Introduction

Nous avons couvert une introduction à la criminalistique numérique. Nous avons parlé de ce qui est considéré comme une preuve numérique, de ce qui est collecté sur la scène du crime, de la chaîne de traçabilité et de la manière dont les preuves numériques sont stockées, traitées et analysées. Nous avons pris un exemple pratique d'analyse des métadonnées de fichiers formatés en PDF et JPG. Nous avons extrait les données EXIF de l'image et les métadonnées du document PDF. Cela faisait partie de «introduction à la cybersécurité» piste dans TryHackMe.

Notes de terrain en matière d'investigation informatique

La médecine légale est l'application de la science pour enquêter sur des crimes et établir des faits. Avec l'utilisation et la diffusion des systèmes numériques, tels que les ordinateurs et les smartphones, une nouvelle branche de la médecine légale est née pour enquêter sur les crimes connexes : la criminalistique informatique, qui a ensuite évolué pour devenir, Médecine légale numérique.

Plus formellement, la criminalistique numérique est l'application de l'informatique pour enquêter sur des preuves numériques à des fins juridiques. La criminalistique numérique est utilisée dans deux types d’enquêtes :

  1. Enquêtes du secteur public faire référence aux enquêtes menées par le gouvernement et les forces de l’ordre. Ils feraient partie d’une enquête criminelle ou civile.
  2. Enquêtes du secteur privé faire référence aux enquêtes menées par les personnes morales en mandatant un enquêteur privé, qu'il soit interne ou externalisé. Ils sont déclenchés par des violations de la politique de l'entreprise.

Qu’il s’agisse d’une enquête sur un crime ou une violation des politiques de l’entreprise, une partie des preuves est liée aux appareils et médias numériques. C’est là que la criminalistique numérique entre en jeu et tente d’établir ce qui s’est passé. Sans enquêteurs qualifiés en criminalistique numérique, il ne sera pas possible de traiter correctement les preuves numériques.

Que devez-vous faire en tant qu’enquêteur en criminalistique numérique ? Après avoir obtenu l'autorisation légale appropriée, le plan de base se déroule comme suit :

  1. Acquérir les preuves : collectez les appareils numériques tels que les ordinateurs portables, les périphériques de stockage et les appareils photo numériques. (Notez que les ordinateurs portables et les ordinateurs nécessitent une manipulation particulière s’ils sont allumés ; cependant, cela dépasse le cadre de cette salle.)
  2. Établir une chaîne de traçabilité : Remplissez le formulaire correspondant de manière appropriée (Exemple de formulaire). L’objectif est de garantir que seuls les enquêteurs autorisés ont accès aux preuves et que personne n’a pu les falsifier.
  3. Placez les preuves dans un conteneur sécurisé : vous voulez vous assurer que les preuves ne seront pas endommagées. Dans le cas des smartphones, vous voulez vous assurer qu'ils ne peuvent pas accéder au réseau, afin qu'ils ne soient pas effacés à distance.
  4. Transportez les preuves à votre laboratoire d'investigation numérique.

Au laboratoire, le processus se déroule comme suit :

  1. Récupérez les preuves numériques du conteneur sécurisé.
  2. Créez une copie médico-légale des preuves : La copie médico-légale nécessite un logiciel avancé pour éviter de modifier les données originales.
  3. Remettez la preuve numérique dans le conteneur sécurisé : vous travaillerez sur la copie. Si vous endommagez la copie, vous pouvez toujours en créer une nouvelle.
  4. Commencez à traiter la copie sur votre poste de travail médico-légal.

Les étapes ci-dessus ont été adaptées de Guide d'investigation et d'investigation informatiques, 6e édition.

Plus généralement, selon l’ancien directeur du Defense Computer Forensics Laboratory, Ken Zatyko, la criminalistique numérique comprend :

  • Autorité de recherche appropriée : les enquêteurs ne peuvent pas commencer sans l'autorité légale appropriée.
  • Chaîne de possession : elle est nécessaire pour savoir qui détenait les preuves à tout moment.
  • Validation mathématique : à l'aide d'un type particulier de fonction mathématique, appelée fonction de hachage, nous pouvons confirmer qu'un fichier n'a pas été modifié.
  • Utilisation d'outils validés : les outils utilisés en criminalistique numérique doivent être validés pour garantir leur bon fonctionnement. Par exemple, si vous créez une image d'un disque, vous souhaitez vous assurer que l'image médico-légale est identique aux données présentes sur le disque.
  • Répétabilité : les résultats de la criminalistique numérique peuvent être reproduits à condition que les compétences et les outils appropriés soient disponibles.
  • Rapports : L'enquête médico-légale numérique se termine par un rapport qui présente les preuves liées à l'affaire découverte.

Réponses au défi

Considérez le bureau sur la photo ci-dessus. En plus du smartphone, de l’appareil photo et des cartes SD, qu’est-ce qui serait intéressant pour la criminalistique numérique ?

Il est essentiel de savoir à tout moment qui s'en occupe pour garantir que les preuves sont admissibles devant les tribunaux. Quel est le nom de la documentation qui permettrait d'établir cela ?

En utilisant pdfinfo, découvrez l'auteur du fichier PDF ci-joint.

En utilisant exiftool ou tout outil similaire, essayez de trouver où les ravisseurs ont pris l'image qu'ils ont jointe à leur document. Quel est le nom de la rue ?

Quel est le nom du modèle de l'appareil photo utilisé pour prendre cette photo ?

Vidéo pas à pas

, , , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles