Les « live forensics » et l'enquête judiciaire

Magazine
Marque
MISC
Numéro
56
Mois de parution
juillet 2011
Domaines


Résumé

L'analyse forensique des systèmes vivants (« live data forensics » en anglais) est un domaine en pleine croissance tant sur le plan des pratiques que du développement de méthodes et d'outils dédiés. Son utilisation va de l'analyse des logiciels malveillants aux perquisitions judiciaires, en passant bien évidemment par la réponse aux incidents. Après avoir revu l'état de l'art de cette nouvelle discipline, nous aborderons les problèmes tant juridiques que pratiques qui peuvent se présenter dans le cadre d'une exploitation judiciaire de ces méthodes.


1. Introduction – Définitions

Au début des années 2000, le groupe de travail sur le crime de haute technologie du G8 avait décidé de produire un court film de formation sur les perquisitions informatiques. À la même époque, nous avions validé les premiers grands principes internationaux en matière de traitement des preuves numériques et qui étaient proposés comme référence aux services d'enquête. Ils s'établissaient ainsi [1] :

- Lors du traitement d'un élément de preuve numérique, tous les principes généraux de la criminalistique et de la procédure doivent lui être appliqués.

- Lors de la saisie d'un élément de preuve numérique, les actions entreprises ne doivent pas modifier cet élément de preuve.

- Lorsqu'il est nécessaire pour une personne d'accéder à un élément de preuve numérique original, cette personne doit avoir reçu une formation appropriée.

- Toutes les activités relatives à la saisie, l'accès, le stockage, ou le...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Collecte d'artefacts en environnement Windows avec DFIR-ORC

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Dès le début de la réponse à incident se pose la question de la collecte de preuves afin de mener à bien les investigations numériques. Rapidement, les problématiques techniques d'échelle, d'hétérogénéité du parc ou de confidentialité font leur apparition. DFIR-ORC tente d'adresser ces sujets en permettant la capture forensique à un instant T d'une machine Windows.

Antivirus, PowerShell et ORC pour le Live-Forensics

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise en œuvre peut s’avérer complexe sur des systèmes d’information modernes et des zones géographiques étendues. Cet article aborde les capacités de déploiement d’outils de live-forensics au travers des antivirus pour permettre la mise en œuvre des outils de référence, comme DFIR-ORC, lorsque c’est nécessaire.

Traitement de courriels d’hameçonnage avec TheHive & Cortex

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Face au nombre toujours plus important d'alertes de sécurité à qualifier et d'incidents à traiter, il devient primordial pour un SOC ou une équipe CSIRT de mettre en œuvre des solutions permettant d’identifier les sujets prioritaires. L’actualité de ces derniers mois et l’accroissement du nombre de victimes de rançongiciels met en évidence le besoin de détecter et de réagir au plus vite. Cet article propose de montrer comment intégrer TheHive et Cortex au processus de détection et de réponse pour automatiser un certain nombre de tâches, et donc gagner du temps, toujours précieux dans ces situations.

DFIR et CTI, une complémentarité idéale

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Lorsqu’une entreprise constate que son système d’information a été compromis par une attaque d’envergure et persistante, sa préoccupation première consiste à vouloir déloger les attaquants du système, et le sécuriser afin que l’attaquant ne puisse plus revenir. Cependant, pour mener à bien cette noble mission, il est nécessaire à la fois de procéder à des actions de réponse à incident, de confinement (c’est dans l’air du temps), de remédiation, mais aussi de procéder à des investigations plus poussées sur les attaquants et leur mode opératoire. Cette dernière phase n’est pas systématiquement mise en œuvre lors d’une réponse à incident, soit par manque de maturité ou méconnaissance des responsables de la sécurité de l’entreprise, soit par manque de budget, tout simplement. Pourtant, cette connaissance approfondie de l’attaque et de ses auteurs permet de remédier à l’incident beaucoup plus efficacement et souvent d’anticiper de prochaines attaques.