Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Laurent Besset, I-TRACING : Informatique légiste : les nouveaux « Experts », A crimes informatiques, preuves informatiques

novembre 2009 par Marc Jacob

La criminalité reflète la société qui la produit. Cet adage se vérifie parfaitement aujourd’hui. L’ère de l’informatique est logiquement aussi celle du crime informatique : vol de données, infection virale ciblée, usurpation d’identité, transactions frauduleuses, désinformation, déni de service sur des sites ou applications stratégiques ; les exemples ne manquent pas dans l’actualité nationale aussi bien qu’internationale. Confrontées à ce nouveau type de méfait, les entreprises doivent s’adapter et rechercher au sein de leurs systèmes d’information les preuves qui permettront de faire valoir leur droit. L’informatique légiste, discipline encore très empirique et mal maîtrisée en France, définit les processus visant à constituer ces preuves informatiques.

Informatique légiste, les bonnes pratiques

Des bonnes pratiques, pour partie transposées des techniques d’enquête de police, existent (publication dédiée du National Institute of Standards and Technology américain notamment), mais elles restent méconnues des DSI, juristes d’entreprise et autres auditeurs internes.
Il est évidemment primordial de disposer d’une connaissance claire et à jour de ses systèmes d’information et de leurs différentes chaînes de liaison applicatives, système et réseau. Elle facilitera d’autant l’identification des données à collecter et leur analyse.

Dans la même ligne, la mise en œuvre préalable d’une politique de gestion des logs, garantissant l’activation, la collecte et la conservation des éléments de traçabilité nécessaires à la constitution ultérieure de preuves assurera le moment venu la disponibilité de traces indispensables aux analyses légistes. Au rang des pré-requis utiles viennent s’ajouter, d’une part, le fait d’avoir défini une check-list des données système les plus volatiles, devant être collectées avant que le serveur ou le poste de travail ne soit arrêté (processus en cours, connexions réseau récentes et en cours, fichiers ouverts, etc.) ; d’autre part, celui de disposer d’un kit d’informatique légiste pouvant être lancé depuis un support externe et rassemblant l’ensemble des utilitaires nécessaires à la collecte et à l’analyse des données (gestionnaire de commande depuis lequel les autres outils du kit peuvent être lancés, visionneuse de dossiers, outil de décompression, outil permettant de représenter graphiquement des arborescences de fichiers, solutions permettant la recherche sur des chaînes de caractères et le pattern matching, utilitaire d’extraction des métadonnées de fichier, utilitaire de calcul d’empreinte, etc. ).

Concernant, l’analyse en elle-même, travailler en priorité sur des copies de disque et pas directement sur le serveur ou le poste de travail saisi est capital ; idéalement une image « bit-à-bit » avec utilisation de solution garantissant la non-modification du support initial et contrôle d’intégrité de la copie par rapport au support initial. Les analystes doivent de plus tenir une main courante de l’ensemble des opérations réalisées sur les différents supports manipulés afin d’assurer la continuité de la chaîne de preuve.

Disposer d’une solution de gestion des incidents et événements de sécurité (SIEM) ou d’une solution plus généraliste de datamining facilitant l’analyse de volumes de données importants constitue un plus appréciable. Ces solutions ne sont cependant pas indispensables dans un contexte où la durée de l’analyse n’est pas la contrainte première (au contraire d’une résolution d’incident réseau par exemple).

De l’intérêt d’être prêt

L’expérience montre qu’en cas de délinquance informatique suspectée ou avérée, l’absence de procédures claires et d’un outillage adapté font perdre un temps précieux aux « enquêteurs » de l’entreprise. Ce temps perdu, une certaine désorganisation et le manque de rigueur allant avec sont autant de préjudices à la qualité des preuves qui seront produites in fine et donc à la défense des intérêts juridiques et économiques de l’entreprise. Il est par conséquent vital pour les entreprises de développer aujourd’hui ce type de compétences et de s’équiper correctement. Si certains peuvent s’interroger sur le retour sur investissement réel de ce travail, ils ne doivent perdre de vue ni les risques encourus « en ne faisant pas », ni la valeur ajoutée d’une partie de ces techniques dans des situations plus opérationnelles : gestion d’incident, suivi des usages, récupération de données, traçabilité des changements, etc.




Voir les articles précédents

    

Voir les articles suivants