Investigation numérique : Retrouver des traces d’un pirate
L’investigation numérique tirée de l’anglais « computer forensics » consiste à retrouver des traces laissées sur un support numérique.
Typiquement il s’agit de trouver des éléments pouvant constituer des preuves afin de déposer plainte pour intrusion informatique.
Je ne vais pas me permettre de donner des conseils de professionnels à ce sujet et il faut savoir qu’il existe des formations complètes pour cela, mais voici des pistes intéressantes pour retrouver des traces d’un pirate.
Cela s’applique notamment si vous êtes un particulier ayant subi un piratage, qui souhaite en toute légitimité connaître l’erreur faite pour en arriver là, et potentiellement trouver le responsable du problème.
Table des matières
L’investigation numérique chez soi
On laisse beaucoup de traces derrière nous sans même le savoir. Bien que la question de l’anonymat se pose naturellement, des avantages liés à ces traces se présentent tout de même dans certains cas :
- Premièrement, il y a les évidents rapports de plantage : Quand et pourquoi telle application s’est arrêtée. Ce n’est pas le but de l’article.
- Deuxièmement il y a les traces sur les activités du passé qui permettent de recréer la scène et d’observer la source du problème. Nous allons nous focaliser sur ce point.
Se rappeler des dernières actions si possible
Imaginons que vous venez de subir un piratage, inutile de scanner ou nettoyer votre ordinateur sur le champ ni même de supprimer les sites visités et les fichiers téléchargés. Au contraire c’est à ne surtout pas faire pour retrouver l’origine du problème, notamment avec les conseils qui vont suivre.
Supprimer un fichier suspect est une procédure qu’on emploie régulièrement alors qu’il est parfois utile de le garder.
Vous venez d’être piraté(e) ou vous suspectez une activité malveillante ? Essayez de vous rappeler de ce que vous avez fait pour en arriver là :
- Quels sont les derniers sites visités
- Quels sont les derniers programmes installés
- Est-ce qu’une clé USB a été branchée
- Quel est le dernier réseau auquel je me suis connecté
- Quel ordinateur (ou périphérique) a été utilisé dernièrement
- etc…
La suite de l’article vous épaulera dans votre tâche.
Retrouver les traces laissées sur Internet
C’est un point assez difficile à gérer dans la mesure où les traces ne sont pas toutes disponibles localement. L’historique des sites visités, si disponible, permet pour commencer de retrouver un éventuel site malveillant, à savoir :
- Un site de hameçonnage.
- Un site utilisant un téléchargement Drive By.
- Un site détourné par Malvertising.
- Un site possédant une faille ou qui est tout simplement malveillant.
Pour cela il n’y a pas trop de secrets, il faut connaître ces attaques afin de savoir les repérer. Si cela vous semble trop compliqué, l’idéal est de laisser une autre personne s’en charger pour vous.
« L'investigation numérique pour retrouver la trace des pirates »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedInRetrouver les traces laissées sur l’ordinateur
Pour commencer, on rappellera qu’il faut se baser sur les doutes qu’on a. Il faut donc essayer de savoir si le problème est survenu après installation d’un programme, ou d’une extension de navigateur, ou plutôt après avoir visité un site…etc.
Voici certaines méthodes pour trouver des traces stockées sur votre ordinateur :
Les événements Windows
Windows et d’autres programmes enregistrent régulièrement ce qu’il se passe sur l’ordinateur afin de tenir un historique des actions effectuées.
Cet historique d’événements s’appelle Event Viewer (Observateur d’événements) et est visible en tapant « eventvwr.msc » dans la barre de recherche du menu démarrer.
Le voici en version anglaise sur mon ordinateur actuel :
Rechercher des événements est assez fastidieux via ce programme, je ne vais pas trop m’étendre dessus surtout qu’on verra ensuite une façon automatique d’observer ces actions.
Nous pouvons par exemple chercher une application qui ne répondait plus en cliquant sur Windows Logs dans le panneau de gauche, puis en effectuant un clic droit sur « Système » afin de choisir « Créer une vue personnalisée ». Enfin, on sélectionne « par source » et on coche « Microsoft Windows security auditing » :
On valide et on observe dans la liste toutes les fois où un compte s’est connecté sur l’ordinateur.
L’observateur d’événements contient bien d’autres événements par exemple sur l’heure de mise en veille, de connexion au réseau, de création et d’utilisation d’un point de restauration…etc
Le registre de Windows
Le registre de Windows stocke des paramètres généraux sur les applications et sur le système. Et certains d’entre eux sont extrêmement intéressants pour trouver les derniers fichiers ouverts et programmes lancés, l’idéal pour retrouver un programme malveillant.
Inutile de chercher dans le registre, un programme existe pour afficher toutes les dernières activités de l’ordinateur : LastActivityView.
LastActivityView cherche des événements intéressants dans l’observateur d’événements que nous avons vu juste avant mais aussi dans le registre et dans certains dossiers.
Vous avez repéré des programmes ou fichiers suspects via ce programme ? Lisez ce qui suit.
Les fichiers et programmes reçus
Que ce soit un fichier téléchargé, reçu par e-mail ou même par clé USB, certains peuvent contenir des informations intéressantes sur leur origine.
C’est notamment le cas des images : Elles peuvent contenir des métadonnées EXIF. C’est-à-dire des données identifiants le lieu de la prise de photo et la marque de l’appareil utilisé, entre autres.
Dans le cas des programmes, vous pouvez utiliser des services en ligne comme Anubis qui vont littéralement exécuter le programme suspect et vous dire ce qu’il fait.
Il est également possible de décompiler les programmes pour retrouver son code source. C’est un domaine à part entière appelé Reverse Engineering ou « rétroingénierie » en français.
Il est relativement facile de retrouver le code source des programmes dits « managés » (.NET). Et étant donné que nombre de programmes malveillants sont crées via des langages managés, on retrouve facilement l’adresse mail (ou d’autres données des pirates).
Plus d’informations ici : Pister un hacker et là : Savoir si vous êtes piraté(e).
Les fichiers supprimés (ou pas)
Enfin, il est possible dans une certaine mesure de récupérer les fichiers supprimés. Ici « supprimés » signifie « supprimés de la Corbeille ».
Cela s’applique notamment si vous avez trop rapidement supprimé des fichiers que vous pensiez malveillants alors qu’ils peuvent vous servir.
Bien que garder un programme potentiellement malveillant puisse sembler bizarre, le placer dans un dossier pour l’étudier notamment via le point précédent (sans cliquer dessus bien sûr) ne pose pas de problèmes immédiats.
Recuva est le programme de récupération le plus populaire.
Utiliser des outils (très) spécialisés
Le domaine de l’investigation numérique est vaste et il existe beaucoup de programmes plus ou moins ciblés sur ce que l’on souhaite (re)découvrir.
Voici une liste de programmes d’analyse forensique populaires :
- Digital Forensics Framework : Un environnement complet permettant d’accéder aux disques, aux périphériques, aux données des processus, du réseau…et bien d’autres pour y retrouver des données.
- Volatility : Un outil permettant de retrouver des données dans la mémoire.
- Bulk Extractor : Un outil qui permet de trouver des adresses e-mail, des adresses IP, des URLs…etc à partir d’un dossier, disque ou fichier.
Une liste complète d’outils forensics se trouve ici.
En espérant que cet article d’introduction sur l’investigation numérique vous a plu et vous aide à retrouver la source de problèmes informatiques ou de piratage.
Lecture complémentaire :
Le cours vidéo complet Protéger son Anonymat et sa vie privée sur Internet vous expliquera :
- Comment votre identité peut être retrouvée via une adresse e-mail (même en pensant avoir effacé vos traces)
- Comment visiter des sites, blogs ou forums « supprimés » mais toujours visibles
- Comment on vous piste sur Internet
- etc…
Le cours vidéo complet Hacking éthique – etude des logiciels malveillants vous expliquera :
- Comment analyser en profondeur votre ordinateur
- Comment fonctionne un Trojan en pratique
- Comment retrouver des traces dans divers programmes malveillants
- Comment fonctionne un Keylogger
- Et bien d’autres…
Et si votre compte a été piraté voici comment récupérer un compte piraté
24 Commentaires
Cliquez ici pour ajouter un commentaire
Tres complet l’article, merci à toi c’est vraiment cool de ta part 😀
Merci à toi !
bon soir michel pour faire une recherche plus pousser leur d’une investigation
pourquoi ne pas utiliser un bloqueur en écriture ? souvent utiliser leurs d’une analyse
en forensique . un dispositifs qui permettent l’acquisition d’une image d’un disque
dur en bloquant le mécanisme d’écriture. mais pas de lecture.
dans le but de préserver le contenu.
salut michel cela fait pas mal de temps que j’ai pas fait de commentaire .
je donne juste une petite info sympas niveaux trace laisser par l’utilisateur
très mal connu de certaines personnes .
découverte de données pourtant effacées .
les polices scientifiques et autres laboratoires d’espionnage disposent d’outils matériel lourd
permettant d’analyser les surfaces magnétiques .
( microscope MFM à modulation de fréquence magnétique )
après écriture de données par magnétisation n/s-s/n pour inscrire des 0 et des 1 binaires .
il existe une migration de cette magnétisation à l’environnement immédiat de cette écriture
initiale .
même après un effacement de sécurité par logiciel qui aurait écrit des 0 et des 1 des dizaines de fois
sur chaque ( cellule ) magnétique .
il est encore possible de lire les micro erreurs . les résidus et rémanences
magnétiques ) en périphérie de chaque ( cellule ) et de reconstruire le contenu initial .
voilà pour cette petite info sur ceux michel je te souhaite une très bonne soirée .
Bon article comme toujours, merci Michel.
Bonjour mon PC de marque TOSHIBA 15 pouce vient etre volé de serie L7257_S7805
C’est vrai tu fait de trés bonne chose ! merci michel.
Pas contre le logiciel, sur métadonnées EXIF que tu utilise ici, c’est un logiciel sur linux !
Je voudrai bien connaitre son nom !
merci si tu peut me le donner.
Salut et merci à toi, je ne trouve plus le nom mais tu as Jeffrey’s EXIF Viewer en ligne si ça t’intéresse 🙂
merci à toi
J’ajouterais qu’il est parfois utile de faire appel à un détecteur de rootkits pour détecter les fichiers entièrement cachés.
Sinon, magnifique article comme toujours…
Salut, oui cela en fait partie, merci !
je viens d’être victime d’un piratage
je n’ai plus accès à mon compte Yahoo qui vient d’être piraté
Bonjour,
Je vais apporter quelques éléments de sécurité standard très souvent délaissés voir oublié par l’utilisateur.
Tout d’abord, IL EST IMPORTANT DE TOUJOURS OUVRIR ET TRAVAILLER AVEC UN COMPTE UTILISATEUR WINDOWS SANS DROIT « ADMINISTRATEURS ».
Lorsqu’un programme tente de s’installer (par exemple), Windows demandera à l’utilisateur « Standard » de confirmer l’installation avec son mot de passe « Administrateurs ». C’est une mesure de sécurité qu’il ne faut pas sous-estimer mais qu’il faut APPLIQUER TOUT DE SUITE ! 🙂
Ensuite, concernant les journaux d’événements Windows, là aussi il est très facile pour un « pirate » d’effacer les TRACES malheureusement sur votre machine s’il prend la main en s’étant créé un compte dans le Groupe « Administrateurs » ou encore s’il se sert de votre Session Windows « Administrateurs ».
Généralement, dans le domaine de « l’Administration Systèmes et Réseau », on procède à une centralisation de l’ensemble des activités équipements, applications, systèmes etc. sur un serveur distant sécurisé justement pour préserver et sécuriser la totalité des journaux d’événements et logs…
Evidemment ce type de technique de consolidation et de sécurisation d’un S.I n’est pas à la portée de tout le monde, surtout lorsqu’il s’agit d’une installation « grand public », mais il est relativement simple d’installer un petit serveur de logs avec une interface client et une base de données appropriée couplés au système « Events Log » de Windows. Pour info, l’interface NxLog (par ex) permet la conversion des « Events Log » vers différents formats de communication. Il est possible d’intégrer la totalité des événements Systèmes, Applicatifs, Sécurité, Hardwares, GPO etc. sur son serveur et logs ET BIEN PLUS ! 🙂
Autre mesure de sécurité standard souvent « occultée » ou oubliée par l’utilisateur « lambda » est la réalisation de point de restauration système. On remarquera que beaucoup d’utilisateurs oublient ou ne sont pas au courant qu’il faut vérifier si l’ordinateur a bien son système de restauration activé et configuré. Il est conseillé par exemple de CRÉER MANUELLEMENT UN POINT DE RESTAURATION SYSTÈME CHAQUE SEMAINE OU SI VOUS AVEZ DES DOUTES SUR LES SITES INTERNET QUE VOUS COMPTEZ VISITER! 🙂
PS: Pensez à protéger et sécuriser vos équipements (PC, Tablette, Smartphone…)
Slt, je suis victimes d’un piratage.
La personne à utiliser un faux compte pour me filmer.
Maintenant il me joue du chantage avec ça.
Es ce que quelqu’un peut m’aider à lui trace. Ou de faire en sorte qu’il arrêter. Merci
[…] fait de savoir faire une recherche Google. Vous n’avez pas besoin d’être un génie en investigation numérique pour faire une recherche, comme Rebecca l’a fait, afin de vous renseigner sur les arnaques […]
[…] Investigation numérique […]
Très bon article très complet !
bonne soirée michel dans les commentaires de certains je voie encore de fausse idée.
pour tracer un pirate. cela peut être bon pour avoir un déboutant qui pirate. car peut aux courant des moyen de sécurité
qui sont en place. pour les pro cela peut être beaucoup plus dur. car eux savent masquer leurs trace.
et beaucoup de gens se font avoir car pas aux courant des technique utiliser pour cela.
même les grosse boit de sécurité ce font avoir. pour cacher leurs traces les attaquants abusent des plateformes
et des protocoles de confiance pour échapper aux contrôles de sécurité.
voici quelques tactiques utilisées par les cybercriminels. en plus d’utiliser des techniques de camouflage
de stéganographie et d’empaquetage de logiciels malveillants. les acteurs de la menace profitent souvent
aujourd’hui de services de plateformes. de protocoles et d’outils légitimes pour mener leurs activités.
ils peuvent ainsi se fondre dans un trafic ou une activité qui peut sembler propre aux analystes.
humains et aux machines. voici comment les pirates font pour brouiller les pistes.
aujourd’hui. débrancher les alarmes d’outils des plateformes.
c’était un thème commun vu par les professionnels de la sécurité en 2020. qui s’est immiscé cette année.
des service et outils de tests de pénétrations tels que cobalt strike et ngrok aux écosystèmes de code open
source établis comme github en passant par les sites d’images et de textes comme imgur et pastebin.
les attaquants ont ciblé un large éventail de plateformes de confiance au cours des dernières années.
en général ngrok est utilisé par des hackers éthiques désireux de collecter des données ou de mettre en place
des tunnels fictifs. pour les connexions entrantes dans le cadre d’exercices de bug-bounty ou de pen-testing
mais des acteurs malveillants ont abusé de ngrok pour installer directement des logiciels malveillants de
botnet ou pour connecter un service de communication légitime à un serveur malveillant.
de même les outils d’automatisation dont dépendent les développeurs ne sont pas à l’abri d’une exploitation.
des attaquants ont abusé des actions github pour cibler des centaines de dépôts dans une attaques automatisée
qui utilisait le serveur et les ressources de github pour le minage de crypto-monnaies.
ces exemples montrent pourquoi les attaquants trouvent de l’intérêt à cibler des plateformes légitimes
que de nombreux pare-feu et outils de surveillance de la sécurité ne bloquent pas forcément.
tirer parti de la réputation d’une marque
que se soit sous la forme de typosquatting de brandjacking ou de confusion de dépendances
qui a d’abord été révélée comme une recherche de preuve de concept. mais qui a ensuite été utilisée à des
fins malveillantes. les attaques en amont exploitent la confiance au sein d’écosystèmes de partenaires
connus et capitalisent sur la popularité ou la réputation d’une marque ou d’un composant logiciel.
les attaquants cherchant à pousser le code malveillant en amont vers une base de code de confiance
associée à une marque qui est ensuite distribuée en aval à la cible finale. les partenaires les clients ou les
utilisateurs de cette marque.
utilisation des canaux et des protocoles communs
à l’instar des plateformes et des marques de confiances les canaux ports et protocoles chiffrés utilisés par les
applications légitimes. peut être un autre moyen pour les attaquants de masquer leurs traces.
par exemple https est un protocole universellement indispensable pour le web.
aujourd’hui et pour cette raison le port 443 utilisé par https/ssl est très difficile à bloquer dans un environnement
d’entreprise. cependant le dns sur https doh un protocole de résolution de domaines utilise également le port 443
et les auteurs de logiciels malveillants en ont abusé pour se connecter avec les serveurs de commandes
de contrôle c2 depuis les systèmes infectés.
ce problème présente deux aspects. tout d’abord en abusant d’un protocole couramment utilisé comme https ou doh
les attaquants bénéficient des mêmes avantages en matière de confidentialité des canaux cryptés de bout en bout
que les utilisateurs légitimes. deuxièmement cela pose des difficultés aux administrateurs de réseaux.
le blocage des dns sous quelque forme que ce soit constitue en soi un défi.
mais désormais étant donné que les requêtes et les réponse dns sont chiffrées via https il devient fastidieux
pour les professionnels de la sécurité d’intercepter. d’isoler et d’analyser le trafic suspect parmi les nombreuses
requêtes https entrant et sortant du réseau.
Bonjour « zoulouland » (je n’ai pas le prénom, désolé), merci beaucoup pour ces informations apportées et bravo pour toutes ces connaissances partagées.
bonne soirée michel merci beaucoup pour ta réponse . pour changer un peut voici un petit sujet que l’on parle peu.
le banner grabbing ?
présentation au sein d’un si chaque information a son importance il est toujours crucial de savoir ce qui est vu par
l’utilisateur lambda.par l’attaquant ou par les équipes techniques.
nous allons aujourd’hui étudier ce qu’est le banner grabbing.et en quoi il est important pour la bonne gestion de la
sécurité du si.pour les gens qui suivent la sécurité depuis longtemps nous sonne donc bien au courant des différentes
techniques de scan tcp où udp. il faut savoir qu’après avoir pris connaissance que tel ou tel port est ouvert sur une
machine un attaquant va vouloir savoir ce qui tourne sur ce port quel type de service ? quelle est la version de ce service ?
c’est ici que la méthode du banner grabbing intervient.
le banner grabbing kézako ?
le banner grabbing ou le fait de récupérer la bannière. dans la langue de molière.est tout simplement le fait de
récupérer après une première connexion à un port et service visé le nom du service qui tourne sur ce port
ainsi qu’éventuellement sa version. en effet par souci de clarté et parfois de simplification des échanges.
la plupart des services annoncent sur le réseau aux clients après leur demande de connexion des informations
sur ce qu’il sont. lorsqu’un attaquant fait du banner grabbing. il est toujours dans la phase.
fingerprinting. c’est-à-dire qu’il va chercher à établir une cartographie du réseau et des systèmes et ainsi
dresser une liste de ce qui est présent.
le banner grabbing est tout simplement le fait d’ouvrir une session tcp sur un port donné et d’échanger
basiquement avec le service qui s’y trouve pour analyser ses réponses.et déterminer plus ou moins
facilement son type et sa version. bonjour je suis un serveur apache tournant sur debian et ma version est
2.2.22 c’est exactement le type d’information que nous pouvons retrouver lorsque nous faisons
du banner grabbing. c’est tout simplement la signature du service.
ces messages d’erreurs vous disent certainement quelque chose.
not found
the requested url / pagenonexist . php was not found on this server.
apache / 2.2.22 debian server at 192.168.10.67 port 80
affichage de la bannière apache. nous voyons ici un serveur web apache qui lors de l’affichage d’un code http 404
va tout simplement fournir sa bannière quand il est configuré par défaut. nous voyons ici la même chose pour
un serveur nginx 502 bad gateway nginx / 1.6.0
nous allons voir que le banner grabbing peut être aussi bien utilisé par les sysadmins dans la gestion quotidienne
du système d’information que par des attaquants ou des personnes un peu trop curieuses.
il faut tout d’abord savoir qu’il existe deux méthodes de banner grabbing
1 banner grabbing passif cette méthode est rarement utilisée mais a l’avantage d’être la plus discrète.
on ne va pas aller chercher l’information. mais plutôt attendre qu’elle passe par nos ports.
on va par exemple effectuer du sniff réseau et ensuite étudier les paquets qui transitent pour retrouver une bannière
sur un port et une ip donnée.
2 banner grabbing actif. c’est la méthode la plus utilisée. on va volontairement aller discuter et échanger avec le port
que l’on sait actif. afin d’étudier ses réponses et ainsi retrouver une signature nom du service version etc.
pour une personne malveillante.cette méthode peut avoir comme inconvénient qu’elle force à établir une connexion
avec la machine et ainsi à exposer des informations à son sujet. ip du poste effectuant le banner grabbing
par exemple.
si nous allons un peu plus loin dans l’exploration. ?
la plupart du temps le banner grabbing se fait par le client dans la relation client-serveur. c’est une information
qui peut être intéressante pour par exemple savoir comment communiquer.on retrouve communément
cet échange de version dans la détermination du chiffrement ssl ou tls à utiliser lors de l’initialisation d’une
session en https. mais cela s’éloigne quelque peu du sujet.
bonjour michel pour les gens qui souhaite avoir des traces pour une investigation.
voilà un exemple d’outils qui peut rendre quelles que service. bien que pas facile d’utilisation pour certains.
plaso faites parler vos données. construire une frise chronologique timeline à partir des données collectées
est un critère de réussite de votre investigation.
plaso est un logiciel open source développé en python avec différents modules en c.
à partir d’une image disque ou d’un point de montage. chiffré avec bitlocker.
ou des images de système de virtualisation qemu WMware virtualbox et hyperv.
il va faire une timeline de toutes les actions que le système d’exploitation a enregistrées dans son système
de fichiers. dans les journaux. et pour windows dans la base de registre. la mft et les shadows copy.
il remplace log2timeline utilitaire développé en perl mais qui n’est plus maintenu.
pour installer plaso. il est vivement conseillé d’utiliser soit le ppa de sans institute soit celui du développeur.
sudo add-apt-repository ppa:sift//stable.
sudo add-apt-repository ppa:kristinn-l/plaso-dev.
pour les plus téméraires il est possible de compiler ce logiciel au travers des sources.
le lecteur est invité à utiliser l’utilitaire. https://github.com/libyal/libyal en mode download pour télécharger
les bonnes versions et dans le répertoire utils des sources de plaso le script check _ dependancies.py
qui va vérifier si tout est installé correctement sur le système.
Bonjour et merci pour l’info, je ne connaissais pas plaso !
salut michel un grand merci pour ta réponse comme quoi non adresse mail
serait plus valide. en tu cas sympas de ta part de n’avoir répondu.
juste un petit truc niveau investigation bien utile parfois de prendre en contre.
connaître la date d’installation de windows.
la date d’installation est très importante lors d’une enquête médico-légale.
afin de comprendre rapidement quand un système d’exploitation
windows à été installé sur la machine analysée.
veuillez garder à l’esprit que sur windows 10 cette date peut faire référence
à la dernière mise à jours majeure.
par exemple la mise à jour des créateurs.
1 extraction du registre windows avec powershell.
il est possible de récupérer la date et l’heure directement depuis un registre
qui est.
hkey_local_machine\microsoft\windows nt \current version \installdate .
la valeur de la clé de registre installdate est exprimée en temps unix en quelques mots
elle affiche le temps en nombre de secondes depuis le 1er janvier 1970 .
vous pouvez obtenir une valeur lisible avec powershell en écrivant.
$date = get-itemproperty-path ‘hklm:\software\microsoft\windows nt\currentversion \
sélectionnez -expand property installdate.
la variable $date contient la date et l’heure de l’installation en heure unix.
afin de la convertir dans un format lisible par l’homme dans le même powershell
vous devez écrire .
( get-date » 1970 -01-01 00:00:00.000Z » )+ ([timespan]::fromseconds
( $date ))
vous avez maintenant une date et une heure d’installation lisibles
par l’homme.
exigence : powershell so: windows 7 +
merci beaucoup pour ta réponse