Comment préserver les traces / données en cas d'incident ?

ѠOOT

Comment préserver les traces / données en cas d'incident ?

par ѠOOT »

! ATTENTION: LISEZ ATTENTIVEMENT UNE PREMIÈRE FOIS AVANT TOUTE MANIPULATION !

Infractions ? délits informatiques ? malveillances...
Vous avez de sérieux soupçons ? Vous êtes victime ?

Je suis un particulier ou une petite entreprise, je n'ai pas ou peu de moyens, pas de responsable sécurité, ni de personnel qualifié, pas de connaissances en informatique et je ne souhaite pas recourir à un enquêteur spécialisé en vue d'une procédure judiciaire. Comment conserver des traces exploitables en vue, par exemple, d'investigations ultérieures ? Comment réagir ?

Image
1. Ne cédez pas à la panique, ne vous affolez pas.
2. Ne touchez à rien, n'éteignez pas l'unité centrale.
3. Déconnectez des réseaux tous les terminaux suspects.
4. Ne connectez pas de supports de stockage "à chaud".


→ PRÉSERVATIONS DES TRACES via acquisitions logicielles.
En vulgarisant, il va s'agir de FIGER (instantanés) & de CAPTURER (états) dans des IMAGES systèmes.


Mémoire vive : volatile

L'outil le plus simple au monde se nomme DumpIt, écrit et distribué gratuitement par Matthieu Suiche, ce programme très léger permet d'acquérir une bonne partie de la mémoire vive simplement en appuyant sur la touche Y (YES) pour répondre à la question "Voulez vous continuer ?" La mémoire sera alors capturée dans le répertoire où est situé DumpIt et stockée dans un fichier brute (RAW)

Exécutez DumpIt dans C: et appuyez sur "Y" puis patientez jusqu'à obtenir le mot "Success" à l'écran.
Le RAW doit avoir un poids légèrement supérieur à ce qui est indiqué par DumpIt "Address space size:"

Exemple d'une exploration standard de l'antémémoire via Volatility.

[!] Soyez extrêmement vigilants à l'endroit où vous stockerez plus tard ces fichiers. Ne laissez jamais trainer vos acquisitions : ces captures renferment une quantité inimaginable de renseignements, voir de secrets.


Mémoires de masse : non volatiles (ex: disques durs, etc...)

Après avoir vérifié que la mémoire a bien été préservée, la machine est arrêtée. Il est fortement recommandé de procéder à l'acquisition depuis un autre système d'exploitation. Téléchargez une distribution Linux, gravez l'ISO sur un CD/DVD. Au choix, Debian ou Ubuntu ou ses dérivées, Xubuntu,... ce n'est pas le choix qui manque.

Exemple: Acquérir les données d'une clé USB inconnue.

Image

Au préalable, vous devrez configurer la connexion à Internet.
En fonction de vos niveaux respectifs, je vous propose deux méthodes.

Les commandes devront être exécutées en super-utilisateur ( root )
Sous Ubuntu, ajoutez simplement sudo devant ces commandes.


☛ DÉBUTANTS - Interface graphique (GUI ( consomme des ressources ; acquisition plus lente. )

D'abord, resynchroniser l'index.
commande: apt-get update

Puis, installer l'outil adéquate.
commande: apt-get install guymager

Exécutez l'outil.
commande: guymager

Vous obtiendrez alors la liste des médias connectés.
Image

Sélectionner le média, le clique droit affiche un menu contextuel:
→ Infos
→ Cloner
→ Acquérir

Je clique sur "Acquérir image" puis je paramètre.
Image

La "Destination" est l'endroit où vous souhaitez copier vos données.
Assurez-vous qu'il y a suffisamment d'espace de libre pour vos copies.

Patientez... une barre indique la progression.
Image

Le voyant au vert et 100% indique la fin de la copie.
Image


☛ AGUERRIS - absence d'interface, plus rapide et possibilités de paramétrages avancés.

Je liste les types de partitions pour retrouver la clé USB.
commande: fdisk -l

Image

J'apprends que la clé fait 4083 Mo (~4Go) et le SGF est NTFS.

Je prends l'empreinte MD5 de la clé USB.
commande: md5sum /dev/sdg1

Image

J'installe les outils sous licence LGPLv3
commande : apt-get install ewf-tools

Je débute l'acquisition du volume.
commande: ewfacquire /dev/sdg1

Vous aurez ensuite à répondre à plusieurs questions. La première "Image path and filename without extention" concerne la destination, c'est à dire l'endroit où vous souhaitez copier vos données. Si vous avez un disque dur externe, il devrait en principe être automatiquement monté dès que vous allez le brancher. Au cas où vous n'y auriez pas pensé plus tôt, assurez-vous que vous avez de l'espace libre disponible...

Laissez vous guider par le questionnaire.
Un doute à une question ? Laissez par défaut.

Image
... Patientez car ça peut être très long ...
Image

Il est temps de vérifier que les données copiées sont identiques.
Contrôlez que le MD5 est le même qu'avec celui obtenu avec md5sum.

Je peux vérifier ces informations avec la commande ewfinfo.
Image

La clé USB de 4Go est compressée à ~2.5Go dans des fichiers.
Ces formats de fichiers ont été spécialement conçus à cet effet.

La préservation est un socle sur lequel repose toutes analyses et expertises.
J'ai choisi l'exemple d'une petite clé USB parce que c'est ce qu'il y a de + simple.
Malgré tous les efforts pour simplifier, vulgariser, ... ces traitements sont délicats.
Cette discipline est assez complexe, ce savoir-faire est un art : c'est tout un métier.

Lire la suite : Comment lire les traces/données préservées par acquisitions?

Ce n'est pas en situation de crise qu'il faut apprendre à réagir : il faut s'y préparer.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tech, Tips & Tricks »