Live forensics – mais qu’est-ce que c’est ?

Voilà une semaine, je racontais brièvement que nous avions passé quelques jours à former des enquêteurs de toute l’Europe aux techniques des « Live forensics » ou « Analyses sur systèmes vivants » ou « allumés ».

Il s’agit de deux évolutions parallèles :

  • Les enquêteurs (du monde entier) qui fonctionnent selon le paradigme qui leur a été inculqué de la nécessité d’éteindre brutalement un ordinateur en fonctionnement au moment de la perquisition pour limiter les modifications au système (surtout aux données se trouvant sur le disque dur), et qui se rendent compte que l’on perd ainsi des données potentiellement importantes dans la mémoire vive (2 gigaoctets au moins dans les systèmes modernes) ou se couper l’accès à des données protégées quand l’ordinateur est éteint,
  • Le développement de nouvelles techniques autour de l’exploitation criminalistique de la mémoire vive des ordinateurs.

C’est aussi une problématique plus générale, car très souvent il n’est pas intéressant, nécessaire ou souhaitable d’éteindre le système que l’on souhaite analyser : le serveur d’une entreprise ou un téléphone portable en marche (protégé par un code), etc.

Quelles sont les techniques à mettre en œuvre ? Elles sont de deux catégories principales :

  • La capture de la mémoire vive,
  • La capture de données issues des processus en fonctionnement, notamment ceux liés au système d’exploitation ou aux logiciels les plus pertinents au regard de l’enquête ou de la configuration (outils de chiffrement).

Corollairement il faut évidemment des techniques nouvelles pour exploiter ces données, notamment en ce qui concerne l’exploitation des captures de mémoire vive.

Enfin, comme toute action criminalistique, il s’agit de correctement documenter ses actes et de faire des choix judicieux au regard de l’impact des outils utilisés sur le système examiné, qui devront être minimaux – trouver l’équilibre entre la nécessité de collecter l’ensemble des éléments de preuve accessibles et l’impact sur chacune des sources de preuve.

En vrac, quelques idées et sources sur les outils et méthodes utilisées dans l’univers Windows :

Mais attention, c’est outils sont à utiliser avec précaution ! Et une formation et la lecture d’ouvrages (comme Windows Forensic Analaysis, deuxième édition, de Harlan Carvey) seront utiles.

À propos Éric Freyssinet
Officier de gendarmerie. Docteur en informatique. Travaille depuis 1998 dans le domaine de la lutte contre la cybercriminalité, actuellement conseiller auprès du Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). PhD in computer science. Working since 1998 in the fight against cybercrime. Views published on these blogs are personal.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :