Module 28 — Analyse & Forensics
Digital Forensics & Incident Response
Maitriser le processus d'investigation numerique NIST, la gestion des incidents, la preservation des preuves et le modele Diamond pour l'analyse des intrusions.
- Comprendre le processus d'investigation numerique NIST
- Maitriser le cycle de vie de gestion des incidents NIST
- Connaitre les phases d'attaque (Cyber Kill Chain)
- Preserver les preuves numeriques (image disque)
- Appliquer le Diamond Model of Intrusion
- Comprendre les roles CSIRT et CSIRC
🔍 28.1 — Processus d'investigation numerique NIST
Le NIST (National Institute of Standards and Technology) definit un processus d'investigation numerique en 4 phases :
| Phase | Objectif | Activites |
|---|---|---|
| 1. Collection | Rassembler les preuves | Acquisition d'images disque, capture memoire, collecte de logs, preservation de la chaine de custodie |
| 2. Examination (Examen) | Extraire les donnees pertinentes | Analyse de fichiers, recuperation de donnees supprimees, extraction d'artefacts |
| 3. Analysis (Analyse) | Tirer des conclusions a partir des donnees | Deductions, correlation des preuves, reconstruction de la timeline, identification de l'attaquant |
| 4. Reporting (Signalement) | Documenter et presenter les resultats | Rapport d'investigation, recommandations, temoignage expert si necessaire |
Question d'examen
"Dans quelle phase du processus NIST tire-t-on des conclusions ?" → Reponse : Analysis (Analyse). C'est la phase ou l'investigateur fait des deductions a partir des donnees collectees et examinees.
🔄 28.2 — Cycle de vie de gestion des incidents NIST
Le NIST definit 4 phases dans le cycle de vie de la gestion des incidents :
- Preparation — outils, equipes, procedures, formation
- Detection et Analyse — identifier les incidents et determiner les systemes affectes
- Confinement, Eradication et Retablissement — contenir la menace, eliminer la cause, restaurer les systemes. C'est dans cette phase que les preuves sont collectees
- Activites post-incident — lecons apprises, amelioration des processus
Points cles pour l'examen
Phase d'analyse : c'est dans la phase de Detection et Analyse que l'on determine quels systemes sont affectes.Collection de preuves : les preuves sont collectees pendant la phase de Confinement, Eradication et Retablissement.
Coordination : c'est la Direction (management) qui coordonne la reponse et minimise les dommages.
Roles dans la gestion des incidents
| Role | Responsabilite |
|---|---|
| Direction (Management) | Coordonne la reponse aux incidents et minimise les dommages |
| CSIRT | Equipe technique de reponse aux incidents — investigation et remediation |
| Service juridique | Conformite legale, notification des autorites, preservation des preuves |
| RH | Gestion des incidents impliquant des employes (menaces internes) |
| Service d'assistance IT | Support technique de premier niveau |
CSIRT et perimetre de l'incident
Lors de la determination du perimetre d'un incident, le CSIRT identifie les reseaux, systemes et applications affectes. Cette information est essentielle pour dimensionner la reponse.
CSIRC et SOP
Les SOP (Standard Operating Procedures) d'un CSIRC (Computer Security Incident Response Capability) contiennent les procedures suivies lors de la gestion d'un incident. Ce sont les etapes detaillees que l'equipe doit suivre.
⚔️ 28.3 — Phases d'attaque (Cyber Kill Chain)
Chaque attaque suit une progression de phases. La collecte d'informations sur les employes d'une organisation fait partie de la phase de Reconnaissance :
| Phase | Objectif | Exemples d'activites |
|---|---|---|
| 1. Reconnaissance | Collecte d'informations et selection de cibles | OSINT, scan reseau, identification des employes, reseaux sociaux |
| 2. Weaponization | Preparation de l'attaque | Creation du payload, exploitation du zero-day, preparation du spearphishing |
| 3. Delivery | Livraison de l'arme | Email de phishing, site web compromis, USB malveillant |
| 4. Exploitation | Execution de l'exploit | Exploitation de la vulnerabilite, execution du payload |
| 5. Installation | Persistence | Backdoor, rootkit, scheduled task |
| 6. C&C | Communication avec l'attaquant | Canal de commande, beaconing |
| 7. Actions on Objectives | Objectif final | Exfiltration, destruction, ransomware, espionnage |
🔐 28.4 — Preservation des preuves numeriques
La technique utilisee pour preserver les preuves d'une scene de crime numerique est l'image disque non alteree (unaltered disk image). C'est une copie bit-a-bit exacte du disque original.
Principes de preservation
| Principe | Description |
|---|---|
| Image bit-a-bit | Copie exacte de chaque bit du disque (y compris l'espace non alloue) |
| Write blocker | Dispositif empechant toute ecriture accidentelle sur le disque original |
| Hash d'integrite | Calcul du hash (MD5/SHA-256) avant et apres pour prouver l'absence de modification |
| Chaine de custodie | Documentation de chaque personne qui manipule les preuves |
Regle d'or du forensics
Ne jamais travailler sur l'original. Toute analyse se fait sur une copie (image) du disque. L'original est preserve intact pour la valeur legale des preuves.
💎 28.5 — Diamond Model of Intrusion
Le Diamond Model decompose chaque evenement d'intrusion en 4 composants fondamentaux :
| Composant | Aussi appele | Description |
|---|---|---|
| Adversary | Hacker / Parties responsables | L'acteur de menace responsable de l'attaque |
| Capability | Functionality / Outils et techniques | Les outils et techniques utilises par l'attaquant |
| Infrastructure | Chemin reseau C&C | L'infrastructure utilisee (serveurs C2, domaines, IPs) |
| Victim | Cible de l'attaque | L'organisation ou le systeme cible |
Meta-caracteristiques du Diamond Model
Au-dela des 4 composants, le Diamond Model inclut des meta-caracteristiques :
| Meta-caracteristique | Description |
|---|---|
| Timestamp | Quand l'evenement s'est produit |
| Phase | Etape dans la kill chain |
| Results (Resultats) | Ce que l'attaquant a obtenu comme capacites (donnees volees, acces persistant) |
| Direction | Sens de la communication (inbound, outbound, bidirectional) |
| Methodology | Classification de l'attaque (phishing, brute force, etc.) |
| Resources | Ressources necessaires a l'attaque |
Question d'examen
La meta-caracteristique "Results" (Resultats) determine ce que l'attaquant a obtenu comme capacites suite a l'intrusion.
🔗 28.6 — Chaîne de custodie et manipulation des preuves
La chaîne de custodie (Chain of Custody) est la documentation complète qui retrace chaque personne ayant eu accès à une preuve numérique, depuis sa collecte jusqu'à sa présentation en justice. Une chaîne de custodie brisée peut rendre une preuve irrecevable.
Procédures de préservation des preuves
| Étape | Action | Outil / Méthode |
|---|---|---|
| 1. Identification | Identifier et documenter les sources de preuves | Photographies, notes, vidéo |
| 2. Acquisition | Créer une copie bit-à-bit (image forensique) | dd, FTK Imager, EnCase |
| 3. Vérification | Calculer et comparer les hash de l'original et de la copie | MD5, SHA-256 |
| 4. Préservation | Stocker la preuve originale dans un endroit sécurisé | Sac antistatique, coffre-fort |
| 5. Documentation | Enregistrer chaque transfert de la preuve | Formulaire de chaîne de custodie |
Write Blockers — Essentiels
Un write blocker (matériel ou logiciel) empêche toute écriture sur le support original pendant l'acquisition. Sans write blocker, l'image forensique peut être contestée en justice car le support original a pu être modifié.
Vérification par hash
On calcule un hash (MD5 ou SHA-256) du support original AVANT l'acquisition, puis on compare avec le hash de l'image créée. Si les hash correspondent → l'image est une copie fidèle. Ce processus doit être documenté dans la chaîne de custodie.
⏱️ 28.7 — Ordre de volatilité
L'ordre de volatilité (RFC 3227) définit la priorité de collecte des preuves numériques — les données les plus volatiles doivent être collectées en premier car elles disparaissent le plus vite.
| Priorité | Source | Volatilité | Exemples |
|---|---|---|---|
| 1 (Plus volatile) | Registres CPU, cache | Nanosecondes | Données en cours de traitement |
| 2 | Mémoire RAM | Disparaît à l'extinction | Processus en cours, connexions réseau, clés de chiffrement |
| 3 | État du réseau | Dynamique | Tables ARP, connexions actives, sessions |
| 4 | Processus en cours | Dynamique | PID, DLLs chargées, handles ouverts |
| 5 | Disque dur | Persistant (mais modifiable) | Fichiers, logs, registry, fichiers supprimés |
| 6 (Moins volatile) | Supports externes / backups | Très persistant | Bandes, CD/DVD, backups cloud |
Règle d'or du first responder
Ne JAMAIS éteindre un système compromis avant d'avoir capturé les données volatiles (RAM, connexions réseau). L'extinction détruit irrémédiablement les preuves en mémoire (processus malveillants, clés de déchiffrement, connexions C&C).
🚨 28.8 — Actions du First Responder
Le first responder est la première personne qualifiée à intervenir sur un système compromis. Ses actions initiales sont critiques pour la préservation des preuves.
Procédure de réponse initiale
- Documenter la scène — Photographier l'écran, noter l'heure, les personnes présentes et l'état du système
- Isoler le système — Déconnecter du réseau (débrancher le câble ou désactiver le Wi-Fi) pour stopper l'exfiltration de données
- NE PAS éteindre — Garder le système allumé pour préserver la mémoire volatile
- Capturer la RAM — Utiliser un outil comme
FTK Imager,WinPmemouLiMEpour acquérir la mémoire - Capturer les données volatiles — Connexions réseau (
netstat), processus (tasklist/ps), utilisateurs connectés - Créer une image forensique du disque — Avec un write blocker, créer une copie bit-à-bit
- Calculer les hash — MD5 et SHA-256 de l'image pour vérification d'intégrité
- Remplir la chaîne de custodie — Documenter chaque action et transfert de preuve
Outils du First Responder
| Outil | Usage |
|---|---|
FTK Imager | Acquisition mémoire et disque (Windows) |
LiME | Acquisition mémoire Linux |
WinPmem | Acquisition mémoire Windows |
dd / dcfldd | Copie bit-à-bit de disques (Linux) |
Volatility | Analyse de dumps mémoire |
📢 28.9 — Communication et escalation
La communication pendant un incident est aussi importante que la réponse technique. Une mauvaise communication peut aggraver l'impact d'un incident.
Matrice d'escalation
| Sévérité | Notification | Délai | Exemple |
|---|---|---|---|
| Critique (P1) | CISO, Direction, Juridique, Régulateur | Immédiat (< 1h) | Breach de données clients, ransomware généralisé |
| Élevée (P2) | CISO, Management IT, CSIRT | < 4h | Compromission de serveur, malware actif |
| Moyenne (P3) | SOC Manager, CSIRT | < 24h | Tentative de phishing réussie, compte compromis |
| Faible (P4) | Analyste SOC senior | < 72h | Scan de ports, tentative de login échouée |
Obligations légales de notification
- RGPD (Europe) — Notification à l'autorité de contrôle dans les 72 heures après découverte d'une violation de données personnelles
- HIPAA (USA Santé) — Notification aux individus affectés dans les 60 jours
- PCI-DSS — Notification immédiate au processeur de paiement en cas de compromission de données de carte
- Forces de l'ordre — Impliquer les autorités si l'incident implique une activité criminelle (après consultation juridique)
Règles de communication pendant un incident
- Utiliser des canaux de communication sécurisés (l'attaquant peut surveiller les emails internes)
- Limiter les informations au besoin de savoir (need-to-know)
- Ne jamais communiquer publiquement sans l'accord du juridique et de la direction
- Documenter toutes les communications pour le rapport post-incident
🛠️ 28.10 — Containment, Eradication & Recovery en détail
La phase Containment, Eradication & Recovery du cycle NIST est la plus technique. Chaque sous-phase a des objectifs et actions spécifiques.
Containment (Confinement)
| Type | Objectif | Actions typiques |
|---|---|---|
| Short-term | Stopper la propagation immédiate | Isoler le segment réseau, désactiver le compte compromis, bloquer l'IP malveillante au firewall |
| Long-term | Préparer le nettoyage en maintenant l'opérationnel | Appliquer des patches temporaires, rediriger le trafic, renforcer les ACLs, surveiller le périmètre |
Eradication (Éradication)
- Supprimer le malware de tous les systèmes affectés
- Fermer les backdoors installées par l'attaquant
- Réinitialiser les credentials compromis (mots de passe, tokens, clés API)
- Patcher les vulnérabilités exploitées dans l'attaque
- Reconstruire les systèmes si nécessaire (reimaging depuis une image propre)
Recovery (Récupération)
- Restaurer les systèmes depuis des backups vérifiés
- Remettre en production progressivement (pas tout d'un coup)
- Surveiller intensivement les systèmes restaurés pour détecter une éventuelle résurgence
- Valider le fonctionnement normal avant de déclarer l'incident clos
Erreur fréquente
Ne JAMAIS passer directement à la recovery sans éradication complète. Si une backdoor ou un malware subsiste, l'attaquant reprendra le contrôle immédiatement après la restauration.
📝 28.11 — Quiz de revision
Points cles du Module 28
- Processus NIST : Collection → Examination → Analysis → Reporting. Les conclusions sont tirees en phase d'Analyse
- Cycle incident NIST : Preparation → Detection/Analyse → Confinement/Eradication/Retablissement (collecte preuves) → Post-incident
- La Direction coordonne la reponse aux incidents
- La Reconnaissance est la phase de collecte d'informations sur les cibles
- L'image disque non alteree est la technique de preservation des preuves
- Diamond Model : Adversary, Capability, Infrastructure, Victim
- La meta-caracteristique Results determine ce que l'attaquant a obtenu
- Le CSIRT identifie les reseaux, systemes et applications affectes
- Les SOP du CSIRC contiennent les procedures de gestion d'incident
- La chaîne de custodie doit être documentée pour chaque preuve — une chaîne brisée = preuve irrecevable
- L'ordre de volatilité (RFC 3227) : capturer la RAM avant le disque
- Le first responder ne doit JAMAIS éteindre le système avant capture de la RAM
- Containment : short-term (urgence) puis long-term (stabilisation), suivi d'éradication puis recovery
- Obligations de notification : RGPD 72h, HIPAA 60 jours