sur un disque
• Analyse des signatures et de l’historique
• Outils automatisés
• Analyse des activités récentes
25/08/2016
305
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Récupération de données et fichiers supprimés
25/08/2016
306
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Récupération des données et fichiers supprimés
•Analyse des activités récentes
25/08/2016
307
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Les rapports
d'investigation
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
25/08/2016
308
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Introduction
•Lab : Les rapports d'investigation
25/08/2016
309
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Le reporting est un des points les plus importants voir le plus important
comme on a pu le découvrir tout au long de toutes ces formations
qu’on a pu voir ensemble
• Le reporting au niveau forensique est spécial
• Le rapport compte plus que tout
• Je vais vous fournir des templates qu’on va analyser ensemble
• On va faire la construction de rapport ensemble
25/08/2016
310
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Rapports d'investigation
25/08/2016
311
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Reporting
•Template
•Outils
25/08/2016
312
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Site : http://www.alphorm.com
Blog : http://blog.alphorm.com
Hamza KONDAH
Formateur et Consultant indépendant
Microsoft MVP en Sécurité des Entreprises
Conclusion
25/08/2016
13
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Définition du forensique
•Statistiques
•Aspects de la sécurité organisationnelle
25/08/2016
314
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation
• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous
Windows
• Environnement Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques d'investigation
• Rapports d'investigation
• Conclusion
25/08/2016
315
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Objectifs de la formation
• Identifier et analyser les traces laissées lors de l’intrusion dans un
système informatique
• Collecter correctement les preuves nécessaires à des poursuites
judiciaires
• Collecter et Analyser des informations à des fins d’investigation
• Bypasser les protections : Pas que de l’analyse finalement ☺
• Tracking
• Retrouver les traces : personnes ou journaux
• Trouver les traces cachées
25/08/2016
316
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Perspectives
Perspectives
25/08/2016
317
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La Suite
• Tester vos compétences (rootme,
NewbieContest, CTF…etc)
• D’autres modules en cours de préparation
• Veille
• Pratique
• Grande surprise : CEHv9 en cours de
préparation rien que pour vous ^^
25/08/2016
318
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité
• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des
dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza
KONDAH ni Alphorm directement ou indirectement, des usages directs
ou indirects de quelconque qui a suivi ou appliqué les techniques
enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
25/08/2016
319
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Questions ? Remarques ? Critiques ?

Contenu connexe

Tendances

Alphorm.com Support de la Formation SolidWorks 2016- les fondamentaux
Alphorm.com Support de la Formation SolidWorks 2016- les fondamentauxAlphorm.com Support de la Formation SolidWorks 2016- les fondamentaux
Alphorm.com Support de la Formation SolidWorks 2016- les fondamentaux
Alphorm
 
Alphorm.com Support de la Formation Symfony 3 , les fondamentaux-ss
Alphorm.com Support de la Formation Symfony 3 , les fondamentaux-ssAlphorm.com Support de la Formation Symfony 3 , les fondamentaux-ss
Alphorm.com Support de la Formation Symfony 3 , les fondamentaux-ss
Alphorm
 
Alphorm.com support Formation Windows 10 Déploiement et administration
Alphorm.com support Formation Windows 10 Déploiement et administrationAlphorm.com support Formation Windows 10 Déploiement et administration
Alphorm.com support Formation Windows 10 Déploiement et administration
Alphorm
 
Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Imp...
Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Imp...Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Imp...
Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Imp...
Alphorm
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm
 
Alphorm.com Support de la Formation VMmware vSphere 6, La gestion du stockage
Alphorm.com Support de la Formation VMmware vSphere 6, La gestion du stockageAlphorm.com Support de la Formation VMmware vSphere 6, La gestion du stockage
Alphorm.com Support de la Formation VMmware vSphere 6, La gestion du stockage
Alphorm
 
Alphorm.com Fupport de la Formation CATIA V5 - Perfectionnement
Alphorm.com Fupport de la Formation CATIA V5 - PerfectionnementAlphorm.com Fupport de la Formation CATIA V5 - Perfectionnement
Alphorm.com Fupport de la Formation CATIA V5 - Perfectionnement
Alphorm
 
Alphorm.com support de la formation Word 2016 Initiation
Alphorm.com support de la formation Word 2016 InitiationAlphorm.com support de la formation Word 2016 Initiation
Alphorm.com support de la formation Word 2016 Initiation
Alphorm
 
Alphorm.com support de la formation Access 2016 Initiation
Alphorm.com support de la formation Access 2016 InitiationAlphorm.com support de la formation Access 2016 Initiation
Alphorm.com support de la formation Access 2016 Initiation
Alphorm
 
Alphorm.com Support de la Formation Windows 10 Troubleshooting avancé
Alphorm.com Support de la Formation Windows 10 Troubleshooting avancéAlphorm.com Support de la Formation Windows 10 Troubleshooting avancé
Alphorm.com Support de la Formation Windows 10 Troubleshooting avancé
Alphorm
 
Alphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ssAlphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm
 
Alphorm.com Formation WordPress 4
Alphorm.com Formation WordPress 4 Alphorm.com Formation WordPress 4
Alphorm.com Formation WordPress 4
Alphorm
 
Alphorm.com Formation SOPHOS XG FIREWALL, Administration
Alphorm.com Formation SOPHOS XG FIREWALL, AdministrationAlphorm.com Formation SOPHOS XG FIREWALL, Administration
Alphorm.com Formation SOPHOS XG FIREWALL, Administration
Alphorm
 
Alphorm.com Formation Windev 20 Pefectionnement
Alphorm.com Formation Windev 20 Pefectionnement Alphorm.com Formation Windev 20 Pefectionnement
Alphorm.com Formation Windev 20 Pefectionnement
Alphorm
 
Alphorm.com Support VMware vSphere 6, Le réseau virtuel
Alphorm.com Support VMware vSphere 6, Le réseau virtuelAlphorm.com Support VMware vSphere 6, Le réseau virtuel
Alphorm.com Support VMware vSphere 6, Le réseau virtuel
Alphorm
 
Alphorm.com Support de la Formation Hyper-v 2016
Alphorm.com Support de la Formation Hyper-v 2016Alphorm.com Support de la Formation Hyper-v 2016
Alphorm.com Support de la Formation Hyper-v 2016
Alphorm
 
Alphorm.com win dev-20-avance-ss
Alphorm.com win dev-20-avance-ssAlphorm.com win dev-20-avance-ss
Alphorm.com win dev-20-avance-ss
Alphorm
 
Alphorm.com Formation NodeJS, les fondamentaux
Alphorm.com Formation NodeJS, les fondamentauxAlphorm.com Formation NodeJS, les fondamentaux
Alphorm.com Formation NodeJS, les fondamentaux
Alphorm
 
Alphorm.com Formation VMware Workstation 11
Alphorm.com Formation VMware Workstation 11 Alphorm.com Formation VMware Workstation 11
Alphorm.com Formation VMware Workstation 11
Alphorm
 
Alphorm.com Support de la formation NodeJS , avancé
Alphorm.com Support de la formation NodeJS , avancé Alphorm.com Support de la formation NodeJS , avancé
Alphorm.com Support de la formation NodeJS , avancé
Alphorm
 

Tendances (20)

Alphorm.com Support de la Formation SolidWorks 2016- les fondamentaux
Alphorm.com Support de la Formation SolidWorks 2016- les fondamentauxAlphorm.com Support de la Formation SolidWorks 2016- les fondamentaux
Alphorm.com Support de la Formation SolidWorks 2016- les fondamentaux
 
Alphorm.com Support de la Formation Symfony 3 , les fondamentaux-ss
Alphorm.com Support de la Formation Symfony 3 , les fondamentaux-ssAlphorm.com Support de la Formation Symfony 3 , les fondamentaux-ss
Alphorm.com Support de la Formation Symfony 3 , les fondamentaux-ss
 
Alphorm.com support Formation Windows 10 Déploiement et administration
Alphorm.com support Formation Windows 10 Déploiement et administrationAlphorm.com support Formation Windows 10 Déploiement et administration
Alphorm.com support Formation Windows 10 Déploiement et administration
 
Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Imp...
Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Imp...Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Imp...
Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Imp...
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
 
Alphorm.com Support de la Formation VMmware vSphere 6, La gestion du stockage
Alphorm.com Support de la Formation VMmware vSphere 6, La gestion du stockageAlphorm.com Support de la Formation VMmware vSphere 6, La gestion du stockage
Alphorm.com Support de la Formation VMmware vSphere 6, La gestion du stockage
 
Alphorm.com Fupport de la Formation CATIA V5 - Perfectionnement
Alphorm.com Fupport de la Formation CATIA V5 - PerfectionnementAlphorm.com Fupport de la Formation CATIA V5 - Perfectionnement
Alphorm.com Fupport de la Formation CATIA V5 - Perfectionnement
 
Alphorm.com support de la formation Word 2016 Initiation
Alphorm.com support de la formation Word 2016 InitiationAlphorm.com support de la formation Word 2016 Initiation
Alphorm.com support de la formation Word 2016 Initiation
 
Alphorm.com support de la formation Access 2016 Initiation
Alphorm.com support de la formation Access 2016 InitiationAlphorm.com support de la formation Access 2016 Initiation
Alphorm.com support de la formation Access 2016 Initiation
 
Alphorm.com Support de la Formation Windows 10 Troubleshooting avancé
Alphorm.com Support de la Formation Windows 10 Troubleshooting avancéAlphorm.com Support de la Formation Windows 10 Troubleshooting avancé
Alphorm.com Support de la Formation Windows 10 Troubleshooting avancé
 
Alphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ssAlphorm.com Support de la Formation LPIC-1 version 4 ss
Alphorm.com Support de la Formation LPIC-1 version 4 ss
 
Alphorm.com Formation WordPress 4
Alphorm.com Formation WordPress 4 Alphorm.com Formation WordPress 4
Alphorm.com Formation WordPress 4
 
Alphorm.com Formation SOPHOS XG FIREWALL, Administration
Alphorm.com Formation SOPHOS XG FIREWALL, AdministrationAlphorm.com Formation SOPHOS XG FIREWALL, Administration
Alphorm.com Formation SOPHOS XG FIREWALL, Administration
 
Alphorm.com Formation Windev 20 Pefectionnement
Alphorm.com Formation Windev 20 Pefectionnement Alphorm.com Formation Windev 20 Pefectionnement
Alphorm.com Formation Windev 20 Pefectionnement
 
Alphorm.com Support VMware vSphere 6, Le réseau virtuel
Alphorm.com Support VMware vSphere 6, Le réseau virtuelAlphorm.com Support VMware vSphere 6, Le réseau virtuel
Alphorm.com Support VMware vSphere 6, Le réseau virtuel
 
Alphorm.com Support de la Formation Hyper-v 2016
Alphorm.com Support de la Formation Hyper-v 2016Alphorm.com Support de la Formation Hyper-v 2016
Alphorm.com Support de la Formation Hyper-v 2016
 
Alphorm.com win dev-20-avance-ss
Alphorm.com win dev-20-avance-ssAlphorm.com win dev-20-avance-ss
Alphorm.com win dev-20-avance-ss
 
Alphorm.com Formation NodeJS, les fondamentaux
Alphorm.com Formation NodeJS, les fondamentauxAlphorm.com Formation NodeJS, les fondamentaux
Alphorm.com Formation NodeJS, les fondamentaux
 
Alphorm.com Formation VMware Workstation 11
Alphorm.com Formation VMware Workstation 11 Alphorm.com Formation VMware Workstation 11
Alphorm.com Formation VMware Workstation 11
 
Alphorm.com Support de la formation NodeJS , avancé
Alphorm.com Support de la formation NodeJS , avancé Alphorm.com Support de la formation NodeJS , avancé
Alphorm.com Support de la formation NodeJS , avancé
 

En vedette

Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-filsAlphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm
 
Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 II
Alphorm
 
Alphorm.com Formation Security+ 2/2 partie 1
Alphorm.com Formation Security+ 2/2 partie 1Alphorm.com Formation Security+ 2/2 partie 1
Alphorm.com Formation Security+ 2/2 partie 1
Alphorm
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm
 
alphorm.com - Formation VMware PowerCLI 5.0
alphorm.com - Formation VMware PowerCLI 5.0alphorm.com - Formation VMware PowerCLI 5.0
alphorm.com - Formation VMware PowerCLI 5.0
Alphorm
 
Fortinet UTM - les Fonctionnalités avancéese
Fortinet UTM - les Fonctionnalités avancéeseFortinet UTM - les Fonctionnalités avancéese
Fortinet UTM - les Fonctionnalités avancéese
Alphorm
 
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certificationAlphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
Alphorm
 
Alphorm.com Formation Scripting Bash avancé pour GNU/Linux
Alphorm.com   Formation Scripting Bash avancé pour GNU/LinuxAlphorm.com   Formation Scripting Bash avancé pour GNU/Linux
Alphorm.com Formation Scripting Bash avancé pour GNU/Linux
Alphorm
 
Alphorm.com Support de la Formation Adobe-Illustrator CC , Découverte du vect...
Alphorm.com Support de la Formation Adobe-Illustrator CC , Découverte du vect...Alphorm.com Support de la Formation Adobe-Illustrator CC , Découverte du vect...
Alphorm.com Support de la Formation Adobe-Illustrator CC , Découverte du vect...
Alphorm
 
Alphorm.com Support de la formation JavaScript les fondamentaux
Alphorm.com Support de la formation JavaScript les fondamentauxAlphorm.com Support de la formation JavaScript les fondamentaux
Alphorm.com Support de la formation JavaScript les fondamentaux
Alphorm
 
Alphorm.com Formation Docker (2/2) - Administration Avancée
Alphorm.com Formation Docker (2/2) - Administration Avancée Alphorm.com Formation Docker (2/2) - Administration Avancée
Alphorm.com Formation Docker (2/2) - Administration Avancée
Alphorm
 
Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm.com Formation Excel 2016 Expert I - partie 1Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm
 
Alphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm.com support Formation OneNote 2016 Prise de notes professionnellesAlphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm
 
Alphorm.com Formation MOS Excel 2013(77-420)
Alphorm.com Formation MOS Excel 2013(77-420)Alphorm.com Formation MOS Excel 2013(77-420)
Alphorm.com Formation MOS Excel 2013(77-420)
Alphorm
 
Alphorm.com Formation ETL Talend Open Studio (1/2) - Les fondamentaux
Alphorm.com Formation ETL Talend Open Studio (1/2) - Les fondamentauxAlphorm.com Formation ETL Talend Open Studio (1/2) - Les fondamentaux
Alphorm.com Formation ETL Talend Open Studio (1/2) - Les fondamentaux
Alphorm
 
Alphorm.com support AutoCAD 2016, atelier mécanique
Alphorm.com support AutoCAD 2016, atelier mécanique Alphorm.com support AutoCAD 2016, atelier mécanique
Alphorm.com support AutoCAD 2016, atelier mécanique
Alphorm
 
Alphorm.com support Formation AutoCAD 2016 atelier architectural-ss
Alphorm.com support Formation AutoCAD 2016 atelier architectural-ssAlphorm.com support Formation AutoCAD 2016 atelier architectural-ss
Alphorm.com support Formation AutoCAD 2016 atelier architectural-ss
Alphorm
 
Alphorm.com Support de la Formation Inventor 2017 les fondamentaux
Alphorm.com Support de la Formation  Inventor 2017 les fondamentaux Alphorm.com Support de la Formation  Inventor 2017 les fondamentaux
Alphorm.com Support de la Formation Inventor 2017 les fondamentaux
Alphorm
 
Alphorm.com Support Formation AutoCAD 2016 3D
Alphorm.com Support Formation AutoCAD 2016 3DAlphorm.com Support Formation AutoCAD 2016 3D
Alphorm.com Support Formation AutoCAD 2016 3D
Alphorm
 
Alphorm.com Support de la formation AutoCAD 2016, perfectionnement
Alphorm.com Support de la formation AutoCAD 2016, perfectionnementAlphorm.com Support de la formation AutoCAD 2016, perfectionnement
Alphorm.com Support de la formation AutoCAD 2016, perfectionnement
Alphorm
 

En vedette (20)

Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-filsAlphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
 
Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 II
 
Alphorm.com Formation Security+ 2/2 partie 1
Alphorm.com Formation Security+ 2/2 partie 1Alphorm.com Formation Security+ 2/2 partie 1
Alphorm.com Formation Security+ 2/2 partie 1
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
 
alphorm.com - Formation VMware PowerCLI 5.0
alphorm.com - Formation VMware PowerCLI 5.0alphorm.com - Formation VMware PowerCLI 5.0
alphorm.com - Formation VMware PowerCLI 5.0
 
Fortinet UTM - les Fonctionnalités avancéese
Fortinet UTM - les Fonctionnalités avancéeseFortinet UTM - les Fonctionnalités avancéese
Fortinet UTM - les Fonctionnalités avancéese
 
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certificationAlphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
Alphorm.com Formation Certified Network Defender 1/2 : Réussir la certification
 
Alphorm.com Formation Scripting Bash avancé pour GNU/Linux
Alphorm.com   Formation Scripting Bash avancé pour GNU/LinuxAlphorm.com   Formation Scripting Bash avancé pour GNU/Linux
Alphorm.com Formation Scripting Bash avancé pour GNU/Linux
 
Alphorm.com Support de la Formation Adobe-Illustrator CC , Découverte du vect...
Alphorm.com Support de la Formation Adobe-Illustrator CC , Découverte du vect...Alphorm.com Support de la Formation Adobe-Illustrator CC , Découverte du vect...
Alphorm.com Support de la Formation Adobe-Illustrator CC , Découverte du vect...
 
Alphorm.com Support de la formation JavaScript les fondamentaux
Alphorm.com Support de la formation JavaScript les fondamentauxAlphorm.com Support de la formation JavaScript les fondamentaux
Alphorm.com Support de la formation JavaScript les fondamentaux
 
Alphorm.com Formation Docker (2/2) - Administration Avancée
Alphorm.com Formation Docker (2/2) - Administration Avancée Alphorm.com Formation Docker (2/2) - Administration Avancée
Alphorm.com Formation Docker (2/2) - Administration Avancée
 
Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm.com Formation Excel 2016 Expert I - partie 1Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm.com Formation Excel 2016 Expert I - partie 1
 
Alphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm.com support Formation OneNote 2016 Prise de notes professionnellesAlphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm.com support Formation OneNote 2016 Prise de notes professionnelles
 
Alphorm.com Formation MOS Excel 2013(77-420)
Alphorm.com Formation MOS Excel 2013(77-420)Alphorm.com Formation MOS Excel 2013(77-420)
Alphorm.com Formation MOS Excel 2013(77-420)
 
Alphorm.com Formation ETL Talend Open Studio (1/2) - Les fondamentaux
Alphorm.com Formation ETL Talend Open Studio (1/2) - Les fondamentauxAlphorm.com Formation ETL Talend Open Studio (1/2) - Les fondamentaux
Alphorm.com Formation ETL Talend Open Studio (1/2) - Les fondamentaux
 
Alphorm.com support AutoCAD 2016, atelier mécanique
Alphorm.com support AutoCAD 2016, atelier mécanique Alphorm.com support AutoCAD 2016, atelier mécanique
Alphorm.com support AutoCAD 2016, atelier mécanique
 
Alphorm.com support Formation AutoCAD 2016 atelier architectural-ss
Alphorm.com support Formation AutoCAD 2016 atelier architectural-ssAlphorm.com support Formation AutoCAD 2016 atelier architectural-ss
Alphorm.com support Formation AutoCAD 2016 atelier architectural-ss
 
Alphorm.com Support de la Formation Inventor 2017 les fondamentaux
Alphorm.com Support de la Formation  Inventor 2017 les fondamentaux Alphorm.com Support de la Formation  Inventor 2017 les fondamentaux
Alphorm.com Support de la Formation Inventor 2017 les fondamentaux
 
Alphorm.com Support Formation AutoCAD 2016 3D
Alphorm.com Support Formation AutoCAD 2016 3DAlphorm.com Support Formation AutoCAD 2016 3D
Alphorm.com Support Formation AutoCAD 2016 3D
 
Alphorm.com Support de la formation AutoCAD 2016, perfectionnement
Alphorm.com Support de la formation AutoCAD 2016, perfectionnementAlphorm.com Support de la formation AutoCAD 2016, perfectionnement
Alphorm.com Support de la formation AutoCAD 2016, perfectionnement
 

Similaire à Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigation Numérique

Alphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 I
Alphorm
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
 
Alphorm.com Microsoft AZURE
Alphorm.com Microsoft AZUREAlphorm.com Microsoft AZURE
Alphorm.com Microsoft AZURE
Alphorm
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 
[SEO Camp'Us] Piratage & SEO : savoir réagir
[SEO Camp'Us] Piratage & SEO : savoir réagir[SEO Camp'Us] Piratage & SEO : savoir réagir
[SEO Camp'Us] Piratage & SEO : savoir réagir
One Clic Conseil
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Christophe Pekar
 
Alphorm.com Support de la Formation Artlantis 6
Alphorm.com Support de la Formation Artlantis 6Alphorm.com Support de la Formation Artlantis 6
Alphorm.com Support de la Formation Artlantis 6
Alphorm
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
Alphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentauxAlphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm
 
Alphorm.com Support de la formation SolidWorks 2016 - Perfectionnement
Alphorm.com Support de la formation SolidWorks 2016 - PerfectionnementAlphorm.com Support de la formation SolidWorks 2016 - Perfectionnement
Alphorm.com Support de la formation SolidWorks 2016 - Perfectionnement
Alphorm
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
Lexing - Belgium
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
Agoralink
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
Lexing - Belgium
 
2009-10-13 Louis Martin Génie logiciel - Développement agile en gestion de pr...
2009-10-13 Louis Martin Génie logiciel - Développement agile en gestion de pr...2009-10-13 Louis Martin Génie logiciel - Développement agile en gestion de pr...
2009-10-13 Louis Martin Génie logiciel - Développement agile en gestion de pr...
PMI Lévis-Québec
 

Similaire à Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigation Numérique (15)

Alphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 I
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Alphorm.com Microsoft AZURE
Alphorm.com Microsoft AZUREAlphorm.com Microsoft AZURE
Alphorm.com Microsoft AZURE
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
[SEO Camp'Us] Piratage & SEO : savoir réagir
[SEO Camp'Us] Piratage & SEO : savoir réagir[SEO Camp'Us] Piratage & SEO : savoir réagir
[SEO Camp'Us] Piratage & SEO : savoir réagir
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
 
Programme_21.09.
Programme_21.09.Programme_21.09.
Programme_21.09.
 
Alphorm.com Support de la Formation Artlantis 6
Alphorm.com Support de la Formation Artlantis 6Alphorm.com Support de la Formation Artlantis 6
Alphorm.com Support de la Formation Artlantis 6
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Alphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentauxAlphorm.com Support Formation SCOM 2012 R2, les fondamentaux
Alphorm.com Support Formation SCOM 2012 R2, les fondamentaux
 
Alphorm.com Support de la formation SolidWorks 2016 - Perfectionnement
Alphorm.com Support de la formation SolidWorks 2016 - PerfectionnementAlphorm.com Support de la formation SolidWorks 2016 - Perfectionnement
Alphorm.com Support de la formation SolidWorks 2016 - Perfectionnement
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
2009-10-13 Louis Martin Génie logiciel - Développement agile en gestion de pr...
2009-10-13 Louis Martin Génie logiciel - Développement agile en gestion de pr...2009-10-13 Louis Martin Génie logiciel - Développement agile en gestion de pr...
2009-10-13 Louis Martin Génie logiciel - Développement agile en gestion de pr...
 

Plus de Alphorm

Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm
 
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm
 
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : SécuritéAlphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm
 
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm
 
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm
 
Alphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion CommercialeAlphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion Commerciale
Alphorm
 
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm
 
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm
 
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm
 
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm
 
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm
 
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm
 
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm
 
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm
 
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm
 
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBootAlphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm
 
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm
 
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm
 

Plus de Alphorm (20)

Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
 
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
 
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : SécuritéAlphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
 
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
 
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
 
Alphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion CommercialeAlphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion Commerciale
 
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
 
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
 
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
 
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
 
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
 
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POO
 
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
 
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
 
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBootAlphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
 
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
 
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
 

Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigation Numérique

  • 1. 25/08/2016 1 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Hacking & Sécurité, Expert : Module : Les sciences forensiques: L’investigation numérique
  • 2. 25/08/2016 2 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Présentation du formateur • Mes formations sur Alphorm • Le plan de formation • Objectifs de la formation • Publics concernés • Connaissances requises • Liens utiles
  • 3. 25/08/2016 2 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Présentation du formateur • Mes formations sur Alphorm • Le plan de formation • Objectifs de la formation • Publics concernés • Connaissances requises • Liens utiles
  • 4. 25/08/2016 4 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Mes formations sur Alphorm
  • 5. 25/08/2016 5 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Hacking & Sécurité Réseaux sans fils Reconnaissance & Scanning Vulnérabilités web Vulnérabilités applicatifs Metasploit Exploitation Forensics Mobile Reporting Mise en situation Contre mesures Reverse Engineering Vulnérabilité réseaux
  • 6. 25/08/2016 6 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan de la formation • Introduction à la formation • Les sciences Forensiques • Investigation légale sous Windows • Investigation légale sous Linux • Investigation légale USB • Investigation légale Mobile • Stéganographie • Investigation Réseaux • Autres techniques d'investigation • Rapports d'investigation • Conclusion
  • 7. 25/08/2016 7 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Objectifs de la formation • Identifier et analyser les traces laissées lors de l’intrusion dans un système informatique • Collecter correctement les preuves nécessaires à des poursuites judiciaires • Collecter et Analyser des informations à des fins d’investigation • Bypasser les protections : Pas que de l’analyse finalement ☺ • Tracking • Retrouver les traces : personnes ou journaux • Trouver les traces cachées
  • 8. 25/08/2016 8 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Publics concernés • Pentesteur • Consultant • Responsables DSI • Responsables sécurité SI • Gendarmerie numérique • Personne désirant apprendre de nouvelles choses ;)
  • 9. 25/08/2016 9 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Connaissances requises • Culture IT • Avoir suivi les deux premiers niveaux • Conseillés : Avoir suivi tous les niveaux expert
  • 10. 25/08/2016 10 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Déclinaison de responsabilité • Cette formation a pour objectif de vous sensibiliser sur les failles de vos SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral. • En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation. • On vous enseigne comment protéger et pas comment nuire aux autres.
  • 11. 25/08/2016 11 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Let’s Rock ? ☺
  • 12. 25/08/2016 12 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© La mise en situation de la formation Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 13. 25/08/2016 13 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Définition du forensique •Statistiques •Aspects de la sécurité organisationnelle
  • 14. 25/08/2016 14 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Définition du forensique • Le forensique consiste à appliquer la science (dans ce cas, des techniques informatisés) pour des fins de recherches légales suite à un incident ou crime. • Méthodologie de techniques et procédures pour la récupération de preuves • Investigation • Preuves légalement valides • Orientation Ethique • Techniques utilisées par les Hackers
  • 15. 25/08/2016 15 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Statistiques
  • 16. 25/08/2016 16 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Aspects de la sécurité organisationnelle Sécurité IT • Application, Antivirus, Réseaux … Sécurité Physique • Personnes physique, Sécurité biométrique … Sécurité Financière • Fraude, Botnets, Phishing Sécurité Légale • Sécurité nationale, Copyright …
  • 17. 25/08/2016 17 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Mise en situation par rapport au forensique •Définitions •Vue globale •Maintenant passons aux détails ☺
  • 18. 25/08/2016 18 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Forensique des temps modernes Introduction à la formation Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 19. 25/08/2016 19 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • Historique • Objectifs du forensique • Pourquoi on a besoin du forensique? • Cyber crime • Types de cyber crime
  • 20. 25/08/2016 20 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Une évolution rapide • Une nécessité par rapport à l’afflue des cyber crimes • Techniques utilisées par les hackers • Centre SOC • Analyse temps réel • Menaces inconnues Le forensique devient dès lors une nécessité au sein des grandes structures
  • 21. 25/08/2016 21 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Historique 1984 • Computer Analysis and Response Team (CART) • Assistance FBI 1993 • Première conférence sur les preuves informatiques 1995 • International Organization on Computer Evidence (IOCE) 1998 • International Forensic Science Symposium (IFSS) 2000 • FBI Regional Computer Forensic Laboratory (RCFL)
  • 22. 25/08/2016 3 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Présentation du formateur Kondah Hamza • Kondah.hamza@gmail.com • Consultant & Chercheur en Sécurité informatique • Microsoft MVP en sécurité des entreprises • Conférencier • Mes références : Mon profil LinkedIn : https://ma.linkedin.com/in/kondah Mon profil Microsoft MVP : https://mvp.microsoft.com/en-us/PublicProfile/5000286?fullName=Kondah Hamza Mon Site Web : http://www.kondah.com Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah
  • 23. 25/08/2016 23 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Pourquoi on a besoin du forensique ? Protéger une organisation Tracking Disposition de preuves Préserver l’intégrité Préserver le bon fonctionnement du SI Arrêter une attaque silencieuse
  • 24. 25/08/2016 24 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Cyber crime • Terme désigné pour définir une activité criminelle où les ordinateurs et les réseaux sont utilisés comme des outils pour cette dernière • Crime où la machine contient les preuves nécessaires • Ceci n’est pas une liste exhaustive • accidentel et non accidentel • Challenges Rapidité + Anonymat + Nature de la preuve • La menace peut être interne comme externe
  • 25. 25/08/2016 25 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Types de cyber crime • Cyber Stalking • Phishing • Spoofing • Fraude • Email Bombing • Malwares Meilleur exemple : Cryptolocker • DoS
  • 26. 25/08/2016 26 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Evolution des temps modernes •Cyber crime •Pourquoi on a besoin du forensique? •Compréhension •Orientation
  • 27. 25/08/2016 27 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction au chapitre sur les sciences forensiques Les sciences Forensiques Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 28. 25/08/2016 28 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • Recherches
  • 29. 25/08/2016 29 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • En vue de l’évolution continue des techniques de cyber attaques, les sciences forensiques sont devenues une obligation • Aussi bien pour des institutions judiciaires que pour les centres SOC en passant par les entreprises qui ont une activité orientée digitale • Etude de cas : Fraude • Institution étatique : A ne pas discuter ☺ • Analyse de malware • La bulle smartphone
  • 30. 25/08/2016 30 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Recherches
  • 31. 25/08/2016 31 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Introduction au chapitre sur les sciences forensiques
  • 32. 25/08/2016 32 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Processus de forensique Les sciences Forensiques Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 33. 25/08/2016 33 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • Investigation de crime informatique • Avant l’investigation • Construire un lab • Structurer son équipe • Revoir les lois • Remonter l’information • Analyse du risque • Construire sa boite à outils • Méthodologie d’investigation
  • 34. 25/08/2016 34 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Approche méthodologique • Il faut obligatoirement structurer son approche • Le processus de forensique qu’on va découvrir est une vue globale et générale et peut être customisé selon votre situation, approche et besoin.
  • 35. 25/08/2016 35 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Investigation de crime informatique Déterminer si un incident a eu lieu Trouver et interpréter les évidences Conduire une recherche de preuves Recherche et analyse de l’équipement Collecte des preuves
  • 36. 25/08/2016 36 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Avant l’investigation • Construire un lab • Structurer son équipe • Revoir les lois • Remonter l’information • Analyse du risque • Construire sa boite à outils • Définir la méthodologie
  • 37. 25/08/2016 37 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Construire un lab • Définition des besoins • Benchmarking • Doit comporter quelques points importants : Duplication des disques Analyse des fichiers Support USB Isolation
  • 38. 25/08/2016 38 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Structurer son équipe • L’équipe doit contenir le moins de personnes possibles • Définir la personne responsable de la réactivité face à un incident • Suivis ( SCRUM ) • Définir les responsabilités et partenariat externe (Expert, Fiduciaire, Analyse d’incident, Chef d’équipe) • Définir le « Lead »
  • 39. 25/08/2016 39 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Revoir les lois • Comprendre les lois en vigueur • Lois concernées : CCPA,CCPA,PATRIOT ACT … • Meilleures pratiques • Confidentialité
  • 40. 25/08/2016 40 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Analyse du risque • Identification de l’incident et de la cause • Classifier le risque • Déterminer les dégâts Dans ce cas, on peut définir des plans de recovery pour d’éventuels nouveaux dégâts • Déterminer la surface affectée • Arrêter la communication selon la surface affectée
  • 41. 25/08/2016 41 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Construire sa boite à outils
  • 42. 25/08/2016 4 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Mes formations sur Alphorm
  • 43. 25/08/2016 43 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Processus d’investigation • Etapes élémentaires • Customisation • Récursivité • Bien penser sa stratégie (aussi bien structurer le personnel, moyenne ou grande)
  • 44. 25/08/2016 44 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Preuve Digitale Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Les sciences Forensiques
  • 45. 25/08/2016 45 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • Obstacles • Pourquoi ce besoin ? • Caractéristiques • Approche Anti-Digital Forensics (ADF) • Lab : Disposition ADF
  • 46. 25/08/2016 46 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Preuve digitale dites vous ? • Qu’elles sont ces types de données ? • N’importe qu’elle information avec une valeur approbative • Extraction d’informations, duplication de données etc … Enregistrement Logs Emails Word et compagnie
  • 47. 25/08/2016 47 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Obstacles • Preuves non formalisées • Données altérées • Ambiguïté • Tout est relatif !
  • 48. 25/08/2016 48 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Pourquoi ce besoin ? • Etablir des liens • Principe de Locards «Anyone or Anything,entering a crime scene takes something of the scene with them ,and leaves something of themeselves behind when they leave » • Un exemple me dites vous ?
  • 49. 25/08/2016 49 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Caractéristiques • Admissible • Authentique • Complète • Compréhensible • Pas de doute ! • Différentiation des types : Volatile, Non volatile, Transitoire ,Fragile • Pensez processus d’examination de preuves
  • 50. 25/08/2016 50 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Approche Anti-Digital Forensics (ADF) • Approche pour manipuler et exploiter les données • Rend l’analyse forensique difficile , longue et quasi impossible • Pourquoi une approche pareille ? • Un hacker peut aussi bien exploiter une analyse contre vous ☺ • Comme quoi on joue sur les deux flans ☺ Wiping Exploitation Bugs Obfuscation Cacher les données
  • 51. 25/08/2016 51 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Disposition ADF
  • 52. 25/08/2016 52 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Preuve digitale •Caractéristiques •Approche ADF
  • 53. 25/08/2016 53 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Procédure “First Responder” Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Les sciences Forensiques
  • 54. 25/08/2016 54 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Rôles du First Responder •La volatilité … Pourquoi ? •Mise en Situation
  • 55. 25/08/2016 55 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Qu’est ce qu’un « First Responder » • Le premier arrivé sur la scène du crime Le système • Administrateur réseau ou responsable de la sécurité du SI … • Ensemble de responsabilités • Rôle primordial • C’est aussi un ensemble d’outils • Pourquoi ? Une meilleure compréhension + Bonne Analyse + Output
  • 56. 25/08/2016 56 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Rôles du First Responder Identifier les faits Protéger le système (Isolation) Préserver les preuves ( Les Logs par exemples) Collection des différentes informations * Smartphones * Cartes * USB * Ordinateurs * Disques durs Etiqueter les différents éléments (Checklist , Permissions etc… ) Possibilité de déplacer les différents éléments
  • 57. 25/08/2016 57 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© La volatilité … Pourquoi ? Registres, Cache Table de Routage, Kernel, Mémoire Fichiers temporaire s Disques Durs Monitoring Configurati on physique et réseau Archive Media
  • 58. 25/08/2016 58 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Mise en Situation • Si l’ordinateur est allumé : Enregistrer les programmes en cours Photographier la scène Ne rien toucher ! • Si l’ordinateur est éteint : Surtout pas l’allumer • Cas Réseau : Enlever le câble réseau du routeur/switch Identifier les machines connectées « Directement » Enlever les différents câbles
  • 59. 25/08/2016 59 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Procédure First Responder •Etape Cruciale •Je souligne procédure !
  • 60. 25/08/2016 60 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Préparation du Lab Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Les sciences Forensiques
  • 61. 25/08/2016 61 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • Comment planifier la mise en place de son Lab ? • Types d’investigations • Choix Hardware • Choix Software • Architecture • Lab : Mise en Place du Lab
  • 62. 25/08/2016 62 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Votre lab est votre ami ! • Il faut bien penser sa stratégie par rapport à l’instauration de votre lab • Le budget est aussi un point primordial dans votre stratégie et « selon vos besoins » Il existe plusieurs moyens vous permettant d’automatiser Parfois la faciliter • Si vous êtes professionnel Pensez sécurité physique de votre lab
  • 63. 25/08/2016 5 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Hacking & Sécurité Réseaux sans fils Reconnaissance & Scanning Vulnérabilités web Vulnérabilités applicatifs Metasploit Exploitation Forensics Mobile Reporting Mise en situation Contre mesures Reverse Engineering Vulnérabilité réseaux
  • 64. 25/08/2016 5 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Hacking & Sécurité Réseaux sans fils Reconnaissance & Scanning Vulnérabilités web Vulnérabilités applicatifs Metasploit Exploitation Forensics Mobile Reporting Mise en situation Contre mesures Reverse Engineering Vulnérabilité réseaux
  • 65. 25/08/2016 65 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Choix Hardware
  • 66. 25/08/2016 66 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Choix Software • Identifier les besoins • Analyse d’images • Logiciel d’analyse de fichiers et de documents • Logiciel de monitoring • Analyse de la mémoire • Logiciel de conversion • Utilitaires de Sécurité
  • 67. 25/08/2016 67 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Architecture
  • 68. 25/08/2016 68 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Mise en Place du Lab
  • 69. 25/08/2016 69 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Compréhension de l’importance du lab •Structuration des objectifs •Mise en place des éléments de base de notre lab
  • 70. 25/08/2016 70 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Acquisition des données Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Les sciences Forensiques
  • 71. 25/08/2016 71 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • Format d’acquisition • Pourquoi créer une image? • Méthodes d’acquisition • Données volatiles
  • 72. 25/08/2016 72 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • L’acquisition des données est le processus de récupération d’images • Obtention des informations d’un équipement digital • Il existe deux types d’acquisitions : 1. Statique 2. Temps réel • Sécurisation et collecte d’information ! Ne jamais oublier les procédures forensiques Combinaison d’outils Réseau, Périphériques, Boards
  • 73. 25/08/2016 73 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Format d’ acquisition • Il existe trois formats d’acquisitions : 1. RAW 2. Propriétaire 3. AFF : Advanced Forensics Format
  • 74. 25/08/2016 74 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Pourquoi créer une image ? • La scène du crime doit être protégée • Préserver les preuves originales • Altération • Perte • Pas de one shot
  • 75. 25/08/2016 75 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Méthodes d’acquisition • Bit-Stream Image • Bit-Stream Disque • Acquisition logique • Quoi choisir ? Selon vos besoins ☺ Et votre budget surtout
  • 76. 25/08/2016 76 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Données volatiles • L’acquisition de données volatile est extrêmement importante • Données hors prix • Processus • Mots de passes • Ims • Trojans
  • 77. 25/08/2016 77 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Acquisition de données • Prochaine étape ?
  • 78. 25/08/2016 78 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction à l'investigation légale sous Windows Investigation légale sous Windows Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 79. 25/08/2016 79 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction à l’investigation légale sous Windows
  • 80. 25/08/2016 80 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • L’investigation sous Windows est l’un des points les plus nécessaires • Une bonne compréhension des systèmes de fichiers est nécessaire • Windows reste l’OS le plus accessible et donc le plus utilisé dans le marché • Lors de ce chapitre on va essayer d’approfondir nos connaissances pour l’analyse d’images acquises lors du chapitre précédents. • De l’analyse mais aussi de l’attaque ! • Extraction de données massives ☺
  • 81. 25/08/2016 81 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Introduction à l'investigation légale sous Windows
  • 82. 25/08/2016 82 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Systèmes de fichiers Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Windows
  • 83. 25/08/2016 83 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • NTFS • Avantages NTFS • Lab : Systèmes de fichiers
  • 84. 25/08/2016 84 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • FAT : File Allocation Table FAT12 FAT16 FAT 32 • Depuis le DOS • Table d’allocations • Standard simple et robuste
  • 85. 25/08/2016 85 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© NTFS • NTFS est le système de fichiers standard de Windows NT, y compris ses versions ultérieures de Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 et Windows 8 et 10. • Le NTFS est destiné à être utilisé sur des lecteurs avec le système Windows (disques durs et SSD). • NTFS dispose de plusieurs améliorations par rapport au FAT, telles que l'amélioration du support des métadonnées et l'utilisation de structures de données avancées pour améliorer la performance, la fiabilité et de l'utilisation de l'espace disque, ainsi que d'autres extensions telles que la sécurité des listes de contrôle d'accès et de système de fichiers journalisé.
  • 86. 25/08/2016 86 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Avantages NTFS • Compression • Cryptage • Autorisations d'accès et niveaux de permissions aux répertoires et aux fichiers • Gestion de quotas de disque • Points de montage • Stockage étendu (partitions de plus de 2 TO). • Fichier de grande taille (jusqu'à la taille de la partition entière au lieu d'un maximum de 4 GO en FAT32) • Sécurité • Fiabilité • Performances
  • 87. 25/08/2016 87 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab:Systèmes de fichiers
  • 88. 25/08/2016 88 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Systèmes de fichiers •NTFS •Windows
  • 89. 25/08/2016 89 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Création d'une image Investigation légale sous Windows Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 90. 25/08/2016 90 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Création d’une image
  • 91. 25/08/2016 91 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • La création d’image est une des étapes les plus cruciales • Utilisation d’outils professionnels ou bien d’applications dédié • Mémoire ou bien disque • Copie dans un disque dur en mode read only • Disque dur Backup
  • 92. 25/08/2016 92 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Création d’une image
  • 93. 25/08/2016 93 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Création d’une image sous windows
  • 94. 25/08/2016 94 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Collecte d'information volatile Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Windows
  • 95. 25/08/2016 95 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • Lab : Collecte d’information volatile
  • 96. 25/08/2016 96 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • La collecte d’informations volatiles est un des points les plus importants du processus de forensique • Les informations volatiles sont souvent ceux qui ont le plus de valeurs • Exemple d’informations : Interfaces réseaux Services Processus Presse papier …
  • 97. 25/08/2016 97 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Collecte d’information volatile
  • 98. 25/08/2016 98 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Collecte d’information volatile •Outils •Que faire ? Astuce : Netcat
  • 99. 25/08/2016 99 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Analyse de la mémoire Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Windows
  • 100. 25/08/2016 100 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • Structure • Volatility Framework • Lab : Analyse de la mémoire
  • 101. 25/08/2016 101 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Le dump de la mémoire contient des informations capables de retracer la véritable cause d’une panne ou les traces d’un hacker etc… • Cela permet aussi de récupérer les différentes informations cités dans les vidéos précédentes : Réseau, Logs … • L’analyse de la mémoire qu’on va découvrir se base sur l’exploitation d’une image acquise via les méthodes citées dans la vidéos précédente •
  • 102. 25/08/2016 102 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Structure
  • 103. 25/08/2016 103 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Volatility Framework • Collection d’outils • Python • Extraction de la mémoire • Dump de la RAM • Plateforme recherche forensique • Puissant, précis et rapide
  • 104. 25/08/2016 104 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Systèmes d’exploitations supportés
  • 105. 25/08/2016 105 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Analyse de la mémoire
  • 106. 25/08/2016 106 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Analyse •Structuration •Attaque ☺
  • 107. 25/08/2016 107 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Analyse des registres Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Windows
  • 108. 25/08/2016 108 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Analyse des registres
  • 109. 25/08/2016 109 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Un administrateur peut interagir avec les registres à travers des programmes intermédiaires • Interface GUI : Regedit.exe • 7 pincipaux dossiers
  • 110. 25/08/2016 110 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Analyse des registres
  • 111. 25/08/2016 111 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Importance des registres •Navigation •Exploitation
  • 112. 25/08/2016 112 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Navigateurs : La mine d'or Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Windows
  • 113. 25/08/2016 113 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Navigateurs : La mine d'or
  • 114. 25/08/2016 114 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Les navigateurs peuvent contenir toutes les informations nécessaires pour retracer l’activité d’un hacker, victime, ou autre • Les fichiers parlent tous seuls ☺ • Possibilité d’utilisation d’outils automatisés • Pour les fans de Meterpreter Modules intégrés
  • 115. 25/08/2016 115 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Forensique navigateurs
  • 116. 25/08/2016 116 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Navigateurs : La mine d'or •Techniques forensiques navigateurs
  • 117. 25/08/2016 117 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Hash Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Windows
  • 118. 25/08/2016 118 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Hash
  • 119. 25/08/2016 119 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • L'algorithme MD5, pour Message Digest 5, est une fonction de hachage cryptographique • Permet d'obtenir l'empreinte numérique d'un fichier. • L'utilisation de cette fonction de hachage dans les signatures numériques peut conduire à de multiples scénarios d'attaque et n'est plus considérée comme un composant fiable de l'infrastructure à clés publiques. • Le calcul de la « signature » d'un fichier reste plutôt fiable, même si l'on ne peut pas assurer qu'il y a une unicité entre l'empreinte calculée et le fichier ou message source
  • 120. 25/08/2016 120 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Hash
  • 121. 25/08/2016 121 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Notion de hash •Importance Hash •Calcul Hash
  • 122. 25/08/2016 122 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Métadonnées Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Windows
  • 123. 25/08/2016 123 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Types de Métadonnées •Lab : Métadonnées
  • 124. 25/08/2016 124 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Le mot signifie proprement « donnée de/à propos de donnée ») • Une donnée servant à définir ou décrire une autre donnée quelle que soit son support • Exemple : Nom d’auteur, nom du réseau, Objets OLE… • Importance : Informations cachées à propos du document Qui tente de supprimer, cacher ou altérer les données Corrélation
  • 125. 25/08/2016 125 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Types de Métadonnées • Il existe trois types de métadonnées : Métadonnées Descriptives Métadonnées Structurelles Métadonnées Administratives
  • 126. 25/08/2016 126 Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
  • 127. 25/08/2016 127 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Métadonnées
  • 128. 25/08/2016 128 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Définition •Importance •Pratique ☺
  • 129. 25/08/2016 129 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Logs Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Windows
  • 130. 25/08/2016 130 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Ce qu’on va découvrir? •Lab : Logs
  • 131. 25/08/2016 131 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Les journaux contiennent une variété d’informations journalières • Quelques informations sont automatiquement récoltées • Evènements • Important • Accès simple
  • 132. 25/08/2016 132 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on va découvrir • Structure de données des logs • Analyse des logs • Firewall • Système • Protocoles (FTP,HTTP …)
  • 133. 25/08/2016 133 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Logs
  • 134. 25/08/2016 134 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Utilité des Logs •Exploitation des logs pour des fins forensiques
  • 135. 25/08/2016 135 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Bypasser les mots de passe Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Windows
  • 136. 25/08/2016 136 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Bypasser les mots de passe
  • 137. 25/08/2016 137 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Une fois l’ordinateur récupéré, On peut avoir un obstacle assez sérieux • Le mot de passe de la session ! • Les criminels (Hackers ou autres) oublient soudainement les mots de passe ☺ • Malheureusement pour eux, tout a une solution • Utilisation d’outils et d’exploits ☺ • Le Forensique ce n’est pas que de la défense et Analyse ;)
  • 138. 25/08/2016 138 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Formation Hacking et Sécurité : Avancé
  • 139. 25/08/2016 139 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Bypasser les mots de passe
  • 140. 25/08/2016 140 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Bypasser les mots de passe •Exploits et outils de Bruteforcing
  • 141. 25/08/2016 141 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction à l'investigation légale sous Linux Investigation légale sous Linux Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 142. 25/08/2016 142 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction à l'investigation légale sous Linux •Ce qu’on va découvrir
  • 143. 25/08/2016 143 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Ne jamais oublier les phases : 1. Préservation 2. Analyse 3. Reconstitution • Le forensique sous linux est tout aussi important que sous Windows • Plusieurs systèmes critiques tournent sous Linux • Plusieurs incidents aussi …
  • 144. 25/08/2016 144 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on va découvrir • Analyse des besoins • Acquisition de données • Récupération et analyse de logs • Analyse de mémoire • Bypasser les mots de passe • LiME • Et d’autres surprises … =)
  • 145. 25/08/2016 145 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Introduction chapitre d’investigation légale sous Linux
  • 146. 25/08/2016 146 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Systèmes de fichiers Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Linux
  • 147. 25/08/2016 147 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Structure
  • 148. 25/08/2016 148 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Comme pour Windows, la bonne compréhension des systèmes de fichiers est nécessaire afin de réaliser l’efficience • Les systèmes de fichiers jouent exactement le même rôle que ces index : organiser les fichiers de votre ordinateur sur votre disque dur de façon à pouvoir les retrouver lorsque vous en aurez besoin • FS les plus connus : •Ext2fs •Ext3fs •Ext4fs
  • 149. 25/08/2016 149 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Structure d’un FS
  • 150. 25/08/2016 150 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Compréhension systèmes de fichiers •Analyse
  • 151. 25/08/2016 151 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Quelles données collecter ? Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Linux
  • 152. 25/08/2016 152 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Données à collecter
  • 153. 25/08/2016 153 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Tout au long des formations qu’on a pu suivre ensemble, on a pu découvrir à quel point la structuration des connaissances est importante • En allant vers ce sens, il est très important de pouvoir structurer les différentes informations nécessaires à trouver, afin de ne pas perdre du temps et de gagner en efficacité • Ce processus entre dans l’ingénierie organisationnelle
  • 154. 25/08/2016 154 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Données à collecter • Informations relatives au temps • Interfaces réseaux • Connexions • Ports • Services • Fichiers • Modules du Kernel • …
  • 155. 25/08/2016 155 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Quelles données collecter ? •Pourquoi les collecter ? •Ingénierie organisationnelle
  • 156. 25/08/2016 156 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Processus forensique Linux Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Linux
  • 157. 25/08/2016 157 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Points importants
  • 158. 25/08/2016 158 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction
  • 159. 25/08/2016 159 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Points importants • Compréhension : FS, Fonctionnement, Boot … • Débogage • Importance de la structuration des connaissances • Les procédures et processus peuvent changer selon vos besoins
  • 160. 25/08/2016 160 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Processus •But •Importance de la méthodologie
  • 161. 25/08/2016 161 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Création d'une image Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Linux
  • 162. 25/08/2016 162 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Méthodes d’acquisition du disque •Méthodes d’acquisition de la mémoire •Acquisition à froid •Lab : Création d'une image
  • 163. 25/08/2016 163 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Méthodes d’acquisition du disque •Formats d’images : • Raw • Propriétaire incluant les métadonnées • Propriétaire avec les métadonnées séparément • Raw avec un hash
  • 164. 25/08/2016 164 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Méthodes d’acquisition de la mémoire • Deux méthodes d’acquisition : 1. Méthode difficile : http://hysteria.sk/~niekt0/foriana/fmem_current.tgz Même principe que /dev/mem /dev/fmem Image Raw
  • 165. 25/08/2016 165 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Méthodes d’acquisition de la mémoire 2. Méthode facile : Linux Memory Extractor Build pour un Kernel spécifique
  • 166. 25/08/2016 166 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Acquisition à froid • Cool Boot Attack • Attaque très intéressante • Informations fraiches • Pas de possibilités d’extraction via Volatility ou autre • https://www.ethicalhacker.net/features/root/using-cold-boot-attacks- forensic-techniques-penetration-tests
  • 167. 25/08/2016 167 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Création d'une image
  • 168. 25/08/2016 168 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Types d’images •Création d’images •Pensez à des HD puissants et sécurisés
  • 169. 25/08/2016 169 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lime Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Linux
  • 170. 25/08/2016 170 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Lime
  • 171. 25/08/2016 171 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Linux Memory Extractor (LiME) • Build spécifique à un Kernel spécifique • Ubuntu : apt-get install lime-forensics-dkms • Repo Github : https://github.com/504ensicsLabs/LiME • Format : • Raw • Padded • Lime
  • 172. 25/08/2016 172 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Lime
  • 173. 25/08/2016 173 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Lime •Exploitation de l’acquisition via Lime •Le temps de l’analyse est arrivé
  • 174. 25/08/2016 174 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Analyse de la mémoire Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Linux
  • 175. 25/08/2016 175 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Analyse de la mémoire
  • 176. 25/08/2016 176 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Analyse de la mémoire • Exploitation de volatility • Puissance et efficacité • Semblable à l’analyse de la mémoire sous Windows • Combinaison parfaite avec LiME ☺
  • 177. 25/08/2016 177 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Analyse de la mémoire
  • 178. 25/08/2016 178 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Analyse de la mémoire sous linux •Volatility
  • 179. 25/08/2016 179 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Récolte d'informations volatiles Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Linux
  • 180. 25/08/2016 180 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Récolte d'informations volatiles
  • 181. 25/08/2016 181 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Comme on a pu le voir auparavant, mais aussi pour les prochaines vidéos, les informations volatiles sont une mine d’or à ne pas négliger • Le but étant d’exploiter au maximum ces informations • Les journaux doivent surtout répondre aux besoins en terme d’informations à récolter • Vous pourrez remarquez que tout au long de la formation, il y a des informations complémentaires ☺
  • 182. 25/08/2016 182 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Récolte d'informations volatiles
  • 183. 25/08/2016 183 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Récolte d'informations volatiles
  • 184. 25/08/2016 184 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Analyse de fichiers Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Linux
  • 185. 25/08/2016 185 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Analyse de fichiers
  • 186. 25/08/2016 186 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Suite à la création de l’image « mount », nous allons pouvoir commencer l’analyse des différents éléments • Pendant cette vidéo, nous allons analyser les différents fichiers • Exploitation d’outils • De l’investigation ☺
  • 187. 25/08/2016 187 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Analyse de fichiers
  • 188. 25/08/2016 6 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan de la formation • Introduction à la formation • Les sciences Forensiques • Investigation légale sous Windows • Investigation légale sous Linux • Investigation légale USB • Investigation légale Mobile • Stéganographie • Investigation Réseaux • Autres techniques d'investigation • Rapports d'investigation • Conclusion
  • 189. 25/08/2016 6 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan de la formation • Introduction à la formation • Les sciences Forensiques • Investigation légale sous Windows • Investigation légale sous Linux • Investigation légale USB • Investigation légale Mobile • Stéganographie • Investigation Réseaux • Autres techniques d'investigation • Rapports d'investigation • Conclusion
  • 190. 25/08/2016 6 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan de la formation • Introduction à la formation • Les sciences Forensiques • Investigation légale sous Windows • Investigation légale sous Linux • Investigation légale USB • Investigation légale Mobile • Stéganographie • Investigation Réseaux • Autres techniques d'investigation • Rapports d'investigation • Conclusion
  • 191. 25/08/2016 6 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan de la formation • Introduction à la formation • Les sciences Forensiques • Investigation légale sous Windows • Investigation légale sous Linux • Investigation légale USB • Investigation légale Mobile • Stéganographie • Investigation Réseaux • Autres techniques d'investigation • Rapports d'investigation • Conclusion
  • 192. 25/08/2016 6 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan de la formation • Introduction à la formation • Les sciences Forensiques • Investigation légale sous Windows • Investigation légale sous Linux • Investigation légale USB • Investigation légale Mobile • Stéganographie • Investigation Réseaux • Autres techniques d'investigation • Rapports d'investigation • Conclusion
  • 193. 25/08/2016 193 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Mesures post exploitation
  • 194. 25/08/2016 194 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Bypasser les mots de passe Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale sous Linux
  • 195. 25/08/2016 195 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Bypasser les mots de passe
  • 196. 25/08/2016 196 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Point clé lors de l’analyse • Passer par la grande porte • Plusieurs techniques • Etre le plus malin aussi peut jouer un grand rôle ☺ • Let’s find the Hash ☺
  • 197. 25/08/2016 197 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Bypasser les mots de passes
  • 198. 25/08/2016 198 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Bypasser les mots de passe •Plusieurs techniques ☺ •Point clé
  • 199. 25/08/2016 199 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction à l’investigation légale USB Investigation légale USB Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 200. 25/08/2016 200 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Analyse initiale des données USB
  • 201. 25/08/2016 201 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Les clés USB sont une mine d’or pour toute personne pratiquant le forensique • Point fort Flux de données dynamique • Les données ne sont jamais vraiment supprimées On en a parlé lors du chapitre introductif sur la formation • Transport de données Données importantes
  • 202. 25/08/2016 202 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Analyse initial données USB
  • 203. 25/08/2016 203 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Introduction à l’investigation légale USB
  • 204. 25/08/2016 204 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Création d’une image Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale USB
  • 205. 25/08/2016 205 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Snapshot USB
  • 206. 25/08/2016 206 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Effectuer un snapshot est un point des plus importants comme cité tout au long de la formation • Prendre un Snapshot est une étape qui peut prendre du temps • L’outil utilisé pour la récupération de l’image est : Dc3dd , qui est un outil extrêmement puissant et spécialisé dans le forensique • L’analyse forensique n’est pas une chose simple, Il faut de la patience, de la motivation et surtout de la compréhension Revoir bases
  • 207. 25/08/2016 7 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Objectifs de la formation • Identifier et analyser les traces laissées lors de l’intrusion dans un système informatique • Collecter correctement les preuves nécessaires à des poursuites judiciaires • Collecter et Analyser des informations à des fins d’investigation • Bypasser les protections : Pas que de l’analyse finalement ☺ • Tracking • Retrouver les traces : personnes ou journaux • Trouver les traces cachées
  • 208. 25/08/2016 208 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Création d’une image d’un périphérique USB
  • 209. 25/08/2016 209 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Sniffing Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale USB
  • 210. 25/08/2016 210 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Sniffing
  • 211. 25/08/2016 211 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction •Sniffer Intercepter, écouter •Ecoute et analyse du Traffic USB •Analyse •Comportement •Wireshark est ton ami ☺
  • 212. 25/08/2016 212 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Sniffing
  • 213. 25/08/2016 213 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Sniffing du traffic USB ;)
  • 214. 25/08/2016 214 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Investigation USB Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale USB
  • 215. 25/08/2016 215 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Forensique USB
  • 216. 25/08/2016 216 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Analyse • Historique des connexion USB • Vol de documents • Infection ☺ • Méthodologie Encore et toujours • Bien suivre les étapes • Le forensique peut s’effectuer sur l’USB en tant que « Disque » ou encore une analyse sur les périphériques
  • 217. 25/08/2016 217 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Méthodologie de forensique USB Déterminer le vendeur, produit, version Numéro de serie VID ET PID Nom du dispositif GUID Utilisateur Historique
  • 218. 25/08/2016 218 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Forensique USB
  • 219. 25/08/2016 219 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Analyse USB •Méthodologie d’analyse •Historique : Très important
  • 220. 25/08/2016 220 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction à l'Investigation légale Mobile Investigation légale Mobile Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 221. 25/08/2016 221 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction à l'Investigation légale Mobile
  • 222. 25/08/2016 222 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Pourquoi le mobile ? • Quelle est la chose la plus utilisée par une personne ☺ ? • Quel trésor qui renferme le plus d’informations ☺ ? • Pendant ce chapitre on va pouvoir découvrir plusieurs points • Bypass de mots de passes Point crucial • Analyse • Extraction de données • iOS, Android et WindowsPhone
  • 223. 25/08/2016 223 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Introduction à l'Investigation légale Mobile
  • 224. 25/08/2016 224 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Architecture Mobile Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale Mobile
  • 225. 25/08/2016 225 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Caractéristiques du smartphone •Architecture d’Android
  • 226. 25/08/2016 226 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Une bonne compréhension de l’architecture est primordiale pour aller « Deeper » • Différents OS • Dans notre cas, on va se focaliser sur l’OS mobile le plus utilisé Android • Architecture et composants
  • 227. 25/08/2016 227 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Caractéristique smartphone • Processeur • Mémoire • Affichage • Camera • Carte réseau • Batterie • …
  • 228. 25/08/2016 228 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Système d’exploitation
  • 229. 25/08/2016 229 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© L’architecture d’Android
  • 230. 25/08/2016 8 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Publics concernés • Pentesteur • Consultant • Responsables DSI • Responsables sécurité SI • Gendarmerie numérique • Personne désirant apprendre de nouvelles choses ;)
  • 231. 25/08/2016 8 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Publics concernés • Pentesteur • Consultant • Responsables DSI • Responsables sécurité SI • Gendarmerie numérique • Personne désirant apprendre de nouvelles choses ;)
  • 232. 25/08/2016 8 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Publics concernés • Pentesteur • Consultant • Responsables DSI • Responsables sécurité SI • Gendarmerie numérique • Personne désirant apprendre de nouvelles choses ;)
  • 233. 25/08/2016 8 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Publics concernés • Pentesteur • Consultant • Responsables DSI • Responsables sécurité SI • Gendarmerie numérique • Personne désirant apprendre de nouvelles choses ;)
  • 234. 25/08/2016 234 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© IMEI • International Mobile Equipement Identifier • *#06#
  • 235. 25/08/2016 235 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© IMSI • International mobile subscriber identity • Numéro unique, qui permet à un réseau mobile d'identifier un usager. • IMSI Catchers
  • 236. 25/08/2016 236 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Autres informations •Mobile Country Code (MCC) •Mobile Network Code (MNC) •Mobile Subscriber Identification Number (MSIN) •Mobile Station International Subscriber Directory Number (MSISDN) •Abbreviated Dialing Numbers (ADN) •Last Dialed Numbers (LDN) •Short Message Service (SMS) •Language Preference (LP) •Ciphering Key (Kc) •Ciphering Key Sequence Number •Emergency Call Code •Fixed Dialing Numbers (FDN) •Local Area Identity (LAI) •Own Dialing Number •Temporary Mobile Subscriber Identity (TMSI)
  • 237. 25/08/2016 237 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Carte SIM
  • 238. 25/08/2016 238 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •La carte SIM peut être très utile •Faites attention aux IMSI ☺
  • 239. 25/08/2016 239 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Processus Forensique Mobile Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale Mobile
  • 240. 25/08/2016 240 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Qu’est ce qu’on cherche? •Processus forensique mobile
  • 241. 25/08/2016 241 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • L’évolution continue de l’utilisation des smartphones en fait une cible parfaite pour les hacker • Malware, Scamming ou autre techniques • Preuve parfaite • Complexe Pas tant que ça • Comment bien appréhender le forensique mobile ? • Suivre une méthodologie précise
  • 242. 25/08/2016 242 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Qu’est ce qu’on cherche ?
  • 243. 25/08/2016 243 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Processus forensique mobile
  • 244. 25/08/2016 244 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Compréhension • Structuration • Allez droit au but • Méthodologie “La méthode, c'est le chemin, une fois qu'on l'a parcouru.” J.Mestre
  • 245. 25/08/2016 245 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Techniques Forensique Mobile Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation légale Mobile
  • 246. 25/08/2016 246 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Santoku •Lab : Techniques Forensique Mobile
  • 247. 25/08/2016 247 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Nous allons consacrer cette présentation spécialement pour les techniques forensiques mobiles • Cela peut être des techniques d’analyse ou d’attaque • Ne jamais oublier la méthodologie !
  • 248. 25/08/2016 248 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Santoku •Distribution Linux •Spécialisé dans le forensique mobile •Analyse de malwares •Analyse d’applications •Pentest mobile
  • 249. 25/08/2016 9 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Connaissances requises • Culture IT • Avoir suivi les deux premiers niveaux • Conseillés : Avoir suivi tous les niveaux expert
  • 250. 25/08/2016 250 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Techniques forensique •Multiple flans d’attaques •La clé La pratique ☺
  • 251. 25/08/2016 251 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction à la Stéganographie Stéganographie Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 252. 25/08/2016 252 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Fonctionnement •En quoi la stéganographie est elle utilisée ? •Techniques stéganographie •Types stéganographie
  • 253. 25/08/2016 253 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Techniques pour cacher un message secret au sein d’un message ordinaire • Transiter des informations (cryptées ou non) sans attirer l'attention • La stéganographie date de 1499 avec le traité Steganographie publié par TRITHEMIUS et a pris depuis diverses formes au fur et à mesure de son évolution et de l'ingéniosité de ses utilisateurs • Stéganographie moderne Images (format bitmap) ou les fichiers audios
  • 254. 25/08/2016 254 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Fonctionnement
  • 255. 25/08/2016 255 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© En quoi la stéganographie est elle utilisé ? •Malwares •Fraude •Communication entre terroristes •Paiement électronique •Authentification
  • 256. 25/08/2016 256 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Techniques de stéganographie •Substitution •Transformation •Spectre •Fréquence •Distorsion
  • 257. 25/08/2016 257 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Types de stéganographie • Image • Audio • Video • Web • Documents • Spam/Mail • Fréquence texte
  • 258. 25/08/2016 10 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Déclinaison de responsabilité • Cette formation a pour objectif de vous sensibiliser sur les failles de vos SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral. • En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation. • On vous enseigne comment protéger et pas comment nuire aux autres.
  • 259. 25/08/2016 10 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Déclinaison de responsabilité • Cette formation a pour objectif de vous sensibiliser sur les failles de vos SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral. • En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation. • On vous enseigne comment protéger et pas comment nuire aux autres.
  • 260. 25/08/2016 10 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Déclinaison de responsabilité • Cette formation a pour objectif de vous sensibiliser sur les failles de vos SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral. • En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation. • On vous enseigne comment protéger et pas comment nuire aux autres.
  • 261. 25/08/2016 10 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Déclinaison de responsabilité • Cette formation a pour objectif de vous sensibiliser sur les failles de vos SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral. • En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation. • On vous enseigne comment protéger et pas comment nuire aux autres.
  • 262. 25/08/2016 262 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Techniques de stéganographie
  • 263. 25/08/2016 263 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Techniques de stéganographie •Différents types •Enjoy =)
  • 264. 25/08/2016 264 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction à l’investigation des réseaux Investigation des Réseaux Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 265. 25/08/2016 265 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Méthodologie du forensique réseau
  • 266. 25/08/2016 266 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Le forensique au niveau des réseaux consiste à identifier une activité « criminelle » • Utilisation de plusieurs techniques : Sniffing, Enregistrement, Analyse… • Inspection de traffic • Logs – IDS/NIDS • Pouvoir récupérer un ensemble d’éléments cruciaux : Source Technique Destination
  • 267. 25/08/2016 267 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Méthodologie du forensique réseau
  • 268. 25/08/2016 268 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Introduction forensique des réseaux •Bien comprendre la méthodologie •Les techniques ne sont pas tout ;)
  • 269. 25/08/2016 269 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Les attaques réseaux Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation des Réseaux
  • 270. 25/08/2016 270 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Vulnérabilités réseaux •Types de vulnérabilités
  • 271. 25/08/2016 271 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • La bonne compréhension des attaques est un point important pour une bonne analyse • « La meilleure défense est l’attaque » • Pour une bonne efficience, il faut suivre la formation Vulnérabilités réseaux
  • 272. 25/08/2016 272 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Vulnérabilités réseaux • Vulnérabilités internes • Bande passante • Bottlenecks • Vulnérabilités externes • Sniffing • DoS • DDoS
  • 273. 25/08/2016 273 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Types de vulnérabilités Spoofing Sniffing Altération MiTM SHijacking DoS BO Trojan Malware Virus Email Ransomware Enumération
  • 274. 25/08/2016 274 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Les attaques réseaux •Les principales attaques
  • 275. 25/08/2016 275 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Analyse et investigation des réseaux Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation des Réseaux
  • 276. 25/08/2016 276 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Analyse et investigation des réseaux
  • 277. 25/08/2016 277 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Pourquoi l’investigation du réseau ? • Identification des problèmes • Identification d’actions malicieuses • Localisation des attaquants • Diverse techniques et outils (Wireshark, Sonde, AI, SIEM…) • Identification via des IDS
  • 278. 25/08/2016 11 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Let’s Rock ? ☺
  • 279. 25/08/2016 279 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Analyse et investigation des réseaux • Outils • IDS • IA • Solution de traçabilité ☺ Balabit, Wallix … • Bientôt des formations sur des solutions de traçabilité
  • 280. 25/08/2016 280 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Investigation des réseaux sans fils Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Investigation des Réseaux
  • 281. 25/08/2016 281 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan • Introduction • Lab : Investigation réseaux sans fils
  • 282. 25/08/2016 282 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • On déjà eu la chance de pouvoir parler des réseaux sans fils • Investigation sans fils • Détection d’attaques • Ne jamais oublier le routeur !
  • 283. 25/08/2016 283 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Investigation réseaux sans fils
  • 284. 25/08/2016 284 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert • Investigation réseaux sans fils • Attaques • Détection • Testez !
  • 285. 25/08/2016 285 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Forensic Toolkit® (FTK®) Autres techniques d'investigation Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 286. 25/08/2016 286 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : FTK
  • 287. 25/08/2016 287 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • FTK : Forensic Toolkit est reconnu mondialement comme standard de forensique • Plateforme complète, rapide, stable et efficace • Supporte de grandes quantités de données • Méthode de recherches avancées • Analyse heuristique malwares • Hash
  • 288. 25/08/2016 288 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : FTK
  • 289. 25/08/2016 289 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Découverte et exploitation des options du FTK
  • 290. 25/08/2016 290 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Tracking de l’email Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Autres techniques d'investigation
  • 291. 25/08/2016 291 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Crime via email •Lab : Tracking de l’email
  • 292. 25/08/2016 292 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • L’investigation sur les emails est un des points les plus importants • Renferme des données essentielles • Quand le hacker devient une cible • Header • Catch me if you can !
  • 293. 25/08/2016 293 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Crime via mail • Crime via envoi de mail : spamming, mail bombing… Crime supporté par le mail : Blackmailing, fraude, usurpation d’identité.. • Anonymat • Rapidité • Facilité
  • 294. 25/08/2016 294 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Tracking mail
  • 295. 25/08/2016 12 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© La mise en situation de la formation Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 296. 25/08/2016 12 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© La mise en situation de la formation Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 297. 25/08/2016 12 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© La mise en situation de la formation Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 298. 25/08/2016 12 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© La mise en situation de la formation Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 299. 25/08/2016 299 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Architecture
  • 300. 25/08/2016 300 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Etapes de l’investigation • Etape 1 : Localisation des logs • Etape 2 : Compréhension des logs • Etape 3 : Analyse des logs IP_ADDRESS - - [Date_Time Timezone] "HTTPMETHOD /URL HTTP_VERSION" HTTP_RESPONSE_CODE HTTP_LENGHT "REFERER" "USER AGENT" 66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" $ cat access-log |grep -E "wp-admin|wp-login|POST /" | more
  • 301. 25/08/2016 301 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •L’investigation des attaques web •Inspection des logs des serveurs
  • 302. 25/08/2016 302 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Récupération des données et fichiers supprimés Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Autres techniques d'investigation
  • 303. 25/08/2016 303 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Récupération des données et fichiers supprimés
  • 304. 25/08/2016 304 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Pendant cette présentation, nous allons pouvoir apprendre comment analyser les fichiers supprimés sur un disque • Analyse des signatures et de l’historique • Outils automatisés • Analyse des activités récentes
  • 305. 25/08/2016 305 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Récupération de données et fichiers supprimés
  • 306. 25/08/2016 306 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Récupération des données et fichiers supprimés •Analyse des activités récentes
  • 307. 25/08/2016 307 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Les rapports d'investigation Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
  • 308. 25/08/2016 308 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Introduction •Lab : Les rapports d'investigation
  • 309. 25/08/2016 309 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Introduction • Le reporting est un des points les plus importants voir le plus important comme on a pu le découvrir tout au long de toutes ces formations qu’on a pu voir ensemble • Le reporting au niveau forensique est spécial • Le rapport compte plus que tout • Je vais vous fournir des templates qu’on va analyser ensemble • On va faire la construction de rapport ensemble
  • 310. 25/08/2016 310 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Lab : Rapports d'investigation
  • 311. 25/08/2016 311 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Ce qu’on a couvert •Reporting •Template •Outils
  • 312. 25/08/2016 312 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Site : http://www.alphorm.com Blog : http://blog.alphorm.com Hamza KONDAH Formateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises Conclusion
  • 313. 25/08/2016 13 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan •Définition du forensique •Statistiques •Aspects de la sécurité organisationnelle
  • 314. 25/08/2016 314 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Plan de la formation • Introduction à la formation • Les sciences Forensiques • Investigation légale sous Windows • Environnement Windows • Investigation légale sous Linux • Investigation légale USB • Investigation légale Mobile • Stéganographie • Investigation Réseaux • Autres techniques d'investigation • Rapports d'investigation • Conclusion
  • 315. 25/08/2016 315 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Objectifs de la formation • Identifier et analyser les traces laissées lors de l’intrusion dans un système informatique • Collecter correctement les preuves nécessaires à des poursuites judiciaires • Collecter et Analyser des informations à des fins d’investigation • Bypasser les protections : Pas que de l’analyse finalement ☺ • Tracking • Retrouver les traces : personnes ou journaux • Trouver les traces cachées
  • 316. 25/08/2016 316 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Perspectives Perspectives
  • 317. 25/08/2016 317 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© La Suite • Tester vos compétences (rootme, NewbieContest, CTF…etc) • D’autres modules en cours de préparation • Veille • Pratique • Grande surprise : CEHv9 en cours de préparation rien que pour vous ^^
  • 318. 25/08/2016 318 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Déclinaison de responsabilité • Cette formation a pour objectif de vous sensibiliser sur les failles de vos SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral. • En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation. • On vous enseigne comment protéger et pas comment nuire aux autres.
  • 319. 25/08/2016 319 Formation Les sciences forensiques : L’investigation numérique alphorm.com™© Questions ? Remarques ? Critiques ?