PREUVE NUMERIQUE © Romain Roubaty Professeur à l’ILCE Responsable du CINC Bucarest, 13 juillet 2010

Preuve numérique 2 33 37 65 A 4 F3 E2 11 47 BE 4E 69 63 6F 6C 65 2 E4 E5 D4 F6 FF 26 82 47 6C 61 73 73 65 79 20 42 61 6C 65 74 2 F3 1A 0A 13 41 3 33 37 29 7 Preuve numérique

Partie 1 Où trouve-t-on des éléments de preuve numérique ? Partie 2 Le matériel et le logiciel spécifique Partie 3 L’interprétation de la preuve numérique Conclusion Programme

Sécurité informatique Investigation informatique Vulnérabilité et management du risque Détection d'intrusion et réponse en cas d'incident

Collecte Identification Description Sécurisation Extraction Authentification Analyse Interprétation Explication Investigation numérique

Où trouve-t-on des éléments de preuve numérique ? Partie I Où trouve-t-on des éléments de preuve numérique ?

Où trouve-t-on des éléments de preuve numérique L’évidence Ce à quoi on ne pense pas toujours Les pièges Où trouve-t-on des éléments de preuve numérique

Disque dur

Disque externe CD / DVD Clés USB Cartes mémoire Disquettes Bandes magnétiques Cartouches Zip … Supports amovibles

Assistants personnels Téléphones portables Mémoire interne Carte SIM Carte flash Assistants personnels Palm Pocket PC Blackberry … Des objets classiques

Cartes à puces Des objets quotidiens Bancaire D’entreprise Pass Navigo (métro Paris) … Des objets quotidiens

GPS Balladeurs Et ceux qu’on oublie Itinéraires Photos Données fichiers Et ceux qu’on oublie

Appareils photo numérique Cadre diaporama photo Dictaphones numériques Carte mémoire Cadre diaporama photo Dictaphones numériques Photocopieurs d’entreprise Disque dur Et ceux qu’on oublie

Disque Wifi Et les pièges

Clés USB anodines Cartes mémoire minuscules Et les pièges

Données stockées à l’extérieur Box ADSL (partage de fichiers) Et les pièges

Ecran ou PC ? iMac Et les pièges

Au salon ou dans la chambre des enfants Sony PSP Microsoft XBox Wii Au salon ou dans la chambre des enfants

Et leurs accessoires

Dans le sac d’école…

DS Organise NDS Mail jpeg ssl rss comptes Gmail Lilou Box échange entre 2 DS scanner Wifi DS2Win Fusion Nitendo DS

Et les mauvaises surprises IPhone Et les mauvaises surprises

Et les mauvaises surprises Palm Et les mauvaises surprises

RAM Mémoire

Connections réseaux en cours Ports TCP ou UDP ouverts Date et heure Connections réseaux en cours Ports TCP ou UDP ouverts Par quels processus Table Netbios en cache Utilisateurs connectés Table de routage Processus Services actifs Tâches différées Fichiers ouverts Données volatiles

Infos Dump de la mémoire Copie de fichiers Copie de disques virtuels chiffrés Sauvegarde

Outils

Outil : Ligne de commande Netcat v verbose l listening p port > redirection Outil : Ligne de commande

Ne pas couper le réseau Réseau

Ne pas utiliser de programmes de la machine suspecte…. Exécutables

Le matériel et le logiciel spécifique Partie II Le matériel et le logiciel spécifique

Outils d’investigation Matériel d’acquisition Outils d’investigation

Outils d’investigation Matériel d’acquisition Outils d’investigation

Outils d’investigation Matériel d’acquisition Outils d’investigation

Outils d’investigation Bloqueurs en écriture Outils d’investigation

Outils d’investigation Ordinateurs spécialisés Outils d’investigation

Outils d’investigation Ordinateurs spécialisés Outils d’investigation

Outils d’investigation Ordinateurs spécialisés Outils d’investigation

Outils d’investigation Logiciels spécialisés ILook Outils d’investigation

Outils d’investigation Logiciels spécialisés EnCase Outils d’investigation

Outils d’investigation Logiciels spécialisés X-Ways Outils d’investigation

Outils d’investigation Logiciels spécialisés FTK Outils d’investigation

Outils d’investigation Logiciels spécialisés cf « L’envers du Net » Outils d’investigation

Outils d’investigation Logiciels spécialisés Secret Explorer Outils d’investigation

Outils d’investigation Logiciel spécialisés Capture de RAM Outils d’investigation

Outils d’investigation Logiciel spécialisés Capture de RAM Outils d’investigation

L’interprétation de la preuve numérique Partie III L’interprétation de la preuve numérique

L’interprétation de la preuve numérique On peut tenter de reconstituer un processus chronologique par contre il faut interpréter les dates/heures avec beaucoup de précautions ! L’interprétation de la preuve numérique

L’interprétation de la preuve numérique On peut déterminer, parmi les traces subsistantes… Les outils, logiciels, fonctionnalités utilisés Les sites web visités, les requêtes entrées sur les moteurs de recherche (ex.: requête Google « teen sex ») Les emails envoyés et reçus Les fichiers partagés et téléchargés en P2P Les chats échangés Les contacts habituels (carnet d’adresses) Les clés USB utilisées etc L’interprétation de la preuve numérique

L’interprétation de la preuve numérique L’utilisateur réel n’est pas forcément celui que l’on croit Ordinateur partagé Machine familiale dans le salon, poste Internet au bureau, établissement scolaire… « Emprunt » de matériel Carte bancaire des parents utilisée par les enfants, téléphone GSM prêté ou cartes SIM échangées Usurpation d’identité Notamment en WiFi L’interprétation de la preuve numérique

L’interprétation de la preuve numérique Les traces ne sont pas forcément issues d’un acte volontaire Images pédophiles dans le cache web Vignettes, pop-ups « Trojan horse defence » Partage automatique des fichiers P2P Appels téléphoniques surtaxés automatiques (dialers) L’interprétation de la preuve numérique

L’interprétation de la preuve numérique On ne peut rien lire … ou il n’y a rien d’intéressant à lire.. Utilisation de cryptographie Utilisation de stéganographie L’interprétation de la preuve numérique

Détection d’utilisation de stéganographie

Pour travailler dans ce domaine, il est nécessaire de se tenir à jour en permanence Formation Formation continue Contacts Nécessités

Association Francophone des Spécialistes en Investigation Numérique AFSIN

Association Francophone des Spécialistes en Investigation Numérique AFSIN