Expert en sécurité digitale - rattrapage du module Forensic par Edem.

1. Digital Forensic - Informatique légale
Présentation: Edem Alomatsi

2. SOMMAIRE
1. Forensic
2. Objectifs
3. Types de forensic
4. Cas d'utilisation du forensic
5. Outils
6. Etapes

3. Forensic ?
● L’analyse forensic ou médico-légale désigne l’examen et
l’investigation du crime par des méthodes scientifiques.
● Pour s'assurer que les preuves sont recevables devant les
tribunaux, les examinateurs légaux ont l’obligation de suivre des
procédures légaux lors de la collecte et du traitement des preuves.
● les examinateurs légaux documentent chaque étape pour assurer
que les preuves sont traitées de manière inviolable.

4. Forensic Digital ?
Le forensic digital est la branche du forensic focalisée sur des preuves
numériques telles qu'un ordinateur ou données réseau, smartphone,
USB et données GPS.

5. Forensic digital: Objectifs
● Identifier,
● analyser,
● reconstruire des événements et de
● présenter des preuves irréfutables devant une cour de justice.

6. Forensic digital: Type
● Lives forensic,
● network,
● computer forensic
● mobile forensic
● database forensic

7. Forensic digital: cas d’usage
● Dans une cadre légale,
● En réponse à un incidents de sécurité,
● Analyse de malware

8. Forensic digital: Outils
Objectif:
● Acquisition de données
● effectuer des recherches
● générer des rapports
Matériel:
Write Blocker (matériel) , Disques , ...
Logiciels : Write Blocker, FTK Imager, DD, Autopsy, Volatility, ...

9. Forensic digital: Étapes
● Collecter des données,
● Préserver les données collectées,
● Analyser les données collectées,
● Documenter les actions menées

10. Forensic digital: Étapes
Deux types de données:
● Volatiles
○ données mémoire RAM, SWAP,
○ Processus en cours, fichiers ouverts, ...
● non-volatiles
○ données disque dur,
○ support amovibles
Outils:
● FTK Imager: génère un fichier .001 et .txt, 2 types de hash: MD5,
SHA1
● ipconfig /all > infosreseau.txt, ifconfig -a > infosreseau.txt
● DD, dcfldd, Volatily
Collecte des données

11. Forensic digital: Étapes
Afin de préserver l’intégrité des données:
● Utilisation d’un “Write blocker”, Bitstream copy
● Utilisation de Hash
○ comparer des hashs,
○ si hash1 = hash2 => données intègres
Outils:
● md5sum (linux) : générer et comparer des hash
● Hashcal (windows)
Préservation des données

12. Forensic digital: Étapes
● L’analyse commence en rechercher la table des partitions
disponibles sur le disque suspect
● Générer un timeline et se basant sur les fichiers de log
● Restaurer les fichier supprimé et/ou disponibles dans la Corbeille
● Rechercher les fichiers cachés
● Analyser les signatures/Hash
● Effectuer les recherches relatives aux cas spécifique de
l’investigation
● Vérifier les informations dans le registre,
● ...
Analyse des données

13. Forensic digital: Étapes
La document se matérialise à travers la Chaîne de Custody qui contient
des informations sur:
● le matériel et informations numériques (nom de fichier, hachage
md5)
● Comment l'as-tu obtenu ?
● les outils utilisés,
● le type d'acquisition (en direct ou hors ligne),
● le format de stockage
● Quand a-t-il été collecté? Qui l'a manipulé ?
...
Documenter les actions

14. Forensic digital: Étapes
Un exemple de template proposé par le NIST :
Documenter les actions

15. Forensic digital: Étapes
● Formatage des DD
● Obfuscation
● stéganographie Modification des informations d’accès au fichier
● Suppression des métadonnées
● Changement des extensions de fichiers
● ...
Méthodes/outils anti-forensics

16. Merci de votre attention !