Outillages de l`expert lors de saisies
Transcription
Outillages de l`expert lors de saisies
Outillages de l’expert lors de saisies Michel Villard [email protected] Formation Technique 12/12/06 Outillages de l’expert lors des saisies par Michel Villard 1 Plan de l’exposé • Outils pour utiliser le système suspect : – Boot sur le système suspect – Ou boot sur un CD Linux • Kit de duplication physique de disque dur • Ordinateur d'investigation • Exemples de missions réalisées sur requêtes en procédure civile Formation Technique 12/12/06 Outillages de l’expert lors des saisies par Michel Villard 2 Outils pour utiliser le système suspect • CD Linux bootable • Le système suspect est utilisé (après, le cas échéant, récupération d'un utilisateur / mot de passe) • Ou, Linux est utilisé : – – – – – – Recherches sur les noms de répertoires et fichiers Recherches sur les contenus des fichiers Copies de fichiers OpenOffice Viewers etc. • Prévoir des disques USB externes de sauvegarde (capacité à estimer avant la saisie) Formation Technique 12/12/06 Outillages de l’expert lors des saisies par Michel Villard 3 Kit de duplication • Outillage pour démonter le disque dur • Logicube « Forensic MD5 », avec bloqueur en écriture intégré et calcul de hash • Imprimante Canon Jet Printer • Types de disques source : IDE 3"1/2, IDE 2"1/2, SATA • Vitesse de transfert réelle de 1,5 à 3 GB / mn Formation Technique 12/12/06 Outillages de l’expert lors des saisies par Michel Villard 4 Machine d'investigation • Tour transportable équipée de racks amovibles : – Un rack IDE avec bloqueur en écriture (Drivelock ICS) – Des racks IDE, SATA, SCSI standard, SCSI Wide • Boot sur Dos, W2K ou Linux : – Sous Dos : Ghost – Sous W2K : EnCase – Sous Linux : Acquisition réseau (exploitation avec EnCase) • Adaptateur multi-cartes MF qui se connecte en USB • Lecteur de carte SIM / carte à puce • Lecteur/graveur CD/DVD Formation Technique 12/12/06 Outillages de l’expert lors des saisies par Michel Villard 5 Exemple de mission réalisée sur requête civile (1) • • • • • • Contexte : Concurrence déloyale Requérant : Employeur c/ Dirigeant en exercice Saisie au domicile du Dirigeant, en son absence Système suspect : Un ordinateur fixe arrêté (Windows) Solution utilisée sur site : Boot Linux à partir du CD Résultat : Saisie de documents prouvant une activité commerciale au nom d'une autre société : – Échanges de mail, propositions, commandes, factures – Mots clés : noms de produits vendus, noms de clients Formation Technique 12/12/06 Outillages de l’expert lors des saisies par Michel Villard 6 Exemple de mission réalisée sur requête civile (2) • • • • • Contexte : Présence de fichiers illicites Requérant : Ex-employeur c/ ex-salarié licencié Saisie dans les bureaux du requérant Systèmes suspects : 3 ordinateurs fixes Solution utilisée sur site : Duplication physique et EnCase – Duplication physique de 2 disques (en 3 copies) mis sous scellés – En parallèle, acquisition EnCase du 3° disque (car présence de données personnelles ne pouvant pas être copiées) • Solution utilisée après saisie : EnCase – Analyses EnCase des 3 disques – Rapport de mission annexé au constat – CD contenant les fichiers extraits du 3° disque • Résultat : Présence de documents, images et vidéo d'incitation au terrorisme et à la haine raciale Formation Technique 12/12/06 Outillages de l’expert lors des saisies par Michel Villard 7 Exemple de mission réalisée sur requête civile (3) • Contexte : Propriété intellectuelle • Requérant : Ex-employeur c/ ex-salarié démissionnaire • Préparation : – Examen d'une sauvegarde du requérant (plans et éléments de bibliothèque Autocad) • Saisie au Bureau d'études créé par l'ex-salarié, en sa présence et avec sa collaboration • Systèmes suspects : 2 ordinateurs fixes • Solution utilisée sur site : EnCase – Analyses EnCase en mode pré-visualisation + extractions • Résultat : Saisie d'éléments dans le périmètre identifié au préalable avec le requérant. Formation Technique 12/12/06 Outillages de l’expert lors des saisies par Michel Villard 8