Transformation in die Cloud - welche Cloud darf es sein?
Sécurité Industrielle

Rechercher des indices numériques

25 oct. 2016

Les malfaiteurs peuvent aussi bien être en Corée du Nord ou en Russie que dans le bureau d’à côté. Ces voleurs-là ne laissent ni taches de sang ni tiroirs ouverts. Cependant, les scientifiques de l’investigation tels que Volker Wassermann et le Dr Alexander Schinner, consultant en sécurité à Telekom, savent comment trouver des indices sur le crime entre les bits et les octets. Entretien avec l’expert en investigation numérique, M. Wasserman, le Sherlock Holmes de l’informatique.
Wenn Hacker und Datendiebe zugeschlagen haben, gehen IT-Forensiker auf Spurensuche.

Les pirates laissent-ils des traces ?

Il est en général possible de trouver quelques traces. Afin de les trouver, j’examine les serveurs et les appareils des usagers, tels que les smartphones et ordinateurs portables. J’évalue les fichiers de registre et autres registres, je contacte les fournisseurs de services informatiques. Avant tout, j’observe tous les appareils et réseaux que l’assaillant a été en mesure de toucher. C’est ainsi que je peux reconstruire pas à pas son mode opératoire.
Volker Wassermann
Expert en informatique indépendant, analyste en investigations numériques agrémenté. Propriétaire, directeur et fondateur de Birdge4IT.

Vous travaillez donc comme un détective ?

La comparaison avec Sherlock Holmes est très pertinente. Chaque détail peut aider à trouver le malfaiteur. Se passe-t-il quelque chose d’étrange au niveau du réseau ou des ordinateurs ? Y a-t-il des données là où elles ne devraient pas être ? Des employés ont-ils remarqué des données altérées ? Je compose le puzzle peu à peu sur les lieux du crime.

Mais la scène du crime comporte-t-elle autre chose que des PC, smartphones ou serveurs ?

Avant toute chose, il faut garder à l’esprit que l’assaillant peut être de la maison. Il faut alors regarder les choses de près, d’autant qu’il peut avoir caché des pièces compromettantes au dernier moment. Il m’est arrivé de trouver des cartes numériques sécurisées dans des abat-jour ou sous le socle d’un moniteur d’ordinateur fixe.

Y a –t-il des règles que vous devez suivre dans le cadre de votre travail ?

Un règle essentielle dans l’investigation informatique est de faire en sorte que les preuves numériques et les mesures prises soient conformes aux standards exigés par les tribunaux. Dans le cas contraire, les preuves pourraient être rejetées lors du procès. C’est pourquoi je tiens un carnet de bord ; je garde des traces palpables et exhaustives de mes méthodes de travail. Vous ne pouvez pas vous permettre de faire des erreurs. Vous ne pouvez jamais perdre de vue des supports de données. Les preuves sont donc clairement étiquetées et mises en sécurité dans les locaux de la police, comme dans le cadre de n’importe quelle enquête criminelle.

Le status quo n’est-il pas modifié par toute intervention sur un système informatique ?

Les experts en enquêtes informatiques ont besoin d’un système de reconnaissance de leurs compétences. Pour ce qui est de l’analyse, j’utilise des logiciels et du matériel agrémentés pour les activités d’investigation. Il existe des outils d’investigation qui empêchent toute chose sauvegardée sur le disque dur d’être altérée ou détruite. Je me fais donc une copie ne pouvant être modifiée, une copie complète des supports de données que je peux ensuite analyser. J’ai aussi la possibilité de reproduire des données éliminées, sur un smartphone par exemple.

Que faire si je remarque que ma société a été touchée par une attaque de ce type ?

Garder votre calme, ne pas réagir dans la hâte. Il arrive que la victime détruise tous les indices. Contactez ensuite un expert en enquêtes informatiques. Pourquoi pas le fournisseur ? Parce que celui-ci, quoique compétent en sécurité informatique, ne le sera pas forcément en travail d’investigation ou en procédures à suivre dans ce type de situations.

Y a-t-il quoi que ce soit qui puisse être fait par les entreprises elles-mêmes ?

Les entreprises doivent être préparées et avoir mis au point un plan de secours. Il faut savoir comment réagir en cas d’attaque. Quels systèmes doivent être mis en veilleuse ? Quels autres doivent continuer à tourner ? Ce n’est qu’alors que vous pouvez commencer à déconnecter du réseau les appareils appropriés. Une grande erreur consiste en revanche à déconnecter l’appareil de l’alimentation. En effet, des indices peuvent être de cette manière effacés de la mémoire vive.

Le programme malveillant ne risque-t-il pas de continuer à envahir le serveur ?

C’est vrai pour les rançongiciels, qui codent les données sur le disque dur. Afin d’éviter ce genre de situations, il faut ici faire une exception et couper l’alimentation. C’est ainsi qu’on évitera que le mal se propage aux autres ordinateurs.

Toutes les attaques peuvent-elles être évitées ?

Non. Mais il est par exemple possible d’éviter que des volumes de données plus ou moins importants ne continuent à être pillés. Il existe aujourd’hui de très bonnes méthodes de codage des données. Les données ne sont alors lisibles que par des appareils autorisés.

Vous avez probablement rencontré des méthodes d’attaque inhabituelles ?

Un jour, un individu se présentant comme employé du service clientèle de Microsoft a téléphoné à un de mes clients. Tout avait été préparé avec un grand souci de réalisme, il y avait même le bruit de fond propre à un centre d’appel. Selon l’interlocuteur, une menace avait été détectée sur l’ordinateur du client ; l’individu proposait donc de régler le problème directement via Team Viewer. Le service était censé coûter environ 270 euros. Il disait qu’il vérifierait avec Team Viewer une fois le virement de la somme par banque en ligne, après quoi il pourrait éliminer la menace. Mon client a alors déclaré ne pas utiliser de services bancaires en ligne. C’est alors que son interlocuteur l’a rassuré, lui disant qu’il était possible de confier du liquide à un coursier qui serait sur place en quelques minutes. Aussi incroyable que cela puisse paraître, il y a des gens qui se laissent avoir. Ce ne fut heureusement pas le cas de mon client.
Dr. Alexander Schinner
et ses collègues de l’équipe T-Systems Security Consultant conseillent les entreprises sur la protection de leurs systèmes informatiques des cyberattaques et la manière de réagir en cas d’attaque.

Est-il possible d’arrêter les pirates ?

Les attaques internes ou les vols de données importantes sont faciles à reconstruire et à prouver. Les attaques en provenance de l’étranger sont un cas plus épineux, les enquêtes sont plus difficiles. Tous les indices, une fois reliés les uns aux autres, vous permettent souvent de déterminer à partir de quel pays l’attaque a été pilotée. Ceci ne résout pas l’affaire complètement, mais apporte des informations supplémentaires sur la manière dont une entreprise pourrait se protéger plus efficacement.

Pourriez-vous nous raconter une de vos plus spectaculaires affaires ?

Une entreprise de production avait tout-à-coup remarqué une circulation particulièrement intense. Cela faisait un certain temps qu’un logiciel non filtré collectait des données et les redirigeait ailleurs en catimini. Nous avons alors découvert que ce logiciel se composait de plusieurs sous-logiciels qui s’étaient dézippés. Le malfaiteur s’est avéré être un concurrent étranger de notre client, qui avait attaché un support externe au serveur. Comment ? Un fournisseur de services externe ayant accès au serveur avait installé l’appareil en question. Mon conseil serait le suivant : passez toujours vos partenaires au crible, même si vous êtes en bons termes avec eux depuis des années. Vous devez arriver à localiser les employés de votre prestataire de service se trouvant sur votre site et à faire le tri entre visiteurs bien intentionnés et ennemis potentiels.

Comment l’entreprise a-t-elle réagi ?

Après l’attaque, la société a décidé de passer au Cloud, n’étant plus en mesure de gérer elle-même les risques de sécurité. Au moment de l’attaque, elle utilisait encore de vieux logiciels et n’avait pas utilisé d’actualisations provisoires. Cela suffit à laisser la porte ouverte aux pirates informatiques.

Votre carnet de commandes doit être plein !

Beaucoup de sociétés préfèrent encore éviter de parler d’attaques, balayant la poussière sous le tapis aussi longtemps que possible. J’ai cependant remarqué que les clients me contactent de plus en plus souvent avant d’appeler la police. C’est assez compréhensible dans la mesure où le personnel des commissariats est rarement spécialisé dans les enquêtes numériques. Une fois que j’ai remarqué un événement, le client signale la situation.