Qu’est-ce que la forensique numerique ?
La forensique numerique (ou investigation numerique) est la science qui consiste a collecter, analyser et preserver les preuves numeriques apres un incident de securite : piratage d’un site web, vol de donnees, fraude en ligne, ou compromission d’un ordinateur. C’est le metier du « detective informatique » qui reconstitue ce qui s’est passe, quand et comment.
Au Senegal, avec la croissance des cyberattaques ciblant les entreprises et les paiements mobiles, comprendre les bases de la forensique est essentiel pour les administrateurs systeme, les responsables IT et les professionnels de la securite.
Les principes fondamentaux
| Principe | Description | Pourquoi c’est crucial |
|---|---|---|
| Preservation des preuves | Ne jamais modifier les donnees originales | Les preuves alterees sont irrecevables en justice |
| Chaine de traçabilite | Documenter qui a touche quoi, quand et comment | Garantit l’integrite du processus d’investigation |
| Reproduction | Travailler sur des copies, jamais sur l’original | Permet de verifier les resultats independamment |
| Documentation | Tout noter : actions, outils utilises, resultats | Le rapport doit etre comprehensible par un non-technicien (juge, direction) |
Les 4 phases d’une investigation
Phase 1 : Identification et preservation
- Identifier les sources de preuves : disques durs, cles USB, telephones, logs serveur, sauvegardes
- Securiser la scene : isoler les machines compromises du reseau (debrancher le cable Ethernet, desactiver le Wi-Fi), mais ne pas eteindre — la memoire RAM contient des preuves volatiles
- Documenter l’etat initial : photos de l’ecran, capture des processus en cours
Capture de la memoire RAM (preuve volatile) :
# Sous Linux avec LiME
sudo insmod lime-$(uname -r).ko "path=/tmp/memdump.lime format=lime"
# Sous Windows avec WinPmem
winpmem_mini_x64.exe memdump.rawCreer une image disque (copie bit-a-bit) :
# Avec dd (Linux)
sudo dd if=/dev/sda of=/mnt/evidence/disque_image.dd bs=4M status=progress
# Calculer le hash pour prouver l'integrite
sha256sum /dev/sda > hash_original.txt
sha256sum /mnt/evidence/disque_image.dd > hash_copie.txt
# Les deux hash doivent etre identiquesPhase 2 : Acquisition des donnees
Outils d’acquisition :
| Outil | Plateforme | Usage | Gratuit |
|---|---|---|---|
| dd / dc3dd | Linux | Copie bit-a-bit de disques | Oui |
| FTK Imager | Windows | Acquisition disque et memoire, interface graphique | Oui |
| Autopsy | Multiplateforme | Suite complete d’analyse forensique | Oui |
| Volatility | Multiplateforme | Analyse de dump memoire RAM | Oui |
| Wireshark | Multiplateforme | Analyse du trafic reseau capture | Oui |
Phase 3 : Analyse
Analyse du systeme de fichiers :
- Fichiers supprimes recuperables (les donnees restent sur le disque jusqu’a ecrasement)
- Timeline d’activite : quels fichiers ont ete crees, modifies, accedes et quand
- Fichiers caches ou renommes
- Metadonnees des documents (auteur, date de creation, logiciel utilise)
Avec Autopsy (interface graphique) :
- Nouveau cas → ajoutez l’image disque (.dd, .E01)
- Lancez les modules d’analyse : Hash, Keyword Search, Timeline, Web Artifacts
- Explorez les resultats : fichiers supprimes, historique web, emails, images
Analyse des logs serveur :
# Connexions SSH echouees
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -rn | head
# Requetes HTTP suspectes (injections SQL, scanners)
grep -E "(union|select|script|eval|base64)" /var/log/nginx/access.log
# Fichiers modifies recemment (potentiel backdoor)
find /var/www/ -type f -mtime -7 -name "*.php" -lsPhase 4 : Rapport
Le rapport forensique doit etre comprehensible par des non-techniciens (direction, avocats, juges) :
- Resume executif : Ce qui s’est passe en 3-5 phrases
- Chronologie des evenements : Timeline detaillee avec dates et heures
- Preuves collectees : Liste des elements avec hash d’integrite
- Analyse technique : Details pour les techniciens
- Conclusions : Qui, quoi, quand, comment, impact
- Recommandations : Comment eviter que cela se reproduise
Cas d’usage courants au Senegal
| Incident | Preuves a collecter | Outils |
|---|---|---|
| Site WordPress pirate | Logs d’acces, fichiers PHP modifies, base de donnees, sauvegardes | grep, diff, Autopsy |
| Email de phishing recu | En-tetes email complets, liens malveillants, pieces jointes | Analyseur d’en-tetes, VirusTotal |
| Fraude Wave/Orange Money | Historique des transactions, SMS, logs de l’application | Extraction telephone, captures d’ecran |
| Vol de donnees employe | Logs d’acces fichiers, cles USB connectees, emails envoyes | Windows Event Viewer, Autopsy |
| Ransomware | Fichiers chiffres, note de rancon, processus en memoire, point d’entree | Volatility, Autopsy, logs antivirus |
Analyse de la memoire RAM avec Volatility
La RAM contient des informations precieuses qui disparaissent a l’extinction :
# Identifier le profil du systeme
vol.py -f memdump.raw imageinfo
# Lister les processus en cours
vol.py -f memdump.raw --profile=Win10x64 pslist
# Connexions reseau actives
vol.py -f memdump.raw --profile=Win10x64 netscan
# Commandes executees
vol.py -f memdump.raw --profile=Win10x64 cmdscan
# Extraire les mots de passe en memoire
vol.py -f memdump.raw --profile=Win10x64 hashdumpAnalyse reseau avec Wireshark
Capturer le trafic :
# Capture avec tcpdump (serveur sans interface graphique)
sudo tcpdump -i eth0 -w capture.pcap -c 10000Analyser dans Wireshark :
- Filtrez par protocole : http, dns, tcp.port==4444 (ports suspects)
- Suivez un flux TCP : clic droit → Follow → TCP Stream (reconstitue la conversation)
- Cherchez les donnees exfiltrees : grandes quantites de donnees sortantes vers des IP inconnues
- Detectez les communications C2 (Command & Control) : connexions regulieres vers une meme IP externe
Outils essentiels du forensicien
| Categorie | Outil | Usage |
|---|---|---|
| Suite complete | Autopsy / Sleuth Kit | Analyse disque, timeline, recuperation fichiers |
| Memoire | Volatility | Analyse de dump RAM |
| Reseau | Wireshark / tcpdump | Analyse de captures reseau |
| Hash | sha256sum / md5sum | Verification d’integrite des preuves |
| Recovery | PhotoRec / TestDisk | Recuperation de fichiers supprimes |
| Windows | FTK Imager | Acquisition d’image disque sous Windows |
| Malware | VirusTotal / Cuckoo Sandbox | Analyse de fichiers malveillants |
| Logs | ELK Stack / Splunk Free | Centralisation et recherche dans les logs |
Aspects legaux au Senegal
- La loi n° 2008-11 sur la cybercriminalite au Senegal couvre les infractions informatiques
- La Commission des Donnees Personnelles (CDP) regit la protection des donnees
- Les preuves numeriques sont admissibles en justice si la chaine de traçabilite est respectee
- Contactez la Division Speciale de Cybersecurite (DSC) de la police pour les incidents graves
- Conservez les preuves pendant au moins 1 an (obligation legale pour certaines donnees)
Checklist reponse a incident
- ☐ Isoler la machine du reseau (sans l’eteindre)
- ☐ Documenter l’etat initial (photos, notes)
- ☐ Capturer la memoire RAM avant toute autre action
- ☐ Creer une image disque bit-a-bit avec verification de hash
- ☐ Collecter les logs systeme et reseau
- ☐ Analyser sur la copie, jamais sur l’original
- ☐ Construire une timeline des evenements
- ☐ Identifier le vecteur d’attaque initial
- ☐ Documenter toutes les actions dans un rapport
- ☐ Signaler aux autorites si necessaire (DSC, CDP)
- ☐ Corriger les vulnerabilites exploitees
- ☐ Mettre a jour les procedures de securite
