Document qui présente la procédure judiciaire pour une investigation Forensic digitale.

1. Forensic
Expert en Sécurité Digitale - Promotion ESD 12 - Guillaume GAUTHIER

2. Sommaire
 Qu’est-ce que le forensic ?
 Déroulement judiciaire
 Déroulement en entreprise
 Outils
 Conclusion

3. Qu’est-ce que le forensic ?
 L’ensemble des méthodes et outils utilisés afin de
réaliser une investigation.
 Trouver des preuves, retracer les évènements sur
un appareils électroniques.
 Etablir un rapport servant de témoignage.

4. Qu’est-ce que le forensic ?
 3 façons:
 Analyse à froid
 Analyse à chaud
 Analyse en temps réel

5. Déroulement Judiciaire
 Cas d’un ordinateur fixe récupéré chez une personne soupçonnée
de terrorisme
 Prise de photo général (tour, écran, périphérique connecté sur la
tour)
 Si le poste est allumé:
 Récupération des informations contenu dans la RAM
 Vérification si mot de passe
 Vérification si disque chiffré
 Vérification de la présence de lecteur réseau

6. Déroulement Judiciaire
 Vérification des ports USB et du lecteur CD/DVD
 Récupération du disque
 Prise de photo et emplacement du disque
 Collecte des informations physiques du disque
 Copie du disque
 Vérification de l’intégrité de la copie

7. Déroulement Judiciaire
 Exploitation de la copie du disque
 Recherche de logiciel de communication (Skype,
Whatsapp,mesagerie,…) et récupération des discutions
 Recherche de contenu lié au terrorisme localement sur le poste
 Vérifications des fichiers effacés sur le disque
 Vérification de l’historique de navigation internet

8. Déroulement Judiciaire
 Rédaction d’un rapport à remettre au juge en charge de l’affaire
 Rédaction sous serment, possible témoignage (anonyme)
 Liste des informations incriminent la personne
 Document(s) trouvé(s)
 Capture d’écran
 L’absence de preuve doit aussi être noté de façon précise
 Ce document à une valeur officielle et est une preuve recevable

9. Déroulement en entreprise
 Cas d’un ordinateur fixe infecté par un ransomware
 Demande d’informations à l’utilisateur ( lien reçu par mail,
téléchargement,…)
 Récupération des informations contenu dans la RAM
 Mise en quarantaine du poste infecté
 Copie du disque physique
 Vérification de l’intégrité de la copie

10. Déroulement en entreprise
 Exploitation de la copie du disque
 Analyse des fichiers cryptés (extension, forme)
 Recherche web si le ransomware est connu et décryptable
 Analyse de l’infection
 Interview avec l’utilisateur
 Analyse des journaux d’évènements
 Analyse des dates de modication des fichiers
 Récupération et analyse du fichier source
 Création d’une timeline et d’un arbre d’attaque pour comprendre
l’infection

11. Déroulement en entreprise
 Durcissement des règles de filtrage (mail/web/…)
 Si l’origine est détecté, durcir le filtrage pour bloquer la menace et
empêcher qu’elle se reproduise
 Plan de veille sur les ransomwares
 Veille sur les sources de menaces et modifications des règles en
filtrage en fonctions des nouvelles menaces
 Plan de communication
 Rappel des bonnes pratiques sur les pièces jointes et les
téléchargement
 Rappel sur les attaques de ransomwares

12. Outils
 Copie de disque
 Duplicateur de disque physique (Logicube)
 Logiciel (fdisk,mkfs,dd)
 Dump mémoire
 Volatility (linux,Windows,MacOS)
 LiME (Linux Memory Extrator – linux)

13. Outils
 Lister les partitions d’un disque
 Mmls (linux)
 Recherche de fichier dans un disque
 Fls (recherche de fichiers/numéro inode)
 Icat/istat (recherche par numéro inode)
 Création de time line
 Mactime (linux)

14. Outils
 Autopsy (Sleuth Kit)
 Permet de réaliser de façon automatique l’ensemble des tâches
présentées ci-dessus.
 Timeline
 Analyse web
 Analyse de fichiers

15. Conclusion
 En développement dans le monde de l’entreprise
 Très présent dans le milieu judiciaire
 Possible emploi au ministère de l’intérieur

16. Merci pour votre attention
Avez-vous des questions ?