L’analyse Forensic est une technique d’investigation propre au système informatique. Elle consiste à collecter des informations sur des supports de stockage de données. Il s’agit d’une méthode qui vise à évaluer les ordinateurs, téléphones, serveurs, bases de données, applications et autres supports bureautiques.
L’analyse Forensic s’apparente à une autopsie informatique. Elle vise à chercher des preuves sur des documents confidentiels, des dossiers effacés ou des mots de passe volés. Son rôle est donc très important dans le monde professionnel et dans le secteur judiciaire. En effet, cette pratique permet de valider certaines théories de fraudes. Elle peut confirmer ou nier l’existence d’infractions, de piratages ou de téléchargements de contenus illicites.
Pour ce faire, il faut d’abord effectuer la saisie du matériel à analyser. Cette tâche revient normalement à l’huissier de justice. L’expert en sécurité informatique se contente seulement d’examiner le contenu de l’appareil tout en effectuant une copie de sauvegarde. Il peut utiliser le programme Autopsy ou Encase pour cela.
Le responsable de l’autopsie doit aussi rédiger un rapport d’analyse Forensic détaillé. Celui-ci doit souvent inclure toutes les techniques employées pour la récupération des données dans l’appareil. Le fichier correspondant doit se faire de manière chronologique pour faciliter l’analyse des informations lors d’un procès.
Pourquoi faire une analyse Forensic ?
Le développement de la technologie numérique a rendu tout le monde dépendant des supports informatiques. Pratiquement tous les secteurs d’activités utilisent ces accessoires dans leur travail. Face à cette tendance incroyable, la cybercriminalité a connu une hausse considérable ces derniers temps. Voilà pourquoi il est essentiel de prendre des précautions pour éviter des problèmes.
En effet, les menaces du web sont nombreuses en ce moment. C’est également le cas en ce qui concerne l’utilisation des appareils informatiques. Les conséquences d’une attaque virtuelle peuvent cependant être désastreuses pour une société. Celle-ci peut avoir des problèmes au niveau de son fonctionnement interne. Ses transactions financières peuvent être corrompues. Il en est de même pour son image de marque.
Afin d’y remédier, l’utilisation d’une analyse Forensic s’avère être une solution efficace. Celle-ci peut identifier les fuites de données et les activités inhabituelles d’un employé ou d’un système informatique. Ce dispositif permet aussi de confirmer des suspicions de fraudes, d’espionnage ou de tentative d’intrusion via les réseaux connectés.
En général, l’investigation informatique reste vivement conseillée en cas de concurrence déloyale, de doutes ou de défaillances. Il en est de même pour l’apparition de fichiers illisibles, chiffrés ou susceptibles d’être dangereux. Les programmes comme les boîtes mail, les pare-feu et les logiciels antivirus restent les systèmes à surveiller de près.
Comment faire une analyse Forensic sur un ordinateur soi-même ?
L’analyse Forensic commence par la collecte des informations. Avant de procéder à l’investigation, l’expert informatique copie d’abord l’ensemble des données sur un support externe. Ce n’est qu’après que le responsable effectue l’examen dans les moindres détails. Voici les étapes à suivre pour cela !
L’analyse de la mémoire
Ce travail consiste à vérifier la mémoire du système d’exploitation de l’ordinateur. Un logiciel spécifique est souvent requis pour cela. Il s’agit du framework open source Volatility qui permet d’extraire l’ensemble des informations exploitables sur le système informatique. Cet outil est facilement téléchargeable en ligne et s’utilise pour Windows, Mac et Linux.
La récupération des données
Cette étape consiste à récupérer les renseignements de l’appareil avec ImageInfo, un programme disponible sur Volatility. Ce logiciel analyse en profondeur le dump mémoire, interprète les données présentes et détermine leurs significations. Ce travail dépend toutefois du profil indiqué par l’expert de l’investigation informatique sur l’outil correspondant.
Dans le cadre de l’analyse Forensic d’un ordinateur, la récupération de la liste de processus est indispensable. Cette étape est essentielle pour savoir si un malware se cache à l’intérieur d’un processus légitime ou d’un DLL. De plus, l’énumération de ces fichiers aide à comprendre leurs fonctionnements au sein d’un processus.
Le logiciel Volatility dispose d’un programme adapté dédié à l’extraction de la liste de DLL.
L’analyse du registre
Le registre Windows contient un grand nombre d’informations. Ce système d’exploitation peut cependant aider le responsable d’analyse informatique à trouver ce qu’il cherche. Il peut fournir la liste des programmes exécutés récemment ou les valeurs d’un code malveillant.
A l’aide de Volatility, ce travail est nettement facilité pour la vérification d’un registre Windows. Si un code malveillant est détecté, une analyse réseau devient requise. En effet, les malwares ont souvent besoin d’une porte dérobée pour s’introduire dans un matériel informatique. De plus, leur intrusion dans un système informatique laisse toujours des traces dans la mémoire. Cela peut se trouver dans la connexion d’IP distante ou des données échangées.
Par ailleurs, l’utilisation de Volatility simplifie l’extraction des informations liées à une connexion réseau. Le logiciel Netscan, pour sa part, effectue également la même tâche, mais sur des systèmes d’exploitation récents. C’est également le cas pour certains programmes de l’outil Volatility. Connections, Sockscan et Socket, par exemple, fonctionnement uniquement sur un système d’exploitation antérieur à Windows 7.