La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Exposé Sécurité des Systèmes

Présentations similaires


Présentation au sujet: "Exposé Sécurité des Systèmes"— Transcription de la présentation:

1 Exposé Sécurité des Systèmes
Recherche de preuves Outils et techniques M2 Informatique SSIC 2010 ~2011 AMBROGI Anthony THIMONT Jérémy

2 Plan de l’exposé Introduction La preuve et la loi
Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion

3 Introduction Définition
La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Introduction Définition La preuve numérique est le fait de récolter des traces dans le but de démontrer une infraction, un crime ou un délit. Elle permet d’apporter des informations complémentaires ou vitales dans une enquête. Qu’est-ce que la preuve numérique? – Tout élément matériel ou immatériel… • Disque dur, téléphone GSM, etc • Fichier-utilisateur, logs, etc – …recueilli et analysé • dans le respect de la législation en vigueur • conformément à « l’état de l’art technique » du moment – …apportant un indice • disculpant • incriminant • autre (corroboratif, informatif…)

4 Introduction Où la trouve-t’on?
La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Introduction Où la trouve-t’on? Il existe 3 grandes familles de crimes: l’objet numérique est utilisé de façon accessoire Stupéfiants (échange de SMS), détournement de fonds (fichiers de comptabilité).. l’objet numérique est utilisé de façon principale Contenus illicites sur Internet (pédopornographie, xénophobie…).. l’objet numérique est l’objet même de l’infraction Contrefaçon de carte bancaire.. Dans les 2 premiers cas, les connaissances technologiques requises sont nulles/faibles de la part du délinquant Pour que la preuve numérique soit recevable, le travail d’analyse de la preuve doit être scientifique et indiscutable.

5 Introduction Les types de supports
La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Introduction Les types de supports Magnétique disques durs, disquettes… Mémoire Flash clés USB, cartes mémoires… Optique: CDs, DVDs… Microcontrôleurs: cartes à puce…

6 La preuve et la loi Irréfutabilité
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion La preuve et la loi Irréfutabilité Dans le cadre d’un procès juste et équitable, c’est l’expert judiciaire qui détermine si la preuve est sans faille. Pour cela, il faut exploiter l’objet numérique sans altérer les données qu’il contient. C’est après une intense réflexion, la mise à plat de toutes les hypothèses, que la preuve peut être apportée. Si un doute subsiste, il devra en faire part et le consigner dans son rapport.

7 La preuve et la loi Affaires classiques en Info
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion La preuve et la loi Affaires classiques en Info Dans le domaine pénal faux et usage de faux, falsification de documents, utilisation frauduleuses de cartes de paiement… Dans le domaine civil utilisation de logiciels piratés, copie de tout ou partie d’un logiciel… Dans le domaines des Prud’hommes données erronées sur le temps de travail, consultation de sites pornographiques pendant les heures de travail… ce sont tous les problèmes relatifs au droit du travail aboutissant a une procédure de licenciement

8 La preuve et la loi Les lois
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion La preuve et la loi Les lois Différentes lois sont mises en place pour lutter contre les délits, crimes et fraudes telles que: Droits d’auteurs, HADOPI DADVSI Droit d’image…

9 Les traces laissées par l’utilisateur Définition
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les traces laissées par l’utilisateur Définition Une trace est une marque qui reste d’un évènement passé Toute utilisation d’un système numérique laisse des traces par nécessité Correction de bugs par négligence Pourquoi effacer une information alors qu’elle sera écrasée plus tard?

10 Les traces laissées par l’utilisateur Les différentes traces
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les traces laissées par l’utilisateur Les différentes traces Volontaires Générées par l’OS Générées par les logiciels Générées par le matériel Ces traces sont présentées à l’utilisateur comme des fonctionnalités logicielles (fichiers ouverts récemment…) (navigateur…) (carte bancaire, box adsl…) Historique de navigation, favoris, derniers appels reçus…

11 Les traces laissées par l’utilisateur Les différentes traces
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les traces laissées par l’utilisateur Les différentes traces Tout système crée des traces pour fonctionner. Ces traces sont involontaires et peuvent être groupées en deux catégories les traces locales laissées sur l’équipement utilisé les traces distantes qui signalent à un tiers notre usage de la technologie

12 Les traces laissées par l’utilisateur Les différentes traces
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les traces laissées par l’utilisateur Les différentes traces Les traces locales Les fichiers de logs, Cookies, Les fichiers temporaires, Les cartes de fidélité… Il est possible de supprimer ces traces via certains outils. Cependant, eux aussi laissent des traces sur le système Les fichiers de logs regroupent l'ensemble des événements survenus sur un logiciel, une application, un serveur ou tout autre système informatique. Il renseignent donc sur ce que faisait l’utilisateur à un moment donné. Lors d'une première connexion, le serveur consulté interroge votre ordinateur et stocke sur votre disque dur par le biais d'un cookie, les informations recueillies relatives à votre système d'exploitation, le type de votre machine, l'heure de connexion. Lors des visites ultérieures sur le même site, le serveur vérifiera tout d'abord l'existence d'un cookie ; s'il en existe déjà, il saura ainsi que vous vous êtes déjà connecté et pourra établir un lien entre vos connexions successives. Les fichiers temporaires sont des fichiers dont la durée de vie est limitée Les cartes de fidélité offrent des promotions sur certains articles mais surtout renseignent sur la façon de consommer d’un foyer

13 Les traces laissées par l’utilisateur Les différentes traces
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les traces laissées par l’utilisateur Les différentes traces Les traces distantes Fournisseur d’accès internet, Opérateur téléphonique, Banque… Il est possible d’utiliser des services d’anonymisation fournisseur d’accès internet (FAI) dispose de l’ensemble de votre usage d’Internet opérateur téléphonique dispose de l’ensemble des appels que vous avez passés ce qui lui permet notamment d’établir la facturation banque dispose de la trace d’utilisation de votre carte bancaire (ainsi que de vos chèques, et paiement sur Internet), elle peut donc tracer vos déplacements et vos habitudes de consommation mais ils risquent de collecter vos données de navigation et les utiliser à des fins lucratives.

14 Les techniques de recherche CTOSE
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Introduction La preuve et la loi Les traces laissées par l’utilisateur Les techniques de recherche de preuves Les outils de recherche de preuves Conclusion Les techniques de recherche CTOSE Projet CTOSE (Cyber Tools On-line Search for Evidence) Les preuves doivent être collectés, conservés et utilisées dans des conditions permettant leur entière recevabilité dans le cadre de procédures judiciaires CTOSE => projet issus de la recherche européenne fini en 2003 But : identifier, garantir, intégrer, présenter des preuves électroniques concernant des cyber-délits. CTOSE : * le Cyber-Crime Advisory Tool renseigne l'enquêteur sur les procédures à exécuter lors de chaque étape * un système expert qui fournit des conseils sur les aspects juridiques * des spécifications XML pour les preuves électroniques qui permettent à un enquêteur de "conditionner" les éléments de preuve et de garantir leur intégrité lors de leur transmission * un logiciel de démonstration qui présente des simulations d'attaques

15 Les techniques de recherche Travail sur copie
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Travail sur copie Copie à l’identique : Bit à bit Duplicateurs Bloqueur d’écriture Copie bit à bit Problème : - connectiques trop rare ou anciennes (ex.: bandes magnétiques) - Protocoles ne supportant pas la copie bit à bit (ex.: port COM, source TWAIN, commandes AT, OBEX, ActiveSync) Modification de l’original pour la copie (ex.: dessoudage d’une mémoire Flash BGA) Secteurs défectueux Supports physiquement endommagés ou en panne

16 Les techniques de recherche Travail sur copie
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Travail sur copie Copie réalisées sous Linux Commande dd et variantes (dcfldd, rdd…) Utiliser les bonnes options de montage Mount –ro –noatime –noexec –nodev Ro => lecture seule Noatime => Ne pas mettre jour les horodatages d'accès à chaque accès Noexec => Ne pas permettre l'exécution de fichiers binaires sur le système de fichiers monté. Nodev => Ne pas interpréter les fichiers spéciaux de périphériques présents sur le système de fichiers.

17 Les techniques de recherche Analyse du disque
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Analyse du disque Doit être réalisé en lecture seule pour éviter de : Modifier les dates Modifier les clusters Créer des fichiers temporaires Supprimer des informations essentielles Remplir tous le disque

18 Les techniques de recherche Recherche / Listing
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Recherche / Listing On fait le listing de tous les fichiers Des preuves peuvent se trouver très facilement accessibles à des endroits logiques Images, fichiers textes, mails, documents,… Dates de modification, accès d’un fichier,… Historique de connexion, … On recherche aussi dans les fichiers : Systèmes, Cachés, ... Outils de recherche/ listing classiques (avec les bonnes options) Outils de recherche classique sous Linux : ls –a (affiche TOUS les fichiers de TOUS les rep) Outils de recherche sous Windows : compagnon windows [Fichiers ACL => Access Control List (listes d’autorisations parefeu)]

19 Les techniques de recherche Les fichiers
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Les fichiers On regarde le contenu des fichiers mais pas seulement ! Certains fichiers ont pu être Effacés Modifiés Compressés Cryptés

20 Les techniques de recherche Fichiers de logs
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Fichiers de logs Preuve par excellence lors d’enquêtes L’étude perme de savoir quelles fichiers ou sites web ont été consultés, modifiés ou exécutés à certaines dates. On peut retracer l’activité du poste informatique.

21 Les techniques de recherche Fichiers de logs
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Fichiers de logs Analyseurs de logs : Deep Log Analyzer Advanced Log Monitor Permettent d’avoir des tableaux, graphiques, … d’après des fichiers de logs utilisateurs

22 Les techniques de recherche La recherche d’images
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche La recherche d’images Logiciel de recherche d’images Retrouver des images selon leurs couleurs : Couleur de peau > retrouver des personnes, … Comparateur d’image Logiciel de stéganographie Pour permettre de retrouver des images ou textes cachés dans les images .bmp Couleurs d’objets precis, couleur sombres (scenes déroulées la nuit)

23 Les techniques de recherche Les fichiers
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Les fichiers Le comparateur de fichiers Montrer la différence de contenu du fichier entre 2 dates WinMerge Le comparateur de dossiers Montrer les fichiers différents d’un dossier

24 Les techniques de recherche Fichiers effacés
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Fichiers effacés Recherche de fichiers effacés Principe Un fichier supprimé n’est pas forcément définitivement supprimé Seule la référence peut-être supprimée Etudier les blocs de données ‘libres’ du disque dur Logiciels File Recovery, Restauration, etc…

25 Les techniques de recherche Disques cryptés
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Disques cryptés Pas de problème si le matériel est allumé Principe Demande de la clé à chaque démarrage Clé stockée dans la RAM Extraire le contenu et localiser la clé Ou alors trouver la technique de chiffrement et la clé de decryptage

26 Les techniques de recherche Analyse d’autres espaces
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Les techniques de recherche Analyse d’autres espaces Analyse des espaces chutes : données entre la fin d’un enregistrement et fin du cluster. Analyse des espaces inter partitions : utilisé lorsqu’un disque a plusieurs espaces logiques ou lorsqu’un disque a été formatés

27 Conclusion Remerciements
Introduction La preuve et la loi Les traces laissées par l’utilisateur Les outils et techniques de recherche de preuves Conclusion Conclusion Remerciements M. Wies E. Merci de votre attention Question ?


Télécharger ppt "Exposé Sécurité des Systèmes"

Présentations similaires


Annonces Google