MISC Hors-série N°

Les fondamentaux de l'analyse forensique - Réponse à incident & investigation numérique

Février/Mars 2021

Introduction au dossier : Les fondamentaux de l'analyse forensique

La sécurité informatique est morte : vive la cybersécurité !

Les pirates des années 90 ont laissé place aux cybercriminels et aux APT, les attaques contre la chaîne logistique numérique (Supply Chain Attack) font la Une des journaux grand public. Des rançongiciels paralysent des hôpitaux en pleine pandémie de la Covid-19, des cyberespions chinois, russes, iraniens ou nord-coréens – bizarrement rarement indiens, et pourtant… – pillent les laboratoires pharmaceutiques de leurs recettes de vaccin.

Dans ce numéro...

Édito : Messageries sécurisées - vers la fin d’un règne ?

Par Gaspar Émilien (gapz)

MISC

HS n°

février 2021

| Gaspar Émilien (gapz)

D’aucuns n’auront loupé l’explosion du nombre d’utilisateurs de l’application de messagerie instantanée Signal, soit au travers de l’actualité, soit car leur infrastructure était tout simplement dans les choux ce 15 janvier 2021, précisément à cause de cette nouvelle charge (on ne connaît pas précisément l’ordre de grandeur). Signal n’a d’ailleurs pas été le seul à connaître ce récent succès, d’autres applications telles que Telegram ont annoncé avoir eu 25 millions de nouveaux utilisateurs en l’espace de 72 heures. Derrière cette migration massive vers des applications de messagerie dites alternatives, une simple, mais non des moindres, annonce d’une future mise à jour des conditions d’utilisation du service WhatsApp, touchant notamment à l’épineuse question des données personnelles.

> Lire l'extrait

Côté livres…

Par Arcas Guillaume

Brèves

MISC

HS n°

février 2021

| Arcas Guillaume

Voici quelques livres, pour certains des incontournables à avoir dans sa bibliothèque, pour d’autres il s’agit de publications récentes qui ont attiré notre attention.

> Lire l'extrait

Entretien avec David Bizeul et Guillaume Arcas, acteurs historiques des CERT francophones

Par Gaspar Émilien (gapz)

Témoignage Forensic

MISC

HS n°

février 2021

| Gaspar Émilien (gapz)

David Bizeul et Guillaume Arcas, tous deux bien connus du monde de la sécurité informatique et notamment de la réponse à incident, vous livrent ici leurs parcours, points de vue et conseils quant aux enjeux de cet incroyable domaine qu’est la sécurité.

> Lire l'extrait

GNU Guix, vers une gestion de paquets plus sécurisée

Par Klein Édouard

Sécurité système

MISC

HS n°

février 2021

| Klein Édouard

GNU Guix [GUIX] se présente comme un « gestionnaire de paquets purement fonctionnel ». Explorons ce que cela veut dire. Nous verrons que GNU Guix peut remplacer avantageusement aptitude, pip, virtualenv, Docker, Jenkins, et Ansible.

> Lire l'extrait

DFIR : hier, aujourd’hui et demain

Par Arcas Guillaume

Forensic

MISC

HS n°

février 2021

| Arcas Guillaume

La réponse aux incidents et son alter ego l’investigation numérique sont des activités plus que trentenaires qui restent ô combien d’actualité – rançongiciels par-ci, APT par-là. Au-delà des (r)évolutions des technologies et des usages – dont le Cloud – leurs fondations ont résisté au temps.

> Lire l'extrait

L’analyse de disques durs

Par Bonnaventure William

Forensic

MISC

HS n°

février 2021

| Bonnaventure William

L’analyse forensique de disques durs a toujours présenté des défis quotidiens, mais le problème actuel est la taille grandissante des supports de stockage. Quelles conséquences pour les experts et comment s’adapter ?

> Lire l'extrait

Collecte d'artefacts en environnement Windows avec DFIR-ORC

Par Lemaire Quentin

Forensic

MISC

HS n°

février 2021

| Lemaire Quentin

Dès le début de la réponse à incident se pose la question de la collecte de preuves afin de mener à bien les investigations numériques. Rapidement, les problématiques techniques d'échelle, d'hétérogénéité du parc ou de confidentialité font leur apparition. DFIR-ORC tente d'adresser ces sujets en permettant la capture forensique à un instant T d'une machine Windows.

> Lire l'extrait

Doper votre SIEM pour la réponse sur incident

Par Peyrefitte Sylvain, Roudé Luc

Forensic

MISC

HS n°

février 2021

| Peyrefitte Sylvain, Roudé Luc

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

> Lire l'extrait

Antivirus, PowerShell et ORC pour le Live-Forensics

Par Ladent Étienne, Lascaux Pierre-Yves, Saint Hilaire Keny

Forensic

MISC

HS n°

février 2021

| Ladent Étienne, Lascaux Pierre-Yves, Saint Hilaire Keny

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise en œuvre peut s’avérer complexe sur des systèmes d’information modernes et des zones géographiques étendues. Cet article aborde les capacités de déploiement d’outils de live-forensics au travers des antivirus pour permettre la mise en œuvre des outils de référence, comme DFIR-ORC, lorsque c’est nécessaire.

> Lire l'extrait

Traitement de courriels d’hameçonnage avec TheHive & Cortex

Par Léonard Jérôme

Forensic

MISC

HS n°

février 2021

| Léonard Jérôme

Face au nombre toujours plus important d'alertes de sécurité à qualifier et d'incidents à traiter, il devient primordial pour un SOC ou une équipe CSIRT de mettre en œuvre des solutions permettant d’identifier les sujets prioritaires. L’actualité de ces derniers mois et l’accroissement du nombre de victimes de rançongiciels met en évidence le besoin de détecter et de réagir au plus vite. Cet article propose de montrer comment intégrer TheHive et Cortex au processus de détection et de réponse pour automatiser un certain nombre de tâches, et donc gagner du temps, toujours précieux dans ces situations.

> Lire l'extrait

DFIR et CTI, une complémentarité idéale

Par Pernet Cédric

Forensic

MISC

HS n°

février 2021

| Pernet Cédric

Lorsqu’une entreprise constate que son système d’information a été compromis par une attaque d’envergure et persistante, sa préoccupation première consiste à vouloir déloger les attaquants du système, et le sécuriser afin que l’attaquant ne puisse plus revenir. Cependant, pour mener à bien cette noble mission, il est nécessaire à la fois de procéder à des actions de réponse à incident, de confinement (c’est dans l’air du temps), de remédiation, mais aussi de procéder à des investigations plus poussées sur les attaquants et leur mode opératoire. Cette dernière phase n’est pas systématiquement mise en œuvre lors d’une réponse à incident, soit par manque de maturité ou méconnaissance des responsables de la sécurité de l’entreprise, soit par manque de budget, tout simplement. Pourtant, cette connaissance approfondie de l’attaque et de ses auteurs permet de remédier à l’incident beaucoup plus efficacement et souvent d’anticiper de prochaines attaques.

> Lire l'extrait

Mouvements latéraux en environnement Windows : services

Par Lelièvre François

Pentest Sécurité système

MISC

HS n°

février 2021

| Lelièvre François

La création de services à distance permet de se déplacer latéralement au sein d'un environnement Windows. Les notions techniques associées à la gestion des services Windows seront présentées dans l'article, ainsi que les traces et journaux en résultant.

> Lire l'extrait

Acheter ce numéro en version papier

J'achète ce numéro

Accès par numéro hors-série

Cloud, le nouveau Far-West ?

Survivre à une attaque de ransomware

Reverse engineering : apprenez à analyser des binaires

Les fondamentaux de l'analyse forensique - Réponse à incident & investigation numérique

Sécurité système & logiciel - Exploitation & contre-mesures

Sécurité des réseaux TCP/IP

Windows & Active Directory : attaques & contre-mesures

Comprendre les vulnérabilités de l'IoT

Machine Learning & sécurité

Recherche de vulnérabilités

Sécurité des systèmes sans fil

Sécurité des objets connectés

Apprenez à tester les vulnérabilités de vos systèmes et de vos serveurs grâce à Metasploit

Cryptographie

Tests d'intrusion

Outils de sécurité

Réagir à une intrusion

Vulnérabilités et exploits

Apprenez à protéger votre vie privée

Le guide du Reverse Engineering

Les mains dans la cryptographie

Cryptographie : vos secrets sont-ils bien gardés ?

À l'assaut du Web

Petit traité de sécurité

Cartes à puce : découvrez leurs fonctionnalités et leur limites

Tests d'intrusion : comment évaluer la sécurité de ses systèmes et réseaux ?

Spécialités

Magazines précédents

MISC Hors-série N°22

Sécurité système & logiciel - Exploitation & contre-mesures

MISC Hors-série N°21

Sécurité des réseaux TCP/IP

MISC Hors-série N°20

Windows & Active Directory : attaques & contre-mesures

MISC Hors-série N°19

Comprendre les vulnérabilités de l'IoT

MISC Hors-série N°18

Machine Learning & sécurité

MISC Hors-série N°17

Recherche de vulnérabilités

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Contenu Premium

Par

Brocas Christophe

Sécurité système

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Ajouter à une liste de lecture

Surveillez la consommation énergétique de votre code

Contenu Premium

Par

Beuret Stéphane

Système

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Ajouter à une liste de lecture

Donnez une autre dimension à vos logs avec Vector

Contenu Premium

Par

Beuret Stéphane

Système

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Ajouter à une liste de lecture

Écriture d’une API REST en Python : sécurisation des requêtes Flask RESTful

Contenu Premium

Par

Colombo Tristan

Code

Créer une API REST, c’est bien, mais la sécuriser, c’est mieux. Dans cet article, nous allons aborder le problème de la sécurisation des requêtes au sein d’une API REST élaborée à l’aide du framework Flask RESTful.

Ajouter à une liste de lecture