Retour aux actualités
    DFIR

    Investigation forensique numérique : collecte, analyse et chaîne de custody

    La forensique numérique (Digital Forensics and Incident Response — DFIR) est l'art de collecter, préserver et analyser des preuves numériques pour comprendre ce qui s'est passé lors d'un incident de sécurité et, le cas échéant, les rendre admissibles en justice. Une mauvaise collecte peut rendre des preuves irrecevables.

    Principes fondamentaux

    La forensique numérique repose sur trois principes :

    • Intégrité : les preuves collectées ne doivent pas être altérées. Toute acquisition se fait sur une copie (image disque) jamais sur l'original.
    • Reproductibilité : l'analyse doit pouvoir être reproduite par un tiers avec les mêmes résultats.
    • Chaîne de custody : traçabilité complète de qui a accédé aux preuves, quand et dans quel but — indispensable pour la recevabilité judiciaire.

    Ordre de volatilité (RFC 3227) : collecter dans l'ordre décroissant de volatilité — RAM d'abord (perdue à l'extinction), puis disque, logs réseau, logs système.

    Acquisition des preuves

    Acquisition mémoire RAM

    La mémoire vive contient des informations précieuses : processus en cours, connexions réseau actives, clés de chiffrement, malwares fileless. Elle disparaît à l'extinction du système.

    • WinPmem / Magnet RAM Capture : acquisition RAM sur Windows sans installer de driver.
    • LiME (Linux Memory Extractor) : module kernel pour acquisition RAM sur Linux.
    • • Vérifier l'intégrité de l'image avec SHA-256 immédiatement après acquisition.

    Acquisition disque

    • dc3dd / dcfldd : fork de dd avec vérification d'intégrité et logging intégrés.
    • FTK Imager (gratuit) : acquisition GUI sur Windows, supporte E01, AFF, DD.
    • • Utiliser un write blocker matériel pour empêcher toute écriture accidentelle sur l'original.
    • • Conserver l'original et travailler uniquement sur des copies vérifiées (hash identique).

    Collecte de logs

    • • Logs Windows : Event Log (Security, System, Application), PowerShell, Sysmon.
    • • Logs Linux : /var/log/auth.log, /var/log/syslog, journald, audit.log.
    • • Logs réseau : NetFlow, pcap, logs pare-feu, proxy, DNS.
    • • Logs cloud : CloudTrail (AWS), Activity Log (Azure), Cloud Audit Logs (GCP).

    Analyse forensique

    Analyse mémoire avec Volatility 3

    Volatility est le framework open source de référence pour l'analyse mémoire. Commandes clés :

    • windows.pslist : liste des processus actifs avec PID et PPID.
    • windows.netscan : connexions réseau (établies, en écoute).
    • windows.dlllist : DLLs chargées par processus (détection d'injection).
    • windows.malfind : détection de code injecté (shellcode, malware fileless).
    • windows.cmdline : lignes de commande des processus (souvent révélatrices).

    Analyse de disque avec Autopsy

    Autopsy (gratuit, open source) offre une interface graphique pour analyser les images disque :

    • • Récupération de fichiers supprimés (carving).
    • • Timeline d'activité (MACB : Modified, Accessed, Changed, Born).
    • • Analyse des registres Windows (hives : NTUSER.DAT, SAM, SYSTEM, SOFTWARE).
    • • Artefacts de navigation web (historique, cookies, cache).
    • • Examen des prefetch files (preuves d'exécution de programmes).

    Artefacts Windows clés pour la forensique

    • Prefetch : C:\Windows\Prefetch — preuve d'exécution d'un programme avec horodatage.
    • Amcache.hve / Shimcache : historique des exécutables lancés même si supprimés.
    • LNK files / JumpLists : fichiers récemment ouverts, avec chemin original.
    • Registry Run keys : mécanismes de persistance malware classiques.
    • Event ID 4624/4625/4648 : connexions réussies, échouées, RunAs.
    • Scheduled Tasks : C:\Windows\System32\Tasks — persistance courante.

    Outils de la chaîne DFIR

    • KAPE (Kroll Artifact Parser and Extractor) : collecte ciblée d'artefacts Windows en quelques minutes.
    • Velociraptor : agent DFIR déployable à distance, requêtes VQL sur des milliers de machines simultanément.
    • Plaso / log2timeline : construction de super-timelines multi-sources.
    • Wireshark / tshark : analyse des captures réseau pcap.
    • CAINE / SANS SIFT : distributions Linux forensiques avec tous les outils préinstallés.

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.