Archive : February 2016

L'investigation numérique ou l'informatique légale (ou computer forensics en anglais) prend de plus en plus de place dans les enquêtes de police ou judiciaires mais aussi dans des affaires privées. Elle trouve ses sources à la fin des années 70 lorsque les premiers crimes impliquant des ordinateurs apparaissent. Elle évolue dans les années 80 et 90 pour se transformer en industrie dans les années 2000.

Aujourd'hui, on peut dire que c'est l'art et la science de collecter, préserver, identifier, analyser et présenter des preuves issues de supports numériques.

1. "L'art et la science"

L'investigation numérique est une science, d'une part, parce que l'informatique répond aux lois de la physique et d'autre part, parce qu'une grande partie des processus sont encadrés par des procédures scientifiques de manière à les rendre reproductibles.

C'est également un art car chaque investigation est différente du fait que chaque organisation et chaque utilisateur est différent. De plus, elle nécessite un certain savoir faire qui s'acquiert avec l'expérience et deux investigateurs peuvent travailler différemment sur un cas pour obtenir les même résultats.

2. "Preuves issues de supports numériques"

Lorsque l'on parle de supports numériques, la première chose qui vient à l'esprit est l'ordinateur ou le smartphone. Mais il s'agit également de cartes mémoires, de clés USB, d'appareils photo numériques, de GPS, de consoles de jeux, de box ADSL, de composants réseau, d'imprimantes, etc. Tout ce qui contient de la mémoire peut ou devrait être étudié.

Les preuves peuvent être des éléments de trois types. En premier lieu, il s'agit des fichiers générés par l'utilisateur (documents, messageries, carnet d'adresses, favoris Internet, etc.). Ensuite, il s'agit des fichiers générés par le système d'exploitation (sauvegarde, fichiers de configuration, historique des fichiers ouverts ou Internet, etc.). Enfin, il s'agit de tout ce qui n'est pas stocké sous forme de fichiers (métadonnées, RAM, espace non alloué, etc.). Ainsi les preuves peuvent donc se situer dans tout le contenu de la mémoire. Il faut cependant noter que la saisie a lieu à un moment donné et que l'absence de preuve n'est pas la preuve de l'absence.

3. "Collecter"

La collecte correspond généralement à une copie dite bit-à-bit qu'on appelle image. Elle doit être pure et parfaite. Cela signifie que, d'une part, elle doit être une copie exacte du support original donc son empreinte numérique (MD5 et/ou SHA1) doit être identique à celle de l'original. Et d'autre part, l'opération de copie ne doit pas modifier l'original. En cas d'impossibilité de faire une copie "pure" et "parfaite", il est important de le documenter. Par exemple, lorsqu'on est confronté à des secteurs défectueux ou illisibles, il faut les consigner et indiquer par quoi leur contenu a été remplacé dans l'image.

4. "Préserver"

Il s'agit essentiellement de se demander comment manipuler, transporter et stocker les images et de mettre en place les procédures liées à ces questions. Ainsi, pour manipuler un disque dur, ou tout autre matériel électronique possédant des composants apparents, afin d'éviter des décharges électrostatiques, il est d'usage de porter un bracelet antistatique (ou ESD). Pour le transport et le stockage, il existe des sacs de protection antistatique dans tous les formats. Pour un téléphone ou un smartphone, on ne l'allume que lorsqu'il est dans une cage de Faraday. Il s'agit également de ne pas modifier le contenu de l'image lors des phases d'identification et d'analyse.

5. "Identifier" et "analyser"

Cela consiste en la recherche de fichiers ou d'éléments en relation avec la demande. On peut commencer par s'imprégner rapidement de l'organisation de l'utilisateur, pour regarder les fichiers existants, notamment sur son bureau ou dans le/les dossiers contenant ses documents. Il n'est pas impossible de trouver rapidement des données intéressantes mais on ne peut pas se contenter de ça. Il faut tenter de récupérer des fichiers effacés ou des fragments de fichiers. Puis la recherche peut se faire d'un grand nombre de manières. Je ne les détaillerai pas ici, mais on peut notamment effectuer des recherches par extensions, par signatures ou par empreintes. Il est également possible d'effectuer des recherches par mots clés ou expression régulières sur l'ensemble de l'image. Si l'on est intéressé par une période précise, on peut généralement utiliser une vue calendaire ou filtrer les éléments par date.

Qu'ils appartiennent encore au système de fichiers ou non, les éléments que l'on a identifiés sont majoritairement encodés, et ce d'une manière différente pour chaque type de fichiers. De plus, le contenu d'un fichier peut ne pas être pertinent ou l'être moins sans les propriétés liées au système de fichiers (dates, chemin, etc.), sans les métadonnées qu'il contient (dates, auteur, etc.) ou sans son origine (réseau, clé USB, Internet, etc.). Ainsi, il ne suffit pas de trouver et d'extraire des données, il faut aussi les interpréter, y compris celles qui ne sont pas directement visibles par l'utilisateur.

Il s'agit de la partie la plus longue et la plus délicate. On craint toujours d'être passé à coté d'éléments qui pourraient être pertinents.

6. "Présenter"

La présentation des résultats est finalement la phase la plus importante. En effet, c'est tout ce qu'il restera à l'issue des opérations. Elle prend généralement la forme d'un rapport qui doit rester accessible à tous. Il doit donc être assez détaillé pour inclure tous les éléments pertinents que l'on a trouvés, tout en restant compréhensible par une personne qui n'est pas spécialiste de l'informatique. Et c'est la toute là difficulté.

C'est bien de savoir ce que c'est, mais comment fait-on ?

Toutes ces étapes se font à l'aide d'outils spécialisés. Pour la phase de collecte, il existe des logiciels qui permettent de faire des images sans modifier l'original mais il est préférable d'utiliser des matériels dédiés. On trouve des duplicateurs autonomes ou de simples bloqueurs. Les plus connus sont ceux de la gamme Tableau.

Pour les autres phases, les logiciels d'investigation numérique généralistes, qu'ils soient commerciaux (X-Ways Forensics, EnCase, FTK entre autres) ou libres (DFF et The Sleuth Kit), sont primordiaux. Cependant, ils nécessitent d'une part une connaissance de l'informatique en général et des concepts liés à l'investigation numérique et d'autre part, une certaine expérience qui permet de les prendre en main.

Même s'il s'agit d'un domaine d'activité réservé à des spécialistes, la possibilité d'une investigation numérique doit être prise en compte dans la gestion informatique quotidienne d'une entreprise.

La maîtrise des coûts est l'un des éléments clés de la rentabilité de votre entreprise. Les coûts liés au système d'information peuvent représenter jusqu'a 10 % de votre chiffre d'affaire. Il s'agit donc d'un poste important qui nécessite une attention particulière pour contenir les dépenses, tout en assurant un service performant, répondant à vos ambitions et en adéquation avec les demandes des utilisateurs.

Parce que, par nature, les systèmes informatiques sont complexes et qu'ils évoluent rapidement, le calcul du TCO (Total Cost of Ownership) est difficile et la gestion des dépenses peut sembler délicate, surtout lorsqu'on ne parle pas un minimum la langue. Mais voici 5 conseils simples pour réduire ou contenir vos coûts informatiques :

1. Allonger la durée de vie du matériel. Le matériel représente en moyenne 1/3 du budget alloué à la DSI. Avec un cycle de vie souvent en décalage avec celui de l'entreprise, la durée de vie d'un matériel bien entretenu n'est limité que par son obsolescence. Plutôt que de remplacer systématiquement un matériel, il est souvent possible de le recycler ou de le moderniser à moindre frais. A titre d'exemples :
   • Un ancien poste de travail peut être réutilisé pour de la saisie logistique.
   • Deux machines en panne peuvent être combinées en une seule fonctionnelle.
   • Une simple réinstallation, une nouvelle carte réseau dans un serveur ou un ajout de RAM dans un poste de travail peuvent leurs permettre de gagner quelques mois, voire années d'utilisation.

2. Revoir régulièrement ses contrats. Qu'il s'agisse d'abonnements chez un opérateur télécom, de la location d'un photocopieur multifonctions ou encore de contrats de maintenance/services, il faut s'inquiéter périodiquement de leur pertinence vis-à-vis de vos objectifs et des besoins. S'ils sont arrivés à terme, il ne faut pas hésiter à essayer de les renégocier avant de les renouveler. Pour la maintenance, les contrats sont généralement résiliables moyennant un préavis. Par contre, ils sont souvent soumis à une tacite reconduction. Cette dernière peut coûter en cas d'oubli. Pour les télécoms, les offres évoluent rapidement pour inclure toujours plus de services.

3. Réduire l'utilisation des consommables. En matière informatique, il s'agit surtout de l'électricité. Aujourd'hui les stations de travail démarrent rapidement et peuvent facilement être éteintes ou mise en veille profonde la nuit et le week-end. Cela peut permettre d'économiser 30 à 50% des dépenses énergétiques liées au fonctionnement de l'informatique. Il s'agit également des consommations liées aux impressions. La mise en place d'une politique d'économie de ce poste peut aussi permettre de réduire considérablement les coûts. Il convient notamment d'encourager les impressions multiples, recto-verso et en noir et blanc, et de s'efforcer à ne réaliser que les impressions indispensables. Cela peut aussi être le commencement de la mise en place une GED.

4. Faire appel à un prestataire externe. Parce qu'elle n'a pas besoin d'une personne à temps plein, une petite PME n'a aucun intérêt a gérer elle-même toute son informatique. De plus, le système d'information est un patrimoine essentiel qu'il convient de confier à un spécialiste. En externalisant tout ou partie de la fonction à un prestataire de confiance, on peut concentrer ses ressources sur son cœur de métier et cela permet de rationaliser les frais.

5. Eviter les contrats à trop long terme. Certes ils permettent de baisser rapidement les dépenses mais ça n'est bien souvent qu'un phénomène momentané. En effet, ils induisent des coûts fixes et répondent à un besoin à un instant T. Ainsi, si les besoins diminuent, sans payer de lourds frais de résiliation, les coûts ne changeront que difficilement avant la fin de l'engagement. Et à l'inverse, si les besoins augmentent, ils peuvent limiter le potentiel de développement.

Ces quelques éléments vous permettent de réduire les coûts mais ce n'est pas quelque chose sur lequel vous ne devriez vous pencher qu'une à deux fois par an. La gouvernance de votre système d'information doit s'inscrire dans un processus d'amélioration continue de manière à conserver un niveau de service en accord avec vos objectifs et les besoins des utilisateurs.