L’analyse forensic désigne l’investigation effectuée sur le système d’information suite à une attaque informatique. Grâce aux données récoltées par les analystes, la structure pourra mieux comprendre ce qui s’est réellement passé pour ensuite tirer des conclusions. Cela permet de récolter des preuves pour justifier une action en interne ou pour lancer une procédure judiciaire.
L’analyse forensique, appelée forensic en anglais, est une technique qui consiste à analyser le système d’information après une cyberattaque. C’est une sorte de méthode d’investigation ayant pour objectif de créer des preuves numériques d’une intrusion en vue d’une action interne ou d’une procédure judiciaire. Pour ce faire, des spécialistes dans la cybersécurité doivent collecter des informations brutes ou altérées afin de rétablir le déroulement de l’attaque.
Qu’est-ce que l’analyse forensique ou Forensic ?
Étymologiquement, le mot « forensic » vient du mot latin « Forum », qui fait référence à « une place publique » ou encore un « lieu de jugement ».
Le forensic dans la sécurité informatique
Dans le secteur de la cybersécurité, le Forensic est un examen méthodique et approfondi des actes effectués sur un système informatique après une attaque (vol de données, piratage, etc.)
C’est une sorte d’investigation qui peut être réalisée pour avoir des preuves sur des systèmes ou encore des supports de sauvegarde d’informations comme les ordinateurs, les appareils mobiles, les bases de données, une application, un disque dur, des serveurs, une carte SD ou des clés USB.
Si l’analyse est menée correctement, elle permet de détecter des preuves, sous certaines conditions. Souvent, on peut trouver les preuves suivantes :
- Sites internet visités ;
- Documents sensibles ou confidentiels supprimés ;
- Programmes de piratage réalisés ;
- Tentatives de suppression de logs ;
- Connexions réussies ;
- Mots de passe volés ;
- Messages envoyés ;
- Appels reçus.
La validation ou non des hypothèses de départ se fait grâce à la mise en relation de ces preuves, à savoir le vol de données, le téléchargement de contenus illicites, le piratage, etc.
Les techniques utilisées pour le forensic
Une fois l’incident détecté, l’investigation numérique forensic consiste à se servir des méthodologies éprouvées pour obtenir les données, analyser les journaux système des dispositifs et tirer des conclusions.
En général, l’analyse utilise les techniques suivantes :
- Récupérer les données sur tous les supports informatiques : cette étape consiste à récupérer des fichiers supprimés ou les fichiers logs sur les équipements réseau, les archives, etc. Cela permet de regrouper des preuves afin de porter plainte pour vol d’informations, intrusion, etc.
- Traiter et analyser les données : cette technique consiste à visualiser, trier, classer et rechercher les traces de ces incidents.
- Analyser et conclure l’attaque : elle permet d’étudier et de comprendre l’intrusion.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Quelles sont les différentes approches du forensic ?
On peut réaliser le forensic selon 3 manières différentes :
L’analyse à froid ou dead forensics
Cette approche consiste à copier toutes les données du système d’information pour ensuite les analyser sur un autre support.
C’est une technique qui permet d’analyser en profondeur tout en évitant d’engendrer d’autres impacts sur le système existant.
L’analyse à chaud ou live forensics
Dans cette analyse, il est question de récupérer les renseignements du système d’information pour les installer dans un système en cours de fonctionnement.
Il s’agit d’une solution qui sert à analyser les processus actifs du système ainsi que sa mémoire vive.
L’analyse en temps réel
Cette solution permet de capturer le trafic réseau pour l’analyse, la détection et la compréhension de l’attaque sur le réseau.
Forensic : différentes méthodes pour des objectifs distincts
On peut effectuer deux types de forensic selon l’objectif :
Le forensic judiciaire
L’objectif de cette investigation des traces informatiques est de démontrer des preuves et des faits de l’intrusion. Ainsi, l’entreprise victime de l’attaque pourra établir un dossier et procurer des arguments fondés sur des constats à un délégué de la loi.
Le plus souvent, elle peut déposer les preuves auprès d’un avocat, un juriste ou encore un légiste. En effet, l’analyse après une intrusion permet de suivre l’action en justice (procès, dépôt de plainte, etc.).
Plus précisément, l’analyse forensique est identique dans les deux techniques. La différence réside surtout dans le type de renseignement et la présentation constituant le rapport.
Le forensic technique
Cette solution permet de récupérer des traces informatiques comme les disques, les logs ou encore les journaux. Cela permet de déterminer les raisons pour lesquelles le système ou l’application de l’organisation a été compromis. Il s’agit notamment d’une vulnérabilité exploitée par un hacker, d’un vol d’informations en interne, d’une erreur humaine, etc.
Dans ce cas, la démarche est réalisée dans le cadre privé de correction. Cela permet surtout d’améliorer de manière continue la sécurité du système d’information. Le résultat des recherches est alors retranscrit et formalisé dans cette vision.
Les différentes étapes du forensic
L’investigation numérique se déroule autour de 4 points principaux :
L’acquisition
Pendant cette étape, les investigateurs se chargent de la perquisition des supports numériques à analyser s’ils sont mandatés. Dans le cas contraire, ils sont chargés de recevoir les supports. Ces derniers seront par la suite identifiés de manière précise et photographier.
Ils peuvent aussi capturer la RAM ou mémoire vive du dispositif s’il fonctionne lors de l’acquisition. La capture servira pour une analyse « live forensics ».
Les analystes doivent aussi copier et dupliquer les mémoires persistantes, surtout les disques durs. Ils sont indispensables pour effectuer une analyse « dead forensics ».
Une fois le disque copié et dupliqué, il est conseillé de contrôler tout le disque dur et s’assurer qu’il correspond parfaitement à la source. Pour ce faire, il faut comparer l’empreinte du disque d’origine avec toutes les copies.
L’investigation
Cette étape est vraiment importante, car c’est dans cette partie que les investigateurs mènent des fouilles pour répondre aux questions des demandeurs. Les analyses procèdent souvent comme suit :
- Mise en place d’une timeline des événements ;
- Identifier un squelette de scénario via les données récupérées ;
- Créer de nouveaux scénarios à partir de l’hypothèse initiale ;
- Déduire une suite logique d’événements.
La remédiation
Cette phase se produit en fonction du contexte. Par exemple, elle n’est pas indispensable pour une enquête judiciaire sur un crime.
Par contre, en cas d’infection par un logiciel malveillant, il est impératif de refermer son développement et garantir le bon fonctionnement du parc.
La remise du rapport
Ce sont les analystes qui sont chargés de rédiger le rapport. Elle est composée d’un prélude clair et constant des traces numériques de chaque réponse aux requêtes initiales.
Le rapport doit être à la fois clair et précis pour prendre la bonne décision, surtout dans le cadre d’un procès.
On peut aussi envisager des mesures de protection dans le cadre d’une réponse à un incident pour qu’il ne se reproduise plus.
D’autres cas d’application de l’analyse forensique
Souvent, la science forensique est connue dans le cadre de la sécurité de l’information. Néanmoins, elle s’applique aussi dans d’autres domaines et est réalisée par des professionnels très variés.
La police scientifique
En moyenne, 40 % des diplômés en science forensique œuvrent dans la section d’investigation et scientifique de la police.
En effet, cette organisation se sert du forensic pour améliorer l’administration de leurs prélèvements dans le cadre d’une affaire pénale et criminelle, à savoir, la pertinence d’une analyse, la gestion des liens entre les affaires, etc.
On peut aussi faire usage de cette analyse pour un renseignement criminel.
Les laboratoires
Des laboratoires offrent aussi des services en science forensic. Particulièrement les laboratoires de médecine légale et des sciences judiciaires, les laboratoires des gendarmeries ou des laboratoires en sûreté.
Certains dans le secteur privé proposent également ses prestations d’investigations, d’identification et d’élaboration de données.
C’est aussi le cas pour les services de labo de surveillance, d’investigation et d’inspection dans le domaine des accidents complexes, des activités litigieuses et des sinistres.
Les tribunaux et administratifs
Les 20 % des spécialistes en forensic travaillent en administration publique. Dans certaines régions, les tribunaux utilisent ce type d’analyse, notamment les juges d’application des peines et d’instructions.
L’analyse forensique est utilisée dans ce secteur pour effectuer l’interrogation des personnes, pour l’analyse des interrogatoires ou encore pour la coordination des étapes de la procédure judiciaire.
Ces domaines font également appel aux experts et ingénieurs en informatique pour trouver des solutions aux problèmes de sécurité informatique.
Les financiers et les architectes
Cette analyse se révèle aussi être importante dans le secteur de la finance. Les consultants forensic travaillent dans les cabinets et les analystes au sein des organisations internationales tels que l’OCDE ou Organisation de coopération et de développement économiques.
Les auditeurs forensic collaborent avec des institutions comme l’AMF ou l’Autorité des marchés financiers. Des ingénieurs de la police scientifique et des agents de renseignements font d’ailleurs usage de cette analyse dans le cadre de leur travail.
Ces analystes sont recrutés davantage au sein de ces institutions et de ces organisations pour leurs compétences particulières.
Les architectes utilisent aussi ce type d’investigation pour l’analyse des traces des conflits, à titre d’exemple dans les endroits en guerre.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
Étymologiquement, le mot « forensic » vient du mot latin « forum », qui fait référence à « une place publique » ou encore un « lieu de jugement ».
Le forensic dans la sécurité informatique
Dans le secteur de la cybersécurité, le forensic est un examen méthodique et approfondi des actes effectués sur un système informatique après une attaque (vol de données, piratage, etc.) C’est une sorte d’investigation qui peut être réalisée pour avoir des preuves sur des systèmes ou encore des supports de sauvegarde d’informations comme les ordinateurs, les appareils mobiles, les bases de données, une application, un disque dur, des serveurs, une carte SD ou des clés USB.L’investigation numérique tourne autour de 4 points principaux :
L’acquisition
Pendant cette étape, les investigateurs se chargent de la perquisition des supports numériques à analyser s’ils sont mandatés. Dans le cas contraire, ils sont chargés de recevoir les supports. Ces derniers seront par la suite identifiés de manière précise et photographier. Ils peuvent aussi capturer la RAM ou mémoire vive du dispositif s’il fonctionne lors de l’acquisition. La capture servira pour une analyse « live forensics ». Les analystes doivent aussi copier et dupliquer les mémoires persistantes, surtout les disques durs. Ils sont indispensables pour effectuer une analyse « dead forensics ». Une fois le disque copié et dupliqué, il est conseillé de contrôler tout le disque dur et s’assurer qu’il correspond parfaitement à la source. Pour ce faire, il faut comparer l’empreinte du disque d’origine avec toutes les copies.On peut réaliser le Forensic selon 3 manières différentes :