Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

LETTRE MENSUELLE DE L'OMC N°68 - Novembre 2017 1 TABLE DES MATIERES  L’ANALYSE

LETTRE MENSUELLE DE L'OMC N°68 - Novembre 2017 1 TABLE DES MATIERES  L’ANALYSE FORENSIQUE A L’EPREUVE DE L’INTERNET DES OBJETS ................................. 2 L’extension du périmètre de l’analyse forensique ........................................................................................ 3 Le nerf de la guerre : les journaux d’événements et la question de leur génération ................................... 5  PREUVE NUMERIQUE ET VALEUR PROBATOIRE ....................................................................... 7 Le renforcement de la valeur probatoire de l’information numérique ........................................................... 7 Les mesures techniques pour garantir l’intégrité de la preuve numérique ................................................... 9 Lettre n°68 - Novembre 2017 - disponible sur omc.ceis.eu LETTRE MENSUELLE DE L'OMC N°68 - Novembre 2017 2 L’ANALYSE FORENSIQUE A L’EPREUVE DE L’INTERNET DES OBJETS L'analyse forensique numérique est le travail mené sur un système d'information pour extraire, conserver et, parfois interpréter l'ensemble des informations que l'on peut y trouver, essentiellement sur ses différentes mémoires (vives, mortes, caches), sur son fonctionnement – ou le plus souvent, sur un dysfonctionnement - actuel ou passé. Elle peut avoir des objectifs différents, selon le cadre dans lequel elle est conduite : dans un cadre judiciaire, elle vise à collecter toutes les preuves légales et incontestables permettant d'identifier et de punir les auteurs d'un délit ou d'un crime (attaque informatique, vol de données, pédopornographie, et plus généralement, tout crime ou délit dont la commission a visé ou utilisé un système d'information, ou peut être prouvée par son analyse forensique). Dans le cadre de la sécurité des systèmes d'information, elle vise à collecter toutes les informations permettant de comprendre l'enchaînement des processus informatiques ayant conduit à un dysfonctionnement ou au succès d'une attaque et d'évaluer son impact, afin de prendre les mesures correctrices nécessaires pour restaurer la sécurité et la disponibilité du système, de ses processus et de ses données. Le développement fulgurant de l’Internet des Objets modifie considérablement l’espace numérique. Dans les entreprises, où ces objets sont de plus en plus présents, le travail d’enquête et de réponse à incident se trouve grandement complexifié. D’une part, l’inventaire de la totalité des objets connectés est difficile à réaliser, d’autant qu’il est dynamique du fait de la mobilité de certains dispositifs. D’autre part, l’analyse et l’accès aux objets ayant potentiellement participé à l’incident de sécurité sont rendus difficiles par la diversité des interfaces. Les objets connectés ont un intérêt certain pour les attaquants, et donc pour l’analyse forensique1 : ils sont facilement oubliés dans l’inventaire des systèmes d’information, voire même inconnus de la direction informatique ; ils sont difficiles ou parfois même impossibles à mettre à jour en fonctionnement, quand – cas encore trop rares – leurs fabricants en corrigent les failles de sécurité ; nombreux sont ceux qui reposent sur des réseaux sans-fil2… Ils constituent ainsi des cibles de choix pour de potentielles attaques, qu’il s’agisse de les intégrer à un botnet pour lancer des attaques DDoS, de perturber leur fonctionnement pour nuire à l’entreprise, de dérober des données ou encore de servir de vecteur pour d'autres attaques, par exemple pour pénétrer dans le système d’information de l’entreprise (par exemple une ampoule connectée qui sera attaquée dans le but de dérober le code d’accès WiFi). Comment l’Internet des Objets conduit-il à modifier le travail d’analyse forensique, et quelles pistes potentielles pour répondre à cette problématique ? 1 On parle alors d’objets d’intérêt forensique (OOFI pour Object of Forensic Interest). 2 Les récentes vulnérabilités relatives aux protocoles BlueTooth et WPA2 (WiFi) nous rappellent les problématiques liées à l’intégration au système d’information de dispositifs employant des connexions sans fil. LETTRE MENSUELLE DE L'OMC N°68 - Novembre 2017 3 L’extension du périmètre de l’analyse forensique Les informations permettant de comprendre l'origine d'un incident ayant concerné un objet connecté peuvent être contenues à divers endroits : - Dans l'objet connecté à proprement parler ; - Dans les dispositifs internes à l’entreprise qui offrent une connexion à l’objet connecté ; - Dans des dispositifs externes à l’entreprise : Cloud, fournisseurs du réseau de transport des données (sigfox, GSM, etc.). En outre, les objets connectés peuvent appartenir à différents types de réseaux : - Des réseaux personnels, reliés ou non aux réseaux domestiques ou professionnels : ce type de réseau comprend par exemple un smartphone, une smartwatch, des dispositifs audio sans fil, etc. ; - Des réseaux domestiques : ils peuvent comprendre les ordinateurs personnels et les dispositifs qui relèvent de la domotique, et sont en général connectés à Internet via une box Internet ; - Des réseaux d’entreprise, auxquels sont de plus en plus souvent rattachés des éléments GTC/GTB3. Cela peut donc comprendre les thermostats connectés, l’éclairage intelligent, la gestion des accès physiques (systèmes de badges), les alarmes, etc. La dilution de la responsabilité de ces objets entre divers services peut aboutir à une mauvaise gestion des risques. Il est courant de voir le parc de caméras IP géré exclusivement par la direction sécurité, qui n’est pas forcément la mieux placée pour gérer la sécurité informatique de ces objets connectés. - Des réseaux métropolitains, dont les points d’accès publics gratuits sont susceptibles d’être usurpés afin de piéger les utilisateurs non sensibilisés. Du fait des équipements nomades, qui peuvent être amenés à se connecter successivement à tous les types de réseau précédemment cités, il y a une perméabilité entre ces réseaux. L’investigation numérique peut ainsi nécessiter de prendre en compte les déplacements des personnes, les connexions réalisées par leurs équipements, et donc les réseaux et autres objets auxquels ils ont été connectés : le lave-vaisselle ou l’écoute- bébé connecté de l’employé peut devenir un élément pertinent de l’enquête forensique. Des difficultés organisationnelles d’accès aux données utiles à l’analyse forensique La perméabilité des réseaux pose évidemment la question de l’accessibilité à ces objets connectés ou aux données issues de ces objets qui sortent du périmètre de l'organisme, à savoir ceux qui relèvent : - De réseaux domestiques des collaborateurs ; - De réseaux publics ouverts ; - D’opérateurs réseaux ; - D’éditeurs de solutions en Cloud. En effet, de nombreux objets ne sauvegardent pas les données en local, mais les transfèrent vers un système externe, où elles sont exploitées. S’agissant des données stockées à l’extérieur (dans le Cloud, à l’étranger), l’accès peut être problématique. En-dehors des cas où l’éditeur souhaite coopérer (si le contrat le prévoit ou 3 Gestion Technique du Bâtiment / Gestion Technique Centralisée. LETTRE MENSUELLE DE L'OMC N°68 - Novembre 2017 4 si l’éditeur y voit un intérêt pour renforcer sa sécurité), il est très difficile d’obtenir un accès aux données. Plus la donnée demandée est de nature technique – log IP par exemple – plus l’éditeur pourra être enclin à les fournir. Cependant, la majorité des éditeurs se montreront hostiles à tout partage de données de contenus concernant des individus (carnets d’adresse, discussions, groupes secrets, etc.), alors qu’ils peuvent avoir un intérêt pour l’analyse forensique. Aux Etats-Unis par exemple, Amazon a refusé de remettre les données d’un Amazon Echo (assistant personnel) à la police américaine dans le cadre d’une enquête sur un meurtre, jusqu’à ce que le suspect lui-même demande à l’entreprise cette mise à disposition des données4. Difficile d’imaginer une meilleure coopération dans le cadre d’une réponse à incident informatique. Des difficultés techniques d’accès aux données contenues dans les objets connectés Damien Cauquil, responsable R&D chez Digital Security, explique qu’une grande partie des objets connectés posent des difficultés techniques dans l’accès aux données. Il est généralement beaucoup plus difficile de réaliser des copies exactes des données contenues dans les mémoires de nombreux objets connectés que pour les composants informatiques. Les experts forensiques doivent identifier les composants, réussir à s’interfacer et réussir à récupérer l’information sans l’altérer. Il relève plusieurs difficultés spécifiques aux objets connectés : - L’accès physique aux puces peut être particulièrement difficile, car non prévu par les constructeurs. - Les experts font face à une grande diversité de systèmes d’exploitation (OS), qui complexifie l’accès aux données contenues en local. Il n’y a pas encore d’OS standard ou leader comme peuvent l’être Windows/Linux/OS X pour les ordinateurs ou bien Android/IOS pour les smartphones5. En effet, les besoins en ressources des dispositifs étant très différents, bien plus que celles séparant les différents modèles de smartphone, les caractéristiques techniques le sont tout autant. Ces dernières sont tirées vers le bas, afin de diminuer les coûts et la consommation électrique (essentiellement pour des raisons d’autonomie). Pour cette raison, on ne peut pas envisager de système d’exploitation polyvalent qui pourrait piloter tout le panel des objets connectés, car un tel système tirerait au contraire vers le haut le besoin en ressources de calcul. - Beaucoup de systèmes emploient un pilote d’exploitation (driver) mémoire spécifique : il va parfois falloir se tourner vers le constructeur pour connaître le formatage de la mémoire sur la puce : la méthode de paging, la position des données relevant du contrôle d’intégrité et celles qui contiennent les données exploitables, etc. - La compromission de l’objet connecté a pu entraîner la destruction des interfaces d’administration. Ceci ne constituerait pas un frein dans le cas d’un serveur traditionnel, ou plusieurs méthodes matures permettent d’accéder aux données malgré la destruction de l’interface traditionnelle (KVM, accès facilité aux composants uploads/Management/ obs-monde-cybernetique-201711.pdf