La preuve d`expert en informatique judiciaire
Transcription
La preuve d`expert en informatique judiciaire
La preuve d’expert en informatique judiciaire : avantages et cas pratiques Qui suis-je? Daniel Boteanu Maitrise recherche (M.Sc.) - Sécurité informatique École Polytechnique de Montréal Spécialiste en informatique judicaire Anciennement chef de la pratique de tests d’intrusion Certifications (informatique judicaire) Computer Hacking Forensics Investigator (CHFI) Certified Forensic Analyst (GIAC GCFA) Encase Certified Examiner (EnCE) Et autres … M.ing., CSSLP, MCP, MCTS, GPEN 2 Agenda • • • • Informatique judiciaire – Introduction et terminologie Exemples concrets d’enquêtes informatiques Étapes d’une enquête informatique Exemple d’artefacts informatiques 3 Informatique judiciaire • Identifier la preuve numérique pertinente à un dossier • Assurer son intégrité • L’analyser Appliquer des techniques d’analyse spécifiques Appliquer des protocoles d'investigation numériques Respecter les règles de procédure légale • Fournir des preuves numériques en support à un dossier civil, pénal ou criminel 4 Informatique judiciaire • Autres appellations Juri-informatique Cyber-enquête Enquête informatique Enquête numérique « Computer forensics » « Digital forensics » … 5 Exemples concrets d’enquêtes informatiques Exemple 1 Falsification de preuve Exemple 2 Altération d’un document légal et « anti-forensic » Exemple 3 Courriels diffamatoires Exemple 4 Altération de documents sauvegardés dans l’infonuage 6 Exemple 1 - Falsification de preuve Contexte Dossier criminel, cas d’agression sexuelle Conversation MSN Messenger Éléments incriminants dans une session de clavardage Preuve disponible: imprimé papier du clavardage 7 Exemple de capture d’écran de MSN/Live Messenger 8 Exemple d’imprimé d’MSN Messenger 9 Exemple 1 - Falsification de preuve Approche Analyse de la procédure de production d’un imprimé =» Intégrité non préservée à plusieurs étapes =» Facilité d’altération de l’imprimé Analyse de l’imprimé du clavardage =» Pages avec formatages différents =» Journal de clavardage altéré Présence de l’expert pendant procès =» Support au procureur lors de la présentation d’éléments techniques =» Témoignage incohérent 10 Exemple 2 - Altération d’un document légal et « anti-forensic » Contexte Syndic suspecte document légal altéré Professionnel refuse de fournir document informatique Preuve disponible: imprimé papier du document informatique 11 Exemple 2 - Altération d’un document légal et « anti-forensic » Approche Préparation pour copie complète des ordinateurs du bureau =» Professionnel « trouve » le document informatique 12 Exemple 2 - Altération d’un document légal et « anti-forensic » 13 Consultation des dates du fichier dans Encase 14 Analyse du fichier avec Encase 15 Analyse des métadonnées avec Encase 16 Analyse de métadonnées avec Word 17 Exemple 2 - Altération d’un document légal et « anti-forensic » Approche (suite) Analyse du fichier informatique =» Dates du fichier et du document incohérentes Copie complète des ordinateurs du bureau Analyse des copies des ordinateurs =» Preuve de modification de la date de l’ordinateur =» Preuve d’utilisation de logiciel de suppression sécuritaire Rétro-ingénierie du logiciel de gestion documentaire =» Copies de sauvegarde de la base de données non altérées =» Identification de la date de l’altération 18 Analyse des copies de sauvegarde de la BD 19 Analyse des indexes de la base de données 20 Exemple 3 - Courriels diffamatoires Contexte Ex-employé suspecté d’avoir envoyé des courriels diffamatoires Expertise informatique par une firme des États-Unis =» Courriels diffamatoires envoyés à partir de l’adresse IP du domicile de l’ex-employé 21 Exemple 3 - Courriels diffamatoires Contexte Ex-employé suspecté d’avoir envoyé des courriels diffamatoires Expertise informatique par une firme des États-Unis =» Courriels diffamatoires envoyés à partir de l’adresse IP du domicile de l’ex-employé Approche Analyse de la méthode de l’expert américain =» Expertise réalisée à partir des captures d’écran de l’employeur Copie et analyse de l’ordinateur personnel de l’employé =» Découverte de logiciel de prise de contrôle à distance =» Journaux de contrôle à distance par le technicien de l’employeur 22 Exemple 4 - Altération d’un document sauvegardé dans l’infonuage Contexte Syndic suspecte que le document fut altéré par le professionnel Logiciel de gestion documentaire dans l’infonuage Professionnel collabore et fournit les accès au service de gestion Approche Analyse du logiciel de gestion documentaire =» Seulement la dernière version du document sauvegardé Investigations des systèmes informatiques de l’hébergeur =» Journaux et fichiers supprimés après 6 mois Analyse des ordinateurs du bureau =» Récupération des extraits du fichier original 23 Agenda • • • • Informatique judiciaire – introduction et terminologie Exemples concrets d’enquêtes informatiques Étapes d’une enquête informatique Exemple d’artefacts informatiques 24 Étapes d’une enquête informatique 1. Décision de demander une expertise informatique 2. Choix de la firme / de l’expert 3. Analyse préliminaire du dossier 4. Enquête informatique 5. Clôture du mandat 25 1. Décision de demander une expertise informatique Exemple de domaines d’enquête Enquêtes corporatives Incidents de sécurité Litiges civils et commerciaux Enquêtes en droit du travail Infractions criminelles ou pénales Ordonnances Anton Piller Ordonnances Norwich 26 2. Choix de la firme / de l’expert Technicien informatique Ne maintient pas la chaine de possession Altère non-volontairement la preuve originale N’assure pas l’intégrité de la copie Peut difficilement agir comme témoin-expert devant un tribunal 27 L’inexpérience… 28 Disque dur suspect: pas de protection contre l’écriture 29 Disque dur suspect: connexion USB pas fiable 30 Copie sur clé USB à l’aide de Windows: altération potentielle de la destination 31 Copie à l’aide de Windows ou logiciel de sauvegarde: absence de code d’intégrité 32 2. Choix de la firme / de l’expert Cyber-enquêteur Possède la formation et les équipements spécialisés Possède l’expérience des « comportements » malveillants Il faut penser comme un délinquant Il faut être au courant des techniques de piratage informatique Agit comme témoin-expert devant les tribunaux Assiste le procureur dans le cadre de procédures judiciaires 33 Aperçu du kit portatif de duplication de disque 34 Appareil de duplication 35 Disque dur suspect (protection contre écriture) 36 Disques durs de destination pour la copie (copie miroir, en deux exemplaires) 37 Adaptateur pour différentes connexions (IDE, SATA, SCSI, USB, Firewire, etc.) 38 Onduleur (protection contre panne électrique) 39 Gants en nitrile 40 Bracelet anti-électrostatique 41 3. Analyse préliminaire du dossier • • • • • Rencontre préliminaire et description détaillée des événements Identification de l’infraction, des faits reprochés, de la preuve disponible et des technologies en cause Discussion sur les objectifs recherchés Évaluation des chances de succès, limites et contraintes Le client décide si une enquête informatique est requise 42 4. L’enquête • • • • • • • • • Obtention de la preuve disponible Analyse de la preuve disponible Obtention du mandat de perquisition (si requis) Collecte et acquisition des données Extraction de données et analyse Évaluation globale de l’ensemble de la preuve Préparation du rapport d’expertise Soumission du rapport préliminaire au client Témoignage 43 46 47 49 5. Clôture du mandat • • • Préservation de la preuve pendant la période d’appel Post mortem avec son client Remise ou destruction des preuves obtenues 50 Agenda • • • • Informatique judiciaire – introduction et terminologie Exemples concrets d’enquêtes informatiques Étapes d’une enquête informatique Exemple d’artefacts informatiques 51 Exemple d’artéfacts d’ouverture de document Fichier à ouvrir 52 Exemple d’artéfacts d’ouverture de document Microsoft Word – Recent Documents 53 Exemple d’artéfacts d’ouverture de document Microsoft Windows – Recent Items 54 Exemple d’artéfacts d’ouverture de document Jumplists 55 Exemple d’artéfacts d’ouverture de document UserAssist 56 Exemple d’artéfacts d’ouverture de document Historique Internet Explorer 57 Exemple d’artéfacts d’ouverture de document Prefetch Files 58 Exemple d’artéfacts d’ouverture de document Mémoire vive et Swap 59 Exemple d’artéfacts d’ouverture de document Fichier temporaire 60 Exemple d’artéfacts d’ouverture de document Previous Versions 61 Conclusions • Dossiers avec preuves ou actions informatiques => Considérer une expertise informatique • Faire affaire avec firme spécialisée le plus tôt possible dans le dossier => Données volatiles => Admissibilité de la preuve => Expérience des faits « malveillants » 62 La preuve d’expert en informatique judiciaire: avantages et cas pratiques [email protected] 63