Cahier d'un NERD

OH OSX... OH LINUX... OH WINDOWS Voir l'article

Catégorie autopsieAutopsie Numérique

1. DEFINITIONS FORENSICS :

1-1 Le cybercrime (ou bien e-crime,digital crime,crime numérique,etc)

fait référence à une activité illégale dans laquelle un ordinateur, un réseau, ou tout simplement un objet numérique, peut être la source, l'outil,la victime d'une scène de crime.Comme la criminalité traditionnelle, la cybercriminalité peut prendre diverses formes et peut se produire à tout moment et n'importe où.Les cybercriminels utilisent un certain nombre de méthodes, en fonction de leurs compétences et de leurs objectifs.Cela n'a rien de surprenant : après tout, la cybercriminalité est un type de criminalité perpétrée dans le cyber espace.

La convention sur la cybercriminalité du Conseil de l'Europe utilise le terme "cybercriminalité" pour faire référence aux délits allant de toute activité criminelle portant atteinte aux données, au non-respect des droits d'auteur qui peuvent être des infractions contre la confidentialité, l'intégrité

et la disponibilité des données et systèmes informatiques.Les grandes principes de cette convention sont les suivantes :

1.L'accès illégal et intentionnel à tout ou partie d'un système informatique ou système d'information

2.L'Interception illégale et intentionnelle effectuée par des moyens techniques,de données informatiques lors de transmissions non publiques ...y compris les émissions électromagnétiques

3.Atteinte à l'intégrité des données

4.Atteinte à l'intégrité d'un système

5.Abus de dispositifs (reproduction et droits d'auteurs)

6.Falsification informatique

7.Fraude informatique

8.Infraction se rapportant à la pédophilie

9.Infraction portant atteinte à la propriété intellectuelle

10.Tentative et complicité

11.Responsabilité des personnes morales

Le manuel des Nations Unies sur la prévention et la répression de la criminalité liée à l'informatique inclut la fraude, la contrefaçon et l'accès non autorisé dans sa définition de la cybercriminalité.

Du côté français,la loi sur la cybercriminalité repose sur deux catégories :

1.Intrusion sur les S.T.A.D qui concerne les dispositions de la Loi Godfrain n°88-19 du 05 janvier 1988 reprises dans les dispositions des articles 323-1 à 323-4 du Code Pénal.

2.Réglementation CNIL qui concerne les dispositions de la Loi Informatique et Liberté n°78-17 du

janvier 1978 reprises dans les articles 226-16 à 226-24 du Code Pénal.

Les infractions commises par les particuliers ou salariés d'une entreprise peuvent être :

Abus de confiance, usurpation d'identité,

Accès à des données privés en vu de mener du chantage

Espionnage, l'intelligence avec une puissance étrangère

Les infractions commise par un Etat ou une entreprise (DSI, RSSI) peuvent être :

Manquement à la sécurisation des données

Divulgation illicite de certaines données personnelles,Violation du secret professionnel

Complicité par assistance ou fourniture de moyens

Le cybercrime peut présenter les caractéristiques suivantes :

∞ Un événement ponctuel du point de vue de la victime. Par exemple, une victime télécharge sans le savoir un cheval de Troie qui installe un programme d'enregistrement des frappes clavier (keylogger) sur sa machine. Il est possible également que la victime reçoive un courrier électronique contenant un lien prétendu légitime alors qu'il s'agit en réalité d'un lien vers un site Web malveillant (spam ou phishing).

∞ Il est établi que les cybercriminels utilisent des logiciels « criminels » tels que les programmes d'enregistrement de frappes clavier, les virus, les rootkits ou les chevaux de Troie. Certains de ces logiciels étaient à la base le moyen pour les administrateurs réseau ou systèmes de monitorer leur produit à distance.

∞ Les failles ou les vulnérabilités d'un logiciel ouvrent généralement la porte à l'attaquant. Par exemple, des criminels contrôlant un site Web (Command & Control (C2C)) pourraient profiter d'une vulnérabilité d'un navigateur Web pour placer un cheval de Troie sur l'ordinateur de la victime.

Voici des exemples de ce type de cybercriminalité : phishing, vol ou manipulation de données ou de services par piratage ou par le biais de virus, usurpation d'identité, fraude bancaire et du commerce électronique.

. Elle peut aussi correspondre à :

. Le harcèlement sur Internet,

. La prédation contre les enfants,

. L'extorsion de fonds,

. Le chantage,

. La manipulation des marchés boursiers,

. L'espionnage industriel de haut niveau,

. L'espionnage politique et social.

. La planification ou l'exécution d'activités terroristes.Cell-ci peut avoir les caractéristiques suivantes :

∞ Il s'agit généralement d'une série continue d'événements impliquant des interactions répétées avec la cible. Par exemple, la cible est contactée par une personne dans un forum de discussion. Petit à petit, cette personne tente d'établir une relation avec la cible.Le criminel finit par exploiter cette relation dans le but de perpétrer un acte criminel.Des membres d'une cellule terroriste ou d'une organisation criminelle pourraient également communiquer sur un forum de discussion de façon codée et, par exemple, planifier des activités ou discuter du blanchiment de leur argent.

Ce type de cybercriminalité est généralement rendu possible par des programmes qui ne font pas partie de la catégorie des logiciels criminels. Par exemple, les conversations pourraient avoir lieu par le biais de clients de messagerie instantanée ou des fichiers pourraient être transférés via FTP.

1-2 Le digital forensics ou bien le computer forensics

est l'application d'une investigation et de techniques d'analyse dans le but d'acquérir , d'analyser et de préserver la preuve ou toute trace venant d'un support informatique particulier dans le but de présenter des preuves à un tribunal. Son objectif est d'utiliser une investigation structurée afin d'établir la preuve qu'un support numérique a été soit la victime, l'outil ou la source d'une scène de crime. Nous ferons la différence entre les quatre domaines que sont l'Analyse réseau, l'Analyse système, l'Analyse de rétro ingénierie et l'Analyse des Modes Opératoires d'(es) Attaque(Attaquants) (MOA).

1-3 La preuve numérique (ou bien digital evidence)

désigne tous matériels,matériaux et informations susceptibles d'être présentés devant un tribunal dans le cadre d'une affaire judiciarisée. Elle est le vestige d'une présence et /ou d'une action ayant pour dessein la compromission d'un système numérique.Une preuve numérique recherchée peut être de différentes natures:

∞ Des images (par exemple des images pédophiles)

∞ Des documents bureautiques (lettres, documents, feuilles de calcul …)

∞ Les adresses électroniques

∞ Les courriers électroniques envoyés et reçus (si cela a été explicitement autorisé par le Magistrat)

∞ Les sites internet visités (historique des différents navigateurs)

∞ Des mots de passe mémorisés (soit dans un navigateur ou dans un conteneur

∞ Les cookies (informations personnelles d’accès à un site Internet donné)

∞ Les logiciels installés

∞ Les dates d’activité du PC (dates de création et de dernière modification d’un fichier …)

∞ Les numéros appelés ou reçus.

Les informations présentes sur un support numérique, peuvent être visibles, mais aussi être délibérément cachées ou détruites.

1-4 Validité de la preuve numérique

La preuve apportée est à sens unique : l'absence de preuve n'est pas la preuve de l'absence.

Le digital forensic peut déboucher sur le constat de l'absence des informations recherchées. Compte tenu des techniques d'enregistrement des données numériques, ces informations peuvent pourtant avoir été présentes sur le support analysé et avoir été recouvertes ensuite par d'autres.

Autrement dit, si le digital forensic ne trouve pas l'information recherchée, cette preuve ne vaut qu'en l'état du support et au moment de son analyse. Il ne peut en aucun cas en être déduit que ce support n'a jamais comporté l'information en cause.

2. CONCEPTS :

En s'appuyant sur divers documents, nous avons établi 4 grands concepts :

Concept 1 :

Aucune action des enquêteurs, analystes ou agents de l’État mandatés ne doit modifier, altérer ou détruite des preuves numériques.Toute preuve numérique est assujétie aux mêmes règles et mêmes lois qui s'appliquent à tout document faisant l'objet d'investigation.

Concept 2 :

Toute personne qui voudrait avoir accès à la preuve numérique originale doit être habilitée et formée.Cette personne devra expliquer son attendue de la preuve ainsi que les techniques mises en œuvre pour produire celle-ci.

Concept 3 :

Chaque action sur la preuve numérique devra être documentée et expliquée par écrit puis archivée afin q'une tierce personne puisse reproduire chaque action et tomber sur le même résultat.Chaque donnée informatique ne peut être ajoutée, altérée ou supprimée de son support et ce, même sans aucune action quelconque d'un enquêteur.Cela souligne l'importance de la documentation.

Concept 4 :

L'enquêteur en charge de l'affaire devra faire en sorte que la loi soit respectée et prise en compte par tous les individus travaillant sur celle-ci.

Confidentialité, Intégrité, Disponibilité, Authenticité et Non-Répudiation.