plan de cours : ift-3002 - Pixel

PLAN DE COURS
Été 2013
IFT-3002 54474 - Informatique d'enquête
Informations générales
3
3-0-6
À distance
http://cours.ift.ulaval.ca/2013e/IFT-3002_54474/
https://pixel.fsg.ulaval.ca
Desharnais,
[email protected]
Sylvain
Responsable : Desharnais, Jules [email protected]
Date d'abandon sans échec avec
16 Mai 2013 à 23h59
remboursement :
Date d'abandon sans échec sans
26 Juin 2013 à 23h59
remboursement :
Crédits :
Temps consacré :
Mode d'enseignement :
Site Web :
Intranet Pixel :
Enseignant(s) :
Description sommaire
Origine d'une enquête informatique (computer forensics) et techniques d'enquête. Aspects
informatique et judiciaire de la collecte et de l'analyse d'information, afin d'en assurer l'utilisation lors
d'un procès. Localisation, extraction et divulgation des informations sur les systèmes d'exploitation, de
stockage, les réseaux et les périphériques. Obstacle à l'enquête informatique. Étude de cas réels.
Ce cours est offert à distance. Pour plus d'informations, consultez la page du cours à l'adresse
www.distance.ulaval.ca ».
Horaire et disponibilités
Classe virtuelle synchrone : Mardi
18h00 à 19h50
Mercredi 18h00 à 19h50
(du 6 mai au 21 juil.)
(du 6 mai au 21 juil.)
Objectifs
1/8
L'utilisation quasi universelle et quotidienne des ordinateurs fait en sorte qu'une grande quantité
d'informations s'y retrouvent. Même après avoir été effacées, ces informations continuent d'exister.
Récupérer ces informations en respectant les contraintes légales imposées par les tribunaux est central
lorsque ces informations servent dans un cadre judiciaire.Le but principal du cours est de familiariser
les informaticiens avec ces contraintes et avec les méthodes, logiciels et matériels qui permettent d'y
faire face efficacement.
Objectifs spécifiques
• Comprendre les règles et les processus régissant la collecte de preuves dans un cadre judiciaire
• Connaître les méthodes de collecte de preuve sur différents systèmes et média
• Se familiariser avec les outils logiciels et matériels en informatique d'enquête (forensics)
• Comprendre « l'anti-forensics »
• Comprendre l'utilité de l'informatique d'enquête à l'aide d'exemples réels et de cas pratiques
Contenu
1. Généralités:
♦ Guide et gabarit pour la rédaction de travaux et les citations
♦ Zotéro, Converter et Cute PdfWriter, Hash et Screenpresso
♦ Recherche sur les sites de lois
2. Survol des lois:
♦ Le code criminel
♦ Lois relatives à la protection des informations
3. Le monde des enquêtes:
♦ Introduction, concepts et définitions
♦ Origine et cheminement d'une enquête
4. L'informatique:
♦ Composants d'un ordinateur
♦ Signes distinctifs des systèmes de fichiers
♦ Signes distinctifs des systèmes d'exploitation
5. L'informatique judiciaire:
♦ Matériel d'informatique judiciaire ("forensic")
♦ Laboratoire et kit opérationnel
♦ Déroulement d'une opération
♦ Motifs de saisir
♦ Rapports d'informatique judiciaire
♦ Logiciels d'informatique judiciaire ("forensic"): FTK Imager, WinHex, DFF
♦ Recherche et d'extraction de preuves
♦ Courriels et réseaux sociaux
6. Antiforensics
Modalités d'évaluation
2/8
Examen
Examen
intra
Date
Dimanche 16 juin
2013
Travail
Équipes
Heure
Pondération
de
la note
finale
13h30 à
16h20
Date d'échéance
30.00%
Heure
TP01 Résumé
critique
3à4
Dimanche 19
mai 2013
16h20
TP02 Gratuiciel:
test, rpt & exposé
3à4
Dimanche 9 juin
2013
16h20
TP03 Rapport
d'examen de média
Individuel
Dimanche 30
juin 2013
16h20
Examen final à
domicile dure 6H00
Individuel
Dimanche 14
juillet 2013
16h20
Document(s) autorisé(s)
Aucun
Date
d'activité
Heure
Pondération de la
note finale
n/a
n/a
10.00%
n/a
n/a
10.00%
n/a
n/a
10.00%
n/a
n/a
40.00%
Politiques sur les examens
Les étudiants qui ont une lettre d'Attestation d'accommodations scolaires obtenue auprès d'un
conseiller du secteur Accueil et soutien aux étudiants en situation de handicap (ACSESH)
doivent compléter un rapport d'anomalie sur Pixel à cet effet au début de la session. Les étudiants
doivent également rencontrer leur professeur au début de la session afin que des mesures
d'accommodations en classe ou lors des évaluations puissent être prévues et planifiées suffisamment à
l'avance puis mises en place. Ceux qui ont une déficience fonctionnelle ou un handicap, mais qui n'ont
pas cette lettre doivent contacter le secteur ACSESH au 656-2880 le plus tôt possible.
Les étudiants inscrits dans un cours à distance et résidant, durant leurs études, à plus de 100 km de la
ville de Québec doivent procéder à l'inscription pour le lieu d'examen au plus tard le 16 mai à l'adresse
suivante : www.distance.ulaval.ca/lieu_examen
Concernant une absence à un examen, le plus rapidement possible, et ce dans un délai maximal de 3
jours ouvrables l'étudiant doit utiliser le formulaire Web à cet effet qu'il ou elle trouvera sur son
guichet étudiant. Sans quoi, une note de 0 sera automatiquement allouée pour cet examen.
Seuls motifs acceptables pour s'absenter à un examen :
1. incapacité pour l'étudiant de passer l'examen durant la plage horaire de cet examen, à
être mentionné comme tel par un billet précis d'un médecin (incluant les coordonnées de ce
dernier), suite à une consultation médicale. Ce billet doit être présenté à la direction du
département (tel qu'indiqué dans les instructions associées au formulaire Web à remplir), qui
le déposera au dossier de l'étudiant. L'enseignant n'intervient pas dans ce processus mais en est
informé automatiquement, d'où la nécessité pour l'étudiant de remplir ce formulaire Web
le plus rapidement possible, car dans l'attente, une note de 0 est automatiquement attribuée
à l'étudiant pour cette épreuve.
3/8
2. mortalité d'un proche, à être documenté par une preuve de décès de la personne et une lettre
d'une tierce personne attestant du lien de parenté ou autre entre l'étudiant et la personne
décédée. Ces pièces doivent également être présentées à la direction du département (tel
qu'indiqué dans les instructions associées au formulaire Web à remplir). L'enseignant
n'intervient pas dans ce processus mais en est informé automatiquement, d'où la nécessité
pour l'étudiant de remplir ce formulaire Web le plus rapidement possible, car dans
l'attente, une note de 0 est automatiquement attribuée à l'étudiant pour cette épreuve.
Aucune justification d'absence reliée à des événements sportifs (sauf pour les athlètes du
Rouge et Or ou d'équipes nationales, sur approbation préalable de la direction du
Département), à un travail, à un conflit d'horaire avec d'autres cours ou examens, à des
horaires de voyage conflictuels (selon des billets d'avion déjà achetés par exemple), ou à des
motifs religieux quelconques n'est acceptable. Les conflits d'horaire doivent être résolus au
tout début de la session, avant la fin de la période de modification de choix de cours, par
l'étudiant lui-même. Un étudiant inscrit à l'un de nos cours après cette date est réputé ne pas
avoir de conflit d'horaire pour passer ses examens.
Toute absence justifiée à un examen entraîne l'obligation pour l'étudiant de passer un examen
reporté. Un seul examen reporté aura lieu pour ce cours et il s'agira d'un examen récapitulatif.
Cet examen se déroulera normalement durant le week-end (soit entre le vendredi après-midi et
le dimanche soir) de la première semaine de cours de la session académique suivante.
L'étudiant a l'obligation de se rendre disponible à cette date, sans quoi il obtiendra la note
de 0 pour cet examen. Les examens reportés de l'automne 2012 auront lieu le samedi 26
janvier 2013, ceux de l'hiver 2013 doivent avoir lieu le samedi 11 mai 2013 et ceux de l'été
2013 devraient normalement avoir lieu le samedi 7 septembre 2013. Les examens de reprise
n'auront lieu qu'à l'Université Laval pour les cours à distance.
Politiques sur les travaux
• Dans le cadre d'un travail, toute communication entre équipes est strictement défendue.
• Toute personne prise à plagier, à tricher, activement ou passivement, ou à contrevenir aux
directives données dans le cadre d'un examen ou d'un travail noté et contributoire à la note
finale du cours, peu importe la pondération attribuée à l'examen ou au travail en question, fera
face aux conséquences de ses gestes, qui peuvent aller jusqu'à l'exclusion de son programme
de formation. Une politique stricte de tolérance zéro est appliquée en tout temps et sous toutes
circonstances. Tous les cas seront référés à la direction du Département.
• L'étudiant trouvera sur son guichet étudiant la politique départementale relative aux examens;
il ou elle est réputé(e) en avoir pris connaissance.
4/8
Consignes sur les examens
Examen intra:
Cet examen est une interrogation écrite portant sur la matière vue du début de la session jusqu'au
dernier cours précédant l'examen intra. Les questions sont des questions à court développement ou des
questions à choix multiples. Cet examen est un examen surveillé et l'étudiant n'a pas accès à ses notes.
L'étudiant devra se rendre pour l'heure dite au local assigné par l'Université Laval pour cet examen.
Examen final:
À titre d'examen final, l'étudiant aura 7 heures pour examiner l'image judiciaire d'un média et rédiger
son rapport d'informatique judiciaire. Le rapport portera sur une situation hypothétique. L'étudiant
devra télécharger l'image judiciaire et en faire le traitement selon les directives particulières qui lui
seront transmises en temps opportun. L'image judiciaire sera disponible à compter de 09H20 le 14
juillet 2013. Le rapport livré par l'étudiant sera accompagné des pièces justificatives appuyant le
rapport. Le rapport devra être remis comme s'il s'agissait d'un travail de session ou d'un travail
pratique, c'est-à-dire par le biais de Pixel, avant 16H20 le même jour (le 14 juillet 2013). Tout retard
sera sanctionné par une pénalité de 5% par minute de retard.
L'étudiant:
• choisira lui-même l'endroit où il veut faire l'examen et le traitement du fichier-image ainsi que
la rédaction du rapport;
• choisira les logiciels qu'il veut utiliser pour examiner et traiter le fichier-image;
• aura le droit d'accéder à Internet et à toute la documentation désirée;
• sera responsable de fournir son propre ordinateur aux fins de cet examen et d'y installer les
logiciels utiles à la réalisation de l'examen et du rapport.
L'Université Laval ne réservera aucun local ni espace de laboratoire à l'occasion de l'examen final.
Consignes sur les travaux
Trois travaux pratiques sont à remettre:
• 19 mai 2013 à 16H20 ---> Résumé de lecture et analyse d'un jugement se rapportant à
l'informatique d'enquête. Le jugement sera assigné par le chargé de cours avant le troisième
cours. Travail par équipe de 3. Le mémo devra prendre la forme prescrite par le chargé de
cours.
• 9 juin 2013 à 16H20 ---> Test et rapport d'évaluation d'un gratuiciel d'informatique judiciaire,
suivi d'un exposé de 10 minutes en classe. Le gratuiciel sera assigné par le chargé de cours
avant le septième cours. Travail par équipe de 3 ou 4. Le rapport devra prendre la forme
prescrite par le chargé de cours.
• 30 juin 2013 à 16H20 ---> Rapport d'informatique judiciaire. Analyse de l'image judiciaire
d'un média et rapport d'analyse. L'image judiciaire du média à analyser sera soumis par le
chargé de cours avant le onzième cours. Travail préparatoire pour l'examen final. Travail en
solo. Le rapport devra prendre la forme prescrite par le chargé de cours.
Retards:
Les retards seront sanctionnés d'une pénalité de 4.2% par heure de retard. Une heure de retard est
reconnue dès la première minute de retard de cette heure.
Ordinateur:
5/8
L'étudiant sera responsable de fournir son propre ordinateur aux fins du test du gratuiciel et du rapport
d'informatique judiciaire. Il sera aussi responsable de télécharger et d'installer ce qu'il convient pour
accomplir les TP.
Échelle des cotes (cycle 1)
Échelle des cotes
A+ [ 90.00 - 100 ]
A [ 86.00 - 89.99 ]
A- [ 82.00 - 85.99 ]
Réussite
B+ [ 78.00 - 81.99 ]
B [ 74.00 - 77.99 ]
B- [ 70.00 - 73.99 ]
Réussite
C+ [ 68.00 - 69.99 ]
C [ 66.00 - 67.99 ]
C- [ 64.00 - 65.99 ]
Réussite
D+ [ 62.00 - 63.99 ]
D [ 60.00 - 61.99 ]
E [ 0.00 - 59.99 ]
Réussite
Échec
Abandon sans échec
(dans les délais prévus)
X
Politique sur les cotes
L'enseignant se réserve le droit d'ajuster quelque peu cette répartition des cotes afin de réfléter
l'évaluation juste des étudiants du cours.
Logiciels
Les logiciels utilisés pendant ce cours sont des gratuiciels d'informatique judiciaire et d'usage général.
Ils seront fournis aux étudiants au moment approprié par le biais du site web du cours. Voici la liste
des plus importants d'entre eux:
• FTK Imager (Access Data);
• Virtual Box (Oracle);
• DFF (Arxsys);
• WinHex, Tiny Hexer et HexEdit;
• Converter et CutePdfWriter;
• Screenpresso;
• Zotero;
• Hash.
D'autres gratuiciels se rajouteront selon le besoin.
Bibliographie
Titres principaux:
Vermeys, Nicolas (2010): Responsabilité civile et sécurité informationnelle. Cowansville
(Québec): Éditions Yvon Blais. — ISBN: 9782896354450
6/8
Desharnais, Sylvain (2010): Comprendre l'informatique judiciaire - Tome 1 - Concepts de base.
Montréal: Guérin, éditeurs ltée. — ISBN: 9782760172302
Gratuits sur Internet:
Morissette, Julien (2005): «Droit pénal». Mémoire de maîtrise, Montréal: Université McGill.
Rompré, Sophie (2009): «La surveillance de l'utilisation d'Internet au travail: guide des droits et
obligations des employeurs». Mémoire de maîtrise, Montréal: Université de Montréal.
Lois:
Téléchargeables à partir du site web du cours.
Manuel de cours
Desharnais, Sylvain (2010): Comprendre l'informatique judiciaire - Tome 1 - Concepts de base.
Montréal: Guérin, éditeurs ltée. — ISBN: 9782760172302
Politique sur l'utilisation d'appareils électroniques pendant une séance d'évaluation
L'utilisation d'appareils électroniques (cellulaire ou autre appareil téléphonique sans fil, pagette,
baladeur, agenda électronique, etc.) est interdite au cours d'une séance d'évaluation et de toute autre
activité durant laquelle l'enseignant l'interdit.
De plus, seuls certains modèles de calculatrices sont autorisés durant les séances d'évaluation.
Les modèles suivants sont autorisés :
Hewlett Packard
Texas Instrument
Sharp
HP 20S, HP 30S, HP 32S2, HP 33S, HP 35S
TI-30Xa, TI-30XIIB, TI-30XIIS, TI-36X, BA35
EL-531*, EL-535-W535, EL-546*, EL-510 R, EL-520*
FX-260, FX-300 MS, FX-350 MS, FX-300W Plus, FX-991MS, FX-991ES,
Casio
FX-991W, FX-991ES Plus C
* Calculatrices Sharp: sans considération pour les lettres qui suivent le numéro
Dans tous ces cas, la calculatrice doit être validée par une vignette autocollante émise par la COOP
étudiante ZONE.
Information spécifique aux étudiants de l'École d'actuariat
Les calculatrices autorisées lors des examens sont uniquement les modèles répondant aux normes de la
Society of Actuaries et de la Casualty Actuarial Society pour leurs examens, soit les modèles Texas
Instruments suivants :
• BA-35 (solaire ou à pile)
• BA II Plus
• BA II Plus Professional
• TI-30Xa
• TI-30X II (IIS ou IIB)
• TI-30X MultiView (XS ou XB)
7/8
Politique sur le plagiat et la fraude académique
Règles disciplinaires
Tout étudiant qui commet une infraction au Règlement disciplinaire à l'intention des étudiants de
l'Université Laval dans le cadre du présent cours, notamment en matière de plagiat, est passible des
sanctions qui sont prévues dans ce règlement. Il est très important pour tout étudiant de prendre
connaissance des articles 28 à 32 du Règlement disciplinaire. Celui-ci peut être consulté à l'adresse
suivante:
http://www.ulaval.ca/sg/reg/Reglements/Reglement_disciplinaire.pdf
Plagiat
Tout étudiant est tenu de respecter les règles relatives au plagiat. Constitue notamment du plagiat le
fait de:
i. copier textuellement un ou plusieurs passages provenant d'un ouvrage sous format papier ou
électronique sans mettre ces passages entre guillemets et sans en mentionner la source;
ii. résumer l'idée originale d'un auteur en l'exprimant dans ses propres mots (paraphraser) sans en
mentionner la source;
iii. traduire partiellement ou totalement un texte sans en mentionner la provenance;
iv. remettre un travail copié d'un autre étudiant (avec ou sans l'accord de cet autre étudiant);
v. remettre un travail téléchargé d'un site d'achat ou d'échange de travaux scolaires.
L'Université Laval étant abonnée à un service de détection de plagiat, il est possible que l'enseignant
soumette vos travaux pour analyse.
8/8