Cyber crime « Les preuves »

Slides:



Advertisements
Présentations similaires
« The Unique Global Publisher » Présence sur les 3 continents et sur tous les canaux de ventes Avanquest Software TechnologyAvanquest Software Publishing.
Advertisements

Mars 2006 OLMEK Développé par Item Centric, Olmek est une solution novatrice de protection des données informatiques, garantissant un niveau de confidentialité
ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES
L’ordinateur Sa constitution…. A Luttringer.
Vue d'ensemble Implémentation de la sécurité IPSec
La politique de Sécurité
Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
Sauvegarde, archivage et sécurisation des fichiers
Le piratage informatique
Les virus informatiques
le bureau de Windows et ses fonctionnalités
La crime avec le technologie
C2i Être responsable à l'ère du numérique
Présenté par : Khaled Annabi
Département de physique/Infotronique
Ordinateur et système d’exploitation
WINDOW WASHER ¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨ un utilitaire pour nettoyer Windows par Jacky ROMANO et Bernard MAUDHUIT.
Comment envoyer et recevoir des messages par internet ?
LE SYSTÈME INFORMATIQUE Présenté par : N. BENMOUSSA
Département informatique Automne 2013
Validation des compétences C.2.1 – C.2.2 et C.2.3
02/081 PROTEGER SON ORDINATEUR EN 2008 Amicale Laïque Poisat.
Module 1 : Préparation de l'administration d'un serveur
Windows 7 Administration des comptes utilisateurs
Le diagnostic de vulnérabilité : un outil mobilisable
par Bernard Maudhuit Anne-Marie Droit
Déploiement sur le serveur Scribe eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur.
Section 4 : Paiement, sécurité et certifications des sites marchands
Chapitre 3 INTERNET Web.
Sécurité informatique
dangers d`internet les
Module 4 : Maintenance des pilotes de périphériques
Les unités de stockage amovibles
Authentification à 2 facteurs
Réalisé par Mr CALVO du Lycée Bon Secours à PERPIGNAN
Module 5 : Configuration et gestion des systèmes de fichiers
Architecture des ordinateurs, Environnement Numérique de Travail
B.Shishedjiev - Informatique
. Planification et Conduite des Enquêtes Markus H. Meier - Directeur adjoint Forum Africain de la Concurrence 25 Mars, 2013.
GESTION DES UTILISATEURS ET DES GROUPES
Les virus informatiques
CHARTE D’UTILISATION DE L’INTERNET, DES RESEAUX ET DES SERVICES MULTIMEDIA PREAMBULE Cette charte s’applique à tout utilisateur membre du personnel ou.
Protection des mineurs sur Internet dans les établissements scolaires
Dossier n°1 Structure et Fonctionnement d'un micro-ordinateur.
Présentation 32e Congrès annuel de l’AJEFP Justice en français au cœur des générations Juin 25, 2011 Ottawa, Ontario La lutte contre la cybercriminalité.
Formalisation de la politique qualité
PREUVE NUMERIQUE © Romain Roubaty Professeur à l’ILCE
La Cybercriminalité.
Méthodes et techniques
La sécurité.
Exposé Sécurité des Systèmes
Sécurité et Internet Formation.
Architecture des ordinateurs, Environnement Numérique de Travail
1 Rôle de la technologie dans la diffusion et l’utilisation des données du recensement _______________________________.
3.3 Communication et réseaux informatiques
1 Windows 2003 Server Stratégie des comptes. 2 Windows 2003 Server Il faut tenir compte de ces 3 paramètres.
La Cybercriminalité.
USURPATION D’IDENTITE SUR INTERNET
ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES.
Risques et menaces liés à l'utilisation d'Internet
DECOUVERTE DE L’INFORMATIQUE
Gouvernance des données. Renseignement Confidentiel Renseignement Personnel Obligations Sécurité Valorisation.
Sécurité Informatique
Cours 6: Protection de l’entreprise Administrateurs et dirigeants
LES VIRUS Qu’est-ce qu’un virus informatique?
Chapitre 1: Ordinateur & système d’exploitation
Travailler dans un environnement numérique évolutif Domaine D1.
LES FAILLES DE SÉCURITÉ INFORMATIQUE PRÉSENTÉ PAR MOISSON ARTHUR, TORRES BALTAZAR, FULCHER ARNAUD.
Composants Matériels de l'Ordinateur Plan du cours : Ordinateurs et applications Types d'ordinateurs Représentation binaires des données Composants et.
Transcription de la présentation:

Cyber crime « Les preuves » 5:46 Cyber crime « Les preuves » Haythem EL MIR, CISSP CTO, ANSI Chef de l’Unité IRT, TunCERT

Agenda Introduction Investigation Collecte de preuve 5:46 Agenda Introduction Définition Etat de l’art des cyber crimes Investigation Collecte de preuve Condition d’admissibilité Cas d’exemple Vol d’identité Phishing Usage des proxy Conclusion

Définition (wikipedia) 5:46 Définition (wikipedia) Le terme « cyber crime » est employé pour décrire des activités criminelles traditionnelles dans lesquelles des ordinateurs ou les réseaux sont utilisés pour réaliser une activité illicite. Les cas qui suivent sont considérés comme cybercriminels : le système ou le réseau informatique est un outil de l'activité criminelle. le système ou le réseau informatique est une cible d'activité criminelle. le système ou le réseau informatique est un lieu d'activité criminelle. les crimes traditionnels facilités par l'utilisation des systèmes ou des réseaux informatiques.

Le système comme cible Intrusion Motivation: 5:46 Le système comme cible Intrusion Motivation: Pour nuire, endommager, modifier le système Voler des données sensibles (Carte de crédit, …) Peut impliquer d’autre violation Une intrusion dans une banque pour voler de l’argent Une intrusion dans une entreprise ou base de données universitaire pour voler des données personnelles

Le système comme cible Malware, espionnage industriel, 5:46 Le système comme cible Keylogger Malware, espionnage industriel, piratage de logiciel, Hacking, DDoS Spyware Worms Virus Bots Trojans

Le système comme outil L’ordinateur facilite le crime 5:46 Le système comme outil L’ordinateur facilite le crime Un moyen pratique pour commettre une série de crimes Exemples : Fraude bancaire Phishing Fraude de carte de crédit Pornographie (Enfant/ Adulte) Vol d’identité Vol de propriété intellectuelle Harcèlement sexuel Diffamation …

Le commerce des cyber crimes 5:46 Le commerce des cyber crimes Mpack, Shark 2, Nuclear, WebAttacker, et IcePack est une liste de produits vendus au marché des outils de hacking. Les outils du Cybercrime deviennent un vrai business et le marché deviens de plus en plus mature. 20 000 dollars pour une faille 0-day Windows Une société de recherche en sécurité informatique offre la coquette somme de 20 000 dollars pour toute information au sujet de vulnérabilités non divulguées affectant l'OS Windows.

Et la justice … Tous les cas Déclaré Enquêtés 5:46 Et la justice … Tous les cas Déclaré Enquêtés Portés devant les tribunaux CONDAMNÉES

5:46 Et le criminel …

Comment il est ce hacker? 5:46 Comment il est ce hacker? Adolescent Etudiant Employée Concurrent Gouvernement étranger Mafia

Pourquoi les criminel sont sur Internet 5:46 Pourquoi les criminel sont sur Internet Anonymat Indépendant d’un emplacement physique Plus facile d’exercer (outils disponibles et techniques devenues très simples) Transfert de fond plus facile Champs d’action très vaste C’est un commerce très profitable Un business à très bas risque (Troues juridiques, victime qui ne déclare pas, difficulté de retraçage, crimes intercontinentaux) 11

Les étapes de l’investigation 5:46 Les étapes de l’investigation Acquisition Obtenir la possession de l’ordinateur, toutes les connectivités, tous les outils de stockage. Identification Déterminer ce qui peut être récupéré, et lancer différentes opérations de récupération Evaluation Evaluer les données en possession et les données récupérée et déterminer comment utiliser ces données contre le suspect Présentation Présentation des éléments de preuve découverts d’une manière qui soit compréhensible par l’avocat et les non-techniciens

L’investigation : La scène de crime 5:46 L’investigation : La scène de crime Similaire à une scène de crime traditionnelle If faut acquérir les preuves tout en préservant leur intégrité Ne pas l’abimer pendant la collecte, le transport et le stockage Il faut tout documenter Il faut tout collecter à la première fois Etablir la chaine de conservation de preuve Pour l’analyse Faire l’analyse sur une copie Faire plusieurs copies sans toucher à la copie originale Utiliser les technique de hashage et d’horodatage pour pouvoir prouver que les données n’ont pas été altérées

Localisation des preuves: physique 5:46 Localisation des preuves: physique Les preuves ne viennent pas toutes de l’ordinateur Salle et bureau Imprimante et autres périphériques, Ecran et clavier, Téléphone Etui et vêtement (poches, etc), Poubelle Disques dures Il est possible de restaurer des données effacées Les commendes DEL, FDISK et FORMAT ne suppriment pas tout.

Localisation des preuves: numérique 5:46 Localisation des preuves: numérique Volatile RAM (outils d’acquisition spécifique) Spooler de l’imprimante Non-volatile Base de registre Fichiers, types de fichiers et répertoire (exemple FAT et NTFS) – information masquée dans MFT / alternative data streams (ADS) Les comptes e-mail te les entête email Cookies Historique de navigation Internet Le BIOS Les preuves peuvent être Volatiles Extrêmement fragiles Facilement corrompues

Les preuves électroniques 5:46 Les preuves électroniques Disquette / CD / DvD / flash disque USB Bande magnétique Appareil photo Carte mémoire Imprimantes PDAs / Blackberry / Pocket PC Carte SIM Console de jeux Equipements Réseaux Disque dure

Cycle de vie des preuves 5:46 Cycle de vie des preuves Découverte et reconnaissance Protection Enregistrement Collecte Rassembler tous les supports de stockage Faire image du disque dur avant de déconnecter le secteur électrique Faire un imprime écran Évitez de démagnétisation des équipements Identification (étiquetage et marquage) Préservation Protéger les supports magnétiques de l'effacement (protection contre l’écriture) Stocker dans un environnement propre Transports Présentation dans une cour de justice Retour de la preuve pour le propriétaire

Outils de saisie et d’investigation 5:46 Outils de saisie et d’investigation

Condition d’admissibilité 5:46 Condition d’admissibilité Pertinence Légalement admissible Fiable Correctement identifié Étiquetage des imprimés avec des marqueurs permanant Identifier le système d'exploitation utilisé, les types de matériel, etc. Enregistrement des numéros de série Marquage des preuves sans les endommager, ou en le plaçant dans des conteneurs scellés La saisi doit suivre des règles de prudence, l’agent doit faire preuve de diligence : due care / due diligence

Condition d’admissibilité 5:46 Condition d’admissibilité Autres critères d’admissibilité Authenticité (basé sur les signatures électronique et le hachage des documents) Chaine de conservation (Chain of custody) Les majeurs parties de la chaine de conservation des preuves Localisation des éléments de preuves obtenus Le temps de saisie des preuves Identification des individus ayant découvert les preuves Identification des individu en charge de la protection des preuves Identification des individu ayant contrôlé les preuves ou ayant détenu ces preuves Chaque personne en contact avec les preuves peut être sujet de contestation Il devra avoir une bonne raison pour accéder au preuves Son implication doit être journalisée avec détail 20

Cas d’exemple : Vol d’identité 5:46 Cas d’exemple : Vol d’identité Trace d’attaque Keylogger Trojan Trace de connexion Historique des communications Outils d’attaque Victime Attaquant Internet : FSIs Trace de connexion IP source IP destination Date Trace de connexion Historique détaillé Serveur 21

Adresse de l’attaquant 5:46 Cas d’exemple : Phishing Email d’arnaque IP source Adresse du faux serveur Trace de connexion Historique des communications Outils d’attaque Victime Attaquant Internet : FSIs Trace de connexion IP source IP destination Date Trace de connexion Historique détaillé Adresse de l’attaquant Serveur de phishing 22

5:46 Usage des proxy (1) Attaque directe PROXY Victime (2) L’adresse du dernier proxy est enregistré, mais dernière il peut y avoir des dizaines Attaquant Chaine de proxy (3) 23 23

Conclusion : Les challenges 5:46 Conclusion : Les challenges Loi sur les cyber crimes Acceptation des preuves électroniques Confidentialité des données Divulgation des données Préservation des scènes de crime Restauration des preuves Savoir-faire, compétences, formation Être proactif, en restant à jour Le coût Coopération : internationale, FSIs Les règles du jeu (les criminels n’en ont pas)

5:46 Questions? haythem.elmir@ansi.tn www.ansi.tn