Accueil » Anonymat » Investigation numérique : Retrouver des traces d’un pirate

L’investigation numérique tirée de l’anglais « computer forensics » consiste à retrouver des traces laissées sur un support numérique.

Typiquement il s’agit de trouver des éléments pouvant constituer des preuves afin de déposer plainte pour intrusion informatique.

Je ne vais pas me permettre de donner des conseils de professionnels à ce sujet et il faut savoir qu’il existe des formations complètes pour cela, mais voici des pistes intéressantes pour retrouver des traces d’un pirate.

Cela s’applique notamment si vous êtes un particulier ayant subi un piratage, qui souhaite en toute légitimité connaitre l’erreur faite pour en arriver là, et potentiellement trouver le responsable du problème.

investigationnumerique

 

L’investigation numérique chez soi

On laisse beaucoup de traces derrière nous sans même le savoir. Bien que la question de l’anonymat se pose naturellement, des avantages liés à ces traces se présentent tout de même dans certains cas :

  • Premièrement, il y a les évidents rapports de plantage : Quand et pourquoi telle application s’est arrêtée. Ce n’est pas le but de l’article.
  • Deuxièmement il y a les traces sur les activités du passé qui permettent de recréer la scène et d’observer la source du problème. Nous allons nous focaliser sur ce point.

 

Se rappeler des dernières actions si possible

Imaginons que vous venez de subir un piratage, inutile de scanner ou nettoyer votre ordinateur sur le champ ni même de supprimer les sites visités et les fichiers téléchargés. Au contraire c’est à ne surtout pas faire pour retrouver l’origine du problème, notamment avec les conseils qui vont suivre.

Supprimer un fichier suspect est une procédure qu’on emploie régulièrement alors qu’il est parfois utile de le garder.

Vous venez d’être piraté(e) ou vous suspectez une activité malveillante ? Essayez de vous rappeler de ce que vous avez fait pour en arriver là :

  • Quels sont les derniers sites visités
  • Quels sont les derniers programmes installés
  • Est-ce qu’une clé USB a été branchée
  • Quel est le dernier réseau auquel je me suis connecté
  • Quel ordinateur (ou périphérique) a été utilisé dernièrement
  • etc…

La suite de l’article vous épaulera dans votre tâche.

 

Retrouver les traces laissées sur Internet

C’est un point assez difficile à gérer dans la mesure où les traces ne sont pas toutes disponibles localement. L’historique des sites visités, si disponible, permet pour commencer de retrouver un éventuel site malveillant, à savoir :

Pour cela il n’y a pas trop de secrets, il faut connaitre ces attaques afin de savoir les repérer. Si cela vous semble trop compliqué, l’idéal est de laisser une autre personne s’en charger pour vous.

 

Retrouver les traces laissées sur l’ordinateur

Pour commencer, on rappellera qu’il faut se baser sur les doutes qu’on a. Il faut donc essayer de savoir si le problème est survenu après installation d’un programme, ou d’une extension de navigateur, ou plutôt après avoir visité un site…etc.

Voici certaines méthodes pour trouver des traces stockées sur votre ordinateur :

Les évènements Windows

Windows et d’autres programmes enregistrent régulièrement ce qu’il se passe sur l’ordinateur afin de tenir un historique des actions effectuées.

Cet historique d’évènements s’appelle Event Viewer (Observateur d’événements) et est visible en tapant « eventvwr.msc » dans la barre de recherche du menu démarrer.

Le voici en version anglaise sur mon ordinateur actuel :

eventlog

Rechercher des évènements est assez fastidieux via ce programme, je ne vais pas trop m’étendre dessus surtout qu’on verra ensuite une façon automatique d’observer ces actions.

Nous pouvons par exemple chercher une application qui ne répondait plus en cliquant sur Windows Logs dans le panneau de gauche, puis en effectuant un clic droit sur « Système » afin de choisir « Créer une vue personnalisée ». Enfin, on sélectionne « par source » et on coche « Microsoft Windows security auditing » :

microsoftsecurityauditng

 

On valide et on observe dans la liste toutes les fois où un compte s’est connecté sur l’ordinateur.

L’observateur d’évènements contient bien d’autres évènements par exemple sur l’heure de mise en veille, de connexion au réseau, de création et d’utilisation d’un point de restauration…etc

Le registre de Windows

Le registre de Windows stocke des paramètres généraux sur les applications et sur le système. Et certains d’entre eux sont extrêmement intéressants pour trouver les derniers fichiers ouverts et programmes lancés, l’idéal pour retrouver un programme malveillant.

Inutile de chercher dans le registre, un programme existe pour afficher toutes les dernières activités de l’ordinateur : LastActivityView.

LastActivityView cherche des évènements intéressants dans l’observateur d’évènements que nous avons vu juste avant mais aussi dans le registre et dans certains dossiers.

lastactivityview-francais

Vous avez repéré des programmes ou fichiers suspects via ce programme ? Lisez ce qui suit.

Les fichiers et programmes reçus

Que ce soit un fichier téléchargé, reçu par e-mail ou même par clé USB, certains peuvent contenir des informations intéressantes sur leur origine.

C’est notamment le cas des images : Elles peuvent contenir des métadonnées EXIF. C’est-à-dire des données identifiants le lieu de la prise de photo et la marque de l’appareil utilisé, entre autres.

Dans le cas des programmes, vous pouvez utiliser des services en ligne comme Anubis qui vont littéralement exécuter le programme suspect et vous dire ce qu’il fait.

Il est également possible de décompiler les programmes pour retrouver son code source. C’est un domaine à part entière appelé Reverse Engineering ou « rétroingénierie » en français.

Il est relativement facile de retrouver le code source des programmes dits « managés » (.NET). Et étant donné que nombre de programmes malveillants sont crées via des langages managés, on retrouve facilement l’adresse mail (ou d’autres données des pirates).

Plus d’informations ici : Pister un hacker.

Les fichiers supprimés (ou pas)

Enfin, il est possible dans une certaine mesure de récupérer les fichiers supprimés. Ici « supprimés » signifie « supprimés de la Corbeille ».

Cela s’applique notamment si vous avez trop rapidement supprimé des fichiers que vous pensiez malveillants alors qu’ils peuvent vous servir.

Bien que garder un programme potentiellement malveillant puisse sembler bizarre, le placer dans un dossier pour l’étudier notamment via le point précédent (sans cliquer dessus bien sûr) ne pose pas de problèmes immédiats.

Recuva est le programme de récupération le plus populaire.

 

Utiliser des outils (très) spécialisés

Le domaine de l’investigation numérique est vaste et il existe beaucoup de programmes plus ou moins ciblés sur ce que l’on souhaite (re)découvrir.

Voici une liste de programmes d’analyse forensique populaires :

  • Digital Forensics Framework : Un environnement complet permettant d’accéder aux disques, aux périphériques, aux données des processus, du réseau…et bien d’autres pour y retrouver des données.
  • Volatility : Un outil permettant de retrouver des données dans la mémoire.
  • Bulk Extractor : Un outil qui permet de trouver des adresses e-mail, des adresses IP, des URLs…etc à partir d’un dossier, disque ou fichier.

Une liste complète d’outils forensics se trouve ici.

 

En espérant que cet article d’introduction sur l’investigation numérique vous a plu et vous aide à retrouver la source de problèmes informatiques ou de piratage.

Lecture complémentaire :

Le guide Les Secrets sur Notre Anonymat vous expliquera :

  • Comment votre identité peut être retrouvée via une adresse e-mail (même en pensant avoir effacé vos traces)
  • Comment visiter des sites, blogs ou forums « supprimés » mais toujours visibles
  • Comment on vous piste sur Internet
  • etc…

16 Commentaires

  1. Tres complet l’article, merci à toi c’est vraiment cool de ta part 😀

  2. Schwarzer a écrit:

    Bon article comme toujours, merci Michel.

  3. Bonjour mon PC de marque TOSHIBA 15 pouce vient etre volé de serie L7257_S7805

  4. lemailloux a écrit:

    C’est vrai tu fait de trés bonne chose ! merci michel.
    Pas contre le logiciel, sur métadonnées EXIF que tu utilise ici, c’est un logiciel sur linux !
    Je voudrai bien connaitre son nom !
    merci si tu peut me le donner.

  5. J’ajouterais qu’il est parfois utile de faire appel à un détecteur de rootkits pour détecter les fichiers entièrement cachés.
    Sinon, magnifique article comme toujours…

  6. WAMBE INDRIDE a écrit:

    je viens d’être victime d’un piratage
    je n’ai plus accès à mon compte Yahoo qui vient d’être piraté

  7. Bonjour,

    Je vais apporter quelques éléments de sécurité standard très souvent délaissés voir oublié par l’utilisateur.

    Tout d’abord, IL EST IMPORTANT DE TOUJOURS OUVRIR ET TRAVAILLER AVEC UN COMPTE UTILISATEUR WINDOWS SANS DROIT « ADMINISTRATEURS ».

    Lorsqu’un programme tente de s’installer (par exemple), Windows demandera à l’utilisateur « Standard » de confirmer l’installation avec son mot de passe « Administrateurs ». C’est une mesure de sécurité qu’il ne faut pas sous-estimer mais qu’il faut APPLIQUER TOUT DE SUITE ! 🙂

    Ensuite, concernant les journaux d’événements Windows, là aussi il est très facile pour un « pirate » d’effacer les TRACES malheureusement sur votre machine s’il prend la main en s’étant créé un compte dans le Groupe « Administrateurs » ou encore s’il se sert de votre Session Windows « Administrateurs ».

    Généralement, dans le domaine de « l’Administration Systèmes et Réseau », on procède à une centralisation de l’ensemble des activités équipements, applications, systèmes etc. sur un serveur distant sécurisé justement pour préserver et sécuriser la totalité des journaux d’événements et logs…

    Evidemment ce type de technique de consolidation et de sécurisation d’un S.I n’est pas à la portée de tout le monde, surtout lorsqu’il s’agit d’une installation « grand public », mais il est relativement simple d’installer un petit serveur de logs avec une interface client et une base de données appropriée couplés au système « Events Log » de Windows. Pour info, l’interface NxLog (par ex) permet la conversion des « Events Log » vers différents formats de communication. Il est possible d’intégrer la totalité des événements Systèmes, Applicatifs, Sécurité, Hardwares, GPO etc. sur son serveur et logs ET BIEN PLUS ! 🙂

    Autre mesure de sécurité standard souvent « occultée » ou oubliée par l’utilisateur « lambda » est la réalisation de point de restauration système. On remarquera que beaucoup d’utilisateurs oublient ou ne sont pas au courant qu’il faut vérifier si l’ordinateur a bien son système de restauration activé et configuré. Il est conseillé par exemple de CRÉER MANUELLEMENT UN POINT DE RESTAURATION SYSTÈME CHAQUE SEMAINE OU SI VOUS AVEZ DES DOUTES SUR LES SITES INTERNET QUE VOUS COMPTEZ VISITER! 🙂

    PS: Pensez à protéger et sécuriser vos équipements (PC, Tablette, Smartphone…)

  8. Slt, je suis victimes d’un piratage.
    La personne à utiliser un faux compte pour me filmer.
    Maintenant il me joue du chantage avec ça.
    Es ce que quelqu’un peut m’aider à lui trace. Ou de faire en sorte qu’il arrêter. Merci

  9. Pingback: Se protéger des arnaques sur les sites de rencontre – Le Blog du Hacker

  10. Pingback: Comment savoir si vous avez été piraté ? (et le jour où j'ai cru l'être !) – Le Blog du Hacker

  11. Pingback: Comment protéger son pc – Le Blog du Hacker

  12. Pingback: 6 formes de Cyber-Harcèlement et comment s'en protéger – Le Blog du Hacker

Laisser un commentaire

Lire plus :
challenges de hacking
Mise en place de challenges de Hacking

Vous avez été nombreux à le demander, voici pour vous une partie challenge. Vous voulez vous faire apprécier par la...

Fermer