Analyse forensique numérique
L’analyse forensique peut être définie comme le processus d'extraction d'informations et de données provenant du réseau.
Le défi est bien sûr de trouver les données, les collecter, les préserver, et les présenter de manière cohérente dans une cour de justice.
La preuve électronique est fragile et peut facilement être modifiée.
L’analyse forensique, tout en étant fermement établie à la fois comme un art et une science, en est seulement à ses débuts.
L’analyse forensique réseau de contenu Internet et l’interception légale sont des tâches importantes pour de nombreuses organisations incluant les petites et moyennes entreprises, firmes, le secteur bancaire et financier, les organismes gouvernementaux, les agences de renseignement et de forensique à des fins diverses telles que l'archivage, l'interception et l’audit du trafic Internet pour de futures besions de références et criminalistique.
Ces données Internet archivées et reconstituées peuvent être utilisées comme preuve légale en cas de litige.
Gouvernements et agences de renseignement utilisent une telle technologie pour protéger et défendre la sécurité nationale.
Le système E-Detective est une plate-forme de haute performance, à faible coût, basée sur du hardware x86 et les systèmes d'exploitation Linux et Windows.
Notre technologie de base Inspection et Reconstruction profonde de paquet en temps réel pour l'Ethernet, sans fil 802.11 a / b / g / n (WiFi), HTTPS / SSL et VoIP.
L’analyse forensique (ou juste forensic) est une investigation méthodique et approfondie des systèmes d’information après un incident cyber, comme un piratage ou un vol de données.
L’objectif est d’analyser l’ensemble des données du SI pour comprendre ce qu’il s’est passé et en tirer les conditions adéquates.
Les objectifs sont doubles : identifier les vulnérabilités ayant rendu possible l’attaque et réunir des preuves avant le lancement d’une procédure judiciaire.
Parmi les preuves, l’analyse forensique permet de collecter : des fichiers effacés, des disques durs, des sauvegardes, des logs et tentatives de suppression, des sites internet visités, des programmes de piratage, des mots de passe volés, des messages envoyés, etc.
Pour réunir toutes ces preuves numériques, l’expert cyber peut analyser tous types de support informatique.
Selon les systèmes, le type de forensic varie.
L'analyse forensique (anglais : digital forensics), également appelée investigation numérique, est un domaine scientifique souvent rattaché à divers crimes informatiques, dans lequel on cherche à récupérer et analyser des supports numériques potentiellement suspicieux.
L'analyse forensique a de nombreuses applications.
La plus commune est de venir supporter ou réfuter une hypothèse avant un passage au tribunal.
On retrouve également l'analyse forensique dans le domaine privé.
En cas de cyber-attaque, on peut notamment examiner les intrusions qui ont eu lieu pour mieux se rendre compte de l'impact de l'attaque sur le système d'information.
L'analyse à froid (anglais : dead forensics) est le cas où on prend soin de copier toutes les données à analyser sur un support dédié.
Cela permet d'isoler le support potentiellement dangereux pour l'analyse sans affecter le support originel.
L'analyse à chaud (anglais : live forensics) est le cas où le support est directement analysé dans ce cas.
Ce type d'analyse est particulièrement adapté si l'on souhaite directement analyser la mémoire vive et les processus actifs d'un appareil que l'on suspecte.
Ce type d'analyse est une analyse préventive où l'on examine régulièrement un support sensible.
On peut notamment surveiller en temps réel le trafic réseau d'un appareil pour analyser, détecter et comprendre une attaque réseau qui arrive subitement.
Lorsqu'un acteur malveillant manipule un contenu numérique (e.g. photos, vidéos, sons, cryptomonnaies, etc.) il laisse des traces et indices que l'on peut éventuellement identifier.
L'un des défis de la criminalistique numérique est la conservation et gestion des preuves numériques de leur détection/acquisition au moment de leur présentation à un tribunal, en permettant grâce à un processus dit Chaîne de Garde (CoC), qu'elles soient entre-temps consultées, sans pouvoir être détériorées par les parties prenantes de l'enquête, afin de rester recevables devant un tribunal.
Les récentes avancées en intelligence artificielle apportent une aide significative aux analystes forensiques sans se substituer pour autant à leur travail.
Étant donné la capacité d'un réseau de neurones artificiel à analyser efficacement des signaux de type textes, images et sons, il est désormais possible pour l'analyste de détecter certains fichiers contrefaits.
L’investigation numérique ou forensic est utilisée après la constatation et la gestion d’une attaque informatique, pour prendre du recul et la comprendre en détail.
C’est le même principe que dans les enquêtes policières : la science forensique regroupe l’ensemble des techniques utilisées dans la collecte, l’analyse et l’interprétation des traces suite à un crime.
L’analyse forensique désigne les activités d’investigation numérique en cas de cyberattaque.
Il s’agit bien entendu de la collecte de preuves, mais pas uniquement.
La forensic regroupe : l’analyse, pour comprendre ce qui s’est précisément passé lors de l’attaque ; la collecte d’informations pour que le CERT puisse réagir à l’attaque (comprendre, stopper l’attaque et réparer) ; en parallèle, il est également important d’accumuler des preuves probantes, pour porter plainte, dans le cadre d’une action interne à l’organisation ou pour lancer une procédure judiciaire.
L’analyse forensique est aussi réalisée dans le but de déterminer le modus operandi des attaquants et de découvrir des preuves sur système d’information ou des supports de stockage : les ordinateurs ; les serveurs ; les téléphones portables ; les applications ; les bases de données ; les supports de stockage externes (disques durs, clés USB, cartes SD…).
Les analystes collectent l’ensemble des données brutes (fichiers effacés, disques durs, sauvegardes, journaux des systèmes…), puis les étudient pour établir des conclusions sur le déroulé de l’attaque.
L’analyse forensique implique une collaboration à 360° : elle nécessite de coordonner toutes les compétences de l’organisation, dans un moment souvent stressant pour les équipes.