Escolar Documentos
Profissional Documentos
Cultura Documentos
LOGO
Cyber crime
« Les preuves »
Haythem EL MIR, CISSP
CTO, ANSI
Chef de l’Unité IRT, TunCERT
www.company.com
Company Agenda
LOGO
• Introduction
• Définition
• Etat de l’art des cyber crimes
• Investigation
• Collecte de preuve
• Condition d’admissibilité
• Cas d’exemple
• Vol d’identité
• Phishing
• Usage des proxy
• Conclusion
www.company.com
Company Définition (wikipedia)
LOGO
Intrusion
Motivation:
Pour nuire, endommager, modifier le système
Voler des données sensibles (Carte de crédit, …)
Peut impliquer d’autre violation
Une intrusion dans une banque pour voler de l’argent
Une intrusion dans une entreprise ou base de
données universitaire pour voler des données
personnelles
www.company.com
Company Le système comme cible
LOGO
Keylogger
Malware,
espionnage industriel, Spyware
piratage de logiciel,
Hacking, Worms
DDoS
Virus
Bots
Trojans
www.company.com
Company Le système comme outil
LOGO L’ordinateur facilite le crime
www.company.com
Company Le commerce des cyber crimes
LOGO
Déclaré
Enquêtés
CONDAMNÉES
www.company.com
Company Et le criminel …
LOGO
www.company.com
Company Comment il est ce hacker?
LOGO
• Adolescent
• Etudiant
• Employée
• Concurrent
• Gouvernement étranger
• Mafia
www.company.com
Company Pourquoi les criminel sont sur Internet
LOGO
Anonymat
Indépendant d’un emplacement physique
Plus facile d’exercer (outils disponibles et
techniques devenues très simples)
Transfert de fond plus facile
Champs d’action très vaste
C’est un commerce très profitable
Un business à très bas risque (Troues
juridiques, victime qui ne déclare pas,
difficulté de retraçage, crimes
intercontinentaux)
www.company.com
Company Les étapes de l’investigation
LOGO
• Acquisition
• Obtenir la possession de l’ordinateur, toutes les
connectivités, tous les outils de stockage.
• Identification
• Déterminer ce qui peut être récupéré, et lancer
différentes opérations de récupération
• Evaluation
• Evaluer les données en possession et les données
récupérée et déterminer comment utiliser ces données
contre le suspect
• Présentation
• Présentation des éléments de preuve découverts d’une
manière qui soit compréhensible par l’avocat et les non-
techniciens
www.company.com
Company L’investigation : La scène de crime
LOGO
• Pour l’analyse
• Faire l’analyse sur une copie
• Faire plusieurs copies sans toucher à la copie
originale
• Utiliser les technique de hashage et d’horodatage
pour pouvoir prouver que les données n’ont pas
www.company.com été altérées
Company Localisation des preuves: physique
LOGO
www.company.com
Company Localisation des preuves: numérique
LOGO
• Volatile
• RAM (outils d’acquisition spécifique)
• Spooler de l’imprimante
• Non-volatile
• Base de registre
• Fichiers, types de fichiers et répertoire (exemple
FAT et NTFS) – information masquée dans MFT /
alternative data streams (ADS)
• Les comptes e-mail te les entête email
• Cookies
• Historique de navigation Internet
• Le BIOS
www.company.com
Company Cycle de vie des preuves
LOGO
• Découverte et reconnaissance
• Protection
• Enregistrement
• Collecte
• Rassembler tous les supports de stockage
• Faire image du disque dur avant de
déconnecter le secteur électrique
• Faire un imprime écran
• Évitez de démagnétisation des
équipements
• Identification (étiquetage et marquage)
• Préservation
• Protéger les supports magnétiques de
l'effacement (protection contre l’écriture)
• Stocker dans un environnement propre
• Transports
• Présentation dans une cour de justice
• Retour de la preuve pour le propriétaire
www.company.com
Company Outils de saisie et d’investigation
LOGO
www.company.com
Company Condition d’admissibilité
LOGO
• Pertinence
• Légalement admissible
• Fiable
• Correctement identifié
• Étiquetage des imprimés avec des
marqueurs permanant
• Identifier le système d'exploitation utilisé,
les types de matériel, etc.
• Enregistrement des numéros de série
• Marquage des preuves sans les
endommager, ou en le plaçant dans des
conteneurs scellés
Trace d’attaque
Keylogger
Trojan
Trace de connexion
Historique des communications
Outils d’attaque
Victime
Attaquant
Internet : FSIs
Trace de connexion
IP source
IP destination
Date
Trace de connexion
Historique détaillé
www.company.com
Serveur
Company Cas d’exemple : Phishing
LOGO
Email d’arnaque
IP source
Adresse du faux serveur
Trace de connexion
Historique des communications
Outils d’attaque
Victime
Attaquant
Internet : FSIs
Trace de connexion
IP source
IP destination
Date
Trace de connexion
Historique détaillé
Adresse de l’attaquant
www.company.com
Serveur de phishing
Company Usage des proxy
LOGO
PROXY Victime
(2)
Attaquant
L’adresse du dernier
Chaine de proxy
proxy est enregistré,
mais dernière il peut
y avoir des dizaines
(3)
www.company.com
Company Conclusion : Les challenges
LOGO
www.company.com
Company
LOGO
Questions?
haythem.elmir@ansi.tn
www.company.com
www.ansi.tn