Digital Forensic - Informatique légale
Présentation: Edem Alomatsi
SOMMAIRE
1. Forensic
2. Objectifs
3. Types de forensic
4. Cas d'utilisation du forensic
5. Outils
6. Etapes
Forensic ?
● L’analyse forensic ou médico-légale désigne l’examen et
l’investigation du crime par des méthodes scientifiques.
● Pour s'assurer que les preuves sont recevables devant les
tribunaux, les examinateurs légaux ont l’obligation de suivre des
procédures légaux lors de la collecte et du traitement des preuves.
● les examinateurs légaux documentent chaque étape pour assurer
que les preuves sont traitées de manière inviolable.
Forensic Digital ?
Le forensic digital est la branche du forensic focalisée sur des preuves
numériques telles qu'un ordinateur ou données réseau, smartphone,
USB et données GPS.
Forensic digital: Objectifs
● Identifier,
● analyser,
● reconstruire des événements et de
● présenter des preuves irréfutables devant une cour de justice.
Forensic digital: Type
● Lives forensic,
● network,
● computer forensic
● mobile forensic
● database forensic
Forensic digital: cas d’usage
● Dans un cadre légale,
● En réponse à un incidents de sécurité,
● Analyse de malware
Forensic digital: Outils
Objectif:
● Acquisition de données
● effectuer des recherches
● générer des rapports
Matériel:
Write Blocker (matériel) , Disques , ...
Logiciels : Write Blocker, FTK Imager, DD, Autopsy, Volatility, ...
Forensic digital: Étapes
● Collecter des données,
● Préserver les données collectées,
● Analyser les données collectées,
● Documenter les actions menées
Forensic digital: Étapes
Deux types de données:
● Volatiles
○ données mémoire RAM, SWAP,
○ Processus en cours, fichiers ouverts, ...
● non-volatiles
○ données disque dur,
○ support amovibles
Outils:
● FTK Imager: génère un fichier .001 et .txt, 2 types de hash: MD5,
SHA1
● ipconfig /all > infosreseau.txt, ifconfig -a > infosreseau.txt
● DD, dcfldd, Volatily
Collecte des données
Forensic digital: Étapes
Afin de préserver l’intégrité des données:
● Utilisation d’un “Write blocker”, Bitstream copy
● Utilisation de Hash
○ comparer des hashs,
○ si hash1 = hash2 => données intègres
Outils:
● md5sum (linux) : générer et comparer des hash
● Hashcal (windows)
Préservation des données
Forensic digital: Étapes
● L’analyse commence en rechercher la table des partitions
disponibles sur le disque suspect
● Générer un timeline et se basant sur les fichiers de log
● Restaurer les fichier supprimé et/ou disponibles dans la Corbeille
● Rechercher les fichiers cachés
● Analyser les signatures/Hash
● Effectuer les recherches relatives aux cas spécifique de
l’investigation
● Vérifier les informations dans le registre,
● ...
Analyse des données
Forensic digital: Étapes
La document se matérialise à travers la Chaîne de Custody qui contient
des informations sur:
● le matériel et informations numériques (nom de fichier, hachage
md5)
● Comment l'as-tu obtenu ?
● les outils utilisés,
● le type d'acquisition (en direct ou hors ligne),
● le format de stockage
● Quand a-t-il été collecté? Qui l'a manipulé ?
...
Documenter les actions
Forensic digital: Étapes
Un exemple de template proposé par le NIST :
Documenter les actions
Forensic digital: Étapes
● Formatage des DD
● Obfuscation
● stéganographie Modification des informations d’accès au fichier
● Suppression des métadonnées
● Changement des extensions de fichiers
● ...
Méthodes/outils anti-forensics
Merci de votre attention !

Digital Forensic - Informatique légale

  • 1.
    Digital Forensic -Informatique légale Présentation: Edem Alomatsi
  • 2.
    SOMMAIRE 1. Forensic 2. Objectifs 3.Types de forensic 4. Cas d'utilisation du forensic 5. Outils 6. Etapes
  • 3.
    Forensic ? ● L’analyseforensic ou médico-légale désigne l’examen et l’investigation du crime par des méthodes scientifiques. ● Pour s'assurer que les preuves sont recevables devant les tribunaux, les examinateurs légaux ont l’obligation de suivre des procédures légaux lors de la collecte et du traitement des preuves. ● les examinateurs légaux documentent chaque étape pour assurer que les preuves sont traitées de manière inviolable.
  • 4.
    Forensic Digital ? Leforensic digital est la branche du forensic focalisée sur des preuves numériques telles qu'un ordinateur ou données réseau, smartphone, USB et données GPS.
  • 5.
    Forensic digital: Objectifs ●Identifier, ● analyser, ● reconstruire des événements et de ● présenter des preuves irréfutables devant une cour de justice.
  • 6.
    Forensic digital: Type ●Lives forensic, ● network, ● computer forensic ● mobile forensic ● database forensic
  • 7.
    Forensic digital: casd’usage ● Dans un cadre légale, ● En réponse à un incidents de sécurité, ● Analyse de malware
  • 8.
    Forensic digital: Outils Objectif: ●Acquisition de données ● effectuer des recherches ● générer des rapports Matériel: Write Blocker (matériel) , Disques , ... Logiciels : Write Blocker, FTK Imager, DD, Autopsy, Volatility, ...
  • 9.
    Forensic digital: Étapes ●Collecter des données, ● Préserver les données collectées, ● Analyser les données collectées, ● Documenter les actions menées
  • 10.
    Forensic digital: Étapes Deuxtypes de données: ● Volatiles ○ données mémoire RAM, SWAP, ○ Processus en cours, fichiers ouverts, ... ● non-volatiles ○ données disque dur, ○ support amovibles Outils: ● FTK Imager: génère un fichier .001 et .txt, 2 types de hash: MD5, SHA1 ● ipconfig /all > infosreseau.txt, ifconfig -a > infosreseau.txt ● DD, dcfldd, Volatily Collecte des données
  • 11.
    Forensic digital: Étapes Afinde préserver l’intégrité des données: ● Utilisation d’un “Write blocker”, Bitstream copy ● Utilisation de Hash ○ comparer des hashs, ○ si hash1 = hash2 => données intègres Outils: ● md5sum (linux) : générer et comparer des hash ● Hashcal (windows) Préservation des données
  • 12.
    Forensic digital: Étapes ●L’analyse commence en rechercher la table des partitions disponibles sur le disque suspect ● Générer un timeline et se basant sur les fichiers de log ● Restaurer les fichier supprimé et/ou disponibles dans la Corbeille ● Rechercher les fichiers cachés ● Analyser les signatures/Hash ● Effectuer les recherches relatives aux cas spécifique de l’investigation ● Vérifier les informations dans le registre, ● ... Analyse des données
  • 13.
    Forensic digital: Étapes Ladocument se matérialise à travers la Chaîne de Custody qui contient des informations sur: ● le matériel et informations numériques (nom de fichier, hachage md5) ● Comment l'as-tu obtenu ? ● les outils utilisés, ● le type d'acquisition (en direct ou hors ligne), ● le format de stockage ● Quand a-t-il été collecté? Qui l'a manipulé ? ... Documenter les actions
  • 14.
    Forensic digital: Étapes Unexemple de template proposé par le NIST : Documenter les actions
  • 15.
    Forensic digital: Étapes ●Formatage des DD ● Obfuscation ● stéganographie Modification des informations d’accès au fichier ● Suppression des métadonnées ● Changement des extensions de fichiers ● ... Méthodes/outils anti-forensics
  • 16.
    Merci de votreattention !