Une urgence?    1-866-246-2848

Publications

Avant de vous lancer dans une cyberenquête…

mars 2016

Ce mois-ci, Forensik dresse pour vous la liste des incontournables avant d’entamer une cyberenquête. Des conseils à suivre à la lettre pour éviter les dérapages.

  • Il est conseillé de ne pas débrancher l’ordinateur du réseau ou même simplement d’effectuer un filtre réseau. Aussi tentant que cela puisse être, l’action pourrait déclencher un artifact de type « deadman switches ». Ce type de mécanisme malicieux permet de détecter qu’un ordinateur est déconnecté d’un réseau et efface alors automatiquement la preuve numérique.
  • Il ne faut pas se fier aux logiciels déjà installés, car ils pourraient déjà être altérés, mais plutôt exécuter des logiciels de collecte de preuves à partir de supports indépendants.
  • Il faut vous assurer de ne pas exécuter de programmes qui modifient les données (ex. : tar ou xcopy). Par exemple, simplement en ouvrant un fichier ou un répertoire, vous venez de modifier le paramètre de temps du dernier accès à ce fichier ou répertoire.
  • Il est préférable de ne pas arrêter l’ordinateur avant d’avoir terminé la collecte de preuves. Dans ce cas, une partie de la preuve pourrait être perdue, car le malfaiteur pourrait avoir modifié les services ou les scripts de démarrage et de fermeture de l’ordinateur.

Les pièges communs à éviter

  1. Si votre personnel informatique interne n’est pas spécifiquement formé dans le domaine du Forensic numérique, mieux vaut éviter d’utiliser celui-ci pour mener une enquête informatique judiciaire. Même si vos intentions sont bonnes, les apparences peuvent souvent être trompeuses. Par exemple : saviez-vous qu’une simple impression, téléchargement ou d’enregistrement des documents sur un ordinateur suspect peut corrompre les preuves potentielles ?
  2. Éviter d’effectuer un simple «clone» du disque dur de l’ordinateur suspect, au lieu d’une copie «bit à bit».
  3. Éviter d’utiliser un utilitaire de nettoyage (ex.: Ccleaner) pour éliminer un logiciel malveillant sur un ordinateur suspect en cas de gestion d’incident.
  4. Éviter d’effectuer une fermeture abrupte d’un ordinateur suspect (en bon français: tirer la plogue) ou même juste de l’éteindre normalement dans certains cas.
  5. Éviter de continuer d’utiliser l’appareil après que l’anomalie ou l’incident soit survenu.
  6. Éviter de téléverser sur « VirusTotal », un malware potentiel que vous auriez trouvé, en utilisant un lien associé à votre nom de domaine; utiliser plutôt un lien non rattaché à un nom de domaine.
  7. Éviter de désactiver la fonction de « Volume Shadow Copy » (VSS) sous Windows.
  8. Éviter de contacter un expert en Forensic numérique… trop tard.

Vous croyez être visé par une attaque informatique? Avant de commettre l’irréparable, contactez notre équipe d’experts.