La présentation sur la forensic digitale décrit l'analyse médico-légale des preuves numériques et souligne l'importance des procédures légales pour garantir leur admissibilité en cour. Elle aborde les objectifs, types, cas d'utilisation et outils liés à l'informatique légale, détaillant les étapes de collecte, préservation et analyse des données. Enfin, le document met en lumière la nécessité de documenter chaque action pour maintenir l'intégrité des preuves tout au long du processus.

1. Digital Forensic - Informatique légale
Présentation: Edem Alomatsi

2. SOMMAIRE
1. Forensic
2. Objectifs
3. Types de forensic
4. Cas d'utilisation du forensic
5. Outils
6. Etapes

3. Forensic ?
● L’analyse forensic ou médico-légale désigne l’examen et
l’investigation du crime par des méthodes scientifiques.
● Pour s'assurer que les preuves sont recevables devant les
tribunaux, les examinateurs légaux ont l’obligation de suivre des
procédures légaux lors de la collecte et du traitement des preuves.
● les examinateurs légaux documentent chaque étape pour assurer
que les preuves sont traitées de manière inviolable.

4. Forensic Digital ?
Le forensic digital est la branche du forensic focalisée sur des preuves
numériques telles qu'un ordinateur ou données réseau, smartphone,
USB et données GPS.

5. Forensic digital: Objectifs
● Identifier,
● analyser,
● reconstruire des événements et de
● présenter des preuves irréfutables devant une cour de justice.

6. Forensic digital: Type
● Lives forensic,
● network,
● computer forensic
● mobile forensic
● database forensic

7. Forensic digital: cas d’usage
● Dans un cadre légale,
● En réponse à un incidents de sécurité,
● Analyse de malware

8. Forensic digital: Outils
Objectif:
● Acquisition de données
● effectuer des recherches
● générer des rapports
Matériel:
Write Blocker (matériel) , Disques , ...
Logiciels : Write Blocker, FTK Imager, DD, Autopsy, Volatility, ...

9. Forensic digital: Étapes
● Collecter des données,
● Préserver les données collectées,
● Analyser les données collectées,
● Documenter les actions menées

10. Forensic digital: Étapes
Deux types de données:
● Volatiles
○ données mémoire RAM, SWAP,
○ Processus en cours, fichiers ouverts, ...
● non-volatiles
○ données disque dur,
○ support amovibles
Outils:
● FTK Imager: génère un fichier .001 et .txt, 2 types de hash: MD5,
SHA1
● ipconfig /all > infosreseau.txt, ifconfig -a > infosreseau.txt
● DD, dcfldd, Volatily
Collecte des données

11. Forensic digital: Étapes
Afin de préserver l’intégrité des données:
● Utilisation d’un “Write blocker”, Bitstream copy
● Utilisation de Hash
○ comparer des hashs,
○ si hash1 = hash2 => données intègres
Outils:
● md5sum (linux) : générer et comparer des hash
● Hashcal (windows)
Préservation des données

12. Forensic digital: Étapes
● L’analyse commence en rechercher la table des partitions
disponibles sur le disque suspect
● Générer un timeline et se basant sur les fichiers de log
● Restaurer les fichier supprimé et/ou disponibles dans la Corbeille
● Rechercher les fichiers cachés
● Analyser les signatures/Hash
● Effectuer les recherches relatives aux cas spécifique de
l’investigation
● Vérifier les informations dans le registre,
● ...
Analyse des données

13. Forensic digital: Étapes
La document se matérialise à travers la Chaîne de Custody qui contient
des informations sur:
● le matériel et informations numériques (nom de fichier, hachage
md5)
● Comment l'as-tu obtenu ?
● les outils utilisés,
● le type d'acquisition (en direct ou hors ligne),
● le format de stockage
● Quand a-t-il été collecté? Qui l'a manipulé ?
...
Documenter les actions

14. Forensic digital: Étapes
Un exemple de template proposé par le NIST :
Documenter les actions

15. Forensic digital: Étapes
● Formatage des DD
● Obfuscation
● stéganographie Modification des informations d’accès au fichier
● Suppression des métadonnées
● Changement des extensions de fichiers
● ...
Méthodes/outils anti-forensics

16. Merci de votre attention !