Agence de Recherches et d'Enquêtes Privées

Qu’est ce que l’inforensique ? Dans quels faut-il l’employer ?

inforensique forensic detective prive nevers agence de recherche et enquetes privees

L’inforensique s’applique à la cybercriminalité, ou de façon plus générale, à tout acte impliquant un ordinateur, une machine connectée, un système d’information, des applications.

Les objectifs de l’inforensique

Les objectifs visent à identifier, collecter et préserver les preuves.

Les preuves numériques étant fragiles par nature, il y a deux principales difficultés :

  • Les preuves numériques sont très volatiles pour certaines d’entre elles. Par exemple, le redémarrage d’un ordinateur peut effacer certains éléments.
  • De plus, elles sont facilement modifiables. Ainsi, brancher une simple clé USB sur un port va modifier le registre, et donc modifier globalement le système. C’est pourquoi, il est indispensable de conserver une traçabilité des opérations réalisées et de travailler sur des copies, dès que possible.

Une autre difficulté, juridique celle-là, tient au fait de la mondialisation des attaques informatiques.

Les types de données

Il y a deux types de données :

  • Les données volatiles : il s’agit d’informations temporaires qui ont besoin d’énergie. Sinon, elles sont effacées. Parmi les données volatiles la RAM (Random Access Memory : la mémoire vive), le system-time, les utilisateurs logués, les processus, le presse-papier, …
  • Les données non-volatiles : celles-ci sont écrites sur le disque dur et stockées de façon permanente. Elles peuvent toutefois être cachées ou chiffrées.

La méthodologie

La méthodologie à mettre en œuvre est relativement rigoureuse.

Le pionnier de la police scientifique, le français Edmond Locard, a ennoncé le principe suivant : lorsque deux corps entrent en contact l'un avec l'autre, il y a nécessairement un transfert entre ceux-ci. En d'autres termes, lorsqu'un acte criminel se produit, l'individu responsable laisse des traces de sa présence et emporte avec lui des traces du lieu où il se trouvait.

En matière informatique, c’est exactement le même principe. Dès lors qu’on interagit avec le système, par une manipulation directe, ou par un accès distant, comme par exemple une simple mise à jour, le système est modifié. L’enquêteur doit donc garder une trace de ses activités sur le système examiné.

Pour être admissibles, les preuves doivent avoir été obtenues de manière légale.

Elles doivent être authentiques : on doit être capable de prouver qu’elles n’ont pas été manipulées.

Enfin, leur fiabilité ne doit pas pouvoir être remise en cause. Cela implique que, concrètement, une tierce personne doit être en mesure d’obtenir le même résultat, à partir des mêmes manipulations.

En pratique ...

On collecte d’abord les données volatiles, en supposant qu’elles existent. A ce stade, on ne cherche pas encore à les analyser dans le détail.

On réalise une copie bit à bit des données non-volatiles (en général le disque dur). Concrètement, si le disque dur de l’ordinateur à analyser a une capacité de 500 Go, on copie 500 Go de données, même les clusters (portions de disque dur) qui paraissent a priori vides. En général, il peut être intéressant de réaliser deux copies. Le disque dur d’origine est alors préservé et placé sous scellé.

On ne travaille que sur la copie, soit sur le ficher de copie, soit en remontant une machine virtuelle à partir de la copie.

Toutes les manipulations sont documentées (même les éventuelles erreurs de manipulation !)

Dans quels cas ?

L'inforensique sera utilisée pour rechercher des preuves numériques, parfois en complément d'autres investigations.

Il peut s'agir d'un incident de sécurité : connexion inattendue, fuite de données, altération d'un système.

Il peut être aussi question de rechercher des artefacts sur une machine (ordinateur, tablette, smartphone) :

  • historique d'activité,
  • date et heure de démarrage,
  • recherche de partitions cachées,
  • recherche d'évènements dans les logs - fichiers journaux,
  • recherche de fragments de fichiers supprimés,
  • recherche de fichiers cachés ou obfusqués, en particulier par stéganographie,
  • recherche des périphériques connectés sur une machine,
  • activité web,
  • analyse des cookies,
  • activité réseau (cas particulier de la box piratée),
  • etc ...

La certification CHFI

La certification CHFI (Computer Hacking Forensic Investigator) est une certification délivrée par l'organisme américain EC-Council (lien vers le site EC-Council.)

Cette certification est reconnue sur le plan international. Elle est délivrée après une formation homologuée et un examen pratique.

Nous sommes certifiés CHFI.

Pour les raisons évoquées plus haut, en particulier la préservation des données, qui restent extrèmement fragiles, il faut éviter de mener ses recherches soi-même si on n'est pas sur de bien maîtriser ce que l'on fait.

retour aux articles

likez, tweetez, partagez, commentez,

partage facebook detective prive nevers agence de recherche et enquetes privees partage google detective prive nevers agence de recherche et enquetes privees partage linkedin detective prive nevers agence de recherche et enquetes privees partage twitter detective prive nevers agence de recherche et enquetes privees