Forensic : investigation et science forensique

Analyse forensique

L'analyse forensique est une science qui s'intéresse à la recherche de preuves sur des supports numériques pour comprendre un comportement, remédier à un incident et aider à prendre des décisions éclairées. Ces preuves sont des traces, des artéfacts numériques qui fournissent des informations qui, mises bout-à-bout, permettent de dégager un scénario factuel d'évènements et d'apporter des réponses aux questions que peut se poser le demandeur. L'analyse forensique est encore appelée investigation numérique, digital forensics, inforensique ou informatique légale.

Vous avez été victime d'une intrusion ou de tout autre incident de sécurité informatique au sein de votre SI : poste de travail, serveur, site web, téléphone portable, standard téléphonique IPBX... Vous suspectez une usurpation d'identité, ou un potentiel vol d'informations confidentielles.

logo-gcfe

AlgoSecure est l'une des rares sociétés de la région Rhône-Alpes à être certifiée en recherches et investigations numériques (forensics) par un organisme reconnu internationalement : le GIAC.

Nous pouvons vous aider à retrouver des preuves numériques en respectant les procédures légales afin que ces preuves soient recevables par un jury et donc utilisables dans le cadre d'une enquête judiciaire ou d'un procès.

Afin de ne pas dénaturer les preuves, la rapidité d'intervention et le respect d'un certain protocole sont primordiaux. Alors, ne tardez pas à nous contacter !

investigation-forensic

Cadres d'intervention

Une investigation numérique intervient principalement dans deux cadres.

Cadre judiciaire

Dans une affaire judiciaire impliquant des supports numériques perquisitionnés pour des enquêtes, le juge peut faire appel à un expert judiciaire pour "faire parler" ces supports, pour l'aider dans sa prise de décision. L'expert judiciaire est une personne physique ou morale, professionnelle dans un domaine technique particulier, spécialement habilitée à exercer son expertise dans des dossiers judiciaires sur sollicitation d'un juge. Son avis ne s'impose pas au juge, qui reste libre dans l'appréciation des éléments fournis.

Dans cette catégorie, les axes de recherche sont définis par le juge, par des questions telles que : Qui ? Quand ? Où ? Quoi ?

Cependant, si dans son investigation, l'expert trouve des éléments qui sont pénalement repréhensibles (pédopornographie, atteinte à la sûreté de l'État, etc.), même si ces derniers ne font pas partie des orientations précédemment indiquées par le juge, l'expert a le devoir de les remonter.

Cadre non-judiciaire

C'est ce que l'on retrouve le plus souvent avec les entreprises dans un contexte de réponse à incident à la suite d'une attaque du système d'information. Le cas plus fréquent est par exemple l'infection par un ransomware du parc d'une entreprise.

Dans ce type de situation aussi, il y a des sujets sur lesquels se focalisent les analystes en fonction des souhaits du client. Il peut s'agir de trouver qui a fait quoi, comment et quand, et à l'aide de ces éléments, comprendre comment contenir l'incident et surtout comment remédier à la situation au plus vite pour que l'activité reprenne sereinement, si possible.

Tout comme dans le cadre judiciaire, tout élément trouvé dans les investigations et qui est pénalement repréhensible est à communiquer au client. Il en est de même de tout écart par rapport à la charte informatique de l'entreprise.

Les étapes d'investigation numérique

Une mission d'inforensique s'articule autour de quatre points principaux.

Cette étape est celle pendant laquelle les investigateurs "perquisitionnent" s'ils sont mandatés, ou simplement reçoivent les supports numériques à analyser. Ces derniers sont identifiés avec précision (recensement des caractéristiques physiques et logicielles) et photographiés.

Quand cela est possible, c'est-à-dire si la machine est en fonctionnement pendant l'acquisition, une capture de la mémoire vive (RAM) est effectuée. Cette dernière servira plus tard à faire une analyse dite de live forensics, sur une capture faite pendant que la cible était en marche.

Les analystes procèdent aussi à une copie et duplication des mémoires persistantes, notamment des disques durs. Ces copies serviront à réaliser une analyse dite de dead forensics. Il est recommandé de faire deux copies des disques d'origine et de ne jamais travailler directement sur le disque d'origine. L'une des copies pourra alors être utilisée comme secours en cas de dysfonctionnement de l'autre copie.

Après la copie ou la duplication d'un disque, il faut toujours vérifier l'intégrité et la correspondance absolue avec le disque d'origine. Cela passe par la comparaison de l'empreinte du disque d'origine avec celle de chacune des copies.

L'investigation est un véritable jeu de piste que réalisent les investigateurs. C'est dans cette partie de la mission que les analystes mènent des fouilles pour trouver des réponses aux questions que se posent les demandeurs. Pour ce faire, on peut procéder comme suit.

  1. Mettre en place une timeline des évènements à partir des supports persistants précédemment acquis : un historique ordonné des évènements systèmes, applicatifs, disques, utilisateurs et autres. En se focalisant sur la période intéressante sur laquelle investiguer, celle que le demandeur donne pendant les échanges initiaux à la mission, cette timeline peut déjà donner des pistes. Toutefois, toutes ces informations initiales ne sont pas à prendre pour vérité absolue, et on peut se permettre une marge de quelques jours sur la période indiquée par le client.
  2. À partir des données récupérées, on peut déjà identifier un squelette de scénario. Il faut parcourir tous les types d'artéfacts disponibles pour identifier des éléments qui confirment ou infirment cette première hypothèse. Les investigations live forensics et dead forensics sont à corréler.
  3. À ce stade, l'hypothèse initiale a potentiellement engendré de nouveaux scénarios. Ces derniers sont également à démontrer sur la base d'artéfacts. Cette phase et la précédente sont à reproduire jusqu'à ce qu'on ne puisse plus établir de nouvelles hypothèses.
  4. Tout cela permet de déduire une suite logique d'évènements qui tendent à donner une conclusion factuelle prouvée : le scénario final.

Cette phase apparaît selon le contexte ; elle n'aura pas lieu d’être dans le cadre d'une enquête judiciaire sur un crime, par exemple.

Dans le cas d'une infection par un logiciel malveillant, il faut endiguer la propagation et remettre le parc en état de fonctionnement si possible.

Ce rapport est rédigé par les équipes d'analystes, et constitue une présentation claire et soutenue par les traces numériques des éléments de réponse aux questions initiales. Sa clarté et sa précision sont de rigueur vu les décisions qui peuvent s'en suivre, notamment dans le cadre d'un procès.

S'il s'agit d'une réponse à un incident, des mesures de protection peuvent être proposées pour éviter que l'incident ne se reproduise.

Contraintes et difficultés

Une investigation numérique se déroule rarement dans des conditions optimales, principalement du fait des difficultés suivantes.

  • Impossibilité d'accéder à la totalité des journaux d'évènements nécessaires, notamment dû à des politiques de rétention de données insuffisantes.
  • Impossibilité d'accéder à la mémoire vive, souvent éteinte aux début des investigations (cela reste malgré tout la chose à faire dans le cas d'un ransomware).
  • Intervention planifiée pour une durée insuffisante pour obtenir une analyse complète et fructueuse.
  • Difficultés à trier les informations pertinentes parmi la quantité de données disponibles.
  • Difficultés à évaluer l'étendue complète d'une attaque, notamment sur des systèmes d'information conséquents.

Forensic : les avantages

La conduite d'une investigation numérique présente plusieurs avantages.

Pour le client, il peut s'agir de :

  • trouver des réponses aux questions qu'il se posait,
  • prendre des décisions ou un jugement éclairé sur la base d'éléments factuels,
  • reprendre sereinement son activité.

De manière plus générale, on obtient potentiellement :

  • la découverte de nouveaux indices de compromission (Indicator of Compromise - IOC),
  • le renforcement du contenu de la Threat Intelligence découlant du premier point,
  • la prévention d'attaques dans d'autres contextes découlant des deux premiers points.

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.