Conception et réalisation d'une plateforme d'investigation numérique

? 2.16. Computer forensique test

Nous voici dans le moment crucial de faire preuve de pragmatisme après avoir fait l'énumérations de plusieurs outils dans les points précédent ; ici, il est question d'utiliser ces outils, mais notre choix porte sur les outils open source tels que FTK, Autopsy et Volatility qui nous permettront d'effectuer les différents tests dans chaque phase d'une investigation digitale de façon claire et approfondie. Nous allons pour ce premier test, le faire sur un ordinateur équipé d'un système d'exploitation Windows dont il important bien avant de comprendre les fondamentaux de son environnement, puis procéder aux collectes. Pour ce qui est des autres environnements, tels que : Mac OS, Mobile et Linux, etc. la même démarche sera poursuivie et pour être beaucoup plus compréhensible dans la démarche, voir l'annexe de ce mémoire.

Le système d'exploitation Windows est de loin le système d'exploitation le plus populaire sur terre et l'un des nombreux systèmes d'exploitation utilisés dans le monde, mais la plupart des nouveaux ordinateurs ou ordinateurs portables utilisent le système d'exploitation Windows. Cela a donc un impact dans le monde numérique, la plupart des cybercrimes visent Windows, nous devons donc savoir quels petits objets seront utilisés comme artefacts, puis effectueront des analyses médico-légales sur les systèmes Windows.

a) Système de fichiers / Arborescence

Le système d'exploitation Windows est construit sur une arborescence de fichiers et dossiers qui sont créés et enregistrés sur le disque dur. Ce dernier est donc organisé en différents dossiers : dossier Windows, dossiers Programmes et dossier Utilisateur avec les Bibliothèques.

- Fichier

Un fichier informatique est un ensemble de données cohérentes réunies^33(*), c'est-à-dire une suite de chiffres binaires dont l'ordre possède une signification pour un ou des programmes informatiques. Un fichier informatique est enregistré dans une mémoire de stockage (disque dur local ou réseau, clé USB ou carte mémoire Flash, CD/DVD, ...) afin de pouvoir lire et/ou modifier les données qui y sont écrites.

Un fichier informatique est repéré par son nom, qui possède souvent, mais pas toujours, la structure suivante : nom.extension où le nom est une suite de caractères quelconque, et l'extension est une suite de deux, trois ou quatre lettres pouvant donner une idée du contenu du fichier.

Le système d'exploitation Windows peut être configuré de manière à sélectionner automatiquement (c'est-à-dire par double-clique) un programme pour ouvrir un type de fichier, en fonction de son extension.

Ainsi, généralement, pour les fichiers portant l'extension .jpg, le système d'exploitation sera configuré de manière à ouvrir avec un logiciel visionneuse d'image, ou bien un éditeur d'image.

Non seulement un fichier contient des données brutes, mais il contient aussi des métadonnées (certaines informations concernant les informations), telles que, suivant le système de fichier, la longueur du fichier, son auteur, les personnes autorisées à le manipuler, ou la date de la dernière modification et ce sont des informations nécessaires pour les enquêteurs forensic.

- Dossier

Un dossier informatique (ou répertoire, directory en anglais) est un fichier particulier qui contient les références à d'autres fichiers.

Dans tous les systèmes de fichier, chaque fichier ou dossier est référencé par un autre dossier, appelé parent du fichier ou du dossier correspondant.

Un tel système forme une hiérarchie, appelée arborescence, dont le point d'entrée est appelé répertoire racine.

Figure 2.11. Arborescence Os Windows

Donner le chemin absolu d'un fichier ou d'un dossier, c'est donner l'ensemble des dossiers traversés depuis le répertoire racine pour atteindre ce fichier ou dossier. Il est possible de donner le chemin relatif vers un fichier ou un dossier à partir d'un autre dossier de la même arborescence. Pour cela il est parfois nécessaire de remonter dans les répertoires parents. Le nom du répertoire parent n'étant pas connu par le répertoire courant, on utilise la convention.. (Deux points) pour signifier qu'il faut remonter d'un parent vers la racine.

b) Séquence de boot Windows

Le boot séquence est l'ordre dans lequel le BIOS recherche les lecteurs pour démarrer Windows. Lorsqu'on démarre un ordinateur équipé d'un système d'exploitation Windows, le BIOS de la carte mère effectue les tests des différents composants du PC, c'est le POST.

Si le POST se termine correctement, le BIOS cherche un lecteur (disque-dur, lecteur CD/DVD, lecteur de disquette, etc.) qui contient un secteur de boot pour lancer le système d'exploitation (OS) qui s'y trouve.

c) Base de registre

La base de registre Windows ou registre Windows est une base de données structurées où sont stockées un grand nombre d'informations. Ces informations sont utilisées par Windows et ses composants ainsi que les programmes installés par l'utilisateur pour sauvegarder des informations utiles à leurs fonctionnements. Cette base de données est invisible à l'utilisateur et est utilisée en arrière-plan par Windows.

Cependant, il arrive parfois que l'on soit obligé de la modifier. Cela est utile lorsque l'on rencontre des problèmes techniques ou pour modifier des paramètres qui ne sont pas accessibles directement dans Windows.

Pour les enquêteurs ou analystes forensiques, le Registre ressemble probablement à l'entrée d'une caverne sombre et inhospitalière dans le système d'exploitation Windows. D'autres peuvent le voir comme une porte noire à l'extrémité d'un long couloir sur laquelle est gravé " Vous qui allez franchir cette porte, abandonnez tout espoir". En vérité, le Registre est une véritable mine d'informations pour l'enquêteur forensique. Dans de nombreux cas, le logiciel utilisé par l'assaillant laisse une empreinte dans le Registre, donnant alors à l'enquêteur des indices sur l'incident. Si vous savez où regarder et comment interpréter vos découvertes, vous disposez d'un formidable moyen de connaître les activités qui ont eu lieu sur le système.

d) Fichiers logs

1. Le répertoire Prefetch

Le répertoire c:\windows\prefetch contient la liste de tous les programmes qui ont été exécutés sur un système Windows 7/8/10. Mais il est important de signaler que cette fonctionnalité est déjà désactivée sur les environnements Windows Server 2008/2012/2016. Dans le même ordre d'idée, le programme Executed Programs List nous permettra de lister tous les programmes qui ont été exécutés sur notre machine sans ambigüité.

2. Les ShellBags

Les « ShellBags » permettent de conserver l'agencement des dossiers que vous avez ouverts. Ils indiquent la date à laquelle vous y avez accédé. Pour en faire l'objet d'une investigation, il y a plusieurs outils qui nous permettent d'en obtenir la liste complète, entre autres :

? ShellBagsView de Nirsoft

? ShellBag Analyzer et Cleaner de Privazer

3. Le MUICache

Dans le même registre, sachez que Windows stocke dans son registre la liste des dernières applications utilisées au niveau de la clé HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache. Pour visualiser la liste de ces applications, vous disposez du logiciel MUICacheView de Nirsoft ce qui est une mine d'or pour nous les enquêteurs forensic.

Un nouveau programme signé Nirsoft, Execute Programs List, permet d'obtenir la liste des derniers programmes exécutés à partir du dossier c:\windows\prefetch comme nous l'avons signalé précédemment et des clés de registre suivantes :

- HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

- HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache

- HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted

- HKEY_CURRENT_USER\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

4. Le gestionnaire d'événements

Il permet d'accéder aux journaux Windows verrouillés par le système, stockés dans le répertoire C:\windows\system32\config aux côtés des principaux fichiers qui constituent la base de registre. Vous y accédez grâce au programme eventvwr.exe ou eventvwr.msc.

5. Les fichiers temporaires

Ils sont accessibles à partir des variables d'environnement fixées dans les paramètres système avancés de notre configuration Windows.

Figure 2.12. Variable d'environnement

6. Les caches de navigation et autres traces

Pour Internet Explorer, vous pouvez y accéder à partir du répertoire %LOCALAPPDATA%\Microsoft\Windows\TemporaryInternetFiles.

Sous Firefox/Chromium tapez about:cache à partir de la barre d'adresse ; vous pouvez aussi consulter toutes les adresses consultées par about:networking.

Sous Chromium encore, pour consulter toutes les informations disponibles, tapez chrome://chrome-urls.

Pour accéder à ces caches de navigation et aux autres traces laissées sur notre système, nous pouvons aussi utiliser la version gratuite des gratuiciels Wise Disk Cleaner et Ccleaner associé à CCEnhancer. Il existe d'ailleurs de nombreuses alternatives à Ccleaner comme BleachBit qui est une des rares solutions Open Source dans ce domaine.

7. Les certificats

De nombreux certificats sont visibles au travers de la console certmgr.msc.

Figure 2.13. Le certificat windows

8. Les clichés instantanés

C'est un mécanisme appelé VSS ou Volume Shadow copy Service, qui permet de réserver une place pour les versions antérieures des fichiers qui y sont stockés. Le mécanisme s'applique aux volumes logiques : vssadmin.exe est l'utilitaire en ligne de commande pour gérer le VSS.

Figure 2.14. Le VSS

9. Les logs du pare-feu

Grâce au pare-feu (firewall) nous pouvons journaliser toute l'activité réseau de notre machine. Par défaut, la taille du fichier de journalisation est de 4 Mo. Cela représente environ la consignation de 2 jours d'activité. Windows ne permet pas de fixer une valeur au-delà de 32 Mo. La commande pour accéder au pare-feu est wf.msc. Dans les propriétés du pare-feu, allez dans chaque profil et cliquez sur le bouton Personnaliser au niveau de la zone Enregistrement en bas à droite de la boîte de dialogue.

Figure 2.15. Le pare-feu

10. Les informations liées au boot de votre système

Avec l'utilitaire msconfig.exe, vous pouvez journaliser les informations liées au démarrage de votre système. Elle se trouve consignée dans le fichier c:\windows\ntbtlog.txt.

Figure 2.16. Informations boot système

* ³³ https://www.larousse.fr/dictionnaires/francais/fichier/33578