LES FONDAMENTAUX DES

INVESTIGATIONS NUMÉRIQUES
(IN)

Anissa KPAKPABIA

SOC-CERT manager, consultant cybersécurité

 OBJECTIFS

 Comprendre les principes fondamentaux de la criminalistique informatique

 Comprendre les différents types de cybercriminalité
 Comprendre les différents types de preuves numériques et les règles de preuve
 Comprendre les différentes lois et règles à prendre en compte lors de la collecte de preuves
numériques
 Comprendre la planification des investigations numériques
 Déterminer les rôles et les responsabilités d’un investigateur
 Comprendre la conformité légale en informatique judiciaire
LA NOTION D’INVESTIGATION
NUMÉRIQUE
 LA NOTION D’INVESTIGATION NUMÉRIQUE

 Ensemble de procédures et de techniques méthodologiques permettant:

• d’identifier, de rassembler, de préserver, d’extraire, d’interpréter, de
documenter et de présenter
• des éléments de preuve à partir d’un équipement informatique de manière à
ce que
• les éléments de preuve découverts soient acceptables au cours d’une
procédure judiciaire ou administrative devant un tribunal.
 Processus de recherche de preuves admissibles liées à un crime numérique
pour trouver les auteurs et intenter ou non une action en justice contre eux
 LES OBJECTIFS DES IN

 Identifier, rassembler et préserver les preuves d'un cybercrime

 Identifier et rassembler les preuves d'un cybercrime d'une manière professionnelle
 Traquer et poursuivre les auteurs devant un tribunal
 Interpréter, documenter et présenter les preuves de manière à ce qu'elles soient
recevables lors des poursuites judiciaires
 Estimer l'impact potentiel de l'activité malveillante sur la victime et évaluer
l'intention de l'auteur de l'infraction
 Trouver les vulnérabilités et les failles de sécurité qui aident les attaquants
 LES OBJECTIFS DES IN

 Comprendre les techniques et les méthodes utilisées par les attaquants pour éviter
les poursuites et les surmonter (anti-forensics)
 Récupérer les fichiers supprimés, les fichiers cachés et les données temporaires qui
peuvent être utilisés comme preuves
 Effectuer une réponse aux incidents (RI) pour éviter toute perte supplémentaire de
propriété intellectuelle, de finances et de réputation lors d'une attaque
 Connaître les lois des différentes régions et zones, car les crimes numériques sont
répandus et géographiquement éparses
 Connaître le processus de traitement selon les plateformes, de types de données et
de systèmes d'exploitation multiples.
 LES OBJECTIFS DES IN

 Apprendre à identifier et à utiliser les outils

 Se préparer à l'avance aux incidents afin de garantir l'intégrité et la continuité
 Offrir une protection suffisante aux ressources de données et garantir la conformité
aux réglementations
 Protéger l'organisation contre des incidents similaires à l'avenir
 Contribuer à lutter contre les crimes en ligne tels que les abus, les brimades et les
atteintes à la réputation
 Réduire au minimum les pertes matérielles et immatérielles subies par une
organisation ou un individu
 DE LA NÉCESSITÉ DE L’IN

Intégrité et et la pérennité Traquer les attaquants

de l’infrastructure partout dans le monde
informatique vu la nature et la
complexité des réseaux

Protéger les ressources

Extraire et interpreter les
financières et faire
éléments de preuve
gagner du temps à
l’organisation
 DE LA NÉCESSITÉ DE L’IN
 Résoudre des incidents informatiques
 Se préparer aux incidents en sécurisant et en renforçant le mécanisme de défense
ainsi qu'en comblant les failles de sécurité.
 Prendre connaissance des réglementations liées aux lois sur la cybernétique et s'y
conformer
 Signaler les incidents impliquant une violation de la cybersécurité
 Identifier les actions nécessaires à la réponse aux incidents
 Agir contre le vol ou l'abus de droits d'auteur et de propriété intellectuelle
 LES TYPES DE ATTAQUES
La cybercriminalité: Tout acte illégal réalisé à l’aide d’outil informatique, réseau,
système ou application
 Les attaques internes
• Personnes au sein de l'organisation
• Employés mécontents, des employés actuels ou licenciés, des associés, des sous-
traitants et/ou du personnel insuffisamment formé
• Ces initiés ont un accès légitime utilisé de manière négative pour nuire à l'organisation.
• Les attaques internes peuvent être assez difficiles à détecter.
• L'espionnage, le vol de propriété intellectuelle, la manipulation de dossiers et l'attaque
par cheval de Troie.
 LES TYPES DE CYBER ATTAQUES
 Les attaques externes
• sources extérieures. Ces attaques se produisent lorsque
• Source: politiques et procédures de sécurité de l'information sont inadéquates
• Accès non autorisé aux systèmes informatiques, au réseau ou aux actifs informationnels
de l'organisation.
• Cybercriminels et de pirates informatiques qui ciblent les informations protégées des
entreprises en exploitant les failles de sécurité ou en utilisant d'autres techniques
d'ingénierie sociale
• Les attaques SQL, le craquage par force brute, l'usurpation d'identité, le
phishing/spoofing, les attaques par déni de service, la cyberdiffamation, etc.
LES TYPES DE CYBER ATTAQUES
 IMPACT DES CYBERATTAQUES AU NIVEAU DE
L’ORGANISATION
 Vol d'informations sensibles
 Interruption des activités normales de l'entreprise
 Atteinte importante à la réputation, Perte de la confiance des clients et des parties
prenantes
 Perte de la confidentialité, de l'intégrité et de la disponibilité des informations
 Augmentation du coût des remédiations vue la complexité des attaques
 Recherche de mesures appropriées pour rechercher, contenir et éradiquer les
cybermenaces.
 Investissements ciblés pour renforcer leur cadre de sécurité informatique en conformité
avec les politiques, normes et réglementations pertinentes.
LES NOTIONS DE PREUVES
NUMÉRIQUES
 LES NOTIONS DE PREUVES NUMÉRIQUES
 Les preuves numériques désignent les informations probantes stockées sur ou transmises
par un appareil électronique.
 Les preuves numériques doivent être acquises et examinées d'une manière légale lors des
enquêtes sur les cybercrimes.
 LES NOTIONS DE PREUVES NUMÉRIQUES
 La RFC 3227 énumère les critères que les données collectées doivent respecter :
 Elles doivent être recevables, c'est-à-dire, que le principe de loyauté a été respecté. Les
actions réalisées au cours de leur acquisition et de leur analyse doivent être documentées et
reproductibles
 Elles doivent être authentiques, c'est-à-dire conformes et telles qu'elles ont été collectées
(ni altérées ni modifiées)
 Elles doivent être complètes et non parcellaires
 Enfin, il faut faire en sorte qu'elles soient comprises y compris par des interlocuteurs non
techniques (typiquement : un tribunal)
 LES NOTIONS DE PREUVES NUMÉRIQUES
 Neutralité et objectivité
• Éviter des conclusions hâtives
• Éviter des hypothèses douteuses à partir de traces parcellaires
• Suivre le cycle de l’analyse
 Principe de Locard
• Le principe d’échange stipule que « tout criminel dépose des traces sur les lieux de son
action et emporte sur lui des indices de la scène »
• Même les actions faites pour mener l’investigation laisseront elles aussi des traces sur le
système audité
• « la recherche des traces n’est fructueuse que dans la mesure où elle est immédiate. Le
temps qui passe, c’est la vérité qui s’enfuit »
 LES NOTIONS DE PREUVES NUMÉRIQUES
 Données volatiles
• informations temporaires présentes et qui sont supprimées si l'alimentation est
interrompue.
• Les données volatiles
 l'heure système
 le ou les utilisateurs connectés
 les fichiers ouverts
 les informations réseau
 les informations sur les processus
 le mappage processus/port
 la mémoire des processus
 le contenu du presse-papiers
 les informations sur les services/pilotes, l'historique des commandes, etc.
 LES NOTIONS DE PREUVES NUMÉRIQUES
 Données non volatiles :
• Données permanentes stockées sur des périphériques de stockage secondaires, tels que
les disques durs et les cartes mémoire.
• Ne dépendent pas de l'alimentation électrique et restent intactes
• Exemple
 des fichiers cachés,
 de l'espace libre,
 du fichier d'échange,
 des fichiers index.dat,
 des clusters non alloués, des partitions non utilisées, des partitions cachées,
 des paramètres de registre
 des journaux d'événements.
 LES NOTIONS DE PREUVES NUMÉRIQUES
 Ordre de volatilité des données
 LES SOURCES DE PREUVES NUMÉRIQUES
 Fichiers créés par l'utilisateur
• Carnets d'adresses
• Fichiers de base de données
• Fichiers multimédia (images, graphiques, audio, vidéo, etc.)
• Fichiers de documents (texte, feuille de calcul, présentation, etc.)
• Signets Internet, favoris, etc.

 Fichiers protégés par l'utilisateur

• Fichiers compressés
• Fichiers mal nommés
• Fichiers cryptés,Fichiers protégés par mot de passe
• Fichiers cachés, Stéganographie
 LES SOURCES DE PREUVES NUMÉRIQUES
 Fichiers créés par l’ordinateur
• Fichiers de sauvegarde
• Fichiers journaux
• Fichiers de configuration
• Fichiers spool d'imprimante
• Cookies
• Fichiers d'échange
• Fichiers système
• Fichiers d'historique
• Fichiers temporaires
 LES SOURCES DE PREUVES NUMÉRIQUES
Appareil Emplacement des preuves potentielles

Disque dur Fichiers texte, image, vidéo, multimédia, base de données et

fichiers de programmes informatiques

Clé USB Fichiers texte, graphiques, images et images

Journaux d’événements, journaux de discussion, fichiers

Carte mémoire texte, fichiers image, fichiers image et historique de
navigation Internet

Carte à puce
La preuve est trouvée en reconnaissant ou en authentifiant
Dongle les informations de la carte et de l’utilisateur, par le niveau
d’accès, les configurations, les autorisations et dans l’appareil
Scanner biométrique lui-même.
 LES SOURCES DE PREUVES NUMÉRIQUES
Enregistrements vocaux tels que les messages supprimés, le
Répondeur
dernier numéro appelé, le mémo, les numéros de téléphone et
les bandes

Caméra numérique /
Images, cartouches amovibles, vidéo, son, horodatage, etc.
caméras de surveillance

Mémoire vive (RAM) et La preuve est localisée et peut être acquise à partir de la
stockage volatile mémoire principale de l’ordinateur

Carnet d’adresses, calendriers ou informations sur les rendez-

Appareils portatifs vous, documents, courriel, écriture manuscrite, mot de passe,
annuaire téléphonique, messages texte et messages vocaux
 LES SOURCES DE PREUVES NUMÉRIQUES
Carte de réseau local (LAN) /
carte d’interface réseau Adresse MAC (Media Access Control)
(NIC)
Pour les routeurs, les preuves se trouvent dans les fichiers de
Routeurs, modems, configuration
concentrateurs et
commutateurs Pour les concentrateurs, les commutateurs et les modems, des
preuves se trouvent sur les périphériques eux-mêmes

Câbles et connecteurs réseau Sur les appareils eux-mêmes

Serveur Système informatique

Des preuves sont trouvées dans les journaux d’utilisation, les
Imprimante informations d’heure et de date, les informations d’identité
réseau, les cartouches d’encre et l’horodatage
 LES SOURCES DE PREUVES NUMÉRIQUES
Les preuves sont trouvées dans les noms, les numéros de téléphone, les
Téléphones informations d’identification de l’appelant, les informations de rendez-
vous, le courrier électronique et les pages, etc.
Écumeurs de cartes de
La preuve est trouvée à travers la date d’expiration de la carte, l’adresse
crédit
de l’utilisateur, les numéros de carte de crédit, le nom de l’utilisateur, etc.

La preuve est trouvée dans le carnet d’adresses, les notes, les calendriers
Montres connectées
de rendez-vous, les numéros de téléphone, les courriels, etc.

Télécopieurs Les preuves sont trouvées dans les documents, les numéros de téléphone,
les cartouches de film, les journaux d’envoi ou de réception
Systèmes de
positionnement global Les preuves sont trouvées à travers les destinations précédentes, les
(GPS) points de cheminement, les itinéraires, les journaux de voyage, etc.
 LES RÈGLES DES PREUVES NUMÉRIQUES
 Compréhensible
• Présenter les preuves de manière claire et compréhensible
• Obtenir l'avis d'experts pour confirmer le processus d'enquête
 Admissible
• Pertinentes pour l'affaire
• Servir à soutenir le client qui les présente
• Être bien communiquées et sans préjugés
 Fiabilité
• Extraire et manipuler les preuves tout en tenant un registre des tâches effectuées
• Menées les investigations uniquement sur des copies de la preuve
 Complète
• Soit prouver soit réfuter le fait
 LA RÈGLE DE LA MEILLEURE PREUVE
 La règle de la meilleure preuve
• Le tribunal n'autorise que la preuve originale d'un document, d'une
photographie ou d'un enregistrement lors du procès et non une copie
• Le duplicata peut être accepté comme preuve, à condition que le tribunal
estime que les raisons invoquées par la partie pour présenter le duplicata
sont authentiques
• Si une preuve est détruite ou perdu ou inaccessible une copie pourra être
acceptée sur déposition d’un témoin
LA PRÉPARATION À L’IN
 LA PRÉPARATION À L’IN
 Capacité à utiliser de manière optimale les preuves numériques dans un
temps limité et avec des coûts d'enquête minimaux
 Ensemble d’ actions techniques et non techniques qui maximisent la
compétence d'une organisation à utiliser des preuves numériques
 Mise en place de procédures spécifiques de réponses à incident
 Équipe qualifiée dédiée à la gestion d’incident
 Réaction appropriée à tout incident et traitement approprié des
preuves
 Atténuation du risque de menaces grâce à l’état de préparation
 Mise en place de mesures préventives
 LA PRÉPARATION À L’IN - BÉNÉFICES
 Elle facilite la collecte de preuves
 Elle permet l'utilisation d'une collecte exhaustive de preuves pour
dissuader les menaces internes et traiter correctement tous les
éléments de preuve
 Elle aide l'organisation à mener une enquête rapide et efficace
 Elle aide à mettre en place de mesures nécessaires en perturbant le
moins possible les activités quotidiennes de l'entreprise
 Elle facilite une approche bien conçue, fixe et structurée du stockage des
preuves de possession
 LA PRÉPARATION À L’IN - BÉNÉFICES
 Elle étend la protection offerte par une politique de sécurité de
l'information pour couvrir les menaces plus larges de la
cybercriminalité, telles que les vols de propriété intellectuelle, la fraude
ou l'extorsion
 Elle démontre la diligence raisonnable et la bonne gouvernance des
actifs informationnels de l'entreprise, selon la norme dite de
« Reasonable Man ». C’est un concept qui cherche à savoir ce que la
norme aurait voulu (Qu’est un individu normal aurait fait?)
 Elle garantit que l'enquête répond à toutes les exigences réglementaires
 Elle peut améliorer et faciliter les interactions avec les forces de l'ordre
 Elle améliore les chances de succès d'une action en justice.
 LA PRÉPARATION À L’IN - BÉNÉFICES
 Elle peut fournir des preuves pour résoudre des litiges commerciaux ou
relatifs à la vie privée
 Elle peut permettre d'imposer des sanctions aux employés, pouvant
aller jusqu'au licenciement, sur la base de preuves numériques (par
exemple, pour prouver la violation d'une politique d'utilisation
acceptable) ou de les disculper le cas non échéant
 Elle empêche les attaquants de couvrir leurs traces
 Elle limite le coût des exigences réglementaires ou légales en matière de
divulgation des données
 Elle permet d'éviter des attaques similaires à l'avenir.
 LA PRÉPARATION À L’IN ET LA CONTINUITÉ
D’ACTIVITÉS
 Elle permet de:
• Déterminer rapidement les incidents
• Comprendre les informations pertinentes
• Collecter des preuves solides sur le plan juridique et les analyser pour
identifier les attaquants.
• minimiser les ressources nécessaires
• Éliminer la menace d'incidents répétés
• Récupérer rapidement les dommages avec moins de temps d'arrêt
• Rassembler les preuves nécessaires pour réclamer une assurance
• Poursuivre légalement les auteurs et réclamer des dommages et intérêts.
 LA PRÉPARATION À L’IN ET LA CONTINUITÉ
D’ACTIVITÉS
 La non préparation a pour conséquences:
• La perte de clients en raison de l'atteinte à la réputation de l'organisation
• Un long temps d'arrêt du système
• La manipulation, suppression et vol de données
• L’impossibilité de recueillir des preuves juridiquement valables
 LA PLANIFICATION DE LA PRÉPARATION À L’IN
 Identifier les preuves potentielles requises pour un incident
• Définir l'objectif de la collecte de preuves
• Rassembler des informations pour déterminer les sources de preuves essentiels
• Concevoir les meilleures méthodes de collecte
• Rédigez une déclaration d'exigences en matière de preuves en collaboration avec
les autres équipes
 Les fichiers de preuve possibles comprennent les journaux d'audit informatique et de
périphériques, les journaux de réseau et les données système.

 Déterminer les sources de preuves

• La connaissance de toutes les sources de preuves potentielles
• Leur impact sur l'entreprise lors de la récupération des informations.
 LA PLANIFICATION DE LA PRÉPARATION À L’IN
 Définir une politique qui détermine le processus pour extraire légalement
les preuves électroniques avec un minimum de perturbations
 Concevoir une stratégie pour assurer la collecte de preuves à partir de toutes les
sources pertinentes et pour assurer leur conservation d'une manière
juridiquement valable
 Établir une politique de gestion et de stockage sécurisés des preuves collectées
 Sécuriser les preuves collectées de manière à ce qu'elles puissent être récupérées
à l'avenir
• Chain of custody
 Déterminer si l'incident nécessite une enquête complète ou formelle
LA PLANIFICATION DE LA PRÉPARATION À L’IN
 LA PLANIFICATION DE LA PRÉPARATION À L’IN
 Créer un processus de documentation de la procédure
• La documentation du processus complet permet également de vérifier à
nouveau le processus s'il donne des résultats erronés
 Avoir un comité consultatif juridique pour guider le processus d'enquête
• Gérer toute menace découlant de l'incident
• Classer l'incident sur le plan juridique et assurer des poursuites appropriées
• Comprendre les contraintes légales et réglementaires et suggérer les mesures
nécessaires
• Gérer des processus tels que la protection de la réputation et les questions de relations
publiques
• Concevoir des accords juridiques avec les partenaires, les clients, les investisseurs et
les employés
• Enquêter sur les litiges commerciaux et civils de l'entreprise
IDENTIFIER LES RÔLES ET
RESPONSABILITÉS DE
L’INVESTIGATEUR
 DE LA NÉCESSITÉ D’UN INVESTIGATEUR
 Enquête sur la cybercriminalité
• Grâce à leurs compétences et à leur expérience, les
enquêteurs aident les organisations et les services
répressifs à enquêter sur les auteurs de
cybercrimes et à les poursuivre en justice
 Traitement judicieux des preuves
• Si une personne inexpérimentée sur le plan
technique examine les preuves, celles-ci peuvent
devenir inadmissibles devant un tribunal
 Traitement et réponse aux incidents
• Les enquêteurs aident les organisations à se
préparer à l’investigation numérique et à mettre en
œuvre un traitement et une réponse efficaces aux
incidents.
 RÔLES ET RESPONSABILITÉS DE L’INVESTIGATEUR
 Évaluer les dommages causés par une violation de la sécurité
 Identifier et récupère les données nécessaires à l'enquête
 Extraire les preuves d'une manière judicieuse sur le plan légal
 Assurer le traitement approprié des preuves
 Agir comme un guide pour l'équipe d'enquête
 Créer des rapports et des documents sur l'enquête pour les présenter
devant un tribunal.
 RÔLES ET RESPONSABILITÉS DE L’INVESTIGATEUR
 Reconstruire les dispositifs de stockage endommagés et découvrir les
informations cachées dans l'ordinateur.
 Informer l'organisation des différentes méthodes d'attaque et des
techniques de récupération des données, et en tient un registre
régulièrement mis à jour (en déterminant et en utilisant la méthode de
documentation pertinente)
 Traiter le problème devant un tribunal et tenter d'obtenir gain de cause en
témoignant au tribunal.
 LES QUALITÉS D’UN BON INVESTIGATEUR
 Compétences en matière d’interview pour recueillir des informations
détaillées sur l'affaire auprès du client ou de la victime, des témoins et des
suspects
 Compétences en matière de recherche pour connaître les antécédents et
les activités du client ou de la victime, des témoins et des suspects
 Maintien d'une parfaite exactitude des tests effectués et de leurs
enregistrements
 Patience et volonté de travailler de longues heures
 Excellentes compétences rédactionnelles pour détailler les résultats dans
le rapport
 Excellentes capacités d'analyse pour trouver les preuves et les relier au
suspect.
 LES QUALITÉS D’UN BON INVESTIGATEUR
 Excellentes aptitudes à la communication pour expliquer ses conclusions au public
 Être à jour des nouvelles méthodologies et technologies d’investigation numérique
 Maîtrise de plus d'une plate-forme informatique
 Connaissance de diverses technologies, du matériel et des logiciels
 Développe et entretient des contacts avec des professionnels de l'informatique, des
réseaux et des enquêtes.
 Honnête, éthique et respectueux des lois
 Capacité à contrôler ses émotions lorsqu'il s'agit de questions qui suscitent la colère
 Expertise multidisciplinaire liée aux affaires pénales et civiles
LES ASPECTS LÉGAUX DES IN
 LES ASPECTS LÉGAUX
 Lors d’une investigation numérique la législation nationale reste applicable aussi bien à
l’entreprise victime qu’aux personnes impliquées dans l’investigation

 Loi 2018-026 sur la cybersécurité et la lutte contre la cybercriminalité

 Loi 2019-014 sur la protection des données à caractère personnel

 Décret 2019-022/PR portant attributions, organisation et fonctionnement de l’ANCy

 Décret 2019-095/PR Relatif aux opérateurs de services essentiels, aux

infrastructures essentielles et aux obligations y afférentes

 Les règles de cybersécurité pour les OSE (cert.tg)

 LES ASPECTS LÉGAUX
 Loi 2018-026 sur la cybersécurité et la lutte contre la cybercriminalité

 Identifier les articles qui traitent des investigations numériques