La forensic numérique (ou informatique légale) est une discipline de la cybersécurité qui vise à examiner des systèmes numériques – ordinateurs, serveurs, téléphones, réseaux – pour y découvrir des preuves d’activités malveillantes ou litigieuses. Elle suit des principes stricts : intégrité des preuves, traçabilité des actions, reproductibilité des analyses.

ISOSET intègre la forensic numérique dans ses parcours cybersécurité avancés, avec des laboratoires d’acquisition et d’analyse sur machines virtuelles.

La majorité des investigations suivent un cadre structuré, souvent inspiré du modèle ACE (Acquisition, Analyse, Exploitation) ou des standards ISO 27037/27042.

• Phase 1 – Identification – délimiter le périmètre (quelles machines, quels disques, quels logs).
• Phase 2 – Préservation – isoler les supports, créer une image forensique (bit à bit), calculer des hash (MD5, SHA256).
• Phase 3 – Acquisition – copie forensique sur un support dédié (write-blocker).
• Phase 4 – Analyse – examiner les données (fichiers supprimés, journal d’événements, métadonnées).
• Phase 5 – Rapport – documenter les conclusions avec la chaîne de custody.

# Création d’une image forensique avec dd (Linux)
sudo dd if=/dev/sdb of=/mnt/forensic/case001/image.dd bs=4096 conv=noerror,sync
# Calcul de l’empreinte SHA256
sha256sum /mnt/forensic/case001/image.dd

La chaîne de custody (ou traçabilité des preuves) est un enregistrement continu et chronologique de chaque manipulation d’une preuve numérique. Sans elle, un tribunal peut rejeter les conclusions.

• Documentation obligatoire – qui a manipulé la preuve ? quand ? pourquoi ? dans quel but ?
• Hash cryptographiques – toute modification modifie l’empreinte, détectable instantanément.
• Supports dédiés – les analyses se font toujours sur des copies, jamais sur l’original.
• Outils certifiés – certains tribunaux exigent des logiciels validés (FTK, EnCase, X-Ways).

Les enquêteurs disposent d’une large gamme d’outils open source et commerciaux, adaptés à différents types de supports.

• Autopsy / The Sleuth Kit – interface graphique open source pour l’analyse de disques (fichiers supprimés, historique navigateur, etc.).
• FTK (Forensic Toolkit) – solution commerciale puissante, indexation avancée, décodage de registres Windows.
• EnCase – historique, très utilisé par les forces de l’ordre.
• Volatility – analyse de la mémoire vive (RAM) pour détecter rootkits, processus masqués, clés de chiffrement.
• X-Ways Forensics – alternative plus accessible à EnCase, réputée pour sa rapidité.

# Exemple d’analyse mémoire avec Volatility (profil Windows 10)
volatility -f mem.dmp --profile=Win10x64 pslist
volatility -f mem.dmp --profile=Win10x64 netscan
volatility -f mem.dmp --profile=Win10x64 cmdscan

ISOSET forme les équipes des entreprises à l’utilisation de ces outils, avec des cas concrets (extraction de fichiers supprimés, analyse de registre, reconstruction de timeline).

La mémoire vive contient des informations éphémères mais cruciales : processus actifs, connexions réseau, clés de chiffrement, mots de passe en clair. Son acquisition doit être réalisée à chaud (live forensics).

• Outils d’acquisition – DumpIt, winpmem, LiME (Linux).
• Analyse avec Volatility – identification de processus malveillants, hooks, injections DLL.
• Recherche de patterns – clés de chiffrement de ransomware, traces de C2.

# Acquisition RAM sous Windows via winpmem (exécutable)
winpmem_2.1.exe isoset-memory.raw
# Analyse de l’image avec Volatility
python vol.py -f isoset-memory.raw --profile=Win10x64 malfind

Les terminaux mobiles sont souvent au cœur des enquêtes (messages, géolocalisation, historiques). Les défis sont nombreux : chiffrement par défaut, verrouillage, systèmes propriétaires.

• Acquisition physique – extraction bit à bit du stockage (nécessite souvent un contournement du verrouillage).
• Acquisition logique – extraction via protocoles de sauvegarde (iTunes, ADB).
• Outils dédiés – Cellebrite UFED, Magnet AXIOM, Oxygen Forensics.
• Applications tierces – analyse de WhatsApp, Signal, Telegram, WeChat.

ISOSET propose des modules d’initiation à la forensic mobile pour le grand public, en insistant sur l’éthique et le respect de la vie privée.

La forensic numérique s’exerce dans un cadre légal strict. Les preuves doivent être collectées selon des règles précises pour être recevables devant un tribunal.

• ISO 27037 – lignes directrices pour l’identification, collecte, acquisition et préservation des preuves numériques.
• ISO 27042 – lignes directrices pour l’analyse et l’interprétation.
• Loi pour la confiance dans l’économie numérique (LCEN) – cadre français pour la conservation des logs et la production de preuves.
• Ordonnance de perquisition – en enquête judiciaire, un mandat est nécessaire pour saisir les supports.

Les logs réseau, les flux NetFlow et les captures PCAP sont des sources d’information précieuses pour retracer des exfiltations, des C2 ou des mouvements latéraux.

• Wireshark / TShark – analyse de captures de paquets.
• Zeek (ex-Bro) – extraction de métadonnées réseau depuis les PCAP.
• NetworkMiner – reconstruction de fichiers et d’emails depuis des captures.
• Analyse de flux – détection de connexions sortantes anormales (exfiltration).

# Extraire toutes les requêtes DNS d’une capture pcap avec tshark
tshark -r capture.pcap -Y "dns.qry.name" -T fields -e dns.qry.name

• Incident de sécurité – ransomware, compromission de compte, exfiltration de données.
• Litige interne – vol de propriété intellectuelle, harcèlement, utilisation abusive.
• Conformité – audit forensique pour prouver la non-occurrence d’une fuite.
• eDiscovery – extraction de preuves dans le cadre d’une procédure judiciaire.

ISOSET recueille des témoignages d’anciens apprenants devenus experts forensiques, qui racontent comment ils ont résolu des enquêtes complexes grâce aux compétences acquises.