Académique Documents
Professionnel Documents
Culture Documents
d’investigation
numérique Dell
Le défi :
le tsunami numérique
Ces dernières années, les activités numériques des criminels et des groupes La création d’images des ainsi que la manière dont les preuves ont Il n’est donc pas surprenant que les retards
terroristes ont connu une croissance exponentielle, tant au niveau du volume données prend été transmises aux détenteurs suivants de traitement des disques durs saisis
doivent être indiquées… Or, cela prend soient importants : de 18 à 24 mois1, le
que de la rapidité, de la diversité et de la sophistication, et ce partout dans le du temps du temps. plus souvent. Dans le meilleur des cas,
monde. Aujourd’hui, la plupart des délits commis présentent une composante les données peuvent être partagées entre
numérique. Ce phénomène est parfois appelé le tsunami numérique. Il faut d’abord copier ou « cloner » les Les problèmes actuels les serveurs de fichiers mais doivent tout
disques durs afin de ne pas contaminer de même être analysées en laboratoire,
la source de données. Cela constitue une
liés à l’ingestion nécessitant en outre des capacités réseau
problématique majeure pour les forces et à l’analyse de pointe afin de transférer les données
Cette évolution a été exacerbée par des avancées considérables Des PC aux ordinateurs portables, des téléphones mobiles aux de police ou les organismes concernés, entre les serveurs gérés de manière
dans le domaine du matériel électronique. La diversité croissante clés USB et même aux consoles de jeux, les forces de police et car la conservation des données copiées Une fois clonées, les données sont centralisée et les PC des analystes.
des équipements électroniques grand public, associée à une de sécurité n’en finissent plus de cloner, d’ingérer (ou de créer à partir des clones requiert des capacités « ingérées » par les experts en investigation Généralement, cela ne permet pas de
capacité accrue de mémoire et de stockage, fournit aux criminels des images), d’indexer et d’analyser des quantités croissantes de de stockage considérables. La copie et numérique sur une ou plusieurs partager les données entre les analystes
et aux terroristes un nombre incalculable d’opportunités de données suspectes tout en préservant la chaîne de conservation le traitement des disques durs et des stations de travail ou sur des PC hautes travaillant sur un même site, encore moins
masquer les données malveillantes. des preuves numériques et en protégeant les citoyens. systèmes sur lesquels ils étaient exploités performances. Là encore, l’opération peut sur des sites distants. Le partage en temps
peuvent prendre des heures, voire des prendre beaucoup de temps selon la réel entre des organismes ou même des
Il n’est pas rare de trouver des ordinateurs de bureau ou portables Lorsqu’elles arrêtent des suspects et saisissent leurs équipements jours. Ces opérations nécessitent en outre quantité de données ingérées avant leur pays, voire entre plusieurs services publics,
offrant une capacité de stockage de plusieurs centaines de informatiques, les forces de police et les agences sont soumises d’être réalisées avec le plus de précautions indexation, leur tri et leur analyse. est hors de question.
gigaoctets. Les disques durs les plus récents permettent même à une pression considérable pour traiter et analyser les preuves possibles et une grande attention aux détails.
d’étendre la capacité à 2 ou 4 téraoctets. Sachant qu’un téraoctet potentielles dans un délai très réduit et dans des environnements En raison des quantités importantes de Actuellement, pour réaliser des
permet de stocker 200 DVD, cela représente une quantité de informatiques souvent imparfaits. Lorsque ce sont des entreprises Des directives strictes permettent de données à analyser et du risque de perte analyses complémentaires, il faut donc
stockage impressionnante, et donc une source de problèmes qui sont suspectées d’avoir commis des activités délictueuses préserver la chaîne (ou la continuité) de données, les experts doivent réaliser obligatoirement se rendre au laboratoire.
qui ne vont pas cesser de se multiplier. ou terroristes, la quantité d’équipements à analyser est encore de conservation. La documentation leurs analyses au sein de laboratoire. Par Par ailleurs, si l’image clonée contient
plus importante. doit inclure les conditions indispensables ailleurs, il arrive que la législation locale un code malveillant, celui-ci peut
au rassemblement des preuves. interdise les examens à distance des endommager la station de travail de
disques durs saisis pour être analysés par l’expert chargé de l’investigation, auquel
L’identité de tous les détenteurs de des unités de police scientifique équipées cas une restauration peut être nécessaire,
preuves doit être spécifiée. La durée de de moyens haute technologie. obligeant à recommencer entièrement
conservation des preuves, les conditions le processus d’ingestion ou risquant de
de sécurité applicables lors de la compromettre la chaîne de conservation
manipulation ou du stockage des preuves, si le code n’est pas détecté.
Solution
Stockage
d’investigation
numérique Dell Traitement
Archivage
en ligne
Archivage
hors ligne
Fig 3. Représentation de
Stations de travail des analystes ainsi être traitées rapidement et
transférées de manière transparente
malveillant. Elle permet toutefois
à un analyste d’exécuter tout code
la solution d’investigation sur des supports de stockage moins ou application suspect(e) dans un
numérique de Dell montrant coûteux en vue de leur conservation environnement isolé et sécurisé.
l’ingestion, l’analyse et la à court terme (en ligne) et à long
sauvegarde, la restauration terme (hors ligne).
et l’archivage formalisés.
À propos de Dell
Dell a été fondée en 1984 par Michael Dell sur la base d’un concept simple :
en vendant des systèmes informatiques directement à nos clients, nous serions
en mesure de mieux comprendre leurs besoins et de leur fournir efficacement
la solution informatique la plus performante et la plus adaptée. Notre stratégie
commerciale en constante évolution combine notre modèle de relation directe
avec le client avec de nouveaux réseaux de distribution qui nous permettent
de satisfaire les clients dans le monde entier, qu’il s’agisse d’administrations
publiques, d’entreprises ou de particuliers. Dell travaille en collaboration avec
les forces de police, les agences de sécurité, les intégrateurs de systèmes et les
fournisseurs de solutions spécialisées pour simplifier les complexités liées à la
gestion et au traitement actuels des données et des informations suspectes.
Dell conçoit, fabrique et personnalise ses produits et services, des solutions
mobiles embarquées sur les véhicules aux solutions d’investigation numérique
évolutives de niveau entreprise. Nous pouvons fournir aux forces de police et aux
agences de sécurité un accès sécurisé, distant et en temps réel aux informations
essentielles et au travail collaboratif.
1. La police recherche de nouvelles solutions d’analyse des disques durs à distance, The Register, 29 avril 2009
www.theregister.co.uk/2009/04/29/remote_hard_drive_forensics
© 2010 Dell Corporation Limited. Dell S.A. Capital : 1 676 939 €. 8 avenue du stade de France, 93218 Saint Denis cedex - France. N°
351 528 229 RCS Montpellier - APE 4651 Z. EMC est une marque déposée d’EMC Corporation. Spektor est une marque déposée
par Evidence Talks. AccesData est une marque déposée par AccesData. Guidance, Encase sont des marques déposées par
Guidance Software Corporation.