L’analyse forensique : enquêtes spéciales [interview]


Share Button
analyse forensique - ORSYS
L’analyse forensique

Dans un contexte où les cyberattaques deviennent la norme, la « résistance » s’organise sous la forme de différentes prestations en sécurité. Parmi celles-ci, encore méconnue en France, s’impose pourtant l’analyse forensique, outil de prédilection de l’enquêteur informatique. Stéphane Reytan*, expert en cybersécurité et formateur ORSYS, a accepté de répondre à nos questions pour nous faire découvrir les réalités d’un métier.

Quelle est la différence entre investigation numérique et analyse forensique ?

L’analyse forensique fait référence à quelque chose de très technique. Tout administrateur est amené à faire de l’analyse forensique. La plupart du temps, cela revient à détecter comment un virus s’est infiltré ou comment des documents sont sortis de la société. (…) Les clients ont besoin de comprendre d’où est venue l’infection pour être capable de la cloisonner, d’améliorer sa sécurité pour éviter que ça se reproduise et, bien sûr, de s’assurer qu’il n’y a pas eu de propagation au reste du système informatique. Et [une attaque] ne va pas nécessairement déclencher un dépôt de plainte.

L’investigation numérique fait quant à elle référence de façon globale aux enquêtes, et surtout aux enquêtes policières. Même si ce sont des sujets qui sont assez connexes, il y a quand même des nuances.

Si le but est également d’améliorer sa sécurité, quelles sont les différences avec le pentest ?

C’est totalement différent. Le pentester se fait passer pour un attaquant pour effectuer un test d’intrusion. Par exemple, le client va lui donner un périmètre très réduit, comme un site Web, et il va simuler une attaque sur ce site. C’est une prestation spectaculaire, qui permet souvent de valider de façon très fiable un niveau de sécurité sur un périmètre très réduit.

Alors que dans le cas de l’analyse forensique, une attaque a réussi et on essaie de comprendre par où est passé l’attaquant, ce qu’il a fait, ce qu’il cherchait, quelles étaient ses motivations, est-ce qu’il est toujours là, et quelles sont les techniques qu’il a utilisées. En résumé, le forensique, c’est un peu Les experts à Miami… C’est la collecte des traces et une tentative de reconstitution d’une attaque. (…)

L’objectif est-il de faire un recours en justice ?

Oui, et non. Dans l’immense majorité des cas, il n’y a pas de suites judiciaires. Si vous avez été victime d’un virus, vers qui allez-vous vous tourner ? On va peut-être déposer une plainte pour des questions d’assurance, mais le forensique va surtout vous aider à comprendre par où c’est arrivé pour éviter que cela se reproduise. (…)

Le forensique est, par définition, une analyse des traces numériques. Même si, parfois, il n’y a pas de traces. Par exemple, encore récemment, chez des clients, des serveurs ont été entièrement infectés… Les serveurs ont été éteints, mais il est maintenant impossible de les redémarrer parce que le disque dur est complètement détruit. C’est donc assez compliqué après de retrouver par où et comment ils se sont fait hacker.

Quelles sont les techniques principales d’un enquêteur pour retrouver ces traces numériques ?

Il y a des procédures de respect de l’intégrité des preuves à suivre. La technique la plus connue, par exemple, consiste à faire des copies du disque dur, ou de la mémoire. Et ensuite, on va travailler sur la copie.

On peut aussi obtenir les logs, c’est-à-dire les journaux d’événements sur certains équipements qui n’ont peut-être pas été touchés, mais qui étaient dans le périmètre de l’attaque. (…) Dans le cas d’un ransomware, souvent, vous avez une demande de rançon à l’écran. En faisant une capture de cette demande de rançon, on peut parfois identifier le ransomware par la suite dans une librairie d’anti-virus et donc d’en déduire le type d’attaque qui se cache derrière, et quelles étaient les motivations.

Et puis il y a toute une partie organisationnelle, ou tout simplement humaine. D’ordinaire, les intrusions sont détectées par les administrateurs ou les utilisateurs, donc on leur demande ce qu’ils ont touché avant de nous appeler.

Comme lors d’une enquête criminelle…

Oui, c’est exactement ça. C’est vraiment comme à la télé où les gens [marchent] sur la scène du crime [et effacent les empreintes] ! Souvent, malheureusement, plusieurs jours ont passé et il y a eu un certain nombre de manipulations. On pense pouvoir s’en sortir tout seul. Et puis on ne se dit pas forcément qu’il y a eu une intrusion. Les gens peuvent se dire qu’il y a un dysfonctionnement et rebooter l’ordinateur… Sauf que certains virus ne restent qu’en mémoire RAM, alors si vous rebootez, le virus disparaît. (…) La détection peut prendre beaucoup de temps.

Le temps moyen est souvent, entre la véritable intrusion et sa détection, de plusieurs centaines de jours. Et c’est sans compter les vols de bande passante, d’espace de stockage… Ou encore du vol de bandeaux publicitaires : les pirates s’introduisent sur des sites et modifient les panneaux publicitaires de façon à récolter l’argent des publicités. Bref, pas mal de motivations.

Et des cas d’espionnage, également ?

Tout à fait. Et qui sont plus difficiles à détecter encore. (…) Dans certains cas, certains SIIV (Systèmes d’Information d’Importance Vitale) qui font partie d’OIV (Organismes d’Importance Vitale) sont surveillés de très près par l’ANSSI. Et quand on constate une intrusion ou un incident de sécurité, il faut contacter et remonter un rapport circonstancié à l’ANSSI.

Cela concerne les systèmes sensibles à l’échelle nationale : énergie, télécoms, transports… Mais il y a également toute la partie RGPD. Si l’on s’est fait dérober des données personnelles (adresses, noms, numéros de téléphone…), en France, on est supposé contacter la CNIL, et également avoir fait une enquête pour essayer de comprendre quand a eu lieu le vol, par quels moyens, et à quelle ampleur… D’où le forensique.

Quelles compétences sont donc requises pour suivre une formation en analyse forensique ?

Dans la partie forensique, plusieurs thèmes peuvent être abordés. On a d’un côté les forensiques assez classiques sur les systèmes, Linux et Windows, pour lesquels il faut donc avoir de bonnes connaissances en administration. Et on a également du forensique mobile/tablette, qui nécessite des compétences Android ou iPhone. Ce sont généralement des spécialités très pointues, qui demandent un certain nombre de compétences mais aussi des connaissances des procédures, des tactiques, des outils, et des procédures de la cybercriminalité.

Pourtant, la prestation de pentest semble plus reconnue que celle d’analyse forensique. Est-ce qu’il y a une raison à cela ?

Le marché est beaucoup moins gros. Mais il a quand même tendance à grossir. Et si on prend l’exemple de l’ANSSI, la plupart des organismes du CAC40 sont soumis à la réglementation de la loi de programmation militaire. Ils doivent soit implémenter en interne ou acheter auprès de prestataires des PDIS (prestations de détection d’incidents) et PRIS, (prestations de réponse à incidents), qui comprennent la partie forensique. On voit bien que c’est encore un projet embryonnaire, puisque moins de sociétés sont spécialisées là-dedans, mais c’est en train de changer…

Nos formations dans ce domaine : Stephane Reytant - ORSYS

*Stéphane REYTAN

Ingénieur diplômé de Télécom Bretagne, expert en Réseau et en Sécurité, il est le fondateur-dirigeant du cabinet de conseil RANDCO, spécialisé en Infrastructures IT. Depuis 1998, il participe à de multiples projets d’envergure pour des organismes financiers et sociétés de toute taille, en les accompagnant sur des mutations technologiques d’avant-garde.

Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *