exposé forensic

1
INFORMATIQUE LÉGALE
COMPUTER
FORENSIC
2
INTRODUCTION
PLAN
▸ Définitions
▸ Les 3 étapes de l’expertise
▸ Exemples
▸ Conclusion
▸ Sources
3
DÉFINITION
INFORMATIQUE LÉGALE
▸ Techniques et procédures d’investigation numérique
▸ Respect des procédures légales
▸ Apport de preuve « l'absence de preuve n'est pas la preuve
de l’absence »
LES 3 ÉTAPES DE L’EXPERTISE
1 LA RÉCUPÉRATION DES DONNÉES À
EXPERTISER
▸ Contraintes:
▸ L’original doit rester inchangé
▸ La copie doit être une copie exacte
▸ Solution
▸ Copie image
▸ pure
▸ parfaite
▸ Outils
▸ Bloquant en écriture
▸ Matériel
▸ Logiciel: EnCase, FTK…
4
LES 3 ÉTAPES DE L’EXPERTISE
2 L’ANALYSE DES DONNÉES À RÉCUPÉRER
▸ Les questions à se poser
▸ L’image est-elle cryptée ?
▸ Combien y a-t-il de partitions ?
▸ Quel est le système d’exploitation ?
▸ De quand date-t-il (i.e. la version) ?
▸ Combien y a-t-il de comptes utilisateurs ?
▸ Quel est le compte principal ?
5
LES 3 ÉTAPES DE L’EXPERTISE
2 L’ANALYSE DES DONNÉES À RÉCUPÉRER
▸ Dans le cas où l’on en fait une VM (Live View)
▸ La machine a-t-elle était infectée? (NSRL)
▸ Existe t-il des tâches récurrentes ?
▸ Quels sont les processus qui s’exécutent?
▸ Les actions à faire de façon systématique
▸ Récupérer les fichiers effacés
▸ Indexer le contenu pour faciliter la recherche
6
7
LES 3 ÉTAPES DE L’EXPERTISE
2 L’ANALYSE DES DONNÉES À RÉCUPÉRER
▸ L’utilisation de logiciels d’analyse
▸ Payant: Ncase
▸ Autopsy ex Coronner’s Tool Kit (CTK)
Logo de Autopsy
LES 3 ÉTAPES DE L’EXPERTISE - L’ANALYSE DES DONNÉES À
RÉCUPÉRER
AUTOPSY - LES MODULES AUTOMATIQUES
▸ Ingest Module
▸ Recherche de mots clés
▸ Activités récentes
▸ fichiers de log
▸ historique internet
▸ historique d’installation
▸ historique de modification de fichiers
8
LES 3 ÉTAPES DE L’EXPERTISE - L’ANALYSE DES DONNÉES À
RÉCUPÉRER
AUTOPSY - LES MODULES AUTOMATIQUES
▸ Ingest Module
▸ Hachage des fichiers et contrôle des empreintes (NSRL)
▸ Vérification du type de fichier
Stonehenge.jpg
IMG_3665.jpg
IMG_3665.php
Sherlock.avi
9
LES 3 ÉTAPES DE L’EXPERTISE - L’ANALYSE DES DONNÉES À
RÉCUPÉRER
10
AUTOPSY - LES MODULES AUTOMATIQUES
▸ EXIF Parser Module
▸ EXIF:Exchangeable Image File Format
▸ métadonnées sur l’image
LES 3 ÉTAPES DE L’EXPERTISE - L’ANALYSE DES DONNÉES À
RÉCUPÉRER
11
AUTOPSY - LES MODULES AUTOMATIQUES
▸ Email Parser Module
▸ Analyse des formats :
▸ .pst
▸ .Mbox
LES 3 ÉTAPES DE L’EXPERTISE - L’ANALYSE DES DONNÉES À
RÉCUPÉRER
SANS LOGICIEL
▸ Avec la ligne de commande
▸ Avec des idées
▸ Étude de l’infrastructure
▸ observation du contenu
12
LES 3 ÉTAPES DE L’EXPERTISE
RÉDACTION DU RAPPORT
▸ Preuves découvertes
▸ Demande d’expertises complémentaires
13
14
EXEMPLES
LE DISQUE DUR CHIFFRÉ
▸ Disque chiffré
▸ Refus de coopérer
▸ Faille inopinée
http://zythom.blogspot.fr/2015/03/le-disque-dur-chiffre.html
15
EXEMPLES
LE PLEIN DE PR0N!
▸ Qui a téléchargé les fichiers?
▸ Comment?
▸ Le responsable
http://zythom.blogspot.fr/2012/04/le-plein-de-pr0n.html
CONCLUSION
▸ Très long
▸ Fastidieux
▸ Résultats incertains
16
SOURCES
▸ Wikipedia - informatique légale/Computer forensic
▸ http://forensicswiki.org/wiki/Main_Page
▸ http://zythom.blogspot.fr
▸ http://www.sleuthkit.org
▸ https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
17