L’analyse forensic nécessite de respecter des bonnes pratiques en utilisant les outils adéquats. Il existe une multitude d’outils open source, freeware ou propriétaires, permettant d’analyser des supports numériques. Dans certains cas et notamment lors d’enquêtes judiciaires, il sera également nécessaire d’utiliser du matériel tel que des bloqueurs en écriture lors de la collecte de données.
Dans ce chapitre, nous allons étudier et parcourir quelques outils qui vous permettront de réaliser une analyse forensic. Nous verrons principalement des outils open source ou gratuits.
Toutefois, notez qu’il n’y a pas de « meilleur outil ». C’est à vous de vous familiariser avec l’utilisation de ces utilitaires pour en comprendre les limites et adapter les utilisations en fonction des besoins. Par ailleurs, dans certaines situations, il pourra être nécessaire de développer vos propres scripts d’analyse.
Choisissez l'outil adapté à vos besoins
Pour réaliser une analyse forensic de support numérique, il existe sur le marché des outils reconnus.
La société Guidance Software propose une suite d’utilitaires appelée Encase dédiée à l’analyse forensic, en passant de l’analyse du disque et au tri des données jusqu’à l’analyse des fichiers et le déchiffrement des volumes analysés. Les licences sont payantes et restent relativement chères. Toutefois, ce genre d’outil est largement utilisé par les experts judiciaires ou encore les organismes de police.
Il existe également des outils hardware permettant la collecte de supports numériques sans altération des données, tels que des bloqueurs en écriture que nous avons évoqués plus haut.
Les bloqueurs en écriture sont donc des dispositifs qui permettent de faire l’acquisition d’une image d’un disque dur en bloquant le mécanisme d’écriture, mais pas de lecture, dans le but de préserver le contenu. L’utilisation de ce type de dispositif permet de protéger le contenu du disque et garantit ainsi son intégrité́.
Un bloqueur en écriture matériel s’interpose entre le disque dur (la preuve) et le PC qui servira à l’acquisition de l’image. Il existe également des bloqueurs en écriture logiciels.
Il existe également des utilitaires gratuits ou open source qui sont très souvent utilisés lors d’analyses forensic.
Le framework The Sleuth Kit permet de réaliser une analyse forensic en passant de la génération d’une timeline au triage des données et à l’analyse des artefacts Windows (registre, email, historique…), jusqu’à la génération d’un rapport. Il comporte une interface graphique appelée Autopsy.
Les utilitaires NirSoft ou encore la suite Sysinternal de Microsoft sont également utilisés dans l’analyse forensic. Google a également développé son propre framework d’analyse, Google Rapid Response (GRR), qui permet de faire de l’analyse forensic à distance de postes compromis.
Certains projets proposent également des OS Linux destinés à l’analyse forensic et embarquant des outils préinstallés tels que SIFT, Tsurugi, CAINE ou encore DEFT.
Pour l’analyse de la mémoire vive, il existe également des frameworks tels que Volatility et Rekall.
Pour la copie des disques durs et de la RAM, il est possible d’utiliser le freeware FTK Imager Lite.
Nous reviendrons en détail sur ces outils tout au long de ce cours.
Préparez votre environnement d’analyse
Nous allons à présent préparer notre environnement d’analyse. Dans ce cours, nous utiliserons 2 machines virtuelles pour réaliser les investigations. Cela vous permettra d’appréhender des outils sur les différentes plateformes.
Une VM Windows sur laquelle il faudra installer les outils The Sleuth Kit Autopsy, FTK Imager et Mft2Csv.
Je vous conseille de télécharger les différents utilitaires et de les copier dans un répertoire pour les avoir au même endroit. N’hésitez pas non plus à réaliser un snapshot de vos machines virtuelles une fois configurées.Une VM Linux SIFT que vous pouvez télécharger à cette adresse (puis suivez les instructions d’installation).
Libre à vous d’utiliser les outils que vous souhaitez !
Méfiez-vous de ce que disent les outils
Lors de votre analyse, il peut s’avérer que les résultats des outils que vous utilisez ne soient pas toujours fiables ou ne soit pas corrects. Il faudra alors investiguer pourquoi cela ne fonctionne pas correctement, et parfois aller jusqu'à développer vos propres utilitaires.
Les techniques d'anti-forensic
La stéganographie, par exemple, permet de dissimuler des informations en masquant un message dans un conteneur anodin, une photo par exemple, de manière à le rendre invisible pour un individu qui n’est pas concerné par le message, et de le transmettre en toute discrétion.
Le malware Duqu, par exemple, fut l’un des premiers à utiliser ce genre de techniques pour exfiltrer des données volées en les cachant dans des fichiers JPEG.
Certains attaquants vont effacer des données du disque dur ou encore falsifier les timestamps. Un attaquant ou un utilisateur malveillant pourra couvrir ses traces en falsifiant les attributs d’accès aux fichiers. Les outils comme Timestomp, dont le but est de modifier les attributs des fichiers, sont capables de réécrire les dates d’accès des systèmes de fichiers NTFS (date de création, modification, accès, etc.).
Assurez-vous d'utiliser les bons outils
Lorsque vous utilisez un outil d'analyse forensic, assurez-vous de bien comprendre de quoi il s'agit. Vérifiez que vous connaissez ses limites et sa fiabilité.
S'il s'agit d'un nouvel outil, renseignez-vous sur la documentation officielle de l'outil, mais aussi auprès d'experts qui l'ont déjà utilisé, ainsi que sur des sites comparatifs. En bref, recoupez les sources pour bien comprendre de quoi il s'agit.
En résumé
Dans ce chapitre, nous venons de voir plusieurs outils et utilitaires pour vous permettre d’appréhender les différentes situations de l’analyse forensic.
Nous avons également préparé notre environnement d’analyse et discuté brièvement des méthodes utilisées par les attaquants pour contourner l’investigation forensic et effacer les traces d’une intrusion.
C’est maintenant à vous de tester et de choisir vos outils pour réaliser vos investigations !
Dans le prochain chapitre, nous verrons comment collecter les informations de base pour réaliser votre analyse forensic.
