NOM&PRENOM 

: SIGNE KAMEGNI Cedric Gislain

CLASSE : EISR18
ECOLE :f2I

FORENSIC

1. Qu’est-ce que l’inforensic ?

La criminalistique numérique est une branche de la criminalistique qui se concentre sur la
récupération et l'investigation de matériel trouvé dans des dispositifs numériques liés à la
cybercriminalité.

2. Expliquer les difficultés de l’inforensic ?

 La taille des données à analyser

 Le chiffrage des donnée mobile la difficulté a collecter les donnée mobiles

 les outils de hack rendent les hack propre plus facile pas de trace

3. Donner les étapes de l’inforensic

a. Collecte et préservation

b. Analyse

c. Production des preuves et Présentation

4. Définir la chaine de traçabilité

Chaîne de traçabilité, dans des contextes juridiques ce terme se réfère à la documentation
papier, chronologique, montrant la saisie, La garde, le contrôle, le transfert, l’analyse et
l’élimination des preuves physiques ou électroniques. Cette notion est particulièrement
importante dans les affaires pénales, le concept est également appliqué dans les litiges civils

Procédure standard inforensic :

Les étapes sont :
• Détection d'incident

• Réponse initiale

• Formulation de la stratégie de réponse

• Sauvegarde forensique
• Investigation

• Implémentation des mesures de sécurité

• Contrôle réseau (Network monitoring)

• Récupération (Recovery)

• Présentation (Reporting)

• Le suivi

5. Numéroté et expliquer le schéma ci-dessous :

Ce schéma résume les étapes de l’analyse forensic.

Dans ce schéma on peut déduire que lorsque on fait appel un expert forensic, si il y a incident,
il peut faire un live et un Dead analyse et dans ce cas il doit acquérir une image et à la fin
produire un rapport. Et si il ne fait pas le Dead analyse il va seulement dans ce cas s’arrêter
au live analyse et produit aussi un rapport. Et si il n y a pas d’incident tire juste les leçons pour
un le futur.

6. Citez le ou les intrus :

En inforensic un preuve doit etre :
- Admissible, Authentique, configurer, complete, reliable, personnel
configurer X personnel X

7. Citez des logiciel pour la création d’image

FTK, DUMPIT, autopsy, encase
8. Expliquez la commande :
Dcfldd if=/dev/sde/hdd.dd of=/media hash=md5 log=log.txt

Cette commande fait la copie hachee du disque /dev/sde , donc le ficher de destination de
cette commande sera /media et va envoyer le hash dans le fichier log.txt
 Ou le nom de l’image est : hdd.dda

9. Expliquer les concept et la différence

Statique aquisition : il s'agit de la méthode privilégiée pour recueillir une preuve numérique
lorsqu'un ordinateur est saisi lors d'une perquisition

Live aquisition :
Acquisition en direct : c'est le moyen de recueillir des preuves numériques lorsqu'un
ordinateur est sous tension et que le suspect s'est connecté. Ce type est préférable lorsque le
disque dur est crypté par un mot de passe.

10. Donnez un logiciel pour effectuer une live analyse : dumpIT

11. En quoi consiste un dump de la ram ?

Le dump de la ram est le processus qui consiste à prendre toutes les informations contenues dans la
RAM et à les écrire sur un disque de stockage.

12. En quoi consiste une dead analyse ?

Analyse faite sur un ordinateur hors tension
ordinateur éteint.

13. Quel sont les prérequis pour une live analyse ?

Le poste doit être tout d’abord allumé

14. Quels sont les étapes pour la collectes de preuves dans une dead analyse

► Préparation: Il faut préparer un (ou plusieurs) répertoire, selon le cas, pour y copier les
données extraites.

► Extraction de l'information sur le système de fichiers ex:structure fs,taille,nom…

► Filtrage des données afin d'identifier et éliminer certains fichiers par comparaison avec les
valeurs de hachage

► Récupération des fichiers supprimés.

Extraction des espaces non alloués

15. Citez des formats juridiquement recevable

Raw,smart,E01 ,AFF ,mem

16. Expliquer la cmd :

foremost -t all -v -i /chemin -o /root/recover
Permet de récupérer les fichiers ou les données supprimées, l’option suivantes signifient :
L'indicateur -t spécifie les types de fichiers à récupérer, dans notre cas on récupère tout (all)
L'indicateur -o spécifie le chemin du fichier de sortie.(/root/recover)
L'indicateur -i spécifie le lecteur à partir duquel vous voulez récupérer les fichiers.

17. Expliquer en quoi consiste le hashage

Le hachage, ou hashing en anglais, consiste littéralement à " hacher " des données, un

message ou encore un texte afin de les réduire à une suite de caractères de courte
longueur, appelée condensat, Le hachage aide à renforcer encore plus
la cybersécurité entre autre il permet d’assurer l’intégrité

18. Quesqu’une collision ?

C’est le fait qu’un ensemble de données différentes ( message, mot de passe, etc.) ont la même
valeur de hachages.

19. En quel année le md5 a connu sa 1ère collision ?

En 1996

20. En quelle année le sha128 a connu sa 1ère collision ?

En 2017

21. Expliquer la command

md5deep file.dd
Permet de calculer des condensés de messages MD5, SHA-1, SHA-256 du fichier « file.ddd »

22. En tant « qu'enquêteur forensic » vous pouvez être amené à investiguer sur des email :
Citez quelques outils :
AccessData’s FTK, eMailTrackerPro, EmailTracer

23. citer le ou les matériel utilisé par l'enquêteur forensic.

 Des stations de travail pour la duplication et l'analyse forensique

Des étiquettes de preuves

 Des logiciels forensiques pour faire l'analyse, la collecte et la documentation des

preuves, et dans certains cas, la duplication de disques.

 Un renifleur réseau, pour capturer le trafic du réseau.

 Du câblage réseau Des concentrateurs (hubs)

 Live kali

 Supports de stockage Un jeu de tournevis Des marqueurs permanents. Des sacs pour
les preuves. Un bloc-notes.
 23.vous recevez un call du services rh l’employé Bob Donovelli est soupçonné d’avoir violé les
regles de l’entreprise vous avez l'autorisation du pdg Tenable Lionel d'investiguer.