Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Annexe Ressources
Paru le 11 janvier 2007
Cette annexe contient des informations sur les diverses ressources que vous pouvez utiliser pour mener une enquête informatique.
Sur cette page
Préparation de votre organisation à une enquête informatique
Feuilles de calcul et modèles
Comment signaler des délits informatiques
Formation
Outils
Préparation de votre organisation à une enquête informatique
Pour préparer votre organisation à une enquête informatique interne, vous devez mettre en place une boîte à outils informatique prête à l'emploi comprenant logiciels et périphériques à utiliser pour l'acquisition des preuves Cette boîte à outils peut inclure un ordinateur portable comportant des outils logiciels, divers systèmes d'exploitation et correctifs, des supports d'application, des périphériques de sauvegarde, des supports vierges, des équipements réseau de base et des câbles. En fonction des enquêtes que vous serez amené à effectuer, la préparation de cette boîte à outils peut constituer une tâche continue si la nécessité de disposer d'outils et de ressources différents s'impose.
Reportez-vous aux recommandations suivantes lors de la création et de l'utilisation d'une boîte à outils d'enquête informatique :
Décidez des outils que vous prévoyez d'utiliser avant de démarrer l'enquête. Outre les outils Microsoft® Windows® Sysinternals et autres outils Windows décrits dans ce document, cette boîte à outils doit généralement contenir des logiciels dédiés à l'expertise judiciaire en informatique tels que Encase de Guidance Software, The Forensic Toolkit (FTK) de AccessData ou ProDiscover de Technology Pathways.
Veillez à archiver et à conserver les outils. Vous aurez peut-être besoin d'une copie de sauvegarde des outils et logiciels d'enquête informatique que vous utilisez pour prouver comment vous avez rassemblé et analysé les données.
Répertoriez tous les systèmes d'exploitation que vous allez probablement analyser et vérifiez que vous disposez des outils nécessaires pour l'analyse de chacun. Vous pouvez, par exemple, utiliser les outils Windows Sysinternals (décrits ci-après dans cette annexe) tels que PsInfo, PsLogList et ProcessExplorer afin d'examiner les ordinateurs qui utilisent Windows XP et Windows Server® 2003.
Intégrez un outil pour recueillir et analyser les métadonnées.
Intégrez un outil pour créer des copies bit à bit et logiques.
Intégrez des outils pour recueillir et analyser les données volatiles, telles que l'état du système. ListDLLs, LogonSessions, PendMoves, Autoruns et ProcessExplorer sont quelques exemples d'outils Windows Sysinternals. Les outils Windows comprennent Systeminfo, Ipconfig, Netstat et Arp.
Intégrez un outil tel que File Checksum Integrity Validator (FCIV) pour générer des sommes de contrôle et des signatures numériques dans des fichiers et autres données. Cet outil est disponible à partir de l'article 841290 Availability and description of the File Checksum Integrity Verifier utility (Disponibilité et description de l'utilitaire de vérification d'intégrité de somme de contrôle de fichier) de la Base de connaissances Microsoft.
Si vous devez recueillir des preuves physiques, pensez à intégrer un appareil photo numérique dans votre boîte à outils.
Vérifiez que votre boîte à outils répond aux critères suivants :
Les outils d'acquisition de données ont une précision prouvée. Pour démontrer cette précision, il est souvent plus facile d'utiliser des logiciels réputés d'expertise judiciaire en informatique.
Les outils ne modifient pas le temps d'accès aux fichiers.
Le périphérique de stockage de l'enquêteur est vide du point de vue de l'expertise judiciaire, ce qui signifie que le lecteur de disque ne contient aucune donnée avant son utilisation. Vous pouvez déterminer si un périphérique de stockage est vide du point de vue de l'expertise judiciaire en calculant une somme de contrôle sur le périphérique. Si la somme de contrôle renvoie uniquement des zéros, il ne contient aucune donnée.
Les outils et le matériel de l'enquêteur sont uniquement utilisés pour le processus d'enquête informatique et pour aucune autre tâche.
Feuilles de calcul et modèles
Le tableau ci-dessous contient une liste des feuilles de calcul et des modèles que vous pouvez utiliser dans le cadre de votre enquête informatique. Certaines de ces ressources sont disponibles sous forme de documents Word distincts et sont inclus dans le fichier du Centre de téléchargement Microsoft depuis lequel vous avez extrait ce guide. D'autres ressources sont disponibles en cliqant sur le lien vers le site Web du National Institute of Justice.
Tableau A.1. Feuilles de travail et exemples
| Nom du document | Emplacement |
|---|---|
| Feuille de travail : Chain of Custody Log Documentation.doc (Documentation sur la chaîne de traçabilité) Feuille de travail : Impact Analysis.doc (Analyse de l'impact) Exemple : Internal Investigation Report.doc (Rapport d'enquête interne) | Lien vers le Guide des principes fondamentaux de l'enquête informatique pour Windows sur le Centre de téléchargement Microsoft. |
| Preuves informatiques Preuves du disque dur Supports amovibles | Annexe C. Exemple de feuilles de travail dans le document Forensic Examination of Digital Evidence: A Guide for Law Enforcement rédigé par le National Institute of Justice, une agence du Ministère de la Justice américain. |
| Type de délit | Organismes appropriés |
|---|---|
| Exploitation des enfants et fraude sur Internet liées au courrier | U.S. Postal Inspection Service Internet Crime Complaint Center |
| Pédophilie ou exploitation des enfants | Agence de police locale Votre bureau local du FBI En cas d'importation, U.S. Immigration and Customs Enforcement Internet Crime Complaint Center |
| Intrusion informatique (piratage) | Votre bureau local du FBI United States Secret Service Internet Crime Complaint Center Corps expéditionnaire de criminalité haute technologie local ou agence de police locale |
| Piratage (logiciels, films et enregistrements sonores) | Votre bureau local du FBI En cas d'importation, U.S. Immigration and Customs Enforcement Internet Crime Complaint Center Unité d'intervention spécialisée dans les délits liés à la haute technologie ou agence de police locale |
| Contrefaçon de devises | United States Secret Service |
| Vol d'informations personnelles ou de données de clients | Votre bureau local du FBI United States Secret Service (Financial Crimes Division) Formulaire de plainte de consommateur du FTC Internet Crime Complaint Center Unité d'intervention spécialisée dans les délits liés à la haute technologie ou agence de police locale |
| Alertes à la bombe sur Internet | Votre bureau local du FBI Votre bureau local de l'ATF Unité d'intervention spécialisée dans les délits liés à la haute technologie ou agence de police locale |
| Fraude sur Internet et courrier indésirable (spam) | Votre bureau local du FBI United States Secret Service (Financial Crimes Division) Formulaire de plainte de consommateur du FTC En cas de fraude boursière ou de courrier électronique indésirable lié à des investissements, contactez le SEC Center for Complaints and Informant Tips Internet Crime Complaint Center Unité d'intervention spécialisée dans les délits liés à la haute technologie ou agence de police locale |
| Harcèlement sur Internet | Votre bureau local du FBI Unité d'intervention spécialisée dans les délits liés à la haute technologie ou agence de police locale |
| Trafic de mots de passe | Votre bureau local du FBI United States Secret Service Internet Crime Complaint Center Unité d'intervention spécialisée dans les délits liés à la haute technologie ou agence de police locale |
| Vol de secrets de fabrication | Votre bureau local du FBI Unité d'intervention spécialisée dans les délits liés à la haute technologie ou agence de police locale |
| Contrefaçon de marque déposée | Votre bureau local du FBI En cas d'importation, U.S. Immigration and Customs Enforcement Internet Crime Complaint Center Unité d'intervention spécialisée dans les délits liés à la haute technologie ou agence de police locale |
| Trafic d'armes à feu et de matériel explosif ou incendiaire sur Internet | Votre bureau local du FBI Votre bureau local de l'ATF |
Formation
Faites en sorte que quelques membres au moins de votre équipe participent à une formation officielle sur le thème de l'enquête informatique. Sans formation adéquate, il est peu probable que votre équipe soit efficace au cours de l'enquête. Pire, des examinateurs inexpérimentés pourraient perturber l'enquête en détruisant accidentellement des preuves volatiles.
Pour obtenir la liste des agences à but non lucratif, des organisations, des organismes fédéraux chargés de l'application de la loi et des établissements d'enseignement qui assurent des formations dans le domaine de l'expertise judiciaire en informatique, consultez l'annexe G. « Training Resources List » du guide Forensic Examination of Digital Evidence: A Guide for Law Enforcement publié par le National Institute of Justice, une agence du Ministère de la Justice américain.
Outils
Chaque enquête sera probablement différente. Les outils que vous utilisez doivent être adaptés au processus d'acquisition des informations que vous recherchez. Il est toujours souhaitable de rassembler plus de preuves que nécessaire.
Cette section contient des informations sur les outils Windows Sysinternals et d'autres outils de Windows qui peuvent vous aider à mener une enquête informatique interne. Les types d'outils sont représentés par des icônes dans la première colonne du tableau ci-dessous :
Tableau A.3. Types d'outils
| Icône | Description |
|---|---|
.gif) |
Cette icône représente un outil de ligne de commande. |
.gif) |
Cette icône représente un outil avec une interface graphique qui nécessite une installation et modifie le lecteur cible. |
| Type d'outil | Nom | Description |
|---|---|---|
| |
AccessChk v2.0 | Affiche les accès aux fichiers, aux clés de Registre et aux services Windows de l'utilisateur ou du groupe spécifié. |
| |
AccessEnum v1.3 | Affiche qui a accès aux différents dossiers, fichiers et clés de registre d'un ordinateur. A utiliser pour trouver les emplacements auxquels des autorisations n'ont pas été correctement appliquées. |
| |
Autoruns v8.53 | Affiche les programmes configurés pour s'exécuter automatiquement lors du démarrage de l'ordinateur et de la connexion de l'utilisateur (affiche également la liste complète des emplacements de registre et de fichiers où les applications peuvent configurer les paramètres de démarrage automatique). |
| |
Autorunsc v8.53 | Version de ligne de commande du programme Autoruns (décrit précédemment). |
| |
Diskmon | Capture toute l'activité d'un disque dur. Agit comme un voyant d'activité des logiciels dans la barre d'état du système. |
| |
DiskView | Utilitaire graphique de secteur de disque; visionneuse de disque. |
| |
Du v1.3 | Affiche l'utilisation du disque par répertoire. |
| |
Filemon v7.03 | Affiche toute l'activité du système de fichiers en temps réel. |
| |
Handle v3.2 | Affiche les fichiers ouverts et les processus qui ont ouvert ces fichiers. |
| |
ListDLLs v2.25 | Affiche toutes les DLL qui sont actuellement chargées, y compris leur emplacement et leur numéro de version (indique le nom de chemin complet des modules chargés). |
| |
LogonSessions v1.1 | Répertorie toutes les sessions actives |
| |
PendMoves v1.1 | Affiche les commandes de changement de nom et de suppression qui seront exécutées au prochain démarrage de l'ordinateur. |
| |
Portmon v3.02 | Affiche l'activité des ports série et parallèle (affiche également une partie des données en cours d'envoi et de réception). |
| |
Process Explorer v10.2 | Affiche les fichiers, les clés de registre et autres objets que les processus ont ouvert, les DLL chargées, les propriétaires, etc. |
| |
PsExec v1.72 | Exécute des processus à distance. |
| |
PsFile v1.01 | Affiche tous les fichiers ouverts. |
| |
PsInfo v1.71 | Affiche les informations concernant un ordinateur. |
| |
PsList v1.27 | Affiche les informations concernant les processus et les threads. |
| |
PsLoggedOn v1.32 | Affiche les utilisateurs qui ont ouvert une session sur un ordinateur. |
| |
PsLogList v2.63 | Vide les enregistrements des journaux d'événements. |
| |
PsService v2.2 | Affiche et contrôle les services. |
| |
Regmon v7.03 | Affiche toute l'activité du registre en temps réel. |
| |
RootkitRevealer | Recherche les logiciels malveillants rootkit. |
| |
ShareEnum v1.6 | Recherche les partages de fichiers sur un réseau et affiche leurs paramètres de sécurité afin d'éliminer les paramètres qui ne sont pas correctement appliqués. |
| |
Streams v1.53 | Révèle les flux de données NTFS alternatifs |
| |
Strings v2.3 | Recherche les chaînes ANSI et UNICODE dans les images binaires. |
| |
TCPVcon v2.34 | Affiche les sockets actifs. |
| |
TCPView v2.4 | Affiche tous les points de terminaison TCP et UDP ouverts et le nom du processus propriétaire de chaque point de terminaison. |
| |
TDIMon v1.01 | Affiche des informations TCP/IP. |
| |
Tokenmon v1.01 | Affiche l'activité ayant trait à la sécurité, dont les ouvertures et fermetures de session, l'utilisation des autorisations et l'usurpation d'identité. |
| Type d'outil | Nom | Description |
|---|---|---|
| |
Arp | Affiche les tables ARP (Address Resolution Protocol). |
| |
Date | Affiche le paramètre de date courant. |
| |
Dir | Affiche une liste des fichiers et des sous-répertoires. |
| |
Doskey | Affiche l'historique des commandes pour un shell CMD.EXE ouvert. |
| |
Ipconfig | Affiche la configuration de l'ordinateur local. |
| |
Net | Met à jour, répare ou affiche le réseau ou les paramètres réseau. |
| |
Netstat | Affiche des statistiques de protocole et des informations sur la connexion actuelle. |
| |
Time | Affiche le paramètre d'heure courant |
| |
Find | Recherche une chaîne dans des fichiers. |
| |
Schtasks | Affiche les tâches planifiées. |
| |
Systeminfo | Affiche des informations générales sur l'ordinateur. |
| |
Vol | Affiche le nom et le numéro de série du volume, s'ils existent. |
| |
Hostname | Affiche la partie nom d'hôte du nom complet de l'ordinateur. |
| |
Openfiles | Interroge, affiche ou déconnecte les fichiers ouverts ou les fichiers ouverts par des utilisateurs en réseau. |
| |
FCIV | File Checksum Integrity Verifier. S'utilise pour calculer un hachage cryptographique MD5 ou SHA1 du contenu d'un fichier. |
| |
Bloc- Remarque :s | S'utilise pour examiner les métadonnées associées à un fichier. |
| |
Reg | S'utilise pour afficher, modifier, exporter, enregistrer ou supprimer des clés, des valeurs et des ruches du registre. |
| |
Netcap | Rassemble des informations concernant les traces sur le réseau à partir de la ligne de commande. |
| |
Sc | S'utilise pour communiquer avec le contrôleur des services et les services. Une requête Sc permet de viderr tous les services et leur état. |
| |
Assoc | Affiche ou modifie les associations d'extensions de noms de fichiers. |
| |
Ftype | Affiche ou modifie les types de fichiers utilisés dans les associations de noms de fichiers. |
| |
Gpresult | Détermine l'ensemble des stratégies résultantes. |
| |
Tasklist | Affiche la liste des processus en cours d'exécution et les modules chargés. |
| |
MBSA | Détermine l'état des correctifs de sécurité et autres vulnérabilités connues. |
| |
Rsop.msc | Affiche l'ensemble des stratégies résultantes. |
| |
Rasdiag | Rassemble les informations de diagnostic sur les services distants et place ces informations dans un fichier. |