Qu’est ce que le forensique ?

To the non-french speaker, note that you can translate the articles using the Google Trad widget situated at the bottom of all pages.


Le forensique, c’est l’art de l’investigation informatique. Les analystes forensiques sont clairement les policiers de l’ère numérique. Leur job va être de récupérer et analyser divers médias afin de trouver des preuves d’une action malveillante. On pourra par exemple embaucher un expert forensique afin de retrouver l’origine d’un malware : qui a été le patient zéro, comment il a été infecté etc…

Une analyse forensique se déroule en six étapes :

Identification : Tous supports peut être intéressant à récupérer : des clés USB, des disques durs, des documents physiques. Sur une scène de crime informatique tout doit être fouillé afin de récupérer un maximum de preuves.

Acquisition : Il s’agit ici de copier toutes les données découvertes durant la phase d’identification. Pour cela on dispose de deux méthodes d’acquisition principales.

  • Acquisition post mortem :

Acquisition faite à partir d’un ordinateur éteint (copie du disque dur et potentiellement extraction d’artefacts depuis la RAM). Dans le cas d’une copie bit à bit du disque dur il sera obligatoire d’utiliser un bloqueur physique :

1.png

Ce bloqueur va empêcher toute écriture sur le disque. Le seul accès possible sera en lecture le but étant de ne pas écraser de données. D’ailleurs, une fois l’acquisition faites, on fera un hash du contenu afin d’avoir une preuve de l’authenticité des données.

Il existe plusieurs formats de fichiers de copie : RAW (données brutes), EWF (format le plus utilisé dans le monde du forensique) et AFF qui est un format Open Source.

Pour ce qui est des outils de dump on pourra se servir de l’utilitaire dd :

dd if=/dev/sdc of=/media/image.dd bs=4M conv=noerror, sync

Avec /dev/sdc la partition à copier dans le fichier /media/image.dd. On notera aussi qu’il est important de spécifier la taille des pages mémoires (4096Mo) ainsi que les options noerror et sync qui permettent de passer outre les potentielles erreurs découvertes lors de la lecture.

  • Live Forensic :

Il s’agira de dumper  le contenu de la mémoire RAM afin de pouvoir l’étudier via le framework Volatility.

Enfin il reste quatre étapes :

Chaine of custody : il s’agira ici de lister l’ensemble des preuves récoltées durant la phase de récolte.
Préservation : protection du matériel découvert
Analyse : analyse forensique du contenu des médias récupérés
Documentation : écriture d’un rapport décrivant les preuves retrouvées

Voilà comment se déroule une analyse forensique. Pour la suite je vous invite à lire le premier vrai article technique sur les différents formats de fichier que l’on utilise 😈 !

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s