La juri-informatique Au service des auditeurs

La juri-informatique
Au service des auditeurs
François Daigle
Daniel Boteanu
La juri-informatique au service des auditeurs
1.
2.
3.
4.
5.
6.
7.
Qu’est-ce que la juri-informatique?
Les avantages de recourir à un cyber-enquêteur
Les domaines d’enquête
Les limites d’une cyber-enquête
Les principales étapes d’une cyber-enquête
Le cas particulier de l’infonuagique (« Cloud »)
Quelques exemples concrets d’enquêtes
2
1. Qu’est-ce que la juri-informatique?
 Également appelée «cyber-enquête», «informatique
judiciaire», «forensic» ou «enquête informatique»
 L’objectif premier de la juri-informatique est d’identifier la
preuve numérique pertinente à un dossier et d’en assurer
son intégrité tout au long du processus
 La juri-informatique c’est…
 Appliquer des techniques d’analyse spécifiques
 Appliquer des protocoles d'investigation numériques
 Respecter les règles de procédures légales
 Fournir des preuves numériques en support à un dossier
civil, pénal ou criminel
3
2. Les avantages d’un cyber-enquêteur
A. Favorise une preuve optimale
 Identifie les éléments de preuve disponibles les plus
probants
 Utilise des éléments de preuve fiables en support à ses
analyses et conclusions
 Permet d’identifier les responsables d’un acte en
analysant les traces, les métadonnées, les logs, etc.
 Réduit significativement le risque d’une altération
involontaire de la preuve recueillie
4
L’inexpérience…
5
Disque dur suspect: pas de protection contre l’écriture
6
Disque dur suspect: connexion USB pas fiable
7
Copie sur clé USB à l’aide de Windows: altération
potentielle de la destination
8
Copie à l’aide de Windows ou logiciel de sauvegarde:
absence de code d’intégrité
9
2. Les avantages d’un cyber-enquêteur (suite)
A. Favorise une preuve optimale
B. Possède la formation et les équipements spécialisés
permettant :
 D’identifier la preuve pertinente
 De restaurer une preuve « détruite » ou « altérée »
 De préserver la preuve
10
Aperçu du kit portatif de duplication de disque
11
Disques connectés à l’appareil de duplication
12
Appareil de duplication
13
Disque dur suspect
(protection contre écriture)
14
Disques durs de destination pour la copie
(copie miroir, en deux exemplaires)
15
Adaptateur pour différentes connexions
(IDE, SATA, SCSI, USB, Firewire, etc.)
16
Onduleur
(protection contre panne électrique)
17
Gants en nitrile
18
Bracelet anti-électrostatique
19
Options de duplication
(copie miroir avec code d’intégrité)
20
2. Avantages d’un cyber-enquêteur (suite)
A. Réduit significativement le risque d’une altération
involontaire de la preuve recueillie
B. Possède la formation et les équipements spécialisés
C. Possède l’expérience des «comportements» malveillants
 L’expérience favorise l’expertise
 Il faut penser comme un délinquant
 La normalité n’est pas un comportement délinquant
21
2. Avantages d’un cyber-enquêteur (suite)
A. Réduit significativement le risque d’une altération
involontaire de la preuve recueillie
B. Possède la formation et les équipements spécialisés
C. Possède l’expérience des «comportements» malveillants
D. Permet d’identifier des pistes d’enquêtes inhabituelles
 La preuve ne se trouve pas toujours à un seul endroit
 La preuve indirecte peut être aussi efficace
22
2. Avantages d’un cyber-enquêteur (suite)
A. Réduit significativement le risque d’une altération
involontaire de la preuve recueillie
B. Possède la formation et les équipements spécialisés
C. Possède l’expérience des «comportements» malveillants
D. Permet d’identifier des pistes d’enquêtes inhabituelles
E. Apporte une vision «technologique» aux approches
traditionnelles
 Les techniques d’enquête «traditionnelles» sont souvent
inefficaces
 L’interaction étroite entre la preuve physique et la preuve
technologique: l’une supporte l’autre et vice versa
 Sort l’enquête des limites du physique
23
2. Avantages d’un cyber-enquêteur (suite)
A. Réduit significativement le risque d’une altération
involontaire de la preuve recueillie
B. Possède la formation et les équipements spécialisés
C. Possède l’expérience des «comportements» malveillants
D. Permet d’identifier des pistes d’enquêtes inhabituelles
E. Apporte une vision «technologique» aux approches
traditionnelles
F. Peut agir comme témoin expert
24
3. Les domaines d’enquête







Enquêtes corporatives
Incidents de sécurité
Litiges civils et commerciaux
Enquêtes en droit du travail
Infractions criminelles ou pénales
Ordonnances Anton Piller
Ordonnances Norwich
25
3. Les domaines d’enquête (suite)
Ordonnances Anton Piller
Ordonnance obtenue ex parte devant un juge en son bureau a pour but d’empêcher le défendeur de faire disparaître ou
de détruire la preuve visée par l’ordonnance que l’on désire aller chercher en vue d’un litige et qui serait sûrement
perdue ou détruite si un avis était donné au défendeur.
Cas d’application
i.
Lorsqu’il y a un risque que la preuve soit détruite
ii.
Faire respecter des droits de propriété
iii. Faire cesser immédiatement toute activités frauduleuses ou illégales
iv. Empêcher la libre circulation de biens piraté ou contrefaits
Conditions:
1.
2.
3.
4.
5.
6.
7.
8.
Un droit apparent clair *;
Un préjudice irréparable* ;
La balance ou le poids des inconvénients*
L’urgence de la situation*
Un droit d’action prima facie et un commencement de preuve très solide ou très convaincant ;
Un préjudice réel ou possible, très grave pour le demandeur (forte probabilité d’un préjudice ou d’un
dommage sérieux ou irréparable) ;
Une preuve manifeste que le défendeur a en sa possession des documents ou des biens pouvant servir de
preuve et qu’il est réellement possible (probabilité) que le défendeur détruise cette preuve avant que ne
puisse être introduite une demande inter partes
Une pleine et entière divulgation des faits pertinents.
Confidentiel
26
3. Les domaines d’enquête (suite)
Ordonnances Norwich
Ordonnance émise par un tribunal qui autorise un tiers (tel qu’un fournisseur de services) à divulguer l’identité de
l’auteur inconnu d’un préjudice ou à communiquer des informations ou des documents afin de permettre à la
partie requérante de vérifier l’existence d’une cause d’action ou de retracer et de préserver des éléments de
preuve ou des actifs.
Cas d’application
i.
ii.
iii.
Lorsque les informations recherchées sont nécessaires pour identifier les auteurs d’un préjudice;
Pour recueillir et préserver des éléments de preuve susceptibles de justifier ou de soutenir une cause
d’action à l’encontre des auteurs connus ou inconnus d’un préjudice, ou même pour vérifier l’existence d’une
cause d’action;
Pour retracer et préserver des actifs.
Conditions:
1.
2.
3.
4.
5.
Éléments de preuve suffisants qui attestent que la demande est valide, admissible (bona fide) ou raisonnable;
Relation avec le tiers pour laquelle des informations sont recherchées, démontrant que ce dernier est d’une
certaine manière impliqué à l’égard des gestes reprochés qui font l’objet du litige;
Le tiers est la seule source possible d’information;
Le tiers peut être dédommagée pour les frais encourus à rechercher les informations qu’elle est tenue de
divulguer;
L’intérêt de la justice favorise la divulgation d’information.
Confidentiel
27
4. Les limites d’une cyber-enquête




Le droit aux données (protection des renseignements)
La chaine de possession
Difficulté d’identifier «l’utilisateur du clavier»
Les données collectées doivent être pertinentes à l’objet du
mandat ou de l’enquête.
 Sauf exceptions, un mandat de perquisition doit être obtenu
avant d’effectuer une cyber-enquête relative à une infraction
criminelle
 Le respect du droit à la vie privée
28
5. Les principales étapes d’une cyber-enquête
1.
2.
3.
4.
L’analyse préliminaire du dossier
L’enquête
Le témoin-expert et la contre-expertise
La clôture du mandat
29
5. Les principales étapes d’une cyber-enquête
1. L’analyse préliminaire du dossier
 Rencontre préliminaire et description détaillée des
évènements
 Identification de l’infraction, des faits reprochés, de la
preuve disponible et des technologies en cause
 Discussion sur les objectifs recherchés
 Évaluation des chances de succès, limites et contraintes
 Le client décide si une enquête informatique est requise
30
5. Les principales étapes d’une cyber-enquête
1. L’analyse préliminaire du dossier
2. L’enquête
 Obtention de la preuve disponible
 Analyse de la preuve disponible
 Obtention du mandat de perquisition (si requis)
 Collecte et acquisition des données
 Extraction de données et analyse
 Évaluation globale de l’ensemble de la preuve
 Préparation du rapport d’expertise
 Soumission du rapport préliminaire au client
 Production du rapport final
31
Confidentiel
35
Confidentiel
36
Confidentiel
37
Confidentiel
38
Confidentiel
39
Confidentiel
41
Confidentiel
42
5. Les principales étapes d’une cyber-enquête
1. Analyse préliminaire du dossier
2. Enquête
3. Témoin-expert et contre-expertise
 Assiste le procureur dans le cadre de procédures
judiciaires
 Explique de manière objective et claire ses conclusions
devant la Cour.
43
5. Les principales étapes d’une cyber-enquête
1.
2.
3.
4.
L’analyse préliminaire du dossier
L’enquête
Le témoin-expert et la contre-expertise
La clôture du mandat
 Préservation de la preuve pendant la période d’appel
 Post mortem avec son client
 Remise ou destruction des preuves obtenues
44
6. Le cas particulier de l’infonuagique
Quelques notions:
 Service d’accès aux ressources
 Software as a Service (SaaS)
 Platform as a Service (PaaS)
 Infrastructure as a Service (IaaS)
45
6. Le cas particulier de l’infonuagique
Accès aux données dans l’infonuagique
 Matériel partagé avec d’autres clients
 Difficile d’identifier l’emplacement exact des données
 Protection de la confidentialité des autres clients
 Mise hors ligne des services a des impacts sur les autres
clients
 Données sur serveurs sous plusieurs juridictions
 Dépendance sur le fournisseur de service
 Le fournisseur peut ne pas garder une copie de données,
ex: journaux non conservés ou supprimés après X jours,
suppression des données par le client
46
6. Le cas particulier de l’infonuagique
Chaine de possession en Infonuagique
 Serveurs partagés entre plusieurs clients
 Preuve d’appartenance de données nécessaire
 Données fournies par le fournisseur de service
 Manipulation par des personnes qui n’ont pas
nécessairement de formation en informatique judiciaire
 Preuve d’intégrité de données absente
47
6. Le cas particulier de l’infonuagique
Solutions ?
 Difficile a atteindre le même niveau de fiabilité
 Techniques de “live-forensics”
 Considérations d’investigations lors du choix du fournisseur
48
7. Quelques exemples de cyber-enquêtes
 Altération de document légal et anti-forensic
 Altération de document sauvegardé dans l’Infonuagique
 Falsification de preuve
 Courriel diffamatoire
49
Exemple: Altération de document légal
Consultation du document
Confidentiel
50
Exemple: Altération de document légal
Consultation des dates du fichier dans Encase
Confidentiel
51
Exemple: Altération de document légal
Analyse du disque dur avec Encase
Confidentiel
52
Exemple: Altération de document légal
Analyse des métadonnées avec Encase
Confidentiel
53
Exemple: Altération de document légal
Analyse de métadonnées avec Word
Confidentiel
54
Exemple: Altération de document légal
Analyse des copies de sauvegarde de la BD
Confidentiel
55
Exemple d’artéfacts d’ouverture de document
Fichier à ouvrir
Confidentiel
56
Exemple d’artéfacts d’ouverture de document
Microsoft Word – Recent Documents
Confidentiel
57
Exemple d’artéfacts d’ouverture de document
Microsoft Windows – Recent Items
Confidentiel
58
Exemple d’artéfacts d’ouverture de document
Jumplists
Confidentiel
59
Exemple d’artéfacts d’ouverture de document
UserAssist
Confidentiel
60
Exemple d’artéfacts d’ouverture de document
Historique Internet Explorer
Confidentiel
61
Exemple d’artéfacts d’ouverture de document
Prefetch Files
Confidentiel
62
Exemple d’artéfacts d’ouverture de document
Mémoire vive et Swap
Confidentiel
63
Exemple d’artéfacts d’ouverture de document
Fichier temporaire
Confidentiel
64
Exemple d’artéfacts d’ouverture de document
Previous Versions
Confidentiel
65
La juri-informatique au service des auditeurs
[email protected]
66