SlideShare une entreprise Scribd logo
Digital Forensic - Informatique légale
Présentation: Edem Alomatsi
SOMMAIRE
1. Forensic
2. Objectifs
3. Types de forensic
4. Cas d'utilisation du forensic
5. Outils
6. Etapes
Forensic ?
● L’analyse forensic ou médico-légale désigne l’examen et
l’investigation du crime par des méthodes scientifiques.
● Pour s'assurer que les preuves sont recevables devant les
tribunaux, les examinateurs légaux ont l’obligation de suivre des
procédures légaux lors de la collecte et du traitement des preuves.
● les examinateurs légaux documentent chaque étape pour assurer
que les preuves sont traitées de manière inviolable.
Forensic Digital ?
Le forensic digital est la branche du forensic focalisée sur des preuves
numériques telles qu'un ordinateur ou données réseau, smartphone,
USB et données GPS.
Forensic digital: Objectifs
● Identifier,
● analyser,
● reconstruire des événements et de
● présenter des preuves irréfutables devant une cour de justice.
Forensic digital: Type
● Lives forensic,
● network,
● computer forensic
● mobile forensic
● database forensic
Forensic digital: cas d’usage
● Dans une cadre légale,
● En réponse à un incidents de sécurité,
● Analyse de malware
Forensic digital: Outils
Objectif:
● Acquisition de données
● effectuer des recherches
● générer des rapports
Matériel:
Write Blocker (matériel) , Disques , ...
Logiciels : Write Blocker, FTK Imager, DD, Autopsy, Volatility, ...
Forensic digital: Étapes
● Collecter des données,
● Préserver les données collectées,
● Analyser les données collectées,
● Documenter les actions menées
Forensic digital: Étapes
Deux types de données:
● Volatiles
○ données mémoire RAM, SWAP,
○ Processus en cours, fichiers ouverts, ...
● non-volatiles
○ données disque dur,
○ support amovibles
Outils:
● FTK Imager: génère un fichier .001 et .txt, 2 types de hash: MD5,
SHA1
● ipconfig /all > infosreseau.txt, ifconfig -a > infosreseau.txt
● DD, dcfldd, Volatily
Collecte des données
Forensic digital: Étapes
Afin de préserver l’intégrité des données:
● Utilisation d’un “Write blocker”, Bitstream copy
● Utilisation de Hash
○ comparer des hashs,
○ si hash1 = hash2 => données intègres
Outils:
● md5sum (linux) : générer et comparer des hash
● Hashcal (windows)
Préservation des données
Forensic digital: Étapes
● L’analyse commence en rechercher la table des partitions
disponibles sur le disque suspect
● Générer un timeline et se basant sur les fichiers de log
● Restaurer les fichier supprimé et/ou disponibles dans la Corbeille
● Rechercher les fichiers cachés
● Analyser les signatures/Hash
● Effectuer les recherches relatives aux cas spécifique de
l’investigation
● Vérifier les informations dans le registre,
● ...
Analyse des données
Forensic digital: Étapes
La document se matérialise à travers la Chaîne de Custody qui contient
des informations sur:
● le matériel et informations numériques (nom de fichier, hachage
md5)
● Comment l'as-tu obtenu ?
● les outils utilisés,
● le type d'acquisition (en direct ou hors ligne),
● le format de stockage
● Quand a-t-il été collecté? Qui l'a manipulé ?
...
Documenter les actions
Forensic digital: Étapes
Un exemple de template proposé par le NIST :
Documenter les actions
Forensic digital: Étapes
● Formatage des DD
● Obfuscation
● stéganographie Modification des informations d’accès au fichier
● Suppression des métadonnées
● Changement des extensions de fichiers
● ...
Méthodes/outils anti-forensics
Merci de votre attention !

Contenu connexe

Tendances

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
Sylvain Maret
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Digital Forensic - Informatique légale
Digital Forensic - Informatique légaleDigital Forensic - Informatique légale
Digital Forensic - Informatique légale
Edem ALOMATSI
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Cheick Ahmed Camara
 
Research Paper on Digital Forensic
Research Paper on Digital ForensicResearch Paper on Digital Forensic
Research Paper on Digital Forensic
Thomas Roccia
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
MandyDentzer
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
simomans
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
Zakariyaa AIT ELMOUDEN
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation Cryptographie
Cynapsys It Hotspot
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
Christophe Villeneuve
 

Tendances (20)

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Digital Forensic - Informatique légale
Digital Forensic - Informatique légaleDigital Forensic - Informatique légale
Digital Forensic - Informatique légale
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Research Paper on Digital Forensic
Research Paper on Digital ForensicResearch Paper on Digital Forensic
Research Paper on Digital Forensic
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation Cryptographie
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 

Similaire à Présentation rattrapage module Forensic

seim.pptx
seim.pptxseim.pptx
seim.pptx
fatima117475
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
NetExplorer
 
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Stratég- IE
 
Education numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratifEducation numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratif
ThinkData
 
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
ychouhabi
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
Dominique Gayraud
 
AAPI gestion courriel
AAPI gestion courrielAAPI gestion courriel
AAPI gestion courriel
gautrais
 
Diaporama archivage electronique
Diaporama archivage electroniqueDiaporama archivage electronique
Diaporama archivage electronique
Vanessa GENDRIN
 
How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14
Sebastien Larinier
 
Windows Forensics
Windows ForensicsWindows Forensics
Windows Forensics
Tarek MOHAMED
 
Formation b2iseconde1ere partie doc eleve
Formation b2iseconde1ere partie doc eleveFormation b2iseconde1ere partie doc eleve
Formation b2iseconde1ere partie doc eleve
Claudie Merlet
 
Un site web conforme à la loi - le pourquoi et comment
Un site web conforme à la loi - le pourquoi et commentUn site web conforme à la loi - le pourquoi et comment
Un site web conforme à la loi - le pourquoi et comment
Thierry Brodard
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignements
ANSItunCERT
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
Antoine Vigneron
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
Kiwi Backup
 

Similaire à Présentation rattrapage module Forensic (20)

seim.pptx
seim.pptxseim.pptx
seim.pptx
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
 
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
Strateg ie - arnaud pelletier - 2 - sécurité - sureté - 2010
 
Education numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratifEducation numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratif
 
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
AAPI gestion courriel
AAPI gestion courrielAAPI gestion courriel
AAPI gestion courriel
 
Diaporama archivage electronique
Diaporama archivage electroniqueDiaporama archivage electronique
Diaporama archivage electronique
 
How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14
 
Windows Forensics
Windows ForensicsWindows Forensics
Windows Forensics
 
Formation b2iseconde1ere partie doc eleve
Formation b2iseconde1ere partie doc eleveFormation b2iseconde1ere partie doc eleve
Formation b2iseconde1ere partie doc eleve
 
Un site web conforme à la loi - le pourquoi et comment
Un site web conforme à la loi - le pourquoi et commentUn site web conforme à la loi - le pourquoi et comment
Un site web conforme à la loi - le pourquoi et comment
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignements
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
 

Plus de ESD Cybersecurity Academy

Devup catalogue 2017
Devup catalogue 2017Devup catalogue 2017
Devup catalogue 2017
ESD Cybersecurity Academy
 
Protection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMProtection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITM
ESD Cybersecurity Academy
 
Best practise Infrastructure pki
Best practise Infrastructure pkiBest practise Infrastructure pki
Best practise Infrastructure pki
ESD Cybersecurity Academy
 
Sécuriser un BYOD
Sécuriser un BYODSécuriser un BYOD
Sécuriser un BYOD
ESD Cybersecurity Academy
 
Sécuriser un cms
Sécuriser un cms Sécuriser un cms
Sécuriser un cms
ESD Cybersecurity Academy
 
Création d'un botnet et défense
Création d'un botnet et défenseCréation d'un botnet et défense
Création d'un botnet et défense
ESD Cybersecurity Academy
 

Plus de ESD Cybersecurity Academy (6)

Devup catalogue 2017
Devup catalogue 2017Devup catalogue 2017
Devup catalogue 2017
 
Protection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMProtection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITM
 
Best practise Infrastructure pki
Best practise Infrastructure pkiBest practise Infrastructure pki
Best practise Infrastructure pki
 
Sécuriser un BYOD
Sécuriser un BYODSécuriser un BYOD
Sécuriser un BYOD
 
Sécuriser un cms
Sécuriser un cms Sécuriser un cms
Sécuriser un cms
 
Création d'un botnet et défense
Création d'un botnet et défenseCréation d'un botnet et défense
Création d'un botnet et défense
 

Dernier

A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
lebaobabbleu
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
NadineHG
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
Txaruka
 
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
lebaobabbleu
 
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
DjibrilToure5
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
lebaobabbleu
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
NadineHG
 
Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
Txaruka
 

Dernier (8)

A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
 
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
 
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
 
Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
 

Présentation rattrapage module Forensic

  • 1. Digital Forensic - Informatique légale Présentation: Edem Alomatsi
  • 2. SOMMAIRE 1. Forensic 2. Objectifs 3. Types de forensic 4. Cas d'utilisation du forensic 5. Outils 6. Etapes
  • 3. Forensic ? ● L’analyse forensic ou médico-légale désigne l’examen et l’investigation du crime par des méthodes scientifiques. ● Pour s'assurer que les preuves sont recevables devant les tribunaux, les examinateurs légaux ont l’obligation de suivre des procédures légaux lors de la collecte et du traitement des preuves. ● les examinateurs légaux documentent chaque étape pour assurer que les preuves sont traitées de manière inviolable.
  • 4. Forensic Digital ? Le forensic digital est la branche du forensic focalisée sur des preuves numériques telles qu'un ordinateur ou données réseau, smartphone, USB et données GPS.
  • 5. Forensic digital: Objectifs ● Identifier, ● analyser, ● reconstruire des événements et de ● présenter des preuves irréfutables devant une cour de justice.
  • 6. Forensic digital: Type ● Lives forensic, ● network, ● computer forensic ● mobile forensic ● database forensic
  • 7. Forensic digital: cas d’usage ● Dans une cadre légale, ● En réponse à un incidents de sécurité, ● Analyse de malware
  • 8. Forensic digital: Outils Objectif: ● Acquisition de données ● effectuer des recherches ● générer des rapports Matériel: Write Blocker (matériel) , Disques , ... Logiciels : Write Blocker, FTK Imager, DD, Autopsy, Volatility, ...
  • 9. Forensic digital: Étapes ● Collecter des données, ● Préserver les données collectées, ● Analyser les données collectées, ● Documenter les actions menées
  • 10. Forensic digital: Étapes Deux types de données: ● Volatiles ○ données mémoire RAM, SWAP, ○ Processus en cours, fichiers ouverts, ... ● non-volatiles ○ données disque dur, ○ support amovibles Outils: ● FTK Imager: génère un fichier .001 et .txt, 2 types de hash: MD5, SHA1 ● ipconfig /all > infosreseau.txt, ifconfig -a > infosreseau.txt ● DD, dcfldd, Volatily Collecte des données
  • 11. Forensic digital: Étapes Afin de préserver l’intégrité des données: ● Utilisation d’un “Write blocker”, Bitstream copy ● Utilisation de Hash ○ comparer des hashs, ○ si hash1 = hash2 => données intègres Outils: ● md5sum (linux) : générer et comparer des hash ● Hashcal (windows) Préservation des données
  • 12. Forensic digital: Étapes ● L’analyse commence en rechercher la table des partitions disponibles sur le disque suspect ● Générer un timeline et se basant sur les fichiers de log ● Restaurer les fichier supprimé et/ou disponibles dans la Corbeille ● Rechercher les fichiers cachés ● Analyser les signatures/Hash ● Effectuer les recherches relatives aux cas spécifique de l’investigation ● Vérifier les informations dans le registre, ● ... Analyse des données
  • 13. Forensic digital: Étapes La document se matérialise à travers la Chaîne de Custody qui contient des informations sur: ● le matériel et informations numériques (nom de fichier, hachage md5) ● Comment l'as-tu obtenu ? ● les outils utilisés, ● le type d'acquisition (en direct ou hors ligne), ● le format de stockage ● Quand a-t-il été collecté? Qui l'a manipulé ? ... Documenter les actions
  • 14. Forensic digital: Étapes Un exemple de template proposé par le NIST : Documenter les actions
  • 15. Forensic digital: Étapes ● Formatage des DD ● Obfuscation ● stéganographie Modification des informations d’accès au fichier ● Suppression des métadonnées ● Changement des extensions de fichiers ● ... Méthodes/outils anti-forensics
  • 16. Merci de votre attention !

Notes de l'éditeur

  1. Type de hash généralement utilisés MD5 SHA (1-2-3)
  2. Si la date de compromission est connue: Identification de l’environnement et de la machine Génération de la timeline globale Analyse de la time line Recherche d’événement suspects à la date donnée (EVTX, $MFT, Registry) Recherche par mot clé, par date Si la date de compromission n’est pas connue: Recherche de signes de compromission
  3. Il important de documenter toutes les étapes de l’investigation numérique. L’objectif est de fournir une traçabilité des actions menées
  4. Il important de documenter toutes les étapes de l’investigation numérique. L’objectif est de fournir une traçabilité des actions menées
  5. Il important de documenter toutes les étapes de l’investigation numérique. L’objectif est de fournir une traçabilité des actions menées
  6. Il important de documenter toutes les étapes de l’investigation numérique. L’objectif est de fournir une traçabilité des actions menées