Introduction à la forensic

Si vous lisez plus ou moins régulièrement ce site, vous trouverez régulièrement des articles traitant de forensic sans pour autant savoir ce que c’est. Ce texte va vous servir de base de compréhension. Remerciements aux développeurs de DFF dont la présentation au Security-Day à l’ESGI m’a servi de base.

Dans un sens très large, la forensic est liée à l’utilisation d’une science ou d’une technologie lors d’une investigation pouvant éventuellement servir devant une cour de justice.

La forensic n’est pas une science nouvelle : la première analyse remonte  à 1284 en Chine.  En 1835, on commence à travailler sur la balistique et les traces laissées par les armes à feu.  En 1901, c’est l’avènement des empreintes digitales. On commence les analyses numériques en 1978 et c’est à partir de 1984 que l’on commence à s’intéresser à l’ADN dans le cadre d’analyse forensics.  Il existe donc plusieurs matières dans la forensics et lorsque l’on parle de forensics « informatique », on retrouve le terme de digital forensics pour circonscrire le périmètre et la matière.

En Infosec, on se sert de la forensic pour retrouver des attaques, répondre à des incidents, mettre à jour un espionnage, notamment industriel, une exfiltration de données, une falsification de documents ou encore une perte de données.

Il existe deux méthodes d’analyses :

·         La méthode dite traditionnelle qui se fait de l’analyse post-mortem d’un support ou d’un disque, méthode qui a l’avantage d’impacter faiblement les données. Elle est considérée comme la méthode la plus « pure » et la plus neutre dans le sens où l’altération des données est faible. 

·         Les méthodes « live » qui entrent souvent dans le cadre d’une réponse à incident.

Dans une méthode en « live », le défi sera de minimiser l’impact à l’intégrité du système pendant la capture des données volatiles.  Pour faire simple et illustrer cette affirmation : lorsque l’on va capturer une image d’un système, on va écrire sur le registre du système, donc on va laisser une trace. Dans ces cas-là, on peut avoir recours à un write blocker avant l’acquisition.

Il peut y avoir plusieurs étapes lors d’une analyse forensic. Elles peuvent aller de quatre à vingt-un selon ce qui est demandé. Le schéma le plus traditionnel en comporte quatre et se décompose ainsi :

·         Identification : trouver et identifier les informations, généralement, on se contente de procéder à une image du système dans un premier temps.

·         Acquisition : on fait l’image.

·         Analyse : on analyse toutes les données récupérées, on les hiérarchise, on restitue une chronologie et une utilisation possibles.

·         Présentation : on présente les résultats.

On  distingue deux types de données : les données volatiles et les données non-volatiles.

Les données volatiles sont les données qui sont perdues lors d’une extinction, typiquement, cela touchera la RAM mais les informations sont parfois récupérables. Cela va concerner

·         La liste des processus actifs ;

·         La mémoire ;

·         Les connexions réseaux actives ;

·         Les informations sur les systèmes ;

·         Les clefs de registres ;

·         Les clefs de chiffrements.

Lorsque l’on dit que ces données sont perdues, elles ne le sont pas toujours réellement. Si on prend l’exemple d’une machinant fonctionnant sous Windows Seven, ces informations vont pouvoir être récupérées dans le registre.

Les données non-volatiles sont les données qui ne sont pas perdues et qui sont en mémoire morte comme les clefs USB ou les disques durs.

La plupart des appareils électroniques permettent de reconstituer les activités qui ont été faites.  En fouillant dans certaines parties du système, on peut retracer l’activité d’un navigateur Web, d’un système de fichiers, des connexions réseau ou des périphériques qui ont pu être branchés.

Il existe énormément d’outils pour procéder à des analyses forensics, certains systèmes d’exploitation y sont d’ailleurs entièrement dédiés. Mais la fragilité des systèmes fait qu’il convient de travailler de façon minutieuse et très organisée de façon à ne pas perdre les informations ni à les altérer.