Forensic dans la sécurité informatique

La validation ou non des hypothèses de départ se fait grâce à la mise en relation de ces preuves, à savoir le vol de données, le téléchargement de contenus illicites, le piratage, etc.

                                      Les techniques utilisées pour le forensic

Une fois l’incident détecté, l’investigation numérique forensic consiste à se servir des méthodologies éprouvées pour obtenir les données, analyser les journaux système des dispositifs et tirer des conclusions.

En général, l’analyse utilise les techniques suivantes :

Récupérer les données sur tous les supports informatiques : cette étape consiste à récupérer des fichiers supprimés ou les fichiers logs sur les équipements réseau, les archives, téléphone, ordinateur etc. Cela permet de regrouper des preuves afin de porter plainte pour vol d’informations, intrusion, etc.

Traiter et analyser les données : cette technique consiste à visualiser, trier, classer et rechercher les traces de ces incidents. Analyser et conclure l’attaque : elle permet d’étudier et de comprendre l’intrusion.

                       QUELLES SONT LES DIFFÉRENTES APPROCHES AFIN D’AIDER LES CLIENTS ?

                              On peut réaliser le forensic selon 3 manières différentes :

• L’analyse à froid ou dead forensics

Cette approche consiste à copier toutes les données du système d’information pour ensuite les analyser sur un autre support.

C’est une technique qui permet d’analyser en profondeur tout en évitant d’engendrer d’autres impacts sur le système existant.

• L’analyse à chaud ou live forensics

Dans cette analyse, il est question de récupérer les renseignements du système d’information pour les installer dans un système en cours de fonctionnement.

Il s’agit d’une solution qui sert à analyser les processus actifs du système ainsi que sa mémoire vive.

• L’analyse en temps réel

Cette solution permet de capturer le trafic réseau pour l’analyse, la détection et la compréhension de l’attaque sur le réseau.

                                           FORENSIC DEVANT LES JURIDICTIONS

On peut effectuer deux types de forensic selon l’objectif :

• Le forensic judiciaire

L’objectif de cette investigation est d’apporter des preuves tangibles sur les faits. Ainsi, l’Avocat de la victime pourra monter un dossier d’accusation solide sur la base du rapport dossier d’expertise.

Lorsque c’est la victime demande une expertise, elle peut déposer les preuves auprès d’un enquêteur, un juriste, un avocat ou chez le Procureur de la République. En effet, l’investigation après une intrusion permet d’enclencher l’action publique (dépôt de plainte, etc.).  

• Le forensic technique

Cette solution permet de récupérer des indices servant de preuves informatiques contenus dans les disques, les logs ou encore les journaux. Cela permet de déterminer les raisons pour lesquelles le système ou l’application a été compromis. Il s’agit notamment d’une vulnérabilité exploitée par un hacker, d’un vol d’informations en interne, d’une erreur humaine, etc.

Dans ce cas, la démarche est réalisée dans le cadre privé de correction. Cela permet surtout d’améliorer de manière continue la sécurité du système d’information. Le résultat des recherches est alors retranscrit et formalisé dans cette vision.

                                           LES DIFFÉRENTES ÉTAPES DU FORENSIC

L’investigation numérique se déroule autour de 4 points principaux :

• L’acquisition

Pendant cette étape, les experts se chargent d’analyser les supports perquisitionnés par les enquêteurs ou du procureur de la république s’ils sont mandatés ou commis. Ces derniers seront par la suite identifiés de manière précise et photographier.

Ils peuvent aussi capturer la RAM ou mémoire vive du dispositif s’il fonctionne lors de l’acquisition (perquisition). La capture servira pour une analyse « live forensics ».

Les experts doivent aussi copier et dupliquer les mémoires persistantes, surtout les disques durs. Ils sont indispensables pour effectuer une analyse « dead forensics ».

Une fois le disque copié et dupliqué, il est conseillé de contrôler tout le disque dur et s’assurer qu’il correspond parfaitement à la source. Pour ce faire, il faut comparer l’empreinte du disque d’origine avec toutes les copies.

• L’investigation

Cette étape est vraiment importante, car c’est dans cette partie que les experts investigateurs mènent des fouilles pour répondre aux questions des demandeurs, des avocats et du procureur. Les experts procèdent souvent comme suit :

Mise en place d’une timeline des événements ;

Identifier un squelette de scénario via les données récupérées ;

Créer de nouveaux scénarios à partir de l’hypothèse initiale ;

Déduire une suite logique d’événements.

• La remédiation

Cette phase se produit en fonction du contexte. Par exemple, elle n’est pas indispensable pour une enquête judiciaire sur un crime. Par contre, en cas d’infection par un logiciel malveillant, il est impératif de refermer son développement et garantir le bon fonctionnement du parc.

• La remise du rapport

Ce sont les experts qui sont chargés de rédiger le rapport. Elle est composée d’un prélude clair et constant des traces numériques de chaque réponse aux requêtes initiales. Le rapport doit être à la fois clair et précis qfin de permettre au juge de rendre une décision de justice, surtout dans le cadre d’un procès.

On peut aussi envisager des mesures de protection dans le cadre d’une réponse à un incident pour qu’il ne se reproduise plus.

                        D’AUTRES CAS D’APPLICATION DE L’ANALYSE FORENSIQUE

Souvent, la science forensique est connue dans le cadre de la sécurité de l’information. Néanmoins, elle s’applique aussi dans d’autres domaines et est réalisée par des experts professionnels très variés.

• La police scientifique

Au Cameroun, on retrouve plus les diplômés en science forensique dans la section d’investigation de la police scientifique et technique.

En effet, la Police et la Gendarmerie se servent du forensic pour améliorer l’administration de la preuve dans les affaires pénaux et criminelles, à savoir, la pertinence d’une analyse, l’établissement de la culpabilité, la gestion des liens entre les affaires, etc.

On peut aussi faire usage de cette analyse pour un renseignement criminel.

• Les laboratoires

Des laboratoires offrent aussi des services en science forensic. Particulièrement les laboratoires de médecine légale et des sciences judiciaires, les laboratoires des gendarmeries ou des laboratoires en sûreté.

Certains dans le secteur privé proposent également ses prestations d’investigations, d’identification et d’élaboration de données comme notre Cabinet CENTURION.

C’est aussi le cas pour les services de labo de surveillance, d’investigation et d’inspection dans le domaine des accidents complexes, des activités litigieuses et des sinistres.

• Les Tribunaux

Les 70 % des spécialistes en forensic travaillent en administration publique (Police et Gendarmerie). Dans certaines régions, les Tribunaux utilisent ce type d’analyse, notamment les juges d’application des peines et d’instructions.

L’analyse forensique est utilisée dans le processus des enquêtes pour effectuer l’interrogation des personnes, pour l’analyse des interrogatoires ou encore pour la coordination des étapes de la procédure judiciaire.

Ces domaines font également appel aux experts et ingénieurs en informatique pour trouver des solutions aux problèmes de sécurité informatique.

• Le domaine financier

Les experts interviennent dans le secteur de la finance. Les consultants forensic travaillent dans les cabinets d’expertises criminelles et les experts au sein des organisations nationales qu’internationales tels que le FIB (Federal Bureau of Investigation) FMI (Le Fonds monétaire international), le Contrôle Supérieur de l’Etat (CSE)…

Les auditeurs forensic collaborent avec des institutions comme l’AMF ou l’Autorité des marchés financiers. Des ingénieurs de la police scientifique et des agents de renseignements font d’ailleurs usage de cette analyse dans le cadre de leur travail.

Ces experts sont recrutés davantage au sein de ces institutions, des cabinets d’expertises de ces organisations pour leurs compétences particulières.

• L’objectif principal d’une enquête et d’investigation numérique est d’identifier, de collecter et d’analyser des preuves électroniques provenant de dispositifs informatiques et de réseaux. Cela inclut la récupération de données supprimées, l’analyse de la métadonnée, et la traçabilité des activités numériques suspectes.