Société d’investigations numériques Analyses de données Audits de systèmes de sauvegardes Conseils et remédiations sur cyberattaques
1 - La consultation
Je vais attentivement écouter votre demande. Cela débouchera certainement sur plusieurs questions pour être sûr de bien couvrir le champ complet d’investigation et de pouvoir répondre le mieux possible à vos attentes. Cette étape est importante pour être sûr de ne pas oublier un canal d’analyse (un support de stockage, un système de messagerie, des logs de pare-feu, un service cloud…).
Je vous donnerai alors les conseils adaptés pour ne pas ‘endommager’ les preuves potentielles.
C’est seulement après cette étape préliminaire que je pourrai déterminer le type de facturation (au coût horaire ou au forfait). Cette étape peut, elle aussi, être payante, suivant la complexité et l’urgence de la demande.
Une décharge sera demandée où il sera demander de certifier le fait que le(s) support(s) à examiner ainsi que les données contenues vous appartiennent (ou à la société dont vous avez la responsabilité).
Un contrat de confidentialité(*) peut-être, lui aussi, demandé par une des deux parties.
Un acompte sera demandé.
(*) voir exception dans la page services
2 - L'acquisition
Une identification précise du matériel sera réalisée lors de la prise en charge de vos supports numériques à analyser.
Si l’appareil est encore en fonctionnement, une capture de la mémoire vive (RAM) sera effectuée. Celle-ci servira si nécessaire à faire une analyse supplémentaire permettant de lister les processus en cours d’exécution. Cela permet de trouver de potentiels malwares en cours d’exécution.
Une double duplication intégrale des supports de stockages (disque dur, ssd, …) sera réalisée via du matériel spécialisé avec des bloqueurs en écriture. Une somme de contrôle (‘Hash’) de chaque support sera aussi calculée. Cette empreinte unique doit toujours correspondre parfaitement à l’original. Cela permet de vérifier à tout moment qu’aucun des supports ne sera modifié et que son contenu correspond bien au support source. Il est impératif de faire deux copies des disques d’origine et de ne jamais travailler directement sur le disque d’origine. Une seule de ces copies servira ensuite d’analyse ‘à froid’. L’autre servira de secours en cas de dysfonctionnement de la première copie.
L’étape de vérification de ‘hash’ est réalisée immédiatement après la duplication.
3 - L'investigation
L’investigation est une véritable enquête minutieuse. Je vais procéder à plusieurs passes clés pour fouiller et trouver les réponses aux questions demandées. Pour ce faire, je procéde comme suit.
- À partir des supports, je crée une ‘timeline’ des évènements (frise chronologique ordonné) provenant des dates de tous les fichiers trouvés, des évènements systèmes, des logs d’applications, d’ouverture et fermeture de sessions utilisateurs… En réduisant les éléments par rapport une période souhaitée définie lors de l’entretien initial, cette ligne de temps donnera des indicateurs qu’il faut suivre et détailler. Il faut bien souvent élargir les périodes de recherche pour ne pas passer à côté d’un indice qui pourrait être important. Par exemple, dans le cas d’infection d’une machine, les hackeurs peuvent parfois rester inactifs et ne faire qu’observer pendant plusieurs mois, avant de passer à l’action. Il faut donc remonter suffisamment loin pour découvrir la source de la compromission.
- La pré-analyse est effectuée par des logiciels, mais le travail humain est essentiel et c’est manuellement que j’identifie ce qui est vraiment important. À partir des indicateurs trouvés, j’établi des hypothèses. Il faut impérativement examiner tous les artéfacts, vérifier chaque contenu, pour tenter de confirmer ou d’infirmer ces hypothèses. Dans le cas d’analyse de plusieurs supports différents, il y a une phase de recoupement des informations afin de corréler les indicateurs. C’est aussi à ce moment que les analyses ‘à froid’ et les analyses des captures de mémoires vives sont à croiser.
- À chaque découverte d’un nouvel indice, cela peut engendrer de nouvelles hypothèses qui doivent être vérifiées pour comprendre le comportement. En conséquence, il faut recommencer de manière itérative pour ne rien laisser de côté, jusqu’à ce qu’il soit impossible de créer de nouveaux scénarios possibles. Cela permet ainsi d’obtenir toutes les preuves, qui mise bout-à-bout, permettent de dégager un scénario.
- Le scénario final est donc démontré de manière factuelle par l’enchainement logique des événements trouvés et mis en évidences par l’examinateur.
4 - Le rapport
Je rédige un rapport qui répond à vos questions initiales. Ce rapport démontre un scénario par la succession de traces numériques. Ce rapport doit être clair et précis, car les décisions qui peuvent en découler peuvent être lourdes, notamment dans le cadre d’un procès.
Dans le cas d’une réponse à un incident, des mesures de protection, si elles existent, peuvent aussi être proposées.