La preuve d`expert en informatique judiciaire

La preuve d’expert en
informatique judiciaire :
avantages et cas pratiques
Qui suis-je?
Daniel Boteanu
 Maitrise recherche (M.Sc.) - Sécurité informatique
 École Polytechnique de Montréal
 Spécialiste en informatique judicaire
 Anciennement chef de la pratique de tests d’intrusion
 Certifications (informatique judicaire)
 Computer Hacking Forensics Investigator (CHFI)
 Certified Forensic Analyst (GIAC GCFA)
 Encase Certified Examiner (EnCE)
 Et autres …
 M.ing., CSSLP, MCP, MCTS, GPEN
2
Agenda
•
•
•
•
Informatique judiciaire – Introduction et terminologie
Exemples concrets d’enquêtes informatiques
Étapes d’une enquête informatique
Exemple d’artefacts informatiques
3
Informatique judiciaire
• Identifier la preuve numérique pertinente à un dossier
• Assurer son intégrité
• L’analyser
 Appliquer des techniques d’analyse spécifiques
 Appliquer des protocoles d'investigation numériques
 Respecter les règles de procédure légale
• Fournir des preuves numériques en support à un
dossier civil, pénal ou criminel
4
Informatique judiciaire
• Autres appellations







Juri-informatique
Cyber-enquête
Enquête informatique
Enquête numérique
« Computer forensics »
« Digital forensics »
…
5
Exemples concrets d’enquêtes informatiques
Exemple 1
 Falsification de preuve
Exemple 2
 Altération d’un document légal et « anti-forensic »
Exemple 3
 Courriels diffamatoires
Exemple 4
 Altération de documents sauvegardés dans l’infonuage
6
Exemple 1 - Falsification de preuve
Contexte




Dossier criminel, cas d’agression sexuelle
Conversation MSN Messenger
Éléments incriminants dans une session de clavardage
Preuve disponible: imprimé papier du clavardage
7
Exemple de capture d’écran de MSN/Live
Messenger
8
Exemple d’imprimé d’MSN Messenger
9
Exemple 1 - Falsification de preuve
Approche
 Analyse de la procédure de production d’un imprimé
=» Intégrité non préservée à plusieurs étapes
=» Facilité d’altération de l’imprimé
 Analyse de l’imprimé du clavardage
=» Pages avec formatages différents
=» Journal de clavardage altéré
 Présence de l’expert pendant procès
=» Support au procureur lors de la présentation d’éléments
techniques
=» Témoignage incohérent
10
Exemple 2 - Altération d’un document légal et
« anti-forensic »
Contexte
 Syndic suspecte document légal altéré
 Professionnel refuse de fournir document informatique
 Preuve disponible: imprimé papier du document informatique
11
Exemple 2 - Altération d’un document légal et
« anti-forensic »
Approche
 Préparation pour copie complète des ordinateurs du bureau
=» Professionnel « trouve » le document informatique
12
Exemple 2 - Altération d’un document légal et
« anti-forensic »
13
Consultation des dates du fichier dans Encase
14
Analyse du fichier avec Encase
15
Analyse des métadonnées avec Encase
16
Analyse de métadonnées avec Word
17
Exemple 2 - Altération d’un document légal et
« anti-forensic »
Approche (suite)
 Analyse du fichier informatique
=» Dates du fichier et du document incohérentes
 Copie complète des ordinateurs du bureau
 Analyse des copies des ordinateurs
=» Preuve de modification de la date de l’ordinateur
=» Preuve d’utilisation de logiciel de suppression sécuritaire
 Rétro-ingénierie du logiciel de gestion documentaire
=» Copies de sauvegarde de la base de données non altérées
=» Identification de la date de l’altération
18
Analyse des copies de sauvegarde de la BD
19
Analyse des indexes de la base de données
20
Exemple 3 - Courriels diffamatoires
Contexte
 Ex-employé suspecté d’avoir envoyé des courriels diffamatoires
 Expertise informatique par une firme des États-Unis
=» Courriels diffamatoires envoyés à partir de l’adresse IP du
domicile de l’ex-employé
21
Exemple 3 - Courriels diffamatoires
Contexte
 Ex-employé suspecté d’avoir envoyé des courriels diffamatoires
 Expertise informatique par une firme des États-Unis
=» Courriels diffamatoires envoyés à partir de l’adresse IP du
domicile de l’ex-employé
Approche
 Analyse de la méthode de l’expert américain
=» Expertise réalisée à partir des captures d’écran de l’employeur
 Copie et analyse de l’ordinateur personnel de l’employé
=» Découverte de logiciel de prise de contrôle à distance
=» Journaux de contrôle à distance par le technicien de l’employeur
22
Exemple 4 - Altération d’un document
sauvegardé dans l’infonuage
Contexte
 Syndic suspecte que le document fut altéré par le professionnel
 Logiciel de gestion documentaire dans l’infonuage
 Professionnel collabore et fournit les accès au service de gestion
Approche
 Analyse du logiciel de gestion documentaire
=» Seulement la dernière version du document sauvegardé
 Investigations des systèmes informatiques de l’hébergeur
=» Journaux et fichiers supprimés après 6 mois
 Analyse des ordinateurs du bureau
=» Récupération des extraits du fichier original
23
Agenda
•
•
•
•
Informatique judiciaire – introduction et terminologie
Exemples concrets d’enquêtes informatiques
Étapes d’une enquête informatique
Exemple d’artefacts informatiques
24
Étapes d’une enquête informatique
1. Décision de demander une expertise informatique
2. Choix de la firme / de l’expert
3. Analyse préliminaire du dossier
4. Enquête informatique
5. Clôture du mandat
25
1. Décision de demander une expertise
informatique
Exemple de domaines d’enquête







Enquêtes corporatives
Incidents de sécurité
Litiges civils et commerciaux
Enquêtes en droit du travail
Infractions criminelles ou pénales
Ordonnances Anton Piller
Ordonnances Norwich
26
2. Choix de la firme / de l’expert
Technicien informatique




Ne maintient pas la chaine de possession
Altère non-volontairement la preuve originale
N’assure pas l’intégrité de la copie
Peut difficilement agir comme témoin-expert devant un
tribunal
27
L’inexpérience…
28
Disque dur suspect: pas de protection contre
l’écriture
29
Disque dur suspect: connexion USB pas fiable
30
Copie sur clé USB à l’aide de Windows:
altération potentielle de la destination
31
Copie à l’aide de Windows ou logiciel de
sauvegarde: absence de code d’intégrité
32
2. Choix de la firme / de l’expert
Cyber-enquêteur
 Possède la formation et les équipements spécialisés
 Possède l’expérience des « comportements » malveillants
 Il faut penser comme un délinquant
 Il faut être au courant des techniques de piratage informatique
 Agit comme témoin-expert devant les tribunaux
 Assiste le procureur dans le cadre de procédures judiciaires
33
Aperçu du kit portatif de duplication de disque
34
Appareil de duplication
35
Disque dur suspect
(protection contre écriture)
36
Disques durs de destination pour la copie
(copie miroir, en deux exemplaires)
37
Adaptateur pour différentes connexions
(IDE, SATA, SCSI, USB, Firewire, etc.)
38
Onduleur
(protection contre panne électrique)
39
Gants en nitrile
40
Bracelet anti-électrostatique
41
3. Analyse préliminaire du dossier
•
•
•
•
•
Rencontre préliminaire et description détaillée
des événements
Identification de l’infraction, des faits reprochés,
de la preuve disponible et des technologies en
cause
Discussion sur les objectifs recherchés
Évaluation des chances de succès, limites et
contraintes
Le client décide si une enquête informatique est
requise
42
4. L’enquête
•
•
•
•
•
•
•
•
•
Obtention de la preuve disponible
Analyse de la preuve disponible
Obtention du mandat de perquisition (si requis)
Collecte et acquisition des données
Extraction de données et analyse
Évaluation globale de l’ensemble de la preuve
Préparation du rapport d’expertise
Soumission du rapport préliminaire au client
Témoignage
43
46
47
49
5. Clôture du mandat
•
•
•
Préservation de la preuve pendant la période
d’appel
Post mortem avec son client
Remise ou destruction des preuves obtenues
50
Agenda
•
•
•
•
Informatique judiciaire – introduction et
terminologie
Exemples concrets d’enquêtes informatiques
Étapes d’une enquête informatique
Exemple d’artefacts informatiques
51
Exemple d’artéfacts d’ouverture de document
Fichier à ouvrir
52
Exemple d’artéfacts d’ouverture de document
Microsoft Word – Recent Documents
53
Exemple d’artéfacts d’ouverture de document
Microsoft Windows – Recent Items
54
Exemple d’artéfacts d’ouverture de document
Jumplists
55
Exemple d’artéfacts d’ouverture de document
UserAssist
56
Exemple d’artéfacts d’ouverture de document
Historique Internet Explorer
57
Exemple d’artéfacts d’ouverture de document
Prefetch Files
58
Exemple d’artéfacts d’ouverture de document
Mémoire vive et Swap
59
Exemple d’artéfacts d’ouverture de document
Fichier temporaire
60
Exemple d’artéfacts d’ouverture de document
Previous Versions
61
Conclusions
• Dossiers avec preuves ou actions informatiques
=> Considérer une expertise informatique
• Faire affaire avec firme spécialisée le plus tôt
possible dans le dossier
=> Données volatiles
=> Admissibilité de la preuve
=> Expérience des faits « malveillants »
62
La preuve d’expert en informatique judiciaire:
avantages et cas pratiques
[email protected]
63