Une analyse forensique est une recherche méthodique et approfondie des actions réalisées sur un système informatique après incident (piratage, vol de données, etc.).
Une analyse forensique peut être entreprise pour découvrir des preuves sur un grand nombre de systèmes et de supports de stockage de données :
- Ordinateurs
- Téléphones Mobiles
- Serveurs
- Base de données
- Application
- Support de stockage externes : Disque dur / clés USB / Carte SD
- Etc.
Une analyse bien menée permet, sous certaines conditions, de retrouver des preuves :
- Documents confidentiels ou sensibles effacés
- Programmes de piratage exécutés
- Connexions réussies
- Sites internet visités
- Tentatives de suppression des logs
- Mots de passe volés
- Appels reçus
- SMS envoyés
- Etc.
Mises en relation entre elles, ces preuves permettront de valider ou d’invalider des hypothèses de départ :
- Vol de données
- Piratage
- Téléchargement ou recèle de contenus illicites
- Etc.
Cas d’école : Analyse forensique d’un système Windows
L’analyse forensique d’un ordinateur Windows se déroule généralement en 4 étapes :
1/ Saisie du matériel et acquisition des données à analyser :
La saisie du matériel peut être confiée à un huissier de justice. Afin de noter les actions réalisées sur l’ordinateur scellé, l’huissier assistera à la copie du contenu du disque dur de l’ordinateur effectuée par un expert en sécurité informatique.
Le plus souvent l’acquisition des données du disque dur se fera grâce à une clé USB linux bootable (comme DEFT). L’ordinateur scellé sera démarré sur l’environnement linux présent sur la clé USB et non pas sur le disque dur contenant les données à analyser.
De cette manière, les données présentes sur le disque dur ne seront pas modifiées par le démarrage de Windows sur l’ordinateur à analyser.
L’ordinateur est démarré sur la clé USB linux. Le disque dur de l’ordinateur n’est pas modifié.
L’outil Guymanager présent sur cette clé USB permettra ensuite de réaliser une copie bit par bit du contenu du disque dur sur un support externe :
Cette copie du disque dur sera celle analysée par l’expert en charge de l’analyse forensique.
2/ Analyse forensique de la copie du disque dur :
L’expert en sécurité informatique utilisera alors des logiciels comme Autopsy ou EnCase pour analyser la copie du disque dur de l’ordinateur et tenter d’y retrouver des preuves :
- Documents confidentiels ou sensibles effacés (emails, documents offices, etc.)
- Programmes de piratage exécutés (fichiers prefetch, logs antivirus, fichiers temporaires, etc.)
- Connexions réussies (fichiers de logs, table ARP, Cache DNS, etc.)
- Sites internet visités (Historique de navigation, favoris, etc.)
- Tentative de suppression des logs (fichiers de logs, date de création des fichiers de logs, etc.)
- Mots de passe volés (Recherche de texte ou de chaines de caractères formatées)
3/ Rapport d’analyse forensique :
Dans un rapport, l’expert en sécurité informatique décrira l’ensemble des étapes réalisées qui lui ont permis de récupérer des preuves. Son rapport se présentera sous forme chronologique pour faire concorder des hypothèses et des preuves datées.
4/ Utilisation du rapport d’analyse forensique par un avocat :
Le rapport de l’analyse forensique permettra à un avocat de mieux défendre son client si ce dernier est plaignant ou fait l’objet d’une procédure de mise en accusation.
Des questions concernant cet article ?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com