Dans les chapitres précédents, nous venons de découvrir les principes et les concepts de l’investigation numérique. Nous avons également introduit quelques outils utilisés. Dans ce chapitre, nous allons à présent passer à la première phase de l’investigation : la collecte des informations à analyser.
Les formats de collecte de données
La phase de collecte des données, ou encore « l’acquisition », est la phase qui doit permettre de copier les données volatiles et non volatiles sur un support externe, dans le but de réaliser une analyse approfondie par la suite.
Cette phase est très importante, car elle nécessite de respecter une procédure stricte qui n’altérera pas les données stockées. Les données collectées seront stockées dans un container que l’on appelle image. Une image est un dump brut extrait d’un support numérique. Il existe plusieurs formats d’image.
Les images RAW
Les images brutes, au format RAW, ne sont pas un format en soi, mais un bloc de données brutes reproduites à partir d’une image. Les images brutes ne contiennent aucune métadonnée supplémentaire en dehors des informations sur le fichier image lui-même (nom, taille, horodatage et autres informations).
Les formats de forensic
Plusieurs problèmes avec les images brutes ont conduit à la création de formats de fichiers pour le forensic. Les formats de forensic comportent des éléments supplémentaire tels que l’horodatage, les hash des images et d’autres métadonnées. Par ailleurs, il peut être nécessaire de compresser ou chiffrer une image acquise. Les formats de forensic facilitent la mise en œuvre de ces fonctionnalités. Vous retrouverez entre autres :
EnCase EWF, développé par Guidance Software, l’une des plus anciennes entreprises de logiciels de forensic. Il utilise le format EWF (Expert Witness Format) qui prend en charge les métadonnées, la compression, le chiffrement, le hachage, etc. ;
FTK Smart, par AccessData, est un concurrent direct d’EnCase EWF. Ce format propriétaire inclut également les métadonnées, la compression, le chiffrement, le hachage, etc. ;
AFF, pour Advanced Forensic Format, a été créé par Simson Garfinkel en tant que format ouvert. Il comprend toutes les fonctionnalités attendues et inclut également des fonctionnalités de chiffrement et de signature utilisant des certificats X.509 standard.
Différence entre mémoire volatile et non volatile
Ce type de mémoire autorise l'analyse dite à froid, ou post mortem, c'est-à-dire après l'incident et une fois que le système a été éteint.
Ce type de mémoire doit obligatoirement être enregistré (dumpé) sur un support externe à chaud, c'est-à-dire avant extinction de l'ordinateur, sinon tout sera perdu. Sans ça, vous ne pourrez pas l'analyser pour mener votre investigation.
La mémoire vive d’un ordinateur peut contenir de nombreuses informations : mots de passe, identifiants, clefs de chiffrement ou encore processus actifs. Elle est donc très utile pour l'analyse forensic.
Réalisez un dump mémoire et une copie bit à bit d’un disque dur
Dans le processus de forensic, il faut dans un premier temps collecter les données qui seront analysées par la suite. Dans la réalité, il se peut que vous ayez accès à la machine en cours de fonctionnement ; dans ce cas il faudra réaliser dans un premier temps un dump de la RAM pour collecter un instantané des processus en cours d'exécution. Cela vous permettra d'identifier un processus malveillant, par exemple.
Puis il faudra par la suite réaliser la copie bit à bit du disque dur, c'est-à-dire une copie fidèle de chaque bit du disque. Cela vous permettra d'accéder à toutes les données du disque pour réaliser l'analyse.
Dans cette section, nous allons effectuer le dump du contenu de la RAM et du disque dur.
Acquisition de la mémoire volatile
L’acquisition de la mémoire vive intervient généralement lors d’une réponse à incident et sur un système en fonctionnement. Lors de l’acquisition, l’analyste doit éviter au maximum toutes modifications, afin de récupérer une image fidèle du système à analyser.
Il existe une multitude d’outils pour dumper le contenu de la RAM. Nous allons ici utiliser le logiciel free FTK imager, téléchargeable à cette adresse. Libre à vous d’utiliser un autre outil ; par exemple, l’utilitaire free Dumpit est une référence dans l’acquisition de la mémoire volatile.
Avec le logiciel FTK, il suffit de cliquer sur l’icône RAM pour réaliser la capture.
Il faudra ensuite préciser le répertoire où le dump sera stocké, puis cliquer sur Capture Memory ; il est également possible d’inclure le fichier système pagefile.sys
à la copie.
La copie du dump est ensuite réalisée et stockée dans le répertoire mentionné.
Nous réaliserons dans la partie suivante l’analyse de ce dump.
Acquisition de la mémoire non volatile
Comme pour la mémoire volatile, l’acquisition de la mémoire non volatile est une partie très importante de l’investigation numérique ; elle doit respecter une procédure stricte, afin de ne pas altérer le contenu du support.
De nombreux outils ont pour but de copier le contenu d’un disque dur pour l’analyser. Nous allons ici utiliser le logiciel FTK.
Pour ce faire, il suffit de cliquer sur l’icône Create Image, puis sélectionner la source de la copie à réaliser, ici le disque dur Physical Drive de notre machine.
S’il existe plusieurs disques durs ou des partitions, il faudra sélectionner celui que l’on souhaite copier, puis cliquer sur Finish.
Il faudra ensuite cliquer sur Add pour sélectionner le format de l’image.
Ici nous choisirons le format Raw, mais vous pouvez utiliser le format que vous désirez.
Il faudra ensuite spécifier quelques informations qui permettront d’identifier la preuve collectée.
Enfin, il faudra sélectionner le répertoire dans lequel le disque sera copié. Il faudra stocker cette image sur un support amovible externe suffisamment grand.
Il faudra ensuite cliquer sur Start pour réaliser la copie du disque dur.
Le temps nécessaire à la copie du disque sera fonction de la taille du disque.
Calculez l’empreinte (hash) des dumps réalisés
Lors d’une analyse forensic, il est primordial de calculer une empreinte qui identifiera le fichier à l’aide d’une fonction de hachage. Cette empreinte doit être unique, car elle permet de valider que le fichier n’a pas été altéré durant l’investigation. Le calcul de condensat ou le hachage permettra ainsi de garantir l’intégrité des fichiers analysés.
Le calcul de hash s’effectuera directement après l’acquisition des données. Voici les fonctions de hachage les plus utilisées :
MD5 (Message Digest) : hash de 128 bits ;
SHA1 (Secure Hash Algorithm) : hash de 160 bits ;
SHA224 : hash de 224 bits, communément appelé SHA2 ;
SHA256 : hash de 256 bits, communément appelé SHA2 ;
SHA384 : hash de 384 bits ;
SHA512 : hash de 512 bits.
Sous Linux, il est possible d’utiliser les fonctions de hachage simplement :
md5sum memdump.mem 382e0a06865ddcf5aee46aa414fa011b memdump.mem sha256sum memdump.mem e35a660421752b58989ee575566ff42a7c16ed3c9869a69dbce0bc23405d3a7c memdump.mem sha512sum memdump.mem fec5c420fdf5633887e5f2095ed52ea066fded881245d263c13cfc8f2a08990bb62ef62296a6c5c42cfcd1b0e16b33dc9f5d498fa3695260e3800cbd9d132e7e memdump.mem
En résumé
Dans ce chapitre, nous venons d’aborder la phase de collecte qui est une phase primordiale de l’investigation numérique. Nous avons découvert qu’il existait différent formats pour le stockage des données :
le format RAW ;
les formats Forensic (AFF, SMART, EWF).
Enfin, nous avons réalisé des copies du contenu de la mémoire ainsi qu’une copie bit à bit d’un disque dur. Le calcul de condensat ou hash permet d’identifier des fichiers en particulier, et est une composante importante de l’analyse forensic.
Dans les parties suivantes, vous découvrirez comment analyser les données que nous venons de collecter.