Le forensic numérique : enquêter après une cyberattaque

Sommaire

1. Introduction
2. Qu’est-ce que le forensic informatique ?
3. Les étapes d’une enquête forensic
   1. Identification de l’incident
   2. Acquisition des preuves
   3. Analyse des données
   4. Documentation et rapport
4. Les outils utilisés en forensic
5. Pourquoi le forensic est important
6. L’affaire BTK : le mystère de la disquette mauve
7. Analyse du Leak « YGGtorrent – Fin de partie »
8. Conclusion

1. Introduction

Avec l’augmentation des cyberattaques, les entreprises doivent non seulement se protéger, mais aussi être capables d’analyser ce qui s’est passé après une intrusion. C’est dans ce contexte qu’intervient le forensic numérique, aussi appelé informatique légale.

Le forensic consiste à collecter, analyser et préserver des preuves numériques afin de comprendre comment une attaque s’est produite, identifier les responsables et éviter que cela ne se reproduise.

Cette discipline est aujourd’hui utilisée par les entreprises, les experts en cybersécurité et les forces de l’ordre.

2. Qu’est-ce que le forensic informatique ?

Le forensic informatique est une branche de la cybersécurité qui vise à mener une enquête sur des systèmes informatiques compromis. 

Les analystes forensic cherchent notamment à répondre à plusieurs questions : 

• Comment l’attaque a-t-elle commencé ?
  
• Quel accès l’attaquant a-t-il obtenu ?
  
• Quelles données ont été compromises ?
  
• L’attaquant est-il toujours présent dans le système ?
  

Pour répondre à ces questions, les experts analysent différents éléments :

• disques durs
  
• mémoire vive
  
• journaux système (logs)
  
• fichiers supprimés
  
• trafic réseau
  

3. Les étapes d’une enquête forensic

Une enquête forensic suit plusieurs étapes afin de garantir la fiabilité des preuves. 

3.1. Identification de l’incident

La première étape consiste à détecter un incident de sécurité. Cela peut se manifester par une activité suspecte, une connexion inhabituelle, la présence d’un malware ou des fichiers modifiés. 

Une fois l’incident identifié, l’enquête peut réellement commencer.

3.2. Acquisition des preuves

Les données doivent être récupérées sans modification afin de conserver leur valeur probante. Les experts réalisent une image disque (copie exacte du disque dur). 

Cette copie permet aux analystes de travailler sur les données sans risquer d’altérer les preuves originales.

3.3. Analyse des données

Une fois les données récupérées, les analystes examinent les informations afin de reconstituer les actions réalisées par l’attaquant. Ils peuvent par exemple analyser les journaux système, retrouver des fichiers supprimés, identifier des programmes malveillants ou encore examiner les connexions réseau.

L’objectif est de reconstituer la chronologie de l’attaque afin de comprendre précisément ce qui s’est passé. 

3.4. Documentation et rapport

La dernière étape consiste à rédiger un rapport détaillé. Ce document présente les preuves collectées, la méthode d’attaque utilisée, les systèmes touchés ainsi que des recommandations pour améliorer la sécurité.
Ce rapport peut ensuite être utilisé par les équipes informatiques pour corriger les failles ou dans un cadre juridique.

4. Les outils utilisés en forensic

Plusieurs outils spécialisés sont utilisés pour analyser les systèmes compromis.

Autopsy est un outil open source très utilisé dans le domaine du forensic. Il permet notamment d’analyser des disques durs, de récupérer des fichiers supprimés, d’examiner l’activité d’un utilisateur et d’analyser l’historique internet. Son interface graphique le rend relativement accessible aux débutants.

Volatility Framework est un outil spécialisé dans l’analyse de la mémoire vive (RAM). Il permet par exemple d’identifier les processus actifs, de détecter des malwares présents en mémoire et d’analyser les connexions réseau. Cet outil est souvent utilisé dans les enquêtes avancées.

FTK Imager est un logiciel principalement utilisé pour créer des images de disques. Il permet de copier un disque sans modifier les données originales, d’analyser les fichiers présents et de récupérer certains fichiers supprimés. Il est souvent utilisé lors des premières étapes d’une enquête forensic. 

5. Pourquoi le forensic est important

Le forensic numérique joue un rôle essentiel dans la cybersécurité. Il permet de comprendre comment une attaque s’est produite, d’identifier les failles de sécurité exploitées et de collecter des preuves numériques.

Ces analyses permettent également d’améliorer la sécurité des systèmes afin d’éviter que la même attaque ne se reproduise.

Sans forensic, il serait beaucoup plus difficile de comprendre l’origine d’une intrusion et de corriger les vulnérabilités d’un système.

6. L’Affaire BTK : Le mystère de la disquette mauve

Dennis Rader, le tueur BTK, avait cessé ses crimes en 1991 mais restait introuvable. En 2004, piqué dans son ego par le manque d’attention médiatique, il recommence à envoyer des lettres narguant la police.

Sûr de lui, il demande aux enquêteurs via une lettre : « Est-ce que je peux communiquer via une disquette sans que vous ne puissiez me tracer ? ». La police répond par une annonce dans le journal : « Oui, c’est sûr ».

C’était un piège.

Le travail forensique

Rader envoie alors une disquette mauve au format 3,5 pouces à une chaîne de télévision locale. Les experts en forensique numérique de la police de Wichita s’en emparent immédiatement.

• L’analyse des fichiers visibles : À première vue, la disquette ne contient qu’un document Microsoft Word intitulé « Test ».
• L’analyse des métadonnées (Le « Ghost ») : Les enquêteurs utilisent des outils forensiques pour examiner les données cachées du fichier (le fichier metadata.xml à l’intérieur du document). Ils découvrent deux informations capitales :
• Le document a été modifié pour la dernière fois par un utilisateur nommé « Dennis ».
• Le logiciel utilisé est enregistré au nom de « Christ Lutheran Church » (une église luthérienne locale).

Le dénouement

En croisant ces deux données, la police se rend sur le site web de l’église et trouve un certain Dennis Rader qui y est président du conseil paroissial.

Quelques jours plus tard, ils comparent l’ADN de la fille de Rader (prélevé légalement via un frottis papillaire médical) avec l’ADN retrouvé sur les scènes de crime de l’époque. La correspondance est parfaite. Dennis Rader est arrêté en 2005.

7. Analyse du Leak « YGGtorrent — Fin de partie »

Le document attribué au « YGG Leak » accorde une place importante à l’analyse forensic — comprendre ce que les gens ont fait sur les machines compromises, comment ils y accèdent, et ce qu’on peut en tirer.

Le point de départ, ce sont les journaux système. Des fichiers EVTX, le format de logs Windows, ont été récupérés sur le serveur de préproduction. Rien de très original en soi : ce type de fichier trace les connexions, les tentatives d’authentification, les sessions distantes. Mais bien exploités, ils permettent de reconstituer qui faisait quoi, à quelle heure, depuis quelle adresse IP — et de distinguer le trafic légitime du reste.

L’historique PowerShell vient compléter ces fichiers EVTX de façon plus parlante. Là où les logs système enregistrent des événements, PowerShell laisse des traces d’actions humaines : des commandes tapées, des scripts exécutés, des opérations qui trahissent des intentions. Dans ce cas précis, ça a permis de confirmer l’exécution de certains scripts, d’identifier des opérations liées à des attaques externes et de comprendre comment certains services étaient administrés.

Mais ce qui retient davantage l’attention, c’est la récupération de profils de navigateurs — Chrome ou Brave — présents sur le serveur, qui servait manifestement aussi de poste de travail à un administrateur. Ces profils sont une mine : historique de navigation, cookies de session active, mots de passe sauvegardés, données d’auto remplissage. Avec un accès administrateur, tout ça se déchiffre. On peut reconstituer les habitudes, identifier les services utilisés, et potentiellement accéder à des comptes externes.

Les fichiers de configuration apportent une autre couche d’information. Les configs de clients SFTP comme FileZilla, par exemple, contiennent parfois des identifiants en clair. Les fichiers de configuration applicatifs révèlent des chemins, des clés d’API, des dépendances. Mis bout à bout, ils permettent de cartographier l’infrastructure et d’identifier des pivots possibles vers d’autres systèmes.

Le document évoque aussi la corrélation des adresses IP pour relier des identités a priori distinctes. En croisant les logs de connexion, les bases de données internes et les historiques d’accès, on peut détecter l’usage de VPN ou de proxies, regrouper des comptes qui semblaient indépendants, et parfois inférer une localisation. Ce sont des techniques classiques d’OSINT appliquées à des données internes.

La reconstitution chronologique est au cœur de toute la démarche. En agrégeant les timestamps de sources différentes — logs, navigation, bases de données — l’auteur cherche à établir une séquence cohérente : tel déploiement de code à telle heure, telle modification d’infrastructure, telle opération financière. L’idée est de relier les traces techniques à des décisions humaines.lll

Enfin, le document décrit une logique d’exfiltration organisée : code source, bases de données, journaux, identifiants — tout est classé par catégories pour faciliter l’analyse et permettre une vérification extérieure.

Au fond, la méthode n’a rien d’exotique. C’est de l’analyse post-compromission classique : collecter, corréler, ordonner dans le temps. Ce qui la rend efficace, c’est simplement que des traces anodines prises séparément deviennent très explicites une fois agrégées.

8. Conclusion

Le forensic numérique est aujourd’hui un domaine essentiel de la cybersécurité. Il permet d’analyser les incidents informatiques et de reconstituer les actions d’un attaquant.

Grâce à des outils spécialisés et une méthodologie rigoureuse, les experts peuvent identifier les failles exploitées et aider les organisations à renforcer leur sécurité.

Avec la multiplication des cyberattaques, les compétences en forensic informatique deviennent de plus en plus recherchées dans les métiers de la cybersécurité.

Nos sources

• https://cyberinstitut.fr/forensic-informatique-methodes-outils-investigation/ 
• https://www.digischool.fr/cours/gestion-des-incidents-de-securite-forensic-informatique-xap5
• https://en.wikipedia.org/wiki/Digital_forensic_process 
• https://scopecyber.fr/definitions/forensic
• https://www.clubic.com/actualite-603118-fuite-yggtorrent-ce-que-contient-et-ne-contient-pas-l-archive-de-11-go-publiee-apres-la-chute-du-site.html
• https://yggleak.top/fr/home/ygg-dossier