Pourquoi maîtriser la forensique numérique au Sénégal ?
Les cyberattaques sur les PME sénégalaises (sites WordPress piratés, fraudes mobile money, vols de données employés) explosent en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer). Sans forensique, l’incident se solde par « on ne sait pas ce qui s’est passé » — donc impossible de corriger le vecteur, de chiffrer les pertes ou de poursuivre judiciairement. Maîtriser les bases (préservation, image bit-à-bit, hash, Autopsy, Volatility) permet de transformer un incident en leçon documentée et fournit les preuves recevables devant la Division Spéciale de Cybersécurité (DSC) de la police nationale.
Qu’est-ce que la forensique numérique ?
La forensique numérique (ou investigation numérique) est la science qui consiste a collecter, analyser et préserver les preuves numériques après un incident de sécurité : piratage d’un site web, vol de données, fraude en ligne, ou compromission d’un ordinateur. C’est le métier du « detective informatique » qui reconstitue ce qui s’est passe, quand et comment.
Au Sénégal, avec la croissance des cyberattaques ciblant les entreprises et les paiements mobiles, comprendre les bases de la forensique est essentiel pour les administrateurs système, les responsables IT et les professionnels de la sécurité.
Les principes fondamentaux
| Principe | Description | Pourquoi c’est crucial |
|---|---|---|
| Preservation des preuves | Ne jamais modifier les données originales | Les preuves alterees sont irrecevables en justice |
| Chaine de traçabilite | Documenter qui a touche quoi, quand et comment | Garantit l’integrite du processus d’investigation |
| Reproduction | Travailler sur des copies, jamais sur l’original | Permet de vérifier les résultats independamment |
| Documentation | Tout noter : actions, outils utilisés, résultats | Le rapport doit être comprehensible par un non-technicien (juge, direction) |
Les 4 phases d’une investigation
Phase 1 : Identification et preservation
- Identifier les sources de preuves : disques durs, clés USB, téléphones, logs serveur, sauvegardes
- Sécuriser la scene : isoler les machines compromises du réseau (debrancher le cable Ethernet, désactiver le Wi-Fi), mais ne pas eteindre — la memoire RAM contient des preuves volatiles
- Documenter l’etat initial : photos de l’écran, capture des processus en cours
Capture de la memoire RAM (preuve volatile) :
# Sous Linux avec LiME
sudo insmod lime-$(uname -r).ko "path=/tmp/memdump.lime format=lime"
# Sous Windows avec WinPmem
winpmem_mini_x64.exe memdump.rawCréer une image disque (copie bit-a-bit) :
# Avec dd (Linux)
sudo dd if=/dev/sda of=/mnt/evidence/disque_image.dd bs=4M status=progress
# Calculer le hash pour prouver l'integrite
sha256sum /dev/sda > hash_original.txt
sha256sum /mnt/evidence/disque_image.dd > hash_copie.txt
# Les deux hash doivent être identiquesPhase 2 : Acquisition des données
Outils d’acquisition :
| Outil | Plateforme | Usage | Gratuit |
|---|---|---|---|
| dd / dc3dd | Linux | Copie bit-a-bit de disques | Oui |
| FTK Imager | Windows | Acquisition disque et memoire, interface graphique | Oui |
| Autopsy | Multiplateforme | Suite complété d’analyse forensique | Oui |
| Volatility | Multiplateforme | Analyse de dump memoire RAM | Oui |
| Wireshark | Multiplateforme | Analyse du trafic réseau capturé | Oui |
Phase 3 : Analyse
Analyse du système de fichiers :
- Fichiers supprimes recuperables (les données restent sur le disque jusqu’a ecrasement)
- Timeline d’activité : quels fichiers ont ete créés, modifiés, accedes et quand
- Fichiers caches ou renommes
- Metadonnees des documents (auteur, date de création, logiciel utilise)
Avec Autopsy (interface graphique) :
- Nouveau cas → ajoutez l’image disque (.dd, .E01)
- Lancez les modules d’analyse : Hash, Keyword Search, Timeline, Web Artifacts
- Explorez les résultats : fichiers supprimes, historique web, emails, images
Analyse des logs serveur :
# Connexions SSH echouees
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -rn | head
# Requetes HTTP suspectes (injections SQL, scanners)
grep -E "(union|select|script|eval|base64)" /var/log/nginx/access.log
# Fichiers modifiés recemment (potentiel backdoor)
find /var/www/ -type f -mtime -7 -name "*.php" -lsPhase 4 : Rapport
Le rapport forensique doit être comprehensible par des non-techniciens (direction, avocats, juges) :
- Résumé executif : Ce qui s’est passe en 3-5 phrases
- Chronologie des événements : Timeline detaillee avec dates et heures
- Preuves collectees : Liste des éléments avec hash d’integrite
- Analyse technique : Details pour les techniciens
- Conclusions : Qui, quoi, quand, comment, impact
- Recommandations : Comment éviter que cela se reproduise
Cas d’usage courants au Sénégal
| Incident | Preuves a collecter | Outils |
|---|---|---|
| Site WordPress piraté | Logs d’accès, fichiers PHP modifiés, base de données, sauvegardes | grep, diff, Autopsy |
| Email de phishing reçu | En-tetes email complets, liens malveillants, pieces jointes | Analyseur d’en-tetes, VirusTotal |
| Fraude Wave/Orange Money | Historique des transactions, SMS, logs de l’application | Extraction téléphone, captures d’écran |
| Vol de données employe | Logs d’accès fichiers, clés USB connectees, emails envoyés | Windows Event Viewer, Autopsy |
| Ransomware | Fichiers chiffres, note de rancon, processus en memoire, point d’entree | Volatility, Autopsy, logs antivirus |
Analyse de la memoire RAM avec Volatility
La RAM contient des informations precieuses qui disparaissent a l’extinction :
# Identifier le profil du système
vol.py -f memdump.raw imageinfo
# Lister les processus en cours
vol.py -f memdump.raw --profile=Win10x64 pslist
# Connexions réseau activés
vol.py -f memdump.raw --profile=Win10x64 netscan
# Commandes executees
vol.py -f memdump.raw --profile=Win10x64 cmdscan
# Extraire les mots de passe en memoire
vol.py -f memdump.raw --profile=Win10x64 hashdumpAnalyse réseau avec Wireshark
Capturer le trafic :
# Capture avec tcpdump (serveur sans interface graphique)
sudo tcpdump -i eth0 -w capture.pcap -c 10000Analyser dans Wireshark :
- Filtrez par protocole : http, dns, tcp.port==4444 (ports suspects)
- Suivez un flux TCP : clic droit → Follow → TCP Stream (reconstitue la conversation)
- Cherchez les données exfiltrees : grandes quantités de données sortantes vers des IP inconnues
- Detectez les communications C2 (Command & Control) : connexions regulieres vers une même IP externe
Outils essentiels du forensicien
| Catégorie | Outil | Usage |
|---|---|---|
| Suite complété | Autopsy / Sleuth Kit | Analyse disque, timeline, récupération fichiers |
| Memoire | Volatility | Analyse de dump RAM |
| Réseau | Wireshark / tcpdump | Analyse de captures réseau |
| Hash | sha256sum / md5sum | Vérification d’integrite des preuves |
| Recovery | PhotoRec / TestDisk | Récupération de fichiers supprimes |
| Windows | FTK Imager | Acquisition d’image disque sous Windows |
| Malware | VirusTotal / Cuckoo Sandbox | Analyse de fichiers malveillants |
| Logs | ELK Stack / Splunk Free | Centralisation et recherche dans les logs |
Aspects legaux au Sénégal
- La loi n° 2008-11 sur la cybercriminalite au Sénégal couvre les infractions informatiques
- La Commission des Données Personnelles (CDP) regit la protection des données
- Les preuves numériques sont admissibles en justice si la chaine de traçabilite est respectee
- Contactez la Division Speciale de Cybersecurite (DSC) de la police pour les incidents graves
- Conservez les preuves pendant au moins 1 an (obligation legale pour certaines données)
Erreurs fréquentes
1. Éteindre le serveur infecté avant l’acquisition
Cause : par réflexe on coupe le serveur compromis. La RAM (qui contient les processus actifs, les connexions C2, parfois la clé de chiffrement ransomware) est perdue à jamais.
Solution : isolez réseau (débrancher Ethernet, désactiver Wi-Fi) MAIS gardez allumé. Capturez la RAM avec WinPmem (Windows) ou LiME (Linux) AVANT toute autre action.
2. Travailler sur l’original au lieu d’une copie
Cause : on monte le disque compromis et on lance l’investigation directement. La moindre lecture/écriture modifie les timestamps, des fichiers temporaires sont créés, et les preuves deviennent irrecevables en justice.
Solution : image bit-à-bit avec dc3dd (Linux) ou FTK Imager (Windows), hash SHA-256 avant/après pour prouver l’intégrité, et travail exclusif sur la copie. Mieux : utilisez un write-blocker hardware.
3. Pas de chaîne de traçabilité documentée
Cause : on collecte les preuves sans documenter qui les a manipulées, quand, et comment. Devant un juge sénégalais, les preuves sont rejetées car la chaîne est rompue.
Solution : registre papier ou tableur signé : date, heure, action, opérateur, hash. Photos de chaque étape (sortie disque, branchement). Format « chain of custody » standard (CIS, NIST SP 800-86).
4. Volatility 2 vs Volatility 3 incompatibles
Cause : on suit un tutoriel ancien avec vol.py --profile=Win10x64 sur un dump avec Volatility 3 — le concept de profil a disparu en v3.
Solution : Volatility 3 (Python 3) utilise des symboles auto-détectés : vol -f memdump.raw windows.pslist. Volatility 2 reste utile pour les anciens dumps (Windows 7/XP).
5. Investigation sans périmètre légal défini
Cause : on fouille les emails et fichiers personnels d’un employé suspecté de vol de données. Sans cadre RGPD/CDP et autorisation hiérarchique écrite, l’investigation devient elle-même illégale.
Solution : avant toute action, mandat écrit signé direction + DPO. Limitez le périmètre aux données professionnelles. Pour les cas graves, transmettez à la DSC ou un cabinet forensique externe.
Checklist réponse a incident
- ☐ Isoler la machine du réseau (sans l’eteindre)
- ☐ Documenter l’etat initial (photos, notes)
- ☐ Capturer la memoire RAM avant toute autre action
- ☐ Créer une image disque bit-a-bit avec vérification de hash
- ☐ Collecter les logs système et réseau
- ☐ Analyser sur la copie, jamais sur l’original
- ☐ Construire une timeline des événements
- ☐ Identifier le vecteur d’attaque initial
- ☐ Documenter toutes les actions dans un rapport
- ☐ Signaler aux autorités si nécessaire (DSC, CDP)
- ☐ Corriger les vulnerabilites exploitees
- ☐ Mettre a jour les procedures de sécurité
Pour explorer plus loin
- Protéger votre entreprise contre les ransomwares — l’incident le plus courant qui justifie une forensique.
- Sécuriser votre site WordPress — pour analyser un site compromis.
- Utiliser Kali Linux — l’OS qui inclut tous les outils forensiques cités.
- Créer une politique de sécurité informatique — base juridique pour mener des investigations internes.
- Référence officielle : NIST SP 800-86 — Guide to Integrating Forensic Techniques.
- Outils gratuits : Autopsy, Volatility 3, CAINE Linux (live forensique).
Un hébergeur abordable pour vos projets
Hostinger combine prix raisonnable et stabilité. Lien partenaire — pas de surcoût pour vous.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.