Disclaimer : Nous n’avons pas effectué d’investigation en direct. Il s’agissait d’une partie de notre travail universitaire, dans lequel nous avons assumé les rôles d’enquêteur judiciaire, en déterminant quelles méthodes étaient applicables. Vous êtes invités à présenter vos propres conclusions et à résoudre le cas. Nous avons tenté de suivre la méthodologie globale, illustrant ce à quoi devrait ressembler un rapport d’enquête médico-légal de base.
Crédits
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Introduction
La technologie informatique est la partie intégrante majeure de la vie humaine quotidienne, et elle se développe rapidement, tout comme les crimes informatiques tels que la fraude financière, l’intrusion non autorisée, le vol d’identité et le vol intellectuel. Pour contrer ces crimes informatiques, l’informatique légale joue un rôle très important. « L’informatique légale consiste à obtenir et à analyser des informations numériques pour les utiliser comme preuves dans des affaires civiles, criminelles ou administratives (Nelson, B., et al, 2008) ».
Une enquête informatique légale étudie généralement les données qui pourraient être prises sur les disques durs des ordinateurs ou tout autre dispositif de stockage en respectant les politiques et procédures standard pour déterminer si ces dispositifs ont été compromis par un accès non autorisé ou non. Les enquêteurs en informatique légale travaillent en équipe pour enquêter sur l’incident et effectuer l’analyse légale en utilisant diverses méthodologies (par exemple, statique et dynamique) et outils (par exemple, ProDiscover ou Encase) pour garantir la sécurité du système de réseau informatique dans une organisation. Pour réussir, un enquêteur judiciaire en informatique doit connaître les diverses lois et réglementations relatives aux délits informatiques dans son pays (par exemple, le Computer Misuse Act 1990, au Royaume-Uni) et les divers systèmes d’exploitation informatiques (par exemple, Windows, Linux) et systèmes d’exploitation de réseau (par exemple, Win NT). Selon Nelson, B., et al. (2008), les enquêtes publiques et les enquêtes privées ou d’entreprise sont les deux catégories distinctes qui entrent dans le cadre des enquêtes sur l’informatique légale. Les enquêtes publiques sont menées par des organismes gouvernementaux, tandis que les enquêtes privées sont menées par des équipes privées d’experts en informatique. Ce rapport sera axé sur les enquêtes privées, puisqu’un incident s’est produit dans une nouvelle PME en démarrage basée à Luton.
Ce rapport comprend également un modèle d’enquête informatique, les collectes de données et leurs types, les acquisitions de preuves, les outils forensiques, les enquêtes malveillantes, les aspects juridiques de l’informatique légale, et enfin ce rapport fournit également les recommandations, contre-mesures et politiques nécessaires pour s’assurer que cette PME sera placée dans un environnement réseau sécurisé.
Étude de cas
Une nouvelle PME (petite et moyenne entreprise) en démarrage basée à Luton avec un modèle de gouvernement électronique a récemment commencé à remarquer des anomalies dans ses enregistrements comptables et de produits. Elle a entrepris une vérification initiale des fichiers journaux du système, et il y a un certain nombre d’entrées et d’adresses IP suspectes avec une grande quantité de données envoyées en dehors du pare-feu de l’entreprise. Ils ont également reçu récemment un certain nombre de plaintes de clients disant qu’il y a souvent un message étrange affiché pendant le traitement de la commande, et qu’ils sont souvent redirigés vers une page de paiement qui ne semble pas légitime.
L’entreprise fait usage d’un progiciel de commerce électronique à usage général (OSCommerce) et dispose d’une petite équipe de six professionnels de l’assistance informatique, mais ils ne pensent pas avoir l’expertise nécessaire pour mener une enquête de malware/forensic à grande échelle.
Comme il y a une concurrence accrue dans le domaine de la haute technologie, l’entreprise est soucieuse de s’assurer que ses systèmes ne sont pas compromis, et elle a employé un enquêteur judiciaire numérique pour déterminer si une activité malveillante a eu lieu, et pour s’assurer qu’il n’y a pas de logiciel malveillant dans ses systèmes.
Votre tâche est d’enquêter sur les soupçons de l’équipe et de suggérer à l’équipe comment elle pourrait être en mesure de désinfecter les machines affectées par un malware, et de s’assurer qu’aucune autre machine dans leurs locaux ou à travers le réseau n’a été infectée. L’équipe souhaite également que vous réalisiez une enquête d’expertise numérique pour voir si vous pouvez retrouver la cause des problèmes et, si nécessaire, préparer un dossier contre les auteurs.
L’entreprise utilise Windows Server NT pour ses serveurs. Les correctifs sont appliqués par l’équipe de support informatique sur une base mensuelle, mais l’équipe a remarqué qu’un certain nombre de machines ne semblent pas avoir été patchées.
Produits livrables
Votre produit livrable dans cette mission est un rapport de 5 000 mots discutant de la façon dont vous aborderiez les éléments suivants :
– Enquête sur les logiciels malveillants
– Enquête médico-légale numérique
Vous devriez discuter d’un aperçu général de la méthodologie que vous utiliserez, et fournir un argument raisonné sur la raison pour laquelle la méthodologie particulière choisie est pertinente.
Vous devriez également discuter du processus que vous utiliserez pour recueillir des preuves et discuter des directives pertinentes qui doivent être suivies lors de la collecte de preuves numériques.
Dans le cadre d’une discussion contenue dans votre rapport, vous devriez également fournir une évaluation critique des outils et des techniques existants qui sont utilisés pour les enquêtes sur les preuves numériques ou les logiciels malveillants et évaluer leur efficacité, en discutant de questions telles que la cohérence des approches adoptées, les compétences nécessaires aux enquêteurs judiciaires et les problèmes liés aux méthodologies existantes (en particulier en ce qui concerne l’absence d’une approche globale commune unique pour effectuer ces enquêtes et les problèmes qui peuvent résulter lorsqu’il est nécessaire d’effectuer une enquête qui traverse les frontières internationales).
Association of Chief Police Officers (ACPO)
Cette enquête médico-légale sera menée selon les directives de l’Association of Chief Police Officers (ACPO) et ses quatre principes également. Il y a quatre principes de l’ACPO impliqués dans les preuves électroniques informatiques. Ces principes doivent être respectés lorsqu’une personne mène une enquête judiciaire sur ordinateur. Le résumé de ces principes est le suivant (ACPO, 2013);
Principe 1 : Les données stockées dans un ordinateur ou sur un support de stockage ne doivent pas être modifiées ou changées, car ces données peuvent être présentées ultérieurement au tribunal.
Principe 2 : Une personne doit être suffisamment compétente pour manipuler les données originales détenues sur un ordinateur ou un support de stockage si cela est nécessaire, et elle doit également être en mesure de fournir des preuves expliquant la pertinence et le déroulement de ses actions.
Principe 3 : Une piste d’audit ou une autre documentation de tous les processus appliqués aux preuves électroniques informatiques doit être créée et préservée. Un tiers indépendant devrait pouvoir examiner ces processus et parvenir au même résultat.
Principe 4 : Une personne chargée de l’enquête doit avoir la responsabilité globale de comptabiliser que la loi et les principes de l’ACPO sont respectés.
Modèle d’enquête informatique
Selon Kruse II, W.G., et Heiser, J.G. (2010), une enquête informatique consiste à identifier les preuves, à préserver ces preuves, à les extraire, à documenter chaque processus et à valider ces preuves et à les analyser pour trouver la cause profonde et par laquelle fournir les recommandations ou les solutions.
« L’informatique légale est un nouveau domaine et il y a moins de normalisation et de cohérence dans les tribunaux et l’industrie » (US-CERT, 2012). Chaque modèle d’informatique légale est axé sur un domaine particulier, comme l’application de la loi ou la découverte de preuves électroniques. Il n’y a pas de modèle d’enquête criminalistique numérique unique qui ait été universellement accepté. Cependant, il a été généralement accepté que le cadre du modèle d’investigation numérique doit être flexible, afin qu’il puisse prendre en charge tout type d’incidents et de nouvelles technologies (Adam, R., 2012).
Kent, K., et.al, (2006) a développé un modèle d’investigation numérique de base appelé le Four Step Forensics Process (FSFP) avec l’idée de Venter (2006) que l’investigation numérique peut être menée même par des personnes non techniques. Ce modèle offre plus de souplesse que tout autre modèle, de sorte qu’une organisation peut adopter le modèle le plus approprié en fonction des situations qui se présentent. Ce sont les raisons pour lesquelles nous avons choisi ce modèle pour cette enquête. Le FSFP contient les quatre processus de base suivants, comme le montre la figure:
Figure 1 : Modèle d’enquête judiciaire FSFP
Source : Kent, K., et.al, (2006)
La flèche « Préserver et documenter les preuves » indique que nous devons préserver et documenter toutes les preuves au cours de l’enquête, car elles peuvent être soumises au tribunal comme preuves dans certains cas. Nous discuterons de chaque processus ou étape du modèle d’enquête FSFP dans les sections suivantes.
Portée de l’enquête
Les portées des enquêtes médico-légales pour cette affaire sont les suivantes :
- Identifier les activités malveillantes en ce qui concerne les 5Ws (Why, When, Where, What, Who).
- Identifier la faille de sécurité dans leur réseau.
- Découvrir l’impact si le système du réseau était compromis.
- Identifier les procédures légales, si nécessaire.
- Présenter les mesures correctives afin de durcir le système.
Défis légaux de l’enquête
Selon Nelson, B., et al., (2008), les défis juridiques avant de commencer notre enquête médico-légale sont les suivants :
-
Déterminer si l’aide des forces de l’ordre est nécessaire, et si c’est le cas alors ils peuvent être disponibles pour une assistance pendant l’enquête, ou sinon nous devons leur soumettre le rapport d’enquête à la fin de l’enquête.
-
Obtenir une autorisation écrite pour mener l’enquête médico-légale, à moins qu’une autre procédure d’autorisation de réponse aux incidents soit présente.
-
Discuter avec les conseillers juridiques pour identifier les problèmes potentiels qui peuvent être soulevés lors du traitement inapproprié des enquêtes.
-
S’assurer que les questions de confidentialité et de vie privée des clients sont prises en compte.
Préparation initiale
Il est évident qu’avant de commencer l’enquête, nous devons avoir une préparation afin de mener l’enquête efficacement. Ceci est considéré comme une mesure proactive de l’enquête (Murray, 2012). Les étapes suivantes doivent être prises dans la phase de préparation:
-
Recueillir toutes les informations disponibles de l’évaluation de l’incident, comme la gravité de l’incident.
-
Identifier l’impact de l’enquête sur l’entreprise de la PME, comme le temps d’arrêt du réseau, la durée de récupération après l’incident, la perte de revenus et la perte d’informations confidentielles.
-
Obtenir des informations sur les réseaux, les dispositifs de réseau tels que routeur, commutateurs, hub, etc, la documentation de la topologie du réseau, les ordinateurs, les serveurs, le pare-feu et le diagramme du réseau.
-
Identifier les dispositifs de stockage externes tels que la clé USB, le lecteur flash, le disque dur externe, le CD, le DVD, les cartes mémoire et l’ordinateur distant.
-
Identifier les outils médico-légaux qui peuvent être utilisés dans cette enquête.
-
Capturer le trafic réseau en direct au cas où les activités suspectes sont toujours en cours avec les outils ‘netmon’.
-
Documenter toutes les activités pendant l’enquête qui peuvent être utilisées au tribunal pour vérifier la ligne de conduite qui a été suivie dans l’enquête.
-
Imager le disque dur des appareils cibles et les hacher avec MD5 pour l’intégrité des données.
Collection
« La phase de collecte est la première phase de ce processus consiste à identifier, étiqueter, enregistrer et acquérir des données à partir des sources possibles de données pertinentes, tout en suivant les directives et les procédures qui préservent l’intégrité des données » (CJCSM 6510.01B, 2012). Il existe deux types de données différentes qui peuvent être collectées dans le cadre d’une enquête sur l’informatique légale. Il s’agit des données volatiles et des données non volatiles (données persistantes). Les données volatiles sont celles qui existent lorsque le système est allumé et qui sont effacées lorsqu’il est éteint, par exemple la mémoire vive (RAM), le registre et les caches. Les données non volatiles sont des données qui existent sur un système lorsqu’il est allumé ou éteint, par exemple les documents sur le disque dur. Comme les données volatiles sont éphémères, un enquêteur informatique doit connaître la meilleure façon de les capturer. Les preuves peuvent être recueillies localement ou à distance.
Données volatiles
La figure suivante montre comment capturer les données volatiles. La station de travail forensique doit être située dans le même réseau local où se trouve la machine cible, dans ce cas le serveur Windows NT. Les outils ‘Cryptcat’ peuvent être utilisés dans la station de travail forensique pour écouter le port du serveur Windows NT. Créez le lecteur optique du trusted toolset dans le serveur Windows NT et ouvrez la console trusted cmd.exe et utilisez la commande suivante:
cryptcat <adresseip> 6543 -k key
Pour capturer les données sur le poste de travail forensique, nous utilisons la commande suivante :
cryptcat -l -p 6543 -k key >> <nom du fichier>
Figure 2 : Configuration de la collecte de données volatiles
Source : Reino, A., (2012)
Le tableau suivant montre les outils de l’interface utilisateur graphique, ainsi que leur utilisation et leur résultat peuvent être utilisés dans l’enquête médico-légale informatique.
Tableau 1 : Outils médico-légaux de données volatiles et leur utilisation et résultat
Source : Reino, A., (2012)
Nous utilisons également divers outils basés sur Windows pour capturer les données volatiles comme suit :
HBGray’s FastDump – Acquisition de la mémoire physique locale.
HBGray’s F-Response – Acquisition de la mémoire physique distante
ipconfig – Collecte des détails du système du sujet.
netusers et qusers – Identification des utilisateurs connectés
doskey/history – Collecte de l’historique des commandes
netfile – Identification des services et des pilotes
Enfin, la collecte du contenu du presse-papiers est également très importante dans une enquête judiciaire informatique. Plus de preuves peuvent être trouvées à partir d’une machine qui est toujours en cours d’exécution, donc si les anomalies sont toujours là dans la PME, alors nous pouvons récupérer beaucoup de preuves importantes à partir des processus en cours d’exécution, la connexion réseau et les données qui sont stockées dans la mémoire. Il y a beaucoup de preuves lorsque la machine est dans l’état volatile, et il faut donc s’assurer que les ordinateurs affectés ne sont pas éteints afin de collecter ces preuves.
Données non volatiles
Une fois que les données volatiles ont été capturées, alors nous allons nous pencher sur les données non volatiles. La première étape de la collecte des données non volatiles consiste à copier le contenu de l’ensemble du système cible. Cette opération est également appelée « imagerie judiciaire ». L’imagerie permet de préserver les données d’origine en tant que preuve sans aucun dysfonctionnement ou modification des données qui se produisent au cours de l’enquête médico-légale. L’imagerie médico-légale sera créée par des outils médico-légaux tels que EnCase, ProDiscover et FTK. Un enquêteur judiciaire utilise un bloqueur d’écriture pour se connecter au système cible et copier l’intégralité du contenu du disque cible sur un autre périphérique de stockage en utilisant l’un de ces outils judiciaires. Le clonage de disque dur n’est rien d’autre qu’une duplication de l’ensemble du système. La différence entre l’imagerie médico-légale et le clonage de disque dur est que l’imagerie médico-légale n’est pas accessible sans outils médico-légaux, alors que le clonage de disque dur est facilement accessible avec un disque de montage. Le clonage de disque dur ne contient qu’une image brute, et chaque bit sera copié, et aucun autre contenu supplémentaire ne sera ajouté. L’imagerie médico-légale contient des métadonnées, c’est-à-dire des hachages et des horodatages, et elle compresse tous les blocs vides. L’imagerie médico-légale sera hachée avec MD5 ou SHA-2 pour assurer l’intégrité des preuves numériques (Nelson, B., et al., 2008).
La collecte de données peut être faite dans une enquête hors ligne et une enquête en ligne. L’imagerie médico-légale peut être faite avec l’enquête hors ligne. Le trafic réseau en direct peut être effectué avec l’enquête en ligne en utilisant les outils ethereal ou Wireshark. Les journaux de pare-feu, les journaux d’antivirus et les journaux de contrôleur de domaine seront collectés pour l’enquête dans le cadre de la collecte de données non volatiles. Nous collecterons également les journaux des serveurs Web, les journaux des événements Windows, les journaux des bases de données, les journaux IDS et les journaux des applications. Une fois que nous aurons collecté toutes les preuves numériques, elles devront être documentées dans la documentation du journal de la chaîne de possession. La documentation du journal de la chaîne de possession sert à maintenir l’intégrité des preuves du début à la fin de l’enquête jusqu’à ce que ce rapport d’enquête soit présenté (Nelson, B., et al., 2008).
Avant d’effectuer d’autres processus, nous devons imager le disque bit par bit, ce qui permettra d’accéder à l’ensemble du volume et de copier le support original, y compris les fichiers supprimés. Après avoir imagé le disque, nous devons tout hacher, ce qui permettra de s’assurer que les données sont authentiques et que leur intégrité sera maintenue tout au long de l’enquête. Les valeurs de hachage doivent être enregistrées à plusieurs endroits et nous devons nous assurer que nous n’apportons aucune modification aux données entre le moment de leur collecte et la fin de l’enquête. La plupart des outils permettent d’y parvenir en accédant au support en lecture seule (SANS, 2010). Les disques durs du système cible, les périphériques de stockage externes et le disque dur du serveur Windows NT doivent être acquis pour l’enquête judiciaire numérique dans ce cas.
Examen
Une fois que nous avons rassemblé toutes les preuves disponibles, nous devons effectuer l’examen à l’aide de divers outils d’enquête judiciaire informatique. Nous examinons également le système de fichiers, le registre Windows, le réseau et l’examen forensique de base de données, comme suit:
Examen du système de fichiers
NTFS est le système de fichiers de nouvelle technologie et le disque NTFS est un fichier. MFT est le Master File Table qui contient des informations sur tous les fichiers et disques, et c’est aussi le premier fichier de NTFS. Les enregistrements du MFT sont également appelés métadonnées. Les métadonnées sont des données sur les données (Nelson, B., et. al., 2008). Les fichiers peuvent être stockés dans le MFT de deux façons : résident et non résident. Un fichier de moins de 512 octets peut être stocké dans le MFT en tant que fichier résident et un fichier de plus de 512 octets peut être stocké en dehors du MFT en tant que fichier non résident. Lorsqu’un fichier est supprimé sous Windows NT, il est renommé par le système d’exploitation et déplacé vers la corbeille avec une identité unique. Le système d’exploitation stocke les informations sur le chemin d’accès et le nom du fichier d’origine dans le fichier info2. Mais si un fichier est supprimé de la corbeille, les clusters associés sont marqués comme disponibles pour de nouvelles données. NTFS est plus efficace que FAT, car il est plus rapide pour récupérer l’espace supprimé. Les disques NTFS sont un flux de données, ce qui signifie qu’ils peuvent être ajoutés à un autre fichier existant. Un fichier de flux de données peut être stocké comme suit:
C:echo text_mess > file1.txt:file2.txt
Ce fichier peut être récupéré par la commande suivante:
C:more < file1.txt:file2.txt
W2K.Stream et Win2K.Team sont des virus qui ont été développés en utilisant un flux de données, et ils ont été développés avec l’intention d’altérer le flux de données original. En tant qu’enquêteur, nous devons connaître en profondeur les systèmes de fichiers Windows FAT et NTFS (Nelson, B., et. al., 2008).
Examen du registre Windows
Selon (Carvey, H., 2005) un registre peut être traité comme un fichier journal parce qu’il contient des données qui peuvent être récupérées par un enquêteur judiciaire les valeurs de la clé associée sont appelées le temps « Lastwrite », qui est stocké comme un FILETIME et considéré comme le dernier temps de modification d’un fichier. Avec les fichiers, il est souvent difficile d’obtenir une date et une heure précises de modification du fichier, mais le Lastwrite indique quand le registre a été modifié pour la dernière fois. Fantastic passera en revue certaines étapes (Carvey, H., 2005) qui sont énumérées ci-dessous pour analyser le registre de windows de l’organisation pour s’assurer que le problème à l’intérieur et à l’extérieur de l’organisation sont connus et en cours de résolution pour protéger et maintenir la réputation de l’entreprise.
Le registre de windows est un ordre de bases de données dans un ordinateur utilisé par Microsoft dans Windows 98, Windows CE, Windows NT et Windows 2000 pour stocker un utilisateur ou une application utilisateur et la configuration des périphériques matériels, qui est utilisé comme point de référence pendant l’exécution d’un programme ou des processus (Windows, 2013). La structure commune du registre de Windows est divisée en « Ruches » qui sont:
-
HKEY_CLASSES_ROOT : assure que les programmes requis sont exécutés.
-
HKEY_CURRENT_USER : contient des informations générales d’un utilisateur qui est actuellement connecté au système.
-
HKEY_LOCAL_MACHINE : contient des informations sur le matériel, les lecteurs, etc. d’un système.
-
HKEY_USERS : contient toutes les informations des utilisateurs sur un système particulier.
-
HKEY_CURRENT_CONFIG : stocke les informations sur la configuration actuelle du système.
Le registre de Windows se compose d’informations volatiles et non volatiles. Cela signifie qu’un enquêteur doit au moins être familier avec chaque signification et fonctionnalité des ruches, des clés, des données et des valeurs d’un registre Window avant d’entreprendre toute investigation forensique d’un ordinateur pour obtenir un rapport d’investigation forensique réussi.
L’emplacement de démarrage automatique : est un emplacement dans le registre où les applications sont configurées pour être lancées sans l’initiation d’un utilisateur. Avec cette fonctionnalité, un logiciel malveillant qui affecte Luton SME peut s’exécuter de manière persistante lorsque la machine est allumée sans interaction directe avec l’utilisateur parce qu’il a déjà été programmé pour se lancer automatiquement ou lorsqu’un utilisateur exécute certaines commandes ou processus spécifiques.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option est un registre Windows dans lequel un attaquant peut utiliser la clé pour rediriger la copie originale d’une application vers sa copie troyenne (Carvey, H., 2005). Luton SME pourrait subir cette attaque : une redirection de la page de paiement du client vers une page illégitime.
Un enquêteur judiciaire peut examiner l’emplacement du démarrage automatique pour déterminer si le problème de Luton SME résulte d’une action effectuée par un utilisateur, un malware ou par un attaquant sur l’organisation. Selon (Carvey, H., 2005) le moyen fiable d’accéder à l’autolocalisation est d’utiliser les outils AutoRuns de SysInternals.com qui peuvent fournir la liste des emplacements de démarrage automatique.
Activité de l’utilisateur : l’action et les activités d’un utilisateur peuvent être examinées dans la ruche HKEY_CUREENT_USER qui est créée à partir de la ruche HKEY_USERSID. Les informations sur les utilisateurs sont mappées sur HKEY_CURRENT_USER. Le fichier NTUSER.DAT contient des informations sur les paramètres de spécification du registre d’un utilisateur. L’examen de cette ruche donnera à un enquêteur judiciaire un bon indice des activités et des actions entreprises par un utilisateur.
Liste des plus récentes utilisations (MRU) : MRU détient les actions spécifiques récentes prises par un utilisateur et garde la trace des activités pour une référence future. Par exemple, HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU maintient une liste exécutée des commandes exécutées par un utilisateur. Chaque commande exécutée dans la boîte d’exécution ajoutera une entrée de valeur de clé à la ruche, comme indiqué ci-dessous :
Figure3 : Contenu de la clé ExplorerRunMRU.
Source : Carvey, H., (2005)
Un enquêteur judiciaire peut étudier cette ruche pour sourcer l’heure de dernière écriture de chaque commande de la liste MRU comme indiqué ci-dessus. Grâce à cela, l’enquêteur de la PME Luton pourra analyser à partir du registre s’il s’agit d’une activité de l’utilisateur, d’une action d’un logiciel malveillant ou d’une attaque qui affecte l’organisation.
UserAssist : selon (Carvey, H., 2005) UserAssist qui se trouve sous les ruches HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist se compose de deux clés qui ressemblent communément à des identifiants uniques globaux qui conservent des enregistrements chiffrés de chaque objet, application, etc. auxquels un utilisateur a accédé sur le système. Si un enquêteur a accédé à l’enregistrement crypté, qui n’est plus définitif, cela pourrait indiquer une action de l’utilisateur pour déclencher le Malware par le biais d’une application ou toute autre activité qu’il aurait pu faire.
Stockage amovible USB : selon Farmer, College et Vermont (2008), tous les périphériques connectés au système sont conservés dans un registre d’ordinateur sous la clé suivante HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. La figure ci-dessous montre un exemple d’identifiants de lecteur d’une clé USB :
Figure4 : Exemple de contenu d’une clé USBSTOR, montrant les identifiants d’instance de périphérique.
Source : Carvey, H., (2005)
En utilisant les ruches du lecteur monté, un enquêteur aura un indice lorsqu’il analysera le contenu des ID de périphérique maintenu dans le registre pour savoir quel périphérique était monté sur l’organisation de la PME de Luton. Avec un examen persistant de chaque clé de valeur, un enquêteur peut identifier les périphériques de stockage USB amovibles et les mettre en correspondance avec le parentidprefix.
Les SSID sans fil : Selon (Carvey, H., 2005) les SSID des réseaux sans fil utilisés sur un ordinateur se trouvent sous HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface. Lorsque l’on navigue vers les valeurs clés, elles contiennent des sous-clés qui ressemblent à des identificateurs uniques mondiaux. Lorsqu’elles sont ouvertes, un enquêteur peut naviguer vers les ActiveSettings qui révèlent chaque SSID sans fil sous la forme d’un type de données binaires. Lorsque l’on clique avec le bouton droit de la souris pour le modifier, il révèle les SSID en clair. Bien que l’adresse IP et d’autres informations sur le réseau puissent être trouvées sous HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID, un enquêteur peut utiliser ces informations pour lier un utilisateur de l’organisation Luton SME à une période particulière si l’adresse IP de la personne semble être découverte sous le registre Window ci-dessus.
Le registre de Windows peut également être une source de preuve essentielle dans une enquête médico-légale si l’enquêteur sait où obtenir les données disponibles qui peuvent être bien présentables à l’organisation Luton SME. Fantastic a essayé d’analyser certains des registres de base de Windows qui pourraient avoir causé la redirection de sa page Web, a suivi l’activité de l’utilisateur et tous les programmes nécessaires qu’un utilisateur avait exécutés, les dispositifs utilisés sur le serveur ou tout ordinateur de l’organisation, et a également révélé l’adresse IP des utilisateurs.
Examen médico-légal du réseau
L’acquisition, la collecte et l’analyse des événements qui ont lieu dans le réseau est appelée médico-légal du réseau. Parfois, elle est également connue sous le nom de packet forensics ou packet mining. L’objectif de base de la criminalistique de réseau est le même, qui est de collecter des informations sur les paquets dans le trafic du réseau tels que les mails, les requêtes, la navigation du contenu web, etc. et de garder ces informations à une source et d’effectuer une inspection ultérieure (WildPackets, 2010).
La criminalistique de réseau peut être appliquée de deux façons principales. La première est liée à la sécurité, lorsqu’un réseau est surveillé pour détecter tout trafic suspect et tout type d’intrusion. Il est possible pour l’attaquant de supprimer tous les fichiers journaux d’un hôte infecté, donc dans cette situation, les preuves basées sur le réseau entrent en jeu dans l’analyse médico-légale. La deuxième application de la criminalistique de réseau est liée à l’application de la loi, où le trafic réseau qui a été capturé pourrait être travaillé pour recueillir les fichiers qui ont été transférés à travers le réseau, la recherche de mots clés et l’analyse de la communication humaine qui a été faite par le biais de courriels ou d’autres sessions similaires. (Hunt, 2012)
Outils et techniques de la criminalistique de réseau
Nous pouvons effectuer n’importe quelle opération avec un DVD/CD-ROM amorçable de qualité criminalistique, une clé USB ou même une disquette. Tout d’abord, nous devons vider la mémoire, et il est préférable de le faire avec une clé USB de taille suffisante. Nous devons également procéder à une évaluation des risques lorsque nous sommes sur le point de collecter des données volatiles afin de déterminer s’il est sûr et pertinent de collecter de telles données en direct, qui peuvent être très utiles lors d’une enquête. Nous devrions utiliser des boîtes à outils médico-légales tout au long du processus, car cela nous aidera à répondre aux exigences d’une enquête médico-légale. Ces outils doivent être fiables et peuvent être acquis parmi les outils distribués gratuitement ou les outils commerciaux. (7safe, 2013)
Certaines informations très importantes et discrètes doivent être collectées à partir d’une machine en fonctionnement, avec l’aide d’outils de confiance tels que :
-
Listes de processus.
-
Listes de services.
-
Informations système.
-
Utilisateurs connectés et enregistrés.
-
Connexions au réseau.
-
Informations sur le registre.
-
Dépôt binaire de la mémoire.
Il existe de nombreux types d’outils d’analyse légale du réseau, chacun ayant des fonctions différentes. Certains ne sont que des renifleurs de paquets et d’autres traitent de l’identification, des empreintes digitales, de la localisation, de la cartographie, des communications par courrier électronique, des services Web, etc. Le tableau ci-dessous répertorie certains des outils open-source qui peuvent être utilisés pour l’investigation du réseau et leurs fonctionnalités. (Hunt, 2012)
Outil | Plateforme | Site Web | Attributs |
TCPDumpWindump | Unix & Windows | www.tcpdump.org | F |
NetStumbler | Windows | www.netstumbler.com | F |
Wireshark | Unix & Windows | www.wireshark.org | F |
Sleuth Kit | Unix | www.sleuthkit.org | F R C |
Argus | Unix | www.qosient.com/argus | F L |
SNORT | Windows /Unix | www.snort.org | F |
F : Filtre & collecter ; L : Analyse du journal ; R : Réassemblage du flux de données ; C : Corrélation des données ; A : Vue de la couche d’application
Tableau 2 : Outils de criminalistique réseau
Source : (Hunt, 2012)
Examen médico-légal de base de données
Une base de données est une collection de données ou d’informations qui est représentée sous la forme de fichiers ou d’une collection de fichiers. L’extraction des données de la base de données peut se faire à l’aide d’un ensemble de requêtes. La criminalistique des bases de données peut être définie comme l’application des techniques d’investigation et d’analyse informatiques pour rassembler les preuves de la base de données et les présenter devant un tribunal. Une enquête médico-légale doit être faite sur les bases de données, parce qu’une base de données a des données sensibles où il y a une forte chance d’une violation de la sécurité par les intrus pour obtenir ces informations personnelles.
Dans l’étude de cas, il est mentionné qu’une grande quantité de données est envoyée hors de la base de données, donc maintenant la tâche de l’équipe Fantastic est d’effectuer une enquête médico-légale sur la base de données avec l’aide d’outils médico-légaux. La criminalistique des bases de données se concentre sur l’identification, la préservation et l’analyse des données. Selon Khanuja, H.K., et Adane, D.S., (2011), pour accéder à la base de données, les utilisateurs doivent obtenir des permissions comme l’autorisation et l’authentification des serveurs de base de données. Une fois l’autorisation obtenue, seul l’utilisateur peut accéder aux données et, s’il le souhaite, il peut les modifier. Maintenant, si nous vérifions les journaux d’audit de la base de données, nous pouvons obtenir une liste des utilisateurs qui ont obtenu des autorisations pour accéder aux données. L’équipe doit rechercher dans la base de données les adresses IP qui sont connectées à distance, car il y a des chances de modifier les données par l’utilisateur autorisé ou l’utilisateur non autorisé.
Selon Dave, P., (2013), avec l’aide de l’enquête, nous pouvons retracer les opérations du DDL (Data Definition Language), qui sont utilisées pour définir la structure de la base de données, et du DML (Data Manipulation Language), qui sont utilisées pour gérer les données dans la base de données et peuvent identifier s’il y a des transactions pré et post qui se sont produites dans la base de données. Cette enquête peut également nous aider à savoir s’il y a des lignes de données qui sont supprimées par l’utilisateur intentionnellement, et est capable de les récupérer, et il nous aide également à prouver ou à réfuter qu’une violation de la sécurité des données a eu lieu dans la base de données, et il nous aide à déterminer la portée de l’intrusion de la base de données. L’outil Windows forensic v1.0.03 est utilisé avec un fichier de configuration personnalisé qui exécutera les commandes DMV (Distributed Management Views) et DBCC (Database Consistency Checker) pour recueillir les données qui sont suffisantes pour prouver ou désapprouver l’intrusion comme indiqué précédemment (Fowler, K., 2007).
Analyse
Dans un premier temps, nous devons analyser les preuves que nous avons recueillies et examinées. Nous allons regarder dans les données pour voir si des fichiers cachés ou des fichiers inhabituels sont présentés ou non. Ensuite, s’il y a un processus inhabituel en cours d’exécution et s’il y a des sockets ouverts de manière inhabituelle. Nous regarderons également si des requêtes d’application se sont produites de manière inhabituelle. Puis nous vérifierons le compte, si un compte inhabituel est présenté ou non. Nous trouverons également le système de niveau de patching, s’il a été mis à jour ou non. Les résultats de ces analyses nous permettront de savoir si des activités malveillantes sont présentes ou non. Ensuite, nous développerons une autre stratégie pour l’enquête médico-légale, comme l’analyse complète de la mémoire, l’analyse complète des systèmes de fichiers, la corrélation des événements et l’analyse de la chronologie (Nelson, B., et. al., 2008). D’après cette étude de cas, des activités malveillantes sont présentes dans leur système de réseau, ce qui est également confirmé par notre analyse initiale. Afin de trouver les capacités du code malveillant et son objectif, nous devons procéder à l’analyse de l’exécutable du malware. L’analyse de l’exécutable du logiciel malveillant peut être divisée en analyse statique et analyse comportementale.
Analyse du logiciel malveillant
Selon le rapport de Verizon « 2012 Data Breach Investigations Report », 99% des vulnérabilités ont conduit à la compromission des données pendant quelques jours ou moins, tandis que 85% ont pris plusieurs semaines pour enquêter. Il s’agit d’un sérieux défi pour les départements de sécurité, car les attaquants ont beaucoup de temps pour travailler dans un environnement compromis. Plus de « temps libre » conduit à davantage de données volées et à des dommages plus importants. Cela est principalement dû au fait que les mesures de sécurité actuelles ne sont pas prévues pour faire face à des menaces plus complexes (2012 Data Breach Investigations Report, Verizon, 2012).
Le point lors d’une enquête sur la scène de crime d’un logiciel malveillant : certaines parties d’un PC Windows sont bien parties pour détenir des données identifiant l’installation et l’utilisation du logiciel malveillant. Les examens légaux des cadres échangés comprenaient un audit des valeurs de hachage des enregistrements, des confusions de signature, des fichiers emballés, des journaux de collision, des points de restauration du système et du fichier de page. Une enquête générale sur les systèmes de fichiers et les journaux d’événements peut permettre de distinguer les exercices effectués au moment où le logiciel malveillant a été activé sur le système. Les spécialistes avancés peuvent également examiner le Registre à la recherche d’entrées inhabituelles, par exemple dans les zones de démarrage automatique, et d’ajustements au moment de l’installation du malware. Des recherches par mots-clés peuvent être effectuées pour découvrir les références aux logiciels malveillants et les associations avec d’autres hôtes négociés. Les vecteurs d’attaque normaux sont reconnus, incorporant les pièces jointes des courriels, l’historique de navigation sur le Web et les connexions non autorisées.
Selon Syngress « Malware Forensics – Investigating and Analyzing Malicious Code, 2003 » il faut faire une enquête basée sur les éléments suivants :
-
Recherche de logiciels malveillants connus
-
Examen des programmes installés
-
Examen du préchargement
-
Inspection des exécutables
-
Examen du démarrage automatique.automatique
-
Examiner les travaux planifiés
-
Examiner les journaux
-
Examiner les comptes utilisateurs
-
Examiner le système de fichiers
-
Examiner le registre
-
Restaurer les points
-
Recherche de mots-clés
.
Avant de commencer l’analyse du malware, nous devons créer l’environnement d’analyse du malware tel que VMware et Norton Ghost. VMware est un environnement d’analyse de logiciels malveillants basé sur la virtualité et Norton Ghost est un environnement d’analyse de logiciels malveillants dédié.
Analyse statique
L’analyse statique est le type d’analyse de logiciels malveillants qui est utilisé pour effectuer l’analyse sans exécuter la programmation du logiciel malveillant. L’analyse statique est meilleure que l’analyse dynamique en termes d’analyse sûre. Comme le programme malveillant n’est pas en cours d’exécution, il n’y a aucune crainte de supprimer ou de modifier les fichiers. Il est toujours préférable d’effectuer l’analyse statique des logiciels malveillants dans un système d’exploitation différent, où le logiciel malveillant n’est pas conçu pour s’exécuter ou avoir un impact. En effet, un enquêteur peut accidentellement double-cliquer sur le programme malveillant pour l’exécuter, et il affectera le système. Il y a tellement de façons de faire l’analyse statique comme le File Fingerprinting, le Virus Scanning, la détection de Packer, les Strings, Inside the FE File Format et le Disassembly (Kendall, K., 2007).
Analyse dynamique
L’analyse dynamique est le type d’analyse de malware où le code du malware s’exécute et observe son comportement. Elle est également appelée analyse comportementale des logiciels malveillants. L’analyse dynamique n’est pas sûre à mener à moins que nous soyons prêts à sacrifier l’environnement d’analyse du malware. Nous pouvons analyser le malware en surveillant simplement le comportement des fonctions du malware. Il existe de nombreux outils pour mener l’analyse dynamique des malwares, mais Process Monitor de SysInternals et Wireshark sont les outils les plus utilisés et les plus gratuits (Kendall, K., 2007).
Selon Kendall, K., (2007), dans presque tous les cas de logiciels malveillants, une simple analyse statique et dynamique des logiciels malveillants trouvera toutes les réponses qui seront requises par les enquêteurs sur le code particulier du logiciel malveillant.
Findings
Après notre enquête, nous résumons nos conclusions comme suit :
-
Identifié l’accès à distance persistant de l’attaquant aux ordinateurs de l’entreprise.
-
L’analyse forensique a identifié que les systèmes avaient été compromis.
-
Les correctifs du système d’exploitation n’étaient pas installés dans certains systèmes.
-
Un logiciel malveillant suspecté a été trouvé dans le système compromis.
-
Identification de ce logiciel malveillant et de sa fonctionnalité & objectif du logiciel malveillant nous a amené à conclure qu’il s’agit d’un logiciel malveillant de ‘spamming’.
-
Déterminé que les attaquants avaient accès aux systèmes du client en utilisant le malware en fournissant dans le lien de site web approprié pour la passerelle de paiement.
Actions correctives
On a considéré ci-dessus les moyens les plus courants de logiciels malveillants dans le réseau. De ce qui précède, il est possible de faire deux conclusions importantes:
-
La plupart des méthodes décrites sont d’une manière ou d’une autre liées au facteur humain, par conséquent, la formation des employés et la formation périodique sur la sécurité amélioreront la sécurité du réseau;
-
Les cas fréquents de piratage de sites légitimes conduisent au fait que même un utilisateur compétent peut infecter son ordinateur. Par conséquent, on vient au premier plan des mesures classiques de protection : les logiciels antivirus, l’installation opportune des dernières mises à jour, et la surveillance du trafic Internet.
Selon Shiner, D.L.D., et Cross, M., (2002), il existe des contre-mesures majeures pour se protéger contre les logiciels malveillants :
-
Authentification et protection par mot de passe
-
Antivirus
-
Pare-feu (matériel ou logiciel)
-
DMZ (zone démilitarisée)
-
IDS (système de détection d’intrusion)
-
Filtres de paquets
-
Routeurs et commutateurs
-
Serveurs proxy
-
VPN (réseaux privés virtuels)
-
Logging et audit
-
Temps de contrôle d’accès
-
Les logiciels/matériels propriétaires ne sont pas disponibles dans le domaine public
.
. audit
Dans notre cas, les plus utiles sont les suivants :
-
Firewall
-
Logging et Audit
Firewall vérifie toutes les pages Web entrant sur l’ordinateur de l’utilisateur. Chaque page Web est interceptée et analysée par le pare-feu à la recherche de code malveillant. Si une page Web à laquelle l’utilisateur accède contient un code malveillant, son accès est bloqué. Dans le même temps, il affiche une notification indiquant que la page demandée est infectée. Si la page Web ne contient pas de code malveillant, elle devient immédiatement disponible pour l’utilisateur.
Par journalisation, nous entendons la collecte et le stockage d’informations sur les événements qui se produisent dans le système d’information. Par exemple, qui et quand a essayé de se connecter au système et comment cette tentative s’est terminée, qui et quelles ressources d’information ont été utilisées, quoi et qui a modifié les ressources d’information, et bien d’autres.
L’audit est une analyse des données accumulées, menée rapidement, presque en temps réel (Shiner, D.L.D., et Cross, M., 2002). La mise en œuvre de la journalisation et de l’audit a les principaux objectifs suivants :
-
Responsabilité des utilisateurs et des administrateurs ;
-
Fournir des possibilités de reconstruction des événements ;
-
Tentatives de détection des violations de la sécurité de l’information ;
-
Fournir des informations pour identifier et analyser les problèmes.
Politiques de sécurité
Les critères les plus complets pour évaluer les mécanismes de sécurité au niveau organisationnel sont présentés dans la norme internationale ISO 17799 : Code de pratique pour la gestion de la sécurité de l’information, adoptée en 2000. L’ISO 17799 est la version internationale de la norme britannique BS 7799. La norme ISO 17799 contient des règles pratiques pour la gestion de la sécurité de l’information et peut être utilisée comme critère pour évaluer les mécanismes de sécurité au niveau organisationnel, y compris les mesures de sécurité administratives, procédurales et physiques (ISO/IEC 17799:2005).
Les règles pratiques sont divisées dans les sections suivantes :
-
politique de sécurité;
-
organisation de la sécurité de l’information;
-
gestion des actifs;
-
sécurité des ressources humaines;
-
sécurité physique et environnementale;
-
gestion des communications et des opérations ;
-
contrôle des accès;
-
acquisition, développement et maintenance des systèmes d’information;
-
gestion des incidents de sécurité de l’information;
-
gestion de la continuité des activités;
-
conformité.
Ces sections décrivent les mécanismes de sécurité au niveau organisationnel actuellement mis en œuvre dans les organisations gouvernementales et commerciales du monde entier (ISO1799, 2005).
Plusieurs questions se posent après avoir considéré le besoin ci-dessus d’une certaine combinaison d’exigences commerciales pour l’Internet. Quels logiciels et matériels et quelles mesures organisationnelles doivent être mis en œuvre pour répondre aux besoins de l’organisation ? Quel est le risque ? Quelles doivent être les normes éthiques pour que l’organisation puisse mener à bien ses tâches à l’aide d’Internet ? Qui doit en être responsable ? La base des réponses à ces questions est une politique de sécurité conceptuelle pour l’organisation (Swanson, M., 2001).
La section suivante contient des fragments de politiques de sécurité hypothétiques de travail sûr dans l’Internet. Ces fragments ont été conçus sur la base de l’analyse des principaux types d’équipements de sécurité.
Les politiques de sécurité peuvent être divisées en deux catégories : la politique technique mise en œuvre à l’aide de matériel et de logiciels, et la politique administrative, réalisée par les personnes qui utilisent le système et celles qui le font fonctionner (Swanson, M., 2001).
Politique de sécurité commune pour une organisation :
-
Tout système d’information doit avoir une politique de sécurité
-
La politique de sécurité doit être approuvée par la direction de l’organisation
-
La politique de sécurité doit atteindre tous les employés sous une forme simple et compréhensible
-
La politique de sécurité doit inclure :
-
la définition de la sécurité de l’information, ses principaux objectifs et sa portée ainsi que son importance en tant que mécanisme, qui permet d’utiliser collectivement l’information
-
la position de leadership sur les objectifs et les principes de la sécurité de l’information
-
identifier les responsabilités générales et spécifiques pour assurer la sécurité de l’information
-
liens vers des documents liés aux politiques de sécurité, tels que des directives de sécurité détaillées ou des règles pour les utilisateurs
-
La politique de sécurité doit satisfaire à certaines exigences :
-
correspondre à la législation nationale et internationale
-
contenir des dispositions pour la formation du personnel sur les questions de sécurité
-
inclure des instructions de détection et de prévention des logiciels malveillants
-
définir les conséquences des violations de la politique de sécurité. politique de sécurité
-
considérer les exigences de continuité des activités
-
Il doit être défini une personne qui est responsable de la procédure de révision et de mise à jour des dispositions de la politique de sécurité
-
La révision de la politique de sécurité doit être effectuée à la suite des cas suivants :
-
changements dans l’infrastructure organisationnelle de l’organisation
-
changements dans l’infrastructure technique de l’organisation
-
Les caractéristiques suivantes sont soumises à une révision régulière de la politique de sécurité :
-
le coût et l’impact des contre-mesures sur la performance de l’organisation(ISO/IEC 17799:2005)
Rapports
Un rapport médico-légal met en évidence les preuves dans le tribunal et il aide également à rassembler plus de preuves et peut être utilisé dans les audiences du tribunal. Le rapport doit contenir la portée de l’enquête. Un enquêteur informatique doit connaître les différents types de rapports d’enquête informatique, tels que le rapport formel, le rapport écrit, le rapport verbal et le plan d’examen. Un rapport formel contient les faits tirés des conclusions de l’enquête. Un rapport écrit s’apparente à une déclaration ou à un affidavit qui peut être présenté sous serment, de sorte qu’il doit être clair, précis et détaillé. Un rapport verbal est moins structuré et constitue un rapport préliminaire qui aborde les domaines d’investigation non encore couverts. Un plan d’examen est un document structuré qui aide l’enquêteur à comprendre les questions auxquelles il doit s’attendre lorsqu’il justifie les preuves. Un plan d’examen aide également l’avocat à comprendre les termes et les fonctions utilisés dans l’enquête informatique légale (Nelson, B., et al., 2008). En général, un rapport d’investigation informatique contient les fonctions suivantes :
-
Objet du rapport
-
Auteur du rapport
-
Résumé de l’incident
-
Preuves
-
Analyse
-
Conclusions
-
Documents justificatifs
.
Il existe de nombreux outils d’investigation judiciaire pour générer le rapport d’investigation judiciaire tels que ProDiscover, FTK et EnCase (Nelson, B., et al., 2008).
Conclusions
Ce rapport contient la façon de mener l’enquête médico-légale informatique et l’enquête sur les logiciels malveillants dans diverses méthodes et en utilisant divers outils. Ce rapport contient également les quatre procédures principales de l’ACPO et la politique de sécurité IS017799 qui doivent être mises en œuvre dans chaque organisation pour améliorer l’architecture du réseau de sécurité. Il analyse également le modèle d’enquête médico-légale en quatre étapes et explique pourquoi nous avons choisi ce modèle pour mener l’enquête médico-légale pour ce cas. Il présente également les étapes importantes de préparation avant de commencer l’enquête. Ensuite, ce rapport comporte une partie analyse dans laquelle nous avons analysé les données que nous avons recueillies par différentes méthodes pour obtenir des résultats. Ce rapport a également les recommandations pour éviter la violation de la sécurité à l’avenir.
L’enquête criminalistique numérique est un processus difficile, car chaque incident diffère des autres incidents. Un enquêteur judiciaire informatique doit être suffisamment compétent sur le plan technique et juridique pour mener l’enquête. Puisque les preuves qui sont fournies par un enquêteur informatique peuvent être une partie importante l’affaire, le rapport d’enquête doit être précis et en détail.
-
7safe, (2013) « Good Practice Guide for Computer-Based Electronic Evidence », Disponible à : http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Consulté le 12 janvier 2014.
-
ACPO (2013), « Good Practice Guide for Computer-Based Electronic Evidence », V4.0
-
Adams, R., (2012), « Evidence and Digital Forensics », Australian Security Magazine, Disponible à http://www.australiansecuritymagazine.com.au/, Consulté le 31 décembre 2013.
-
Aquilina, M.J., (2003), « Malware Forensics, Investigating and Analyzing Malicious Code », Syngress,
-
Carvey, H., (2005), « Windows Forensics and Incident Recovery », Boston : Pearson Education Inc.
-
Case studies, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, « Cyber Incident Handling Program », Chairman of the Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013), « SQL – Une carrière dans la criminalistique des bases de données ! », Disponible sur http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, consulté le 2 janvier 2014.
-
Fowler, K., (2007), « Forensic Analysis of a SQL Server 2005 Database Server », Disponible sur https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, consulté le 2 janvier 2014.
-
Han, D.R., (2012), « La cybersécurité des PME et les trois petits cochons », Journal de l’ISACA, Vol 6, disponible sur www.isaca.org/journal, consulté le 05 janvier 2014
-
Hunt, R., (2012), « New Developments In Network Forensics – Tools and Techniques », Nouvelle-Zélande, IEEE, pp. 377 – 381.
-
ISO/IEC 17799:2005, (2005), « Technologies de l’information – Techniques de sécurité – Code de pratique pour la gestion de la sécurité de l’information », disponible sur http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, consulté le 10 janvier 2014.
-
ISO1799, (2005), « Portail d’information et de ressources ISO 17799 », Disponible à http://17799.denialinfo.com/ , Consulté le 10 janvier 2014.
-
Kendall, K,(2007), « Practical Malware Analysis », Mandiant Intelligent Information Security, Disponible à http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Consulté le 10 janvier 2014.
-
Kent, K, et Grance, T., (2006), « Guide to Integrating Forensic Techniques into Incident Response », Disponible à l’adresse : http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Consulté le 13 janvier 2014.
-
Kent, K., et.al., (2006). « Guide pour l’intégration des techniques médico-légales dans la réponse aux incidents », Institut national des normes et de la technologie (Ed.) (Vol. 800-86) : Département du commerce des États-Unis.
-
Khanuja, H.K., et Adane, D.S., (2011), « Database Security Threats and Challenges in Database Forensic : A Survey », IPCSIT vol.20 (2011), Singapour : IACSIT Press.
-
Kruse II, W.G., et Heiser, J.G. (2010), « Computer Forensics : Incident Response Essentials », 14e éd., Indianapolis : Pearson Education
-
Microsoft, (2013), « Informations sur le registre Windows pour les utilisateurs avancés » Disponible sur https://support.microsoft.com/kb/256986, Consulté le 10 janvier 2014
-
Nelson, B., et. al., (2008), « Guide to Computer Forensics and Investigations », 3rd edn, Massachusetts : Course Technology.
-
Nolan, Richard, et. al. Guide médico-légal de la réponse aux incidents pour le personnel technique. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), « Forensics of a Windows System », Roche.
-
SANS, (2010), « Integrating Forensic Investigation Methodology into eDiscovery », Disponible à : https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Consulté le 13 janvier 2014.
-
Shiner, D.L.D., et Cross, M., (2002), » Scene of the Cybercrime « , 2nd edn, Syncress : Burlington.
-
Swanson, M., (2001), » NIST Security Self-Assessment Guide for Information Technology Systems » Disponible sur http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, consulté le 9 janvier 2014.
-
US-CERT, (2012), » Computer Forensics « , Disponible sur http://www.us-cert.gov/reading-room/forensics.pdf, consulté le 30 décembre 2013.
-
Venter, J. P., (2006), « Process Flows for Cyber Forensics Training and Operations », Disponible à http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, consulté le 30 décembre 2013.
-
Wong, L.W.,(2006) « Forensic Analysis of the Windows Registry » Disponible à http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdfConsulté le 10 janvier 2014
.