Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Cyber crime « Les preuves »
5:46 Cyber crime « Les preuves » Haythem EL MIR, CISSP CTO, ANSI Chef de l’Unité IRT, TunCERT
2
Agenda Introduction Investigation Collecte de preuve
5:46 Agenda Introduction Définition Etat de l’art des cyber crimes Investigation Collecte de preuve Condition d’admissibilité Cas d’exemple Vol d’identité Phishing Usage des proxy Conclusion
3
Définition (wikipedia)
5:46 Définition (wikipedia) Le terme « cyber crime » est employé pour décrire des activités criminelles traditionnelles dans lesquelles des ordinateurs ou les réseaux sont utilisés pour réaliser une activité illicite. Les cas qui suivent sont considérés comme cybercriminels : le système ou le réseau informatique est un outil de l'activité criminelle. le système ou le réseau informatique est une cible d'activité criminelle. le système ou le réseau informatique est un lieu d'activité criminelle. les crimes traditionnels facilités par l'utilisation des systèmes ou des réseaux informatiques.
4
Le système comme cible Intrusion Motivation:
5:46 Le système comme cible Intrusion Motivation: Pour nuire, endommager, modifier le système Voler des données sensibles (Carte de crédit, …) Peut impliquer d’autre violation Une intrusion dans une banque pour voler de l’argent Une intrusion dans une entreprise ou base de données universitaire pour voler des données personnelles
5
Le système comme cible Malware, espionnage industriel,
5:46 Le système comme cible Keylogger Malware, espionnage industriel, piratage de logiciel, Hacking, DDoS Spyware Worms Virus Bots Trojans
6
Le système comme outil L’ordinateur facilite le crime
5:46 Le système comme outil L’ordinateur facilite le crime Un moyen pratique pour commettre une série de crimes Exemples : Fraude bancaire Phishing Fraude de carte de crédit Pornographie (Enfant/ Adulte) Vol d’identité Vol de propriété intellectuelle Harcèlement sexuel Diffamation …
7
Le commerce des cyber crimes
5:46 Le commerce des cyber crimes Mpack, Shark 2, Nuclear, WebAttacker, et IcePack est une liste de produits vendus au marché des outils de hacking. Les outils du Cybercrime deviennent un vrai business et le marché deviens de plus en plus mature. dollars pour une faille 0-day Windows Une société de recherche en sécurité informatique offre la coquette somme de dollars pour toute information au sujet de vulnérabilités non divulguées affectant l'OS Windows.
8
Et la justice … Tous les cas Déclaré Enquêtés
5:46 Et la justice … Tous les cas Déclaré Enquêtés Portés devant les tribunaux CONDAMNÉES
9
5:46 Et le criminel …
10
Comment il est ce hacker?
5:46 Comment il est ce hacker? Adolescent Etudiant Employée Concurrent Gouvernement étranger Mafia
11
Pourquoi les criminel sont sur Internet
5:46 Pourquoi les criminel sont sur Internet Anonymat Indépendant d’un emplacement physique Plus facile d’exercer (outils disponibles et techniques devenues très simples) Transfert de fond plus facile Champs d’action très vaste C’est un commerce très profitable Un business à très bas risque (Troues juridiques, victime qui ne déclare pas, difficulté de retraçage, crimes intercontinentaux) 11
12
Les étapes de l’investigation
5:46 Les étapes de l’investigation Acquisition Obtenir la possession de l’ordinateur, toutes les connectivités, tous les outils de stockage. Identification Déterminer ce qui peut être récupéré, et lancer différentes opérations de récupération Evaluation Evaluer les données en possession et les données récupérée et déterminer comment utiliser ces données contre le suspect Présentation Présentation des éléments de preuve découverts d’une manière qui soit compréhensible par l’avocat et les non-techniciens
13
L’investigation : La scène de crime
5:46 L’investigation : La scène de crime Similaire à une scène de crime traditionnelle If faut acquérir les preuves tout en préservant leur intégrité Ne pas l’abimer pendant la collecte, le transport et le stockage Il faut tout documenter Il faut tout collecter à la première fois Etablir la chaine de conservation de preuve Pour l’analyse Faire l’analyse sur une copie Faire plusieurs copies sans toucher à la copie originale Utiliser les technique de hashage et d’horodatage pour pouvoir prouver que les données n’ont pas été altérées
14
Localisation des preuves: physique
5:46 Localisation des preuves: physique Les preuves ne viennent pas toutes de l’ordinateur Salle et bureau Imprimante et autres périphériques, Ecran et clavier, Téléphone Etui et vêtement (poches, etc), Poubelle Disques dures Il est possible de restaurer des données effacées Les commendes DEL, FDISK et FORMAT ne suppriment pas tout.
15
Localisation des preuves: numérique
5:46 Localisation des preuves: numérique Volatile RAM (outils d’acquisition spécifique) Spooler de l’imprimante Non-volatile Base de registre Fichiers, types de fichiers et répertoire (exemple FAT et NTFS) – information masquée dans MFT / alternative data streams (ADS) Les comptes te les entête Cookies Historique de navigation Internet Le BIOS Les preuves peuvent être Volatiles Extrêmement fragiles Facilement corrompues
16
Les preuves électroniques
5:46 Les preuves électroniques Disquette / CD / DvD / flash disque USB Bande magnétique Appareil photo Carte mémoire Imprimantes PDAs / Blackberry / Pocket PC Carte SIM Console de jeux Equipements Réseaux Disque dure
17
Cycle de vie des preuves
5:46 Cycle de vie des preuves Découverte et reconnaissance Protection Enregistrement Collecte Rassembler tous les supports de stockage Faire image du disque dur avant de déconnecter le secteur électrique Faire un imprime écran Évitez de démagnétisation des équipements Identification (étiquetage et marquage) Préservation Protéger les supports magnétiques de l'effacement (protection contre l’écriture) Stocker dans un environnement propre Transports Présentation dans une cour de justice Retour de la preuve pour le propriétaire
18
Outils de saisie et d’investigation
5:46 Outils de saisie et d’investigation
19
Condition d’admissibilité
5:46 Condition d’admissibilité Pertinence Légalement admissible Fiable Correctement identifié Étiquetage des imprimés avec des marqueurs permanant Identifier le système d'exploitation utilisé, les types de matériel, etc. Enregistrement des numéros de série Marquage des preuves sans les endommager, ou en le plaçant dans des conteneurs scellés La saisi doit suivre des règles de prudence, l’agent doit faire preuve de diligence : due care / due diligence
20
Condition d’admissibilité
5:46 Condition d’admissibilité Autres critères d’admissibilité Authenticité (basé sur les signatures électronique et le hachage des documents) Chaine de conservation (Chain of custody) Les majeurs parties de la chaine de conservation des preuves Localisation des éléments de preuves obtenus Le temps de saisie des preuves Identification des individus ayant découvert les preuves Identification des individu en charge de la protection des preuves Identification des individu ayant contrôlé les preuves ou ayant détenu ces preuves Chaque personne en contact avec les preuves peut être sujet de contestation Il devra avoir une bonne raison pour accéder au preuves Son implication doit être journalisée avec détail 20
21
Cas d’exemple : Vol d’identité
5:46 Cas d’exemple : Vol d’identité Trace d’attaque Keylogger Trojan Trace de connexion Historique des communications Outils d’attaque Victime Attaquant Internet : FSIs Trace de connexion IP source IP destination Date Trace de connexion Historique détaillé Serveur 21
22
Adresse de l’attaquant
5:46 Cas d’exemple : Phishing d’arnaque IP source Adresse du faux serveur Trace de connexion Historique des communications Outils d’attaque Victime Attaquant Internet : FSIs Trace de connexion IP source IP destination Date Trace de connexion Historique détaillé Adresse de l’attaquant Serveur de phishing 22
23
5:46 Usage des proxy (1) Attaque directe PROXY Victime (2) L’adresse du dernier proxy est enregistré, mais dernière il peut y avoir des dizaines Attaquant Chaine de proxy (3) 23 23
24
Conclusion : Les challenges
5:46 Conclusion : Les challenges Loi sur les cyber crimes Acceptation des preuves électroniques Confidentialité des données Divulgation des données Préservation des scènes de crime Restauration des preuves Savoir-faire, compétences, formation Être proactif, en restant à jour Le coût Coopération : internationale, FSIs Les règles du jeu (les criminels n’en ont pas)
25
5:46 Questions?
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.