Bienvenue dans ce cours de forensic où vous apprendrez à investiguer un incident de sécurité sur Windows. Au travers d’exercices pratiques et d’exploration des différents outils, vous découvrirez l’univers de l’investigation numérique, et comment mener votre investigation.
L’investigation numérique est un sujet vaste qui nécessite des années d’apprentissage et de pratique pour comprendre en détail le fonctionnement d’un système d’exploitation, et en extraire les bonnes informations.
Comme je vous l'ai expliqué dans la vidéo, ce cours est composé de 3 types de contenus, des vidéos, des textes, et des évaluations :
les vidéos sont des résumés synthétiques des principales informations à retenir, avec des démonstrations pour vous aider à prendre en main les outils utilisés ;
les textes complètent le contenu vidéo. Ils incluent à la fois un récapitulatif de ce qui est expliqué dans la vidéo, pour que vous puissiez vous y référer un peu plus tard, et apportent des explications approfondies et des exemples complémentaires ;
une évaluation, à la fin de chaque partie, vous permettra de valider vos connaissances et de vérifier que vous avez bien assimilé les fondamentaux.
Familiarisez-vous avec le plan du cours
Ce cours est divisé en 5 parties qui introduiront des concepts de forensic pour vous permettre de réaliser une investigation.
Voyons ensemble comment est structuré le cours.
Partie 1 — Préparez votre investigation numérique
Dans cette partie, nous allons définir le forensic et quels sont les objectifs d’une investigation. Vous découvrirez la méthodologie utilisée ainsi que les outils qui vous permettront de collecter les données et de les analyser. Enfin, vous apprendrez à réaliser des images (aussi appelées dump) d’un disque dur et de la mémoire RAM.
Partie 2 — Analysez le dump mémoire
Cette partie est orientée sur l’analyse de la mémoire volatile, ou mémoire vive (aussi appelée RAM). Nous verrons brièvement comment fonctionne la mémoire vive sur un système Windows, et découvrirons les différents fichiers de mémoires systèmes. Vous apprendrez à utiliser le framework open source Volatility pour parser les données présentes dans le dump et extraire les informations pertinentes, telles que la liste des processus, ou encore les connexions réseau.
Partie 3 — Analysez la copie du disque dur
Dans cette partie, vous découvrirez les spécificités du système de fichier NTFS utilisé sur les systèmes Windows. Vous apprendrez à extraire les informations du système pour les analyser, et vous verrez comment réaliser une chronologie des événements du système infecté. Vous serez capable de reconnaître les artefacts pour l’investigation, c’est-à-dire les éléments importants à prendre en compte. Enfin, vous apprendrez à analyser le registre, les events logs, et comment récupérer les fichiers effacés.
Partie 4 — Analysez les fichiers malveillants
Dans cette partie, vous découvrirez ce qu'est un vecteur d’infection et comment ils peuvent être utilisés par un attaquant pour compromettre une machine. Vous apprendrez à analyser un email, un fichier PDF ou encore un document Word.
Partie 5 — Corrélez vos analyses forensic pour établir un rapport
La rédaction du rapport lors d’un incident de sécurité est capital. Dans cette partie, vous apprendrez à créer un rapport d’investigation en ajoutant les détails de votre analyse, ainsi que le partage des indicateurs de compromission (IOC).
Windows, première cible des attaques
Comme je l’ai mentionné plus haut, l’investigation numérique est un domaine vaste et nécessite des années de pratique. Un incident de sécurité peut survenir sur n’importe quel type de système : Windows, Linux, Mac, Android, iOS… Il existe des malwares pour toute ces plateformes.
Les systèmes Windows sont les plus répandus en entreprise, voilà pourquoi ce cours se focalise sur l’investigation sur Windows. Il y a plus de chance que vous soyez confronté à une infection sur un OS Windows que sur Mac, même si ça peut arriver.
Par ailleurs, connaître un système tel que celui de Windows en profondeur nécessite du temps, et étant donné que ce cours ne traite pas en profondeur le système Windows, il aurait été difficile de traiter les autres OS.
Passez rapidement à la pratique
Rentrons à présent dans le vif du sujet !
Tout au long de ce cours, vous allez suivre une méthodologie d’investigation définie. Pour planter le décor et suivre un fil directeur, vous allez vous mettre dans la peau d’un analyste pour analyser un système compromis.
Un utilisateur du service comptabilité de votre entreprise a reçu un email contenant une pièce jointe. Sans faire attention, l’utilisateur l’a ouverte, pensant qu’elle était légitime. Réalisant son erreur en se rendant compte que l’email émetteur n’était pas légitime, il a directement appelé la direction de la sécurité des systèmes d’information, dont vous faites partie, pour réaliser l’investigation.
En tant qu’analyste, pour réaliserez un dump mémoire ainsi qu’une copie bit à bit du disque dur, pour pouvoir collecter un maximum d’informations. Vous réaliserez une analyse du poste infecté et reporterez l’investigation dans votre rapport. Vous identifierez les IOC (Indicateurs de Compromission) et proposerez des plans d’action pour contenir la menace et l’éradiquer. Enfin, vous proposerez des recommandations pour améliorer la sécurité de votre entreprise et la prémunir d’attaques similaires.
Je vais vous guider tout au long du cours pour que appreniez à faire toutes ces démarches par vous-même. 😀
En résumé
Ce cours vous présente les méthodes de forensic et vous guide pour vous permettre d’appréhender vos premiers incidents de sécurité. Il est divisé en 5 parties comprenant les grandes étapes d’une investigation sous un système Windows. Gardez bien en tête le scénario, car c’est là-dessus que tout le cours se base.
Dès que vous êtes prêt, passez au prochain chapitre pour entrer dans le vif du sujet !
