Investigation numérique : Retrouver des traces d’un pirate

  1. Accueil
  2. Anonymat
  3. Investigation numérique : Retrouver des traces d’un pirate

L’investigation numérique tirée de l’anglais « computer forensics » consiste à retrouver des traces laissées sur un support numérique.

Typiquement il s’agit de trouver des éléments pouvant constituer des preuves afin de déposer plainte pour intrusion informatique.

Je ne vais pas me permettre de donner des conseils de professionnels à ce sujet et il faut savoir qu’il existe des formations complètes pour cela, mais voici des pistes intéressantes pour retrouver des traces d’un pirate.

Cela s’applique notamment si vous êtes un particulier ayant subi un piratage, qui souhaite en toute légitimité connaitre l’erreur faite pour en arriver là, et potentiellement trouver le responsable du problème.

investigation numérique

L’investigation numérique chez soi

On laisse beaucoup de traces derrière nous sans même le savoir. Bien que la question de l’anonymat se pose naturellement, des avantages liés à ces traces se présentent tout de même dans certains cas :

  • Premièrement, il y a les évidents rapports de plantage : Quand et pourquoi telle application s’est arrêtée. Ce n’est pas le but de l’article.
  • Deuxièmement il y a les traces sur les activités du passé qui permettent de recréer la scène et d’observer la source du problème. Nous allons nous focaliser sur ce point.

Se rappeler des dernières actions si possible

Imaginons que vous venez de subir un piratage, inutile de scanner ou nettoyer votre ordinateur sur le champ ni même de supprimer les sites visités et les fichiers téléchargés. Au contraire c’est à ne surtout pas faire pour retrouver l’origine du problème, notamment avec les conseils qui vont suivre.

Supprimer un fichier suspect est une procédure qu’on emploie régulièrement alors qu’il est parfois utile de le garder.

Vous venez d’être piraté(e) ou vous suspectez une activité malveillante ? Essayez de vous rappeler de ce que vous avez fait pour en arriver là :

  • Quels sont les derniers sites visités
  • Quels sont les derniers programmes installés
  • Est-ce qu’une clé USB a été branchée
  • Quel est le dernier réseau auquel je me suis connecté
  • Quel ordinateur (ou périphérique) a été utilisé dernièrement
  • etc…

La suite de l’article vous épaulera dans votre tâche.

Retrouver les traces laissées sur Internet

C’est un point assez difficile à gérer dans la mesure où les traces ne sont pas toutes disponibles localement. L’historique des sites visités, si disponible, permet pour commencer de retrouver un éventuel site malveillant, à savoir :

Pour cela il n’y a pas trop de secrets, il faut connaître ces attaques afin de savoir les repérer. Si cela vous semble trop compliqué, l’idéal est de laisser une autre personne s’en charger pour vous.

« L'investigation numérique pour retrouver la trace des pirates »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Retrouver les traces laissées sur l’ordinateur

Pour commencer, on rappellera qu’il faut se baser sur les doutes qu’on a. Il faut donc essayer de savoir si le problème est survenu après installation d’un programme, ou d’une extension de navigateur, ou plutôt après avoir visité un site…etc.

Voici certaines méthodes pour trouver des traces stockées sur votre ordinateur :

Les événements Windows

Windows et d’autres programmes enregistrent régulièrement ce qu’il se passe sur l’ordinateur afin de tenir un historique des actions effectuées.

Cet historique d’événements s’appelle Event Viewer (Observateur d’événements) et est visible en tapant « eventvwr.msc » dans la barre de recherche du menu démarrer.

Le voici en version anglaise sur mon ordinateur actuel :

eventlog

Rechercher des événements est assez fastidieux via ce programme, je ne vais pas trop m’étendre dessus surtout qu’on verra ensuite une façon automatique d’observer ces actions.

Nous pouvons par exemple chercher une application qui ne répondait plus en cliquant sur Windows Logs dans le panneau de gauche, puis en effectuant un clic droit sur « Système » afin de choisir « Créer une vue personnalisée ». Enfin, on sélectionne « par source » et on coche « Microsoft Windows security auditing » :

microsoftsecurityauditng

On valide et on observe dans la liste toutes les fois où un compte s’est connecté sur l’ordinateur.

L’observateur d’événements contient bien d’autres événements par exemple sur l’heure de mise en veille, de connexion au réseau, de création et d’utilisation d’un point de restauration…etc

Le registre de Windows

Le registre de Windows stocke des paramètres généraux sur les applications et sur le système. Et certains d’entre eux sont extrêmement intéressants pour trouver les derniers fichiers ouverts et programmes lancés, l’idéal pour retrouver un programme malveillant.

Inutile de chercher dans le registre, un programme existe pour afficher toutes les dernières activités de l’ordinateur : LastActivityView.

LastActivityView cherche des événements intéressants dans l’observateur d’événements que nous avons vu juste avant mais aussi dans le registre et dans certains dossiers.

lastactivityview-francais

Vous avez repéré des programmes ou fichiers suspects via ce programme ? Lisez ce qui suit.

Les fichiers et programmes reçus

Que ce soit un fichier téléchargé, reçu par e-mail ou même par clé USB, certains peuvent contenir des informations intéressantes sur leur origine.

C’est notamment le cas des images : Elles peuvent contenir des métadonnées EXIF. C’est-à-dire des données identifiants le lieu de la prise de photo et la marque de l’appareil utilisé, entre autres.

forensique informatique : exif

Dans le cas des programmes, vous pouvez utiliser des services en ligne comme Anubis qui vont littéralement exécuter le programme suspect et vous dire ce qu’il fait.

Il est également possible de décompiler les programmes pour retrouver son code source. C’est un domaine à part entière appelé Reverse Engineering ou « rétroingénierie » en français.

Il est relativement facile de retrouver le code source des programmes dits « managés » (.NET). Et étant donné que nombre de programmes malveillants sont crées via des langages managés, on retrouve facilement l’adresse mail (ou d’autres données des pirates).

Plus d’informations ici : Pister un hacker et là : Savoir si vous êtes piraté(e).

Les fichiers supprimés (ou pas)

Enfin, il est possible dans une certaine mesure de récupérer les fichiers supprimés. Ici « supprimés » signifie « supprimés de la Corbeille ».

Cela s’applique notamment si vous avez trop rapidement supprimé des fichiers que vous pensiez malveillants alors qu’ils peuvent vous servir.

Bien que garder un programme potentiellement malveillant puisse sembler bizarre, le placer dans un dossier pour l’étudier notamment via le point précédent (sans cliquer dessus bien sûr) ne pose pas de problèmes immédiats.

Recuva est le programme de récupération le plus populaire.

Utiliser des outils (très) spécialisés

Le domaine de l’investigation numérique est vaste et il existe beaucoup de programmes plus ou moins ciblés sur ce que l’on souhaite (re)découvrir.

Voici une liste de programmes d’analyse forensique populaires :

  • Digital Forensics Framework : Un environnement complet permettant d’accéder aux disques, aux périphériques, aux données des processus, du réseau…et bien d’autres pour y retrouver des données.
  • Volatility : Un outil permettant de retrouver des données dans la mémoire.
  • Bulk Extractor : Un outil qui permet de trouver des adresses e-mail, des adresses IP, des URLs…etc à partir d’un dossier, disque ou fichier.

Une liste complète d’outils forensics se trouve ici.

En espérant que cet article d’introduction sur l’investigation numérique vous a plu et vous aide à retrouver la source de problèmes informatiques ou de piratage.

Lecture complémentaire :

Le guide Les Secrets sur Notre Anonymat vous expliquera :

  • Comment votre identité peut être retrouvée via une adresse e-mail (même en pensant avoir effacé vos traces)
  • Comment visiter des sites, blogs ou forums « supprimés » mais toujours visibles
  • Comment on vous piste sur Internet
  • etc…

Et si votre compte a été piraté voici comment récupérer un compte piraté

18 Commentaires
Cliquez ici pour ajouter un commentaire

  • Tres complet l’article, merci à toi c’est vraiment cool de ta part 😀

    Répondre
  • Bon article comme toujours, merci Michel.

    Répondre
  • Bonjour mon PC de marque TOSHIBA 15 pouce vient etre volé de serie L7257_S7805

    Répondre
  • C’est vrai tu fait de trés bonne chose ! merci michel.
    Pas contre le logiciel, sur métadonnées EXIF que tu utilise ici, c’est un logiciel sur linux !
    Je voudrai bien connaitre son nom !
    merci si tu peut me le donner.

    Répondre
  • J’ajouterais qu’il est parfois utile de faire appel à un détecteur de rootkits pour détecter les fichiers entièrement cachés.
    Sinon, magnifique article comme toujours…

    Répondre
  • je viens d’être victime d’un piratage
    je n’ai plus accès à mon compte Yahoo qui vient d’être piraté

    Répondre
  • Bonjour,

    Je vais apporter quelques éléments de sécurité standard très souvent délaissés voir oublié par l’utilisateur.

    Tout d’abord, IL EST IMPORTANT DE TOUJOURS OUVRIR ET TRAVAILLER AVEC UN COMPTE UTILISATEUR WINDOWS SANS DROIT « ADMINISTRATEURS ».

    Lorsqu’un programme tente de s’installer (par exemple), Windows demandera à l’utilisateur « Standard » de confirmer l’installation avec son mot de passe « Administrateurs ». C’est une mesure de sécurité qu’il ne faut pas sous-estimer mais qu’il faut APPLIQUER TOUT DE SUITE ! 🙂

    Ensuite, concernant les journaux d’événements Windows, là aussi il est très facile pour un « pirate » d’effacer les TRACES malheureusement sur votre machine s’il prend la main en s’étant créé un compte dans le Groupe « Administrateurs » ou encore s’il se sert de votre Session Windows « Administrateurs ».

    Généralement, dans le domaine de « l’Administration Systèmes et Réseau », on procède à une centralisation de l’ensemble des activités équipements, applications, systèmes etc. sur un serveur distant sécurisé justement pour préserver et sécuriser la totalité des journaux d’événements et logs…

    Evidemment ce type de technique de consolidation et de sécurisation d’un S.I n’est pas à la portée de tout le monde, surtout lorsqu’il s’agit d’une installation « grand public », mais il est relativement simple d’installer un petit serveur de logs avec une interface client et une base de données appropriée couplés au système « Events Log » de Windows. Pour info, l’interface NxLog (par ex) permet la conversion des « Events Log » vers différents formats de communication. Il est possible d’intégrer la totalité des événements Systèmes, Applicatifs, Sécurité, Hardwares, GPO etc. sur son serveur et logs ET BIEN PLUS ! 🙂

    Autre mesure de sécurité standard souvent « occultée » ou oubliée par l’utilisateur « lambda » est la réalisation de point de restauration système. On remarquera que beaucoup d’utilisateurs oublient ou ne sont pas au courant qu’il faut vérifier si l’ordinateur a bien son système de restauration activé et configuré. Il est conseillé par exemple de CRÉER MANUELLEMENT UN POINT DE RESTAURATION SYSTÈME CHAQUE SEMAINE OU SI VOUS AVEZ DES DOUTES SUR LES SITES INTERNET QUE VOUS COMPTEZ VISITER! 🙂

    PS: Pensez à protéger et sécuriser vos équipements (PC, Tablette, Smartphone…)

    Répondre
  • Slt, je suis victimes d’un piratage.
    La personne à utiliser un faux compte pour me filmer.
    Maintenant il me joue du chantage avec ça.
    Es ce que quelqu’un peut m’aider à lui trace. Ou de faire en sorte qu’il arrêter. Merci

    Répondre
  • […] fait de savoir faire une recherche Google. Vous n’avez pas besoin d’être un génie en investigation numérique pour faire une recherche, comme Rebecca l’a fait, afin de vous renseigner sur les arnaques […]

    Répondre
  • […] Investigation numérique […]

    Répondre
  • Très bon article très complet !

    Répondre
  • bonne soirée michel dans les commentaires de certains je voie encore de fausse idée.
    pour tracer un pirate. cela peut être bon pour avoir un déboutant qui pirate. car peut aux courant des moyen de sécurité
    qui sont en place. pour les pro cela peut être beaucoup plus dur. car eux savent masquer leurs trace.

    et beaucoup de gens se font avoir car pas aux courant des technique utiliser pour cela.
    même les grosse boit de sécurité ce font avoir. pour cacher leurs traces les attaquants abusent des plateformes

    et des protocoles de confiance pour échapper aux contrôles de sécurité.

    voici quelques tactiques utilisées par les cybercriminels. en plus d’utiliser des techniques de camouflage
    de stéganographie et d’empaquetage de logiciels malveillants. les acteurs de la menace profitent souvent

    aujourd’hui de services de plateformes. de protocoles et d’outils légitimes pour mener leurs activités.
    ils peuvent ainsi se fondre dans un trafic ou une activité qui peut sembler propre aux analystes.

    humains et aux machines. voici comment les pirates font pour brouiller les pistes.

    aujourd’hui. débrancher les alarmes d’outils des plateformes.
    c’était un thème commun vu par les professionnels de la sécurité en 2020. qui s’est immiscé cette année.

    des service et outils de tests de pénétrations tels que cobalt strike et ngrok aux écosystèmes de code open
    source établis comme github en passant par les sites d’images et de textes comme imgur et pastebin.

    les attaquants ont ciblé un large éventail de plateformes de confiance au cours des dernières années.
    en général ngrok est utilisé par des hackers éthiques désireux de collecter des données ou de mettre en place

    des tunnels fictifs. pour les connexions entrantes dans le cadre d’exercices de bug-bounty ou de pen-testing
    mais des acteurs malveillants ont abusé de ngrok pour installer directement des logiciels malveillants de

    botnet ou pour connecter un service de communication légitime à un serveur malveillant.

    de même les outils d’automatisation dont dépendent les développeurs ne sont pas à l’abri d’une exploitation.
    des attaquants ont abusé des actions github pour cibler des centaines de dépôts dans une attaques automatisée

    qui utilisait le serveur et les ressources de github pour le minage de crypto-monnaies.

    ces exemples montrent pourquoi les attaquants trouvent de l’intérêt à cibler des plateformes légitimes
    que de nombreux pare-feu et outils de surveillance de la sécurité ne bloquent pas forcément.

    tirer parti de la réputation d’une marque

    que se soit sous la forme de typosquatting de brandjacking ou de confusion de dépendances
    qui a d’abord été révélée comme une recherche de preuve de concept. mais qui a ensuite été utilisée à des
    fins malveillantes. les attaques en amont exploitent la confiance au sein d’écosystèmes de partenaires

    connus et capitalisent sur la popularité ou la réputation d’une marque ou d’un composant logiciel.
    les attaquants cherchant à pousser le code malveillant en amont vers une base de code de confiance

    associée à une marque qui est ensuite distribuée en aval à la cible finale. les partenaires les clients ou les
    utilisateurs de cette marque.

    utilisation des canaux et des protocoles communs

    à l’instar des plateformes et des marques de confiances les canaux ports et protocoles chiffrés utilisés par les
    applications légitimes. peut être un autre moyen pour les attaquants de masquer leurs traces.

    par exemple https est un protocole universellement indispensable pour le web.
    aujourd’hui et pour cette raison le port 443 utilisé par https/ssl est très difficile à bloquer dans un environnement

    d’entreprise. cependant le dns sur https doh un protocole de résolution de domaines utilise également le port 443
    et les auteurs de logiciels malveillants en ont abusé pour se connecter avec les serveurs de commandes

    de contrôle c2 depuis les systèmes infectés.

    ce problème présente deux aspects. tout d’abord en abusant d’un protocole couramment utilisé comme https ou doh
    les attaquants bénéficient des mêmes avantages en matière de confidentialité des canaux cryptés de bout en bout

    que les utilisateurs légitimes. deuxièmement cela pose des difficultés aux administrateurs de réseaux.
    le blocage des dns sous quelque forme que ce soit constitue en soi un défi.

    mais désormais étant donné que les requêtes et les réponse dns sont chiffrées via https il devient fastidieux
    pour les professionnels de la sécurité d’intercepter. d’isoler et d’analyser le trafic suspect parmi les nombreuses

    requêtes https entrant et sortant du réseau.

    Répondre
    • Bonjour « zoulouland » (je n’ai pas le prénom, désolé), merci beaucoup pour ces informations apportées et bravo pour toutes ces connaissances partagées.

      Répondre
  • bonne soirée michel merci beaucoup pour ta réponse . pour changer un peut voici un petit sujet que l’on parle peu.

    le banner grabbing ?

    présentation au sein d’un si chaque information a son importance il est toujours crucial de savoir ce qui est vu par
    l’utilisateur lambda.par l’attaquant ou par les équipes techniques.

    nous allons aujourd’hui étudier ce qu’est le banner grabbing.et en quoi il est important pour la bonne gestion de la
    sécurité du si.pour les gens qui suivent la sécurité depuis longtemps nous sonne donc bien au courant des différentes

    techniques de scan tcp où udp. il faut savoir qu’après avoir pris connaissance que tel ou tel port est ouvert sur une
    machine un attaquant va vouloir savoir ce qui tourne sur ce port quel type de service ? quelle est la version de ce service ?

    c’est ici que la méthode du banner grabbing intervient.

    le banner grabbing kézako ?

    le banner grabbing ou le fait de récupérer la bannière. dans la langue de molière.est tout simplement le fait de
    récupérer après une première connexion à un port et service visé le nom du service qui tourne sur ce port

    ainsi qu’éventuellement sa version. en effet par souci de clarté et parfois de simplification des échanges.
    la plupart des services annoncent sur le réseau aux clients après leur demande de connexion des informations
    sur ce qu’il sont. lorsqu’un attaquant fait du banner grabbing. il est toujours dans la phase.

    fingerprinting. c’est-à-dire qu’il va chercher à établir une cartographie du réseau et des systèmes et ainsi
    dresser une liste de ce qui est présent.

    le banner grabbing est tout simplement le fait d’ouvrir une session tcp sur un port donné et d’échanger
    basiquement avec le service qui s’y trouve pour analyser ses réponses.et déterminer plus ou moins

    facilement son type et sa version. bonjour je suis un serveur apache tournant sur debian et ma version est
    2.2.22 c’est exactement le type d’information que nous pouvons retrouver lorsque nous faisons

    du banner grabbing. c’est tout simplement la signature du service.

    ces messages d’erreurs vous disent certainement quelque chose.

    not found

    the requested url / pagenonexist . php was not found on this server.
    apache / 2.2.22 debian server at 192.168.10.67 port 80

    affichage de la bannière apache. nous voyons ici un serveur web apache qui lors de l’affichage d’un code http 404
    va tout simplement fournir sa bannière quand il est configuré par défaut. nous voyons ici la même chose pour

    un serveur nginx 502 bad gateway nginx / 1.6.0

    nous allons voir que le banner grabbing peut être aussi bien utilisé par les sysadmins dans la gestion quotidienne
    du système d’information que par des attaquants ou des personnes un peu trop curieuses.

    il faut tout d’abord savoir qu’il existe deux méthodes de banner grabbing

    1 banner grabbing passif cette méthode est rarement utilisée mais a l’avantage d’être la plus discrète.
    on ne va pas aller chercher l’information. mais plutôt attendre qu’elle passe par nos ports.

    on va par exemple effectuer du sniff réseau et ensuite étudier les paquets qui transitent pour retrouver une bannière
    sur un port et une ip donnée.

    2 banner grabbing actif. c’est la méthode la plus utilisée. on va volontairement aller discuter et échanger avec le port
    que l’on sait actif. afin d’étudier ses réponses et ainsi retrouver une signature nom du service version etc.

    pour une personne malveillante.cette méthode peut avoir comme inconvénient qu’elle force à établir une connexion
    avec la machine et ainsi à exposer des informations à son sujet. ip du poste effectuant le banner grabbing

    par exemple.

    si nous allons un peu plus loin dans l’exploration. ?

    la plupart du temps le banner grabbing se fait par le client dans la relation client-serveur. c’est une information
    qui peut être intéressante pour par exemple savoir comment communiquer.on retrouve communément

    cet échange de version dans la détermination du chiffrement ssl ou tls à utiliser lors de l’initialisation d’une
    session en https. mais cela s’éloigne quelque peu du sujet.

    Répondre

Laisser un commentaire

Menu