📍 Article de référence : Réponse aux incidents et analyse forensique numérique (DFIR) : guide complet 2025
Cet article est le tutoriel pratique de forensique disque avec Autopsy. Pour la vue d’ensemble du DFIR, consultez le guide de référence.
Lors d’une investigation forensique, la question centrale est : qu’est-ce que ce disque contient, qui l’a modifié, et quand ? Les systèmes d’exploitation modernes génèrent des dizaines de milliers d’artefacts — fichiers supprimés récupérables, métadonnées NTFS, historiques de navigation, connexions USB, journaux d’événements — qui racontent avec précision ce qui s’est passé sur une machine, même longtemps après les faits.
Autopsy 4, développé par Sleuth Kit Labs (entité indépendante issue de Basis Technology en octobre 2023, dirigée par Brian Carrier), est l’interface forensique open-source la plus complète du marché. Construit au-dessus de The Sleuth Kit (TSK), il orchestre l’analyse des images disques à travers des modules d’ingestion (ingest modules) spécialisés, produit des rapports professionnels, et s’intègre dans n’importe quel workflow d’investigation. Ce tutoriel vous guide de l’acquisition de l’image jusqu’au rapport final.
Prérequis
- OS : Windows 10/11 64-bit (pour Autopsy GUI) ou Linux (pour TSK CLI)
- RAM : 8 Go minimum recommandé, 16 Go pour de grandes images
- Espace disque : au moins 2× la taille de l’image à analyser (image + base de cas Autopsy)
- Outils requis : FTK Imager (gratuit, Exterro) pour l’acquisition ; Java JDK 8+ pour Autopsy
- Niveau : intermédiaire (connaissance des systèmes de fichiers recommandée)
- Temps estimé : 1 à 3 heures selon la taille du disque
Étape 1 — Acquérir l’image forensique avec FTK Imager
Avant toute analyse, il faut une copie bit-à-bit du support original. Travailler directement sur le disque original est une violation des principes forensiques : chaque accès modifie les métadonnées (dates d’accès, journaux), contaminant les preuves. FTK Imager, outil gratuit d’Exterro, crée des images au format E01 (Expert Witness Format) avec hachage intégré par segment, garantissant l’intégrité à long terme.
Dans FTK Imager (lancé en tant qu’administrateur) : File → Create Disk Image → Physical Drive. Sélectionner le disque source. Choisir le format de destination E01 (recommandé) ou Raw/DD. Renseigner les métadonnées de cas (numéro d’affaire, nom de l’examinateur, description). Définir la taille des segments (1 à 4 Go par fichier .E01 selon les contraintes de filesystem de destination). Activer la vérification après acquisition (AFF4 checksum).
Sur Linux, l’équivalent en ligne de commande :
# Bloquer les écritures sur le disque source avec hdparm (write-blocker logiciel)
hdparm -r1 /dev/sdb
# Créer l'image avec dc3dd (fork forensique de dd avec hachage intégré)
dc3dd if=/dev/sdb of=/evidence/disk_evidence.dd hash=sha256 hlog=/evidence/disk_evidence.hash.log log=/evidence/dc3dd.log
# Vérifier l'intégrité de l'image produite
sha256sum /evidence/disk_evidence.ddLa commande hdparm -r1 /dev/sdb active la protection en écriture logicielle sur le disque source — c’est le write-blocker logiciel. Un write-blocker matériel (Tableau, WiebeTech) est préférable dans un contexte légal strict, mais hdparm est acceptable pour des investigations internes. L’option hash=sha256 de dc3dd calcule le hash SHA-256 pendant l’acquisition, le consigne dans le log, et permet la vérification d’intégrité immédiate.
Étape 2 — Installer Autopsy 4 sur Windows
Autopsy 4 est disponible gratuitement sur le site officiel de The Sleuth Kit (sleuthkit.org/autopsy/). Le téléchargement fournit un installateur Windows .msi qui embarque Java, The Sleuth Kit et les modules de base. L’installation est standard (suivre l’assistant). Sur Windows 11, Autopsy nécessite une exécution en administrateur pour accéder aux disques physiques et images protégées.
Pour une installation sur Linux (Ubuntu/Debian), Autopsy est disponible comme application Java autonome. The Sleuth Kit s’installe via les dépôts :
# Installer The Sleuth Kit sur Ubuntu/Debian
sudo apt update
sudo apt install sleuthkit
# Vérifier l'installation
mmls --version
fls --version
# Pour Autopsy 4 sur Linux, télécharger le .zip depuis sleuthkit.org
# et lancer : ./autopsyLa commande mmls --version affiche la version de TSK installée et confirme que l’outil est opérationnel. mmls (Media Management List) est utilisé à l’étape suivante pour inspecter la table des partitions d’une image disque.
Étape 3 — Créer un cas dans Autopsy
Dans Autopsy, chaque investigation est organisée en cas (case). Un cas peut contenir plusieurs sources de données (disques, images, dossiers). Toutes les analyses, les marquages, les tags et le rapport final sont associés à ce cas. Il est fondamental de créer un cas dédié pour chaque affaire — ne jamais réutiliser un cas existant pour une nouvelle investigation, au risque de mélanger les preuves.
Depuis l’écran d’accueil d’Autopsy : Create New Case. Renseigner : nom du cas (convention recommandée : YYYYMMDD_Affaire_NumRef), répertoire de base (sur un volume avec suffisamment d’espace), numéro de cas, nom de l’examinateur, organisation. Cliquer Next, puis Finish. Autopsy crée la structure de répertoires du cas et ouvre la fenêtre d’ajout d’une source de données.
Étape 4 — Ajouter l’image disque et lancer l’ingestion
La fenêtre « Add Data Source » s’ouvre automatiquement après la création du cas. Sélectionner Disk Image or VM File pour ajouter notre image E01. Naviguer vers le premier fichier .E01 (Autopsy gère automatiquement les segments multiples .E01, .E02, etc.). Sélectionner le fuseau horaire correct de la machine source — ce paramètre affecte directement les horodatages affichés dans la timeline.
L’étape suivante est la sélection des ingest modules — les modules d’analyse automatique. Voici les modules essentiels à activer pour une investigation complète :
- Recent Activity : extrait l’historique de navigation (Chrome, Firefox, IE/Edge), les cookies, les téléchargements, les programmes installés, les connexions USB récentes, les comptes utilisateurs
- Hash Lookup : compare les hashes des fichiers contre la base NSRL (NIST) pour identifier les fichiers système connus et filtrer le bruit
- File Type Identification : identifie les fichiers par leurs magic bytes (signatures hexadécimales), indépendamment de l’extension — détecte les fichiers renommés pour dissimuler leur nature
- Keyword Search : indexe le contenu textuel pour les recherches par mots-clés (adresses email, numéros de carte, noms de personnes, URLs)
- Email Parser : extrait les emails depuis les fichiers PST/OST (Outlook), MBOX
- Exif Parser : extrait les métadonnées des images (GPS, modèle d’appareil, date de prise)
- Extension Mismatch Detector : signale les fichiers dont l’extension ne correspond pas au type réel (ex:
document.pdfqui est en réalité un exécutable PE) - Encryption Detection : signale les fichiers présentant une entropie élevée (probablement chiffrés)
Cliquer Finish pour lancer l’ingestion. Selon la taille de l’image, cette phase dure de quelques minutes (images de quelques Go) à plusieurs heures (disques de 500+ Go). La barre de progression en bas d’Autopsy indique l’avancement. Ne pas interrompre l’ingestion — le cas peut être corrompu si Autopsy est fermé pendant ce processus.
Étape 5 — Explorer le système de fichiers et les artefacts
Une fois l’ingestion terminée, le panneau de gauche d’Autopsy affiche l’arborescence d’analyse. Le nœud Data Sources liste l’image avec sa structure de partitions. En dessous, les résultats d’ingestion sont organisés par catégorie : Web History, Web Cookies, Web Downloads, Installed Programs, USB Device Attached, Recent Documents, Operating System User Accounts, etc.
Pour inspecter la table des partitions en ligne de commande avec TSK :
# Lister les partitions dans l'image disque
mmls disk_evidence.dd
# Résultat attendu (exemple typique Windows 10) :
# DOS Partition Table
# Offset Sector: 0
# Units are in 512-byte sectors
#
# Slot Start End Length Description
# 000: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
# 001: ----- 0000000001 0000002047 0000002047 Unallocated
# 002: 000:000 0000002048 0000534527 0000532480 NTFS / exFAT (0x07)
# 003: 000:001 0000534528 0001048575 0000514048 NTFS / exFAT (0x07)
# Inspecter le système de fichiers NTFS de la partition principale (offset 2048)
fsstat -o 2048 disk_evidence.dd
# Lister les fichiers et dossiers à la racine de la partition
fls -o 2048 disk_evidence.ddLa commande mmls liste les partitions avec leurs offsets secteur. L’offset (ici 2048) est utilisé avec le paramètre -o dans les commandes TSK suivantes pour cibler la partition NTFS principale. fsstat retourne les statistiques du système de fichiers (type, taille des clusters, version NTFS, état du journal). fls liste les fichiers et répertoires — les entrées précédées de * sont des entrées supprimées encore présentes dans la MFT.
Étape 6 — Récupérer les fichiers supprimés
Dans Autopsy, les fichiers supprimés apparaissent automatiquement dans l’arborescence, signalés par une icône de fichier barré et la mention « (Deleted) » dans la colonne Name. Ils sont récupérables tant que les clusters qu’ils occupaient n’ont pas été réalloués par le système de fichiers pour d’autres données. Plus le disque est actif après la suppression, plus la fenêtre de récupération est courte.
Pour récupérer un fichier supprimé spécifique via TSK CLI :
# Trouver l'inode d'un fichier supprimé avec fls (-r = récursif, -d = afficher deleted)
fls -o 2048 -rd disk_evidence.dd | grep "secret_document"
# Résultat exemple : r/r * 65432-128-1: Users/JohnDoe/Documents/secret_document.docx
# L'inode est 65432
# Extraire le fichier par son inode
icat -o 2048 disk_evidence.dd 65432 > /evidence/recovered/secret_document.docx
# Vérifier que le fichier est valide
file /evidence/recovered/secret_document.docxLa commande fls -rd liste récursivement tous les fichiers supprimés (-d) dans l’image. Le * devant l’entrée indique un fichier supprimé. L’inode (65432 dans l’exemple) sert à extraire le contenu avec icat. La commande file vérifie que le fichier récupéré a bien la bonne signature hexadécimale d’un document DOCX (qui est en réalité une archive ZIP).
Étape 7 — Construire la timeline forensique
La timeline (ligne temporelle) est l’un des livrables les plus puissants d’une investigation forensique. Elle recense tous les événements horodatés — création, modification, accès, suppression de fichiers — et permet de reconstituer précisément la séquence d’actions de l’attaquant ou de l’utilisateur suspect.
Dans Autopsy, aller dans le menu Tools → Timeline. La vue Timeline affiche les événements sur un axe temporel avec la possibilité de zoomer sur une plage horaire spécifique, de filtrer par type d’événement (fichier, registre, log), et d’exporter les événements d’une plage en CSV pour analyse externe.
En ligne de commande TSK, la super-timeline se génère avec mactime :
# Générer un body file TSK (format intermédiaire pour mactime)
fls -o 2048 -m "/" -r disk_evidence.dd > /evidence/timeline.bodyfile
# Convertir en timeline lisible pour une plage de dates
mactime -b /evidence/timeline.bodyfile -d 2026-04-01..2026-05-13 > /evidence/timeline.csv
# Afficher les 50 premiers événements de la période
head -50 /evidence/timeline.csvLe body file généré par fls -m contient les métadonnées de chaque fichier au format MD5|Name|Inode|Permissions|UID|GID|Size|Atime|Mtime|Ctime|Crtime. La commande mactime trie et formate ces données par ordre chronologique dans la plage définie. Ce fichier CSV peut ensuite être importé dans un tableur ou dans log2timeline/Plaso pour une super-timeline combinant plusieurs sources de logs.
Étape 8 — Recherche par mots-clés et rapport
Le module Keyword Search d’Autopsy permet de rechercher des termes spécifiques dans le contenu indexé : noms d’utilisateurs, adresses email, numéros de téléphone, noms de fichiers supprimés, chaînes de caractères spécifiques à un malware. Dans le panneau Keyword Search (icône loupe dans la barre d’outils), saisir le terme et lancer la recherche. Les résultats affichent chaque occurrence avec son contexte, le fichier qui la contient, et ses métadonnées.
Pour générer le rapport final d’investigation : Tools → Generate Report. Choisir le format HTML ou CSV. Le rapport HTML d’Autopsy contient : les informations du cas, les artefacts extraits par catégorie, les fichiers marqués par l’examinateur, les résultats des recherches par mots-clés. C’est ce document qui sera joint au dossier d’investigation et partagé avec les parties prenantes (CISO, équipe juridique, autorités si nécessaire).
Référence rapide des commandes Sleuth Kit essentielles
| Commande | Usage | Exemple |
|---|---|---|
mmls |
Lister les partitions | mmls disk.dd |
fsstat |
Infos système de fichiers | fsstat -o 2048 disk.dd |
fls |
Lister fichiers (incl. supprimés) | fls -o 2048 -rd disk.dd |
icat |
Extraire par inode | icat -o 2048 disk.dd 65432 > file.docx |
istat |
Métadonnées d’un inode | istat -o 2048 disk.dd 65432 |
blkcat |
Extraire un bloc brut | blkcat -o 2048 disk.dd 10000 |
mactime |
Générer la timeline | mactime -b body.txt -d 2026-01-01.. |
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Autopsy plante lors de l’ingestion | Mémoire RAM insuffisante | Réduire le nombre de threads d’ingestion dans Tools → Options → Resource Usage |
| Fichiers supprimés non récupérables | Clusters réalloués après suppression | Tenter le file carving avec PhotoRec ou bulk_extractor pour récupérer par signature |
| Timestamps incorrects dans la timeline | Fuseau horaire mal configuré à l’ajout de la source | Supprimer la source de données et la réajouter avec le bon fuseau |
| Erreur « Unable to open disk image » | Image E01 corrompue ou segments manquants | Vérifier le hash SHA-256 contre le log d’acquisition et s’assurer que tous les segments sont présents |
Tutoriels complémentaires
- Les phases de la réponse à l’incident : du confinement à la remédiation — La méthodologie IR dans laquelle s’inscrit cette analyse
- Volatility Framework : analyse de la mémoire vive — Complément RAM indispensable à l’analyse disque
- TheHive et MISP — Plateforme de case management pour documenter et partager les résultats de l’investigation
FAQ
Q : Peut-on analyser une image disque directement sous Linux avec Autopsy ?
R : Oui. Autopsy 4 dispose d’une version Linux disponible sur sleuthkit.org. Cependant, l’interface graphique est identique à Windows. Pour les analyses purement CLI, The Sleuth Kit suffit sur Linux sans interface graphique.
Q : Quelle est la différence entre un fichier supprimé et un fichier carved ?
R : Un fichier supprimé est un fichier dont l’entrée MFT/inode existe encore mais est marquée comme libre. Il peut être récupéré avec icat. Un fichier carved est récupéré par recherche de signature hexadécimale (magic bytes) dans l’espace non alloué, même si sa MFT entry a été écrasée. Le carving (PhotoRec, bulk_extractor) est la technique de dernier recours.
Q : Autopsy peut-il analyser des images de smartphones ?
R : Autopsy gère les images de systèmes de fichiers courants (NTFS, ext4, FAT, APFS), mais la forensique mobile avancée (iOS, Android) nécessite des outils spécialisés comme Cellebrite UFED, Oxygen Forensics, ou les outils open-source (ADB pull, iBackup Extractor, mvt-android de Amnesty Tech).
Références officielles
- Autopsy / Sleuth Kit — sleuthkit.org/autopsy/
- Sleuth Kit GitHub — github.com/sleuthkit/sleuthkit
- FTK Imager (Exterro) — exterro.com/ftk-imager
- NIST NSRL (hash sets) — nist.gov NSRL
- PhotoRec (file carving) — cgsecurity.org/wiki/PhotoRec
- ISO/IEC 27037:2012 — iso.org/standard/44381.html
- 🔝 Retour au guide DFIR complet — Réponse aux incidents et analyse forensique numérique (DFIR)