La preuve d expert en informatique judiciaire : avantages et cas pratiques
Qui suis-je? Daniel Boteanu Maitrise recherche (M.Sc.) - Sécurité informatique École Polytechnique de Montréal Spécialiste en informatique judicaire Anciennement chef de la pratique de tests d intrusion Certifications (informatique judicaire) Computer Hacking Forensics Investigator (CHFI) Certified Forensic Analyst (GIAC GCFA) Encase Certified Examiner (EnCE) Et autres M.ing., CSSLP, MCP, MCTS, GPEN 2
Agenda Informatique judiciaire Introduction et terminologie Exemples concrets d enquêtes informatiques Étapes d une enquête informatique Exemple d artefacts informatiques 3
Informatique judiciaire Identifier la preuve numérique pertinente à un dossier Assurer son intégrité L analyser Appliquer des techniques d analyse spécifiques Appliquer des protocoles d'investigation numériques Respecter les règles de procédure légale Fournir des preuves numériques en support à un dossier civil, pénal ou criminel 4
Informatique judiciaire Autres appellations Juri-informatique Cyber-enquête Enquête informatique Enquête numérique «Computer forensics» «Digital forensics» 5
Exemples concrets d enquêtes informatiques Exemple 1 Falsification de preuve Exemple 2 Altération d un document légal et «anti-forensic» Exemple 3 Courriels diffamatoires Exemple 4 Altération de documents sauvegardés dans l infonuage 6
Exemple 1 - Falsification de preuve Contexte Dossier criminel, cas d agression sexuelle Conversation MSN Messenger Éléments incriminants dans une session de clavardage Preuve disponible: imprimé papier du clavardage 7
Exemple de capture d écran de MSN/Live Messenger 8
Exemple d imprimé d MSN Messenger 9
Exemple 1 - Falsification de preuve Approche Analyse de la procédure de production d un imprimé =» Intégrité non préservée à plusieurs étapes =» Facilité d altération de l imprimé Analyse de l imprimé du clavardage =» Pages avec formatages différents =» Journal de clavardage altéré Présence de l expert pendant procès =» Support au procureur lors de la présentation d éléments techniques =» Témoignage incohérent 10
Exemple 2 - Altération d un document légal et «anti-forensic» Contexte Syndic suspecte document légal altéré Professionnel refuse de fournir document informatique Preuve disponible: imprimé papier du document informatique 11
Exemple 2 - Altération d un document légal et «anti-forensic» Approche Préparation pour copie complète des ordinateurs du bureau =» Professionnel «trouve» le document informatique 12
Exemple 2 - Altération d un document légal et «anti-forensic» 13
Consultation des dates du fichier dans Encase 14
Analyse du fichier avec Encase 15
Analyse des métadonnées avec Encase 16
Analyse de métadonnées avec Word 17
Exemple 2 - Altération d un document légal et «anti-forensic» Approche (suite) Analyse du fichier informatique =» Dates du fichier et du document incohérentes Copie complète des ordinateurs du bureau Analyse des copies des ordinateurs =» Preuve de modification de la date de l ordinateur =» Preuve d utilisation de logiciel de suppression sécuritaire Rétro-ingénierie du logiciel de gestion documentaire =» Copies de sauvegarde de la base de données non altérées =» Identification de la date de l altération 18
Analyse des copies de sauvegarde de la BD 19
Analyse des indexes de la base de données 20
Exemple 3 - Courriels diffamatoires Contexte Ex-employé suspecté d avoir envoyé des courriels diffamatoires Expertise informatique par une firme des États-Unis =» Courriels diffamatoires envoyés à partir de l adresse IP du domicile de l ex-employé 21
Exemple 3 - Courriels diffamatoires Contexte Ex-employé suspecté d avoir envoyé des courriels diffamatoires Expertise informatique par une firme des États-Unis =» Courriels diffamatoires envoyés à partir de l adresse IP du domicile de l ex-employé Approche Analyse de la méthode de l expert américain =» Expertise réalisée à partir des captures d écran de l employeur Copie et analyse de l ordinateur personnel de l employé =» Découverte de logiciel de prise de contrôle à distance =» Journaux de contrôle à distance par le technicien de l employeur 22
Exemple 4 - Altération d un document sauvegardé dans l infonuage Contexte Syndic suspecte que le document fut altéré par le professionnel Logiciel de gestion documentaire dans l infonuage Professionnel collabore et fournit les accès au service de gestion Approche Analyse du logiciel de gestion documentaire =» Seulement la dernière version du document sauvegardé Investigations des systèmes informatiques de l hébergeur =» Journaux et fichiers supprimés après 6 mois Analyse des ordinateurs du bureau =» Récupération des extraits du fichier original 23
Agenda Informatique judiciaire introduction et terminologie Exemples concrets d enquêtes informatiques Étapes d une enquête informatique Exemple d artefacts informatiques 24
Étapes d une enquête informatique 1. Décision de demander une expertise informatique 2. Choix de la firme / de l expert 3. Analyse préliminaire du dossier 4. Enquête informatique 5. Clôture du mandat 25
1. Décision de demander une expertise informatique Exemple de domaines d enquête Enquêtes corporatives Incidents de sécurité Litiges civils et commerciaux Enquêtes en droit du travail Infractions criminelles ou pénales Ordonnances Anton Piller Ordonnances Norwich 26
2. Choix de la firme / de l expert Technicien informatique Ne maintient pas la chaine de possession Altère non-volontairement la preuve originale N assure pas l intégrité de la copie Peut difficilement agir comme témoin-expert devant un tribunal 27
L inexpérience 28
Disque dur suspect: pas de protection contre l écriture 29
Disque dur suspect: connexion USB pas fiable 30
Copie sur clé USB à l aide de Windows: altération potentielle de la destination 31
Copie à l aide de Windows ou logiciel de sauvegarde: absence de code d intégrité 32
2. Choix de la firme / de l expert Cyber-enquêteur Possède la formation et les équipements spécialisés Possède l expérience des «comportements» malveillants Il faut penser comme un délinquant Il faut être au courant des techniques de piratage informatique Agit comme témoin-expert devant les tribunaux Assiste le procureur dans le cadre de procédures judiciaires 33
Aperçu du kit portatif de duplication de disque 34
Appareil de duplication 35
Disque dur suspect (protection contre écriture) 36
Disques durs de destination pour la copie (copie miroir, en deux exemplaires) 37
Adaptateur pour différentes connexions (IDE, SATA, SCSI, USB, Firewire, etc.) 38
Onduleur (protection contre panne électrique) 39
Gants en nitrile 40
Bracelet anti-électrostatique 41
3. Analyse préliminaire du dossier Rencontre préliminaire et description détaillée des événements Identification de l infraction, des faits reprochés, de la preuve disponible et des technologies en cause Discussion sur les objectifs recherchés Évaluation des chances de succès, limites et contraintes Le client décide si une enquête informatique est requise 42
4. L enquête Obtention de la preuve disponible Analyse de la preuve disponible Obtention du mandat de perquisition (si requis) Collecte et acquisition des données Extraction de données et analyse Évaluation globale de l ensemble de la preuve Préparation du rapport d expertise Soumission du rapport préliminaire au client Témoignage 43
46
47
49
5. Clôture du mandat Préservation de la preuve pendant la période d appel Post mortem avec son client Remise ou destruction des preuves obtenues 50
Agenda Informatique judiciaire introduction et terminologie Exemples concrets d enquêtes informatiques Étapes d une enquête informatique Exemple d artefacts informatiques 51
Exemple d artéfacts d ouverture de document Fichier à ouvrir 52
Exemple d artéfacts d ouverture de document Microsoft Word Recent Documents 53
Exemple d artéfacts d ouverture de document Microsoft Windows Recent Items 54
Exemple d artéfacts d ouverture de document Jumplists 55
Exemple d artéfacts d ouverture de document UserAssist 56
Exemple d artéfacts d ouverture de document Historique Internet Explorer 57
Exemple d artéfacts d ouverture de document Prefetch Files 58
Exemple d artéfacts d ouverture de document Mémoire vive et Swap 59
Exemple d artéfacts d ouverture de document Fichier temporaire 60
Exemple d artéfacts d ouverture de document Previous Versions 61
Conclusions Dossiers avec preuves ou actions informatiques => Considérer une expertise informatique Faire affaire avec firme spécialisée le plus tôt possible dans le dossier => Données volatiles => Admissibilité de la preuve => Expérience des faits «malveillants» 62
La preuve d expert en informatique judiciaire: avantages et cas pratiques forensics@okiok.com 63