Retour aux actualités
    Forensique

    Forensique après cyberattaque : collecte de preuves et chaîne de custody

    Après une cyberattaque, la réaction instinctive est de tout éteindre et de reinstaller. C'est souvent la pire décision si vous voulez comprendre ce qui s'est passé, poursuivre les responsables ou activer votre assurance cyber. La forensique numérique (DFIR — Digital Forensics and Incident Response) permet de collecter des preuves légalement recevables tout en maîtrisant l'incident. Voici la méthode.

    Pourquoi préserver les preuves en premier

    Trois raisons majeures justifient de ne pas éteindre immédiatement les systèmes compromis :

    • Poursuites judiciaires : sans preuves numériques collectées selon les règles de l'art, il est impossible de porter plainte efficacement. Le procureur et le juge d'instruction exigeront des preuves recevables.
    • Assurance cyber : les assureurs exigent une investigation forensique pour valider la demande d'indemnisation. Sans preuves de l'attaque et de son impact, la couverture peut être refusée.
    • Compréhension de l'attaque : identifier le vecteur d'intrusion initial et l'étendue de la compromission est indispensable pour s'assurer que l'attaquant est bien éradiqué avant la reprise d'activité. Une restauration trop rapide sans analyse peut réintroduire la porte dérobée.

    L'ordre de volatilité (RFC 3227)

    Les données numériques ont des durées de vie très différentes. La RFC 3227 définit l'ordre de collecte des preuves selon leur volatilité (de la plus volatile à la plus stable) :

    • 1. Registres processeurs et cache CPU : disparaissent à l'extinction — collecte uniquement possible via des outils spécialisés sur système actif
    • 2. Mémoire RAM : contient les processus actifs, connexions réseau ouvertes, clés de chiffrement, et artefacts d'attaque. Durée de vie : jusqu'à l'extinction.
    • 3. Connexions réseau actives : `netstat`, liste des connexions établies, ports ouverts, sockets
    • 4. Processus en cours d'exécution : liste des processus avec PID, parent, ligne de commande, utilisateur
    • 5. Disques et système de fichiers : fichiers créés/modifiés récemment, clés de registre, journaux d'événements Windows
    • 6. Logs distants : SIEM, serveurs de logs centralisés — les plus stables et les plus fiables

    Le principe : collecter dans cet ordre, de la plus volatile à la plus stable, avant toute extinction de machine.

    Collecte de la mémoire RAM

    La capture de la RAM (memory dump) est souvent la collecte forensique la plus précieuse. Elle peut révéler :

    • Processus malveillants injectés dans des processus légitimes (process hollowing)
    • Shellcodes et payloads chargés en mémoire uniquement (fileless malware)
    • Clés de chiffrement utilisées par un ransomware
    • Credentials en mémoire (hashes NTLM, tokens Kerberos)
    • Communications réseau actives et historique des requêtes DNS

    Outils de capture RAM

    • WinPmem (Windows) : outil gratuit pour capturer la RAM sur Windows, produit un fichier .raw
    • LiME (Linux) : module kernel permettant de capturer la RAM sur Linux vers un fichier ou via le réseau
    • Magnet RAM Capture : outil commercial gratuit pour Windows, facile d'utilisation
    • FTK Imager Lite : peut capturer la RAM en plus des disques, depuis une clé USB

    Outils d'analyse forensique

    • Volatility Framework : outil open source de référence pour l'analyse de dumps mémoire. Plugins pour extraire les processus, connexions réseau, registre, artifacts malveillants. Supporte Windows, Linux et macOS.
    • Autopsy / The Sleuth Kit : plateforme open source d'analyse de disques. Permet de récupérer des fichiers supprimés, d'analyser la timeline des accès, et de rechercher des artefacts spécifiques.
    • FTK (AccessData) : suite commerciale complète de forensique numérique pour les investigations complexes avec des volumes de données importants.
    • DFIR-ORC (ANSSI) : outil open source de l'ANSSI pour la collecte automatisée d'artefacts forensiques sur des parcs Windows à grande échelle. Idéal pour les incidents touchant plusieurs centaines de postes.
    • Plaso / Log2Timeline : construction automatique d'une timeline forensique complète à partir de multiples sources (logs Windows, artefacts, logs réseau).
    • KAPE (Kroll Artifact Parser) : collecte rapide d'artefacts forensiques prédéfinis (Browser history, Windows Event Logs, Prefetch, Shimcache) selon des cibles configurables.

    Chaîne de custody : rendre les preuves légalement recevables

    La chaîne de custody (chain of custody) documente qui a collecté quoi, quand, comment, et qui a eu accès aux preuves. Sans elle, les preuves numériques peuvent être rejetées par un tribunal :

    • Hash de vérification : calculer le hash SHA-256 (ou SHA-512) de chaque image forensique au moment de sa collecte. Tout accès ultérieur doit vérifier que le hash n'a pas changé.
    • Registre de custody : document papier ou numérique signé listant : date/heure de collecte, collecteur identifié, équipement collecté (n° de série), lieu de stockage, et tous les accès subséquents
    • Stockage sécurisé : les images forensiques doivent être stockées dans un environnement non modifiable (write blocker lors de la collecte, WORM storage, accès contrôlé et tracé)
    • Collecte par un expert qualifié : pour une utilisation judiciaire, faire appel à un expert forensique certifié (CHFI, GCFE) ou à une société DFIR reconnue
    • Documentation horodatée : toutes les actions pendant l'investigation doivent être documentées avec timestamp (utiliser `script` sous Linux ou un outil de documentation forensique)

    Coordination avec les autorités

    • ANSSI : pour les entités NIS2, notifier l'ANSSI sous 24h et partager les IOC. L'ANSSI peut déployer ses équipes CERT-FR en soutien.
    • CNIL : si des données personnelles ont été compromises, notification obligatoire sous 72h (RGPD).
    • Plainte pénale : déposer plainte auprès du BEFTI (Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information) pour les cyberattaques économiques, ou auprès de la DGSI pour les attaques d'origine étatique.
    • Cyber:24 (IC3 FR) : la plateforme gouvernementale cybermalveillance.gouv.fr permet le signalement et oriente vers des prestataires de réponse à incident.
    • Assureur cyber : notifier immédiatement l'assureur cyber — la plupart des polices exigent une notification dans les 48-72h pour maintenir la couverture.

    Réponse à incident et forensique numérique

    Notre CERT intervient en moins de 4h, 24/7. Confinement de la menace, investigation forensique complète et rapport légalement recevable pour votre assureur et les autorités.

    Contacter le CERT 24/7

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.