La juri-informatique Au service des auditeurs
Transcription
La juri-informatique Au service des auditeurs
La juri-informatique Au service des auditeurs François Daigle Daniel Boteanu La juri-informatique au service des auditeurs 1. 2. 3. 4. 5. 6. 7. Qu’est-ce que la juri-informatique? Les avantages de recourir à un cyber-enquêteur Les domaines d’enquête Les limites d’une cyber-enquête Les principales étapes d’une cyber-enquête Le cas particulier de l’infonuagique (« Cloud ») Quelques exemples concrets d’enquêtes 2 1. Qu’est-ce que la juri-informatique? Également appelée «cyber-enquête», «informatique judiciaire», «forensic» ou «enquête informatique» L’objectif premier de la juri-informatique est d’identifier la preuve numérique pertinente à un dossier et d’en assurer son intégrité tout au long du processus La juri-informatique c’est… Appliquer des techniques d’analyse spécifiques Appliquer des protocoles d'investigation numériques Respecter les règles de procédures légales Fournir des preuves numériques en support à un dossier civil, pénal ou criminel 3 2. Les avantages d’un cyber-enquêteur A. Favorise une preuve optimale Identifie les éléments de preuve disponibles les plus probants Utilise des éléments de preuve fiables en support à ses analyses et conclusions Permet d’identifier les responsables d’un acte en analysant les traces, les métadonnées, les logs, etc. Réduit significativement le risque d’une altération involontaire de la preuve recueillie 4 L’inexpérience… 5 Disque dur suspect: pas de protection contre l’écriture 6 Disque dur suspect: connexion USB pas fiable 7 Copie sur clé USB à l’aide de Windows: altération potentielle de la destination 8 Copie à l’aide de Windows ou logiciel de sauvegarde: absence de code d’intégrité 9 2. Les avantages d’un cyber-enquêteur (suite) A. Favorise une preuve optimale B. Possède la formation et les équipements spécialisés permettant : D’identifier la preuve pertinente De restaurer une preuve « détruite » ou « altérée » De préserver la preuve 10 Aperçu du kit portatif de duplication de disque 11 Disques connectés à l’appareil de duplication 12 Appareil de duplication 13 Disque dur suspect (protection contre écriture) 14 Disques durs de destination pour la copie (copie miroir, en deux exemplaires) 15 Adaptateur pour différentes connexions (IDE, SATA, SCSI, USB, Firewire, etc.) 16 Onduleur (protection contre panne électrique) 17 Gants en nitrile 18 Bracelet anti-électrostatique 19 Options de duplication (copie miroir avec code d’intégrité) 20 2. Avantages d’un cyber-enquêteur (suite) A. Réduit significativement le risque d’une altération involontaire de la preuve recueillie B. Possède la formation et les équipements spécialisés C. Possède l’expérience des «comportements» malveillants L’expérience favorise l’expertise Il faut penser comme un délinquant La normalité n’est pas un comportement délinquant 21 2. Avantages d’un cyber-enquêteur (suite) A. Réduit significativement le risque d’une altération involontaire de la preuve recueillie B. Possède la formation et les équipements spécialisés C. Possède l’expérience des «comportements» malveillants D. Permet d’identifier des pistes d’enquêtes inhabituelles La preuve ne se trouve pas toujours à un seul endroit La preuve indirecte peut être aussi efficace 22 2. Avantages d’un cyber-enquêteur (suite) A. Réduit significativement le risque d’une altération involontaire de la preuve recueillie B. Possède la formation et les équipements spécialisés C. Possède l’expérience des «comportements» malveillants D. Permet d’identifier des pistes d’enquêtes inhabituelles E. Apporte une vision «technologique» aux approches traditionnelles Les techniques d’enquête «traditionnelles» sont souvent inefficaces L’interaction étroite entre la preuve physique et la preuve technologique: l’une supporte l’autre et vice versa Sort l’enquête des limites du physique 23 2. Avantages d’un cyber-enquêteur (suite) A. Réduit significativement le risque d’une altération involontaire de la preuve recueillie B. Possède la formation et les équipements spécialisés C. Possède l’expérience des «comportements» malveillants D. Permet d’identifier des pistes d’enquêtes inhabituelles E. Apporte une vision «technologique» aux approches traditionnelles F. Peut agir comme témoin expert 24 3. Les domaines d’enquête Enquêtes corporatives Incidents de sécurité Litiges civils et commerciaux Enquêtes en droit du travail Infractions criminelles ou pénales Ordonnances Anton Piller Ordonnances Norwich 25 3. Les domaines d’enquête (suite) Ordonnances Anton Piller Ordonnance obtenue ex parte devant un juge en son bureau a pour but d’empêcher le défendeur de faire disparaître ou de détruire la preuve visée par l’ordonnance que l’on désire aller chercher en vue d’un litige et qui serait sûrement perdue ou détruite si un avis était donné au défendeur. Cas d’application i. Lorsqu’il y a un risque que la preuve soit détruite ii. Faire respecter des droits de propriété iii. Faire cesser immédiatement toute activités frauduleuses ou illégales iv. Empêcher la libre circulation de biens piraté ou contrefaits Conditions: 1. 2. 3. 4. 5. 6. 7. 8. Un droit apparent clair *; Un préjudice irréparable* ; La balance ou le poids des inconvénients* L’urgence de la situation* Un droit d’action prima facie et un commencement de preuve très solide ou très convaincant ; Un préjudice réel ou possible, très grave pour le demandeur (forte probabilité d’un préjudice ou d’un dommage sérieux ou irréparable) ; Une preuve manifeste que le défendeur a en sa possession des documents ou des biens pouvant servir de preuve et qu’il est réellement possible (probabilité) que le défendeur détruise cette preuve avant que ne puisse être introduite une demande inter partes Une pleine et entière divulgation des faits pertinents. Confidentiel 26 3. Les domaines d’enquête (suite) Ordonnances Norwich Ordonnance émise par un tribunal qui autorise un tiers (tel qu’un fournisseur de services) à divulguer l’identité de l’auteur inconnu d’un préjudice ou à communiquer des informations ou des documents afin de permettre à la partie requérante de vérifier l’existence d’une cause d’action ou de retracer et de préserver des éléments de preuve ou des actifs. Cas d’application i. ii. iii. Lorsque les informations recherchées sont nécessaires pour identifier les auteurs d’un préjudice; Pour recueillir et préserver des éléments de preuve susceptibles de justifier ou de soutenir une cause d’action à l’encontre des auteurs connus ou inconnus d’un préjudice, ou même pour vérifier l’existence d’une cause d’action; Pour retracer et préserver des actifs. Conditions: 1. 2. 3. 4. 5. Éléments de preuve suffisants qui attestent que la demande est valide, admissible (bona fide) ou raisonnable; Relation avec le tiers pour laquelle des informations sont recherchées, démontrant que ce dernier est d’une certaine manière impliqué à l’égard des gestes reprochés qui font l’objet du litige; Le tiers est la seule source possible d’information; Le tiers peut être dédommagée pour les frais encourus à rechercher les informations qu’elle est tenue de divulguer; L’intérêt de la justice favorise la divulgation d’information. Confidentiel 27 4. Les limites d’une cyber-enquête Le droit aux données (protection des renseignements) La chaine de possession Difficulté d’identifier «l’utilisateur du clavier» Les données collectées doivent être pertinentes à l’objet du mandat ou de l’enquête. Sauf exceptions, un mandat de perquisition doit être obtenu avant d’effectuer une cyber-enquête relative à une infraction criminelle Le respect du droit à la vie privée 28 5. Les principales étapes d’une cyber-enquête 1. 2. 3. 4. L’analyse préliminaire du dossier L’enquête Le témoin-expert et la contre-expertise La clôture du mandat 29 5. Les principales étapes d’une cyber-enquête 1. L’analyse préliminaire du dossier Rencontre préliminaire et description détaillée des évènements Identification de l’infraction, des faits reprochés, de la preuve disponible et des technologies en cause Discussion sur les objectifs recherchés Évaluation des chances de succès, limites et contraintes Le client décide si une enquête informatique est requise 30 5. Les principales étapes d’une cyber-enquête 1. L’analyse préliminaire du dossier 2. L’enquête Obtention de la preuve disponible Analyse de la preuve disponible Obtention du mandat de perquisition (si requis) Collecte et acquisition des données Extraction de données et analyse Évaluation globale de l’ensemble de la preuve Préparation du rapport d’expertise Soumission du rapport préliminaire au client Production du rapport final 31 Confidentiel 35 Confidentiel 36 Confidentiel 37 Confidentiel 38 Confidentiel 39 Confidentiel 41 Confidentiel 42 5. Les principales étapes d’une cyber-enquête 1. Analyse préliminaire du dossier 2. Enquête 3. Témoin-expert et contre-expertise Assiste le procureur dans le cadre de procédures judiciaires Explique de manière objective et claire ses conclusions devant la Cour. 43 5. Les principales étapes d’une cyber-enquête 1. 2. 3. 4. L’analyse préliminaire du dossier L’enquête Le témoin-expert et la contre-expertise La clôture du mandat Préservation de la preuve pendant la période d’appel Post mortem avec son client Remise ou destruction des preuves obtenues 44 6. Le cas particulier de l’infonuagique Quelques notions: Service d’accès aux ressources Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) 45 6. Le cas particulier de l’infonuagique Accès aux données dans l’infonuagique Matériel partagé avec d’autres clients Difficile d’identifier l’emplacement exact des données Protection de la confidentialité des autres clients Mise hors ligne des services a des impacts sur les autres clients Données sur serveurs sous plusieurs juridictions Dépendance sur le fournisseur de service Le fournisseur peut ne pas garder une copie de données, ex: journaux non conservés ou supprimés après X jours, suppression des données par le client 46 6. Le cas particulier de l’infonuagique Chaine de possession en Infonuagique Serveurs partagés entre plusieurs clients Preuve d’appartenance de données nécessaire Données fournies par le fournisseur de service Manipulation par des personnes qui n’ont pas nécessairement de formation en informatique judiciaire Preuve d’intégrité de données absente 47 6. Le cas particulier de l’infonuagique Solutions ? Difficile a atteindre le même niveau de fiabilité Techniques de “live-forensics” Considérations d’investigations lors du choix du fournisseur 48 7. Quelques exemples de cyber-enquêtes Altération de document légal et anti-forensic Altération de document sauvegardé dans l’Infonuagique Falsification de preuve Courriel diffamatoire 49 Exemple: Altération de document légal Consultation du document Confidentiel 50 Exemple: Altération de document légal Consultation des dates du fichier dans Encase Confidentiel 51 Exemple: Altération de document légal Analyse du disque dur avec Encase Confidentiel 52 Exemple: Altération de document légal Analyse des métadonnées avec Encase Confidentiel 53 Exemple: Altération de document légal Analyse de métadonnées avec Word Confidentiel 54 Exemple: Altération de document légal Analyse des copies de sauvegarde de la BD Confidentiel 55 Exemple d’artéfacts d’ouverture de document Fichier à ouvrir Confidentiel 56 Exemple d’artéfacts d’ouverture de document Microsoft Word – Recent Documents Confidentiel 57 Exemple d’artéfacts d’ouverture de document Microsoft Windows – Recent Items Confidentiel 58 Exemple d’artéfacts d’ouverture de document Jumplists Confidentiel 59 Exemple d’artéfacts d’ouverture de document UserAssist Confidentiel 60 Exemple d’artéfacts d’ouverture de document Historique Internet Explorer Confidentiel 61 Exemple d’artéfacts d’ouverture de document Prefetch Files Confidentiel 62 Exemple d’artéfacts d’ouverture de document Mémoire vive et Swap Confidentiel 63 Exemple d’artéfacts d’ouverture de document Fichier temporaire Confidentiel 64 Exemple d’artéfacts d’ouverture de document Previous Versions Confidentiel 65 La juri-informatique au service des auditeurs [email protected] 66