Investigation numérique : Retrouver des traces d’un pirate

  1. Accueil
  2. Anonymat
  3. Investigation numérique : Retrouver des traces d’un pirate

L’investigation numérique tirée de l’anglais « computer forensics » consiste à retrouver des traces laissées sur un support numérique.

Typiquement il s’agit de trouver des éléments pouvant constituer des preuves afin de déposer plainte pour intrusion informatique.

Je ne vais pas me permettre de donner des conseils de professionnels à ce sujet et il faut savoir qu’il existe des formations complètes pour cela, mais voici des pistes intéressantes pour retrouver des traces d’un pirate.

Cela s’applique notamment si vous êtes un particulier ayant subi un piratage, qui souhaite en toute légitimité connaître l’erreur faite pour en arriver là, et potentiellement trouver le responsable du problème.

investigation numérique

L’investigation numérique chez soi

On laisse beaucoup de traces derrière nous sans même le savoir. Bien que la question de l’anonymat se pose naturellement, des avantages liés à ces traces se présentent tout de même dans certains cas :

  • Premièrement, il y a les évidents rapports de plantage : Quand et pourquoi telle application s’est arrêtée. Ce n’est pas le but de l’article.
  • Deuxièmement il y a les traces sur les activités du passé qui permettent de recréer la scène et d’observer la source du problème. Nous allons nous focaliser sur ce point.

Se rappeler des dernières actions si possible

Imaginons que vous venez de subir un piratage, inutile de scanner ou nettoyer votre ordinateur sur le champ ni même de supprimer les sites visités et les fichiers téléchargés. Au contraire c’est à ne surtout pas faire pour retrouver l’origine du problème, notamment avec les conseils qui vont suivre.

Supprimer un fichier suspect est une procédure qu’on emploie régulièrement alors qu’il est parfois utile de le garder.

Vous venez d’être piraté(e) ou vous suspectez une activité malveillante ? Essayez de vous rappeler de ce que vous avez fait pour en arriver là :

  • Quels sont les derniers sites visités
  • Quels sont les derniers programmes installés
  • Est-ce qu’une clé USB a été branchée
  • Quel est le dernier réseau auquel je me suis connecté
  • Quel ordinateur (ou périphérique) a été utilisé dernièrement
  • etc…

La suite de l’article vous épaulera dans votre tâche.

Retrouver les traces laissées sur Internet

C’est un point assez difficile à gérer dans la mesure où les traces ne sont pas toutes disponibles localement. L’historique des sites visités, si disponible, permet pour commencer de retrouver un éventuel site malveillant, à savoir :

Pour cela il n’y a pas trop de secrets, il faut connaître ces attaques afin de savoir les repérer. Si cela vous semble trop compliqué, l’idéal est de laisser une autre personne s’en charger pour vous.

« L'investigation numérique pour retrouver la trace des pirates »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Retrouver les traces laissées sur l’ordinateur

Pour commencer, on rappellera qu’il faut se baser sur les doutes qu’on a. Il faut donc essayer de savoir si le problème est survenu après installation d’un programme, ou d’une extension de navigateur, ou plutôt après avoir visité un site…etc.

Voici certaines méthodes pour trouver des traces stockées sur votre ordinateur :

Les événements Windows

Windows et d’autres programmes enregistrent régulièrement ce qu’il se passe sur l’ordinateur afin de tenir un historique des actions effectuées.

Cet historique d’événements s’appelle Event Viewer (Observateur d’événements) et est visible en tapant « eventvwr.msc » dans la barre de recherche du menu démarrer.

Le voici en version anglaise sur mon ordinateur actuel :

eventlog

Rechercher des événements est assez fastidieux via ce programme, je ne vais pas trop m’étendre dessus surtout qu’on verra ensuite une façon automatique d’observer ces actions.

Nous pouvons par exemple chercher une application qui ne répondait plus en cliquant sur Windows Logs dans le panneau de gauche, puis en effectuant un clic droit sur « Système » afin de choisir « Créer une vue personnalisée ». Enfin, on sélectionne « par source » et on coche « Microsoft Windows security auditing » :

microsoftsecurityauditng

On valide et on observe dans la liste toutes les fois où un compte s’est connecté sur l’ordinateur.

L’observateur d’événements contient bien d’autres événements par exemple sur l’heure de mise en veille, de connexion au réseau, de création et d’utilisation d’un point de restauration…etc

Le registre de Windows

Le registre de Windows stocke des paramètres généraux sur les applications et sur le système. Et certains d’entre eux sont extrêmement intéressants pour trouver les derniers fichiers ouverts et programmes lancés, l’idéal pour retrouver un programme malveillant.

Inutile de chercher dans le registre, un programme existe pour afficher toutes les dernières activités de l’ordinateur : LastActivityView.

LastActivityView cherche des événements intéressants dans l’observateur d’événements que nous avons vu juste avant mais aussi dans le registre et dans certains dossiers.

lastactivityview-francais

Vous avez repéré des programmes ou fichiers suspects via ce programme ? Lisez ce qui suit.

Les fichiers et programmes reçus

Que ce soit un fichier téléchargé, reçu par e-mail ou même par clé USB, certains peuvent contenir des informations intéressantes sur leur origine.

C’est notamment le cas des images : Elles peuvent contenir des métadonnées EXIF. C’est-à-dire des données identifiants le lieu de la prise de photo et la marque de l’appareil utilisé, entre autres.

Dans le cas des programmes, vous pouvez utiliser des services en ligne comme Anubis qui vont littéralement exécuter le programme suspect et vous dire ce qu’il fait.

Il est également possible de décompiler les programmes pour retrouver son code source. C’est un domaine à part entière appelé Reverse Engineering ou « rétroingénierie » en français.

Il est relativement facile de retrouver le code source des programmes dits « managés » (.NET). Et étant donné que nombre de programmes malveillants sont crées via des langages managés, on retrouve facilement l’adresse mail (ou d’autres données des pirates).

Plus d’informations ici : Pister un hacker et là : Savoir si vous êtes piraté(e).

Les fichiers supprimés (ou pas)

Enfin, il est possible dans une certaine mesure de récupérer les fichiers supprimés. Ici « supprimés » signifie « supprimés de la Corbeille ».

Cela s’applique notamment si vous avez trop rapidement supprimé des fichiers que vous pensiez malveillants alors qu’ils peuvent vous servir.

Bien que garder un programme potentiellement malveillant puisse sembler bizarre, le placer dans un dossier pour l’étudier notamment via le point précédent (sans cliquer dessus bien sûr) ne pose pas de problèmes immédiats.

Recuva est le programme de récupération le plus populaire.

Utiliser des outils (très) spécialisés

Le domaine de l’investigation numérique est vaste et il existe beaucoup de programmes plus ou moins ciblés sur ce que l’on souhaite (re)découvrir.

Voici une liste de programmes d’analyse forensique populaires :

  • Digital Forensics Framework : Un environnement complet permettant d’accéder aux disques, aux périphériques, aux données des processus, du réseau…et bien d’autres pour y retrouver des données.
  • Volatility : Un outil permettant de retrouver des données dans la mémoire.
  • Bulk Extractor : Un outil qui permet de trouver des adresses e-mail, des adresses IP, des URLs…etc à partir d’un dossier, disque ou fichier.

Une liste complète d’outils forensics se trouve ici.

En espérant que cet article d’introduction sur l’investigation numérique vous a plu et vous aide à retrouver la source de problèmes informatiques ou de piratage.

Lecture complémentaire :

Le cours vidéo complet Protéger son Anonymat et sa vie privée sur Internet vous expliquera :

  • Comment votre identité peut être retrouvée via une adresse e-mail (même en pensant avoir effacé vos traces)
  • Comment visiter des sites, blogs ou forums « supprimés » mais toujours visibles
  • Comment on vous piste sur Internet
  • etc…

Le cours vidéo complet Hacking éthique – etude des logiciels malveillants vous expliquera :

  • Comment analyser en profondeur votre ordinateur
  • Comment fonctionne un Trojan en pratique
  • Comment retrouver des traces dans divers programmes malveillants
  • Comment fonctionne un Keylogger
  • Et bien d’autres…

Et si votre compte a été piraté voici comment récupérer un compte piraté

Articles similaires

Menu