Une violation de données se produit presque tous les jours.

Voici quelques-unes des principales violations de données;

  • JP Morgan Chase
  • Bank of America
  • HSBC
  • TD Bank
  • Target
  • Gobelet
  • Home Depot
  • MySpace
  • eBay
  • Adobe System Inc
  • iMesh

SelonJuniper Research, la cybercriminalité coûtera plus de 5 000 milliards de dollars aux entreprises d’ici à 2024. La demande d’experts en informatique légale va donc également augmenter.

Les outils sont les meilleurs amis de l’administrateur ; l’utilisation du bon outil vous aide toujours à accélérer les choses et à être plus productif. L’enquête judiciaire est toujours un défi, car vous devez rassembler toutes les informations possibles pour obtenir des preuves et mettre en place un plan d’atténuation.

Voici quelques-uns des outils d’investigation informatique dont vous aurez besoin. La plupart d’entre eux sont gratuits!

Autopsie

Autopsie est un programme d’investigation numérique open source basé sur une interface graphique qui permet d’analyser efficacement les disques durs et les smartphones. Autospy est utilisé par des milliers d’utilisateurs dans le monde entier pour enquêter sur ce qui s’est passé sur l’ordinateur.

autopsy

Il est largement utilisé par les examinateurs d’entreprise, les militaires pour enquêter, et certaines de ses fonctionnalités sont.

  • Analyse des courriels
  • Détection des types de fichiers
  • Lecture des médias
  • Analyse du registre
  • Récupération des photos de la carte mémoire
  • Extraction des informations relatives à la géolocalisation et à l’appareil photo à partir des fichiers JPEG
  • Extraction de l’activité web d’un navigateur
  • Affichage des événements système dans une interface graphique
  • Analyse de la chronologie
  • Extraire les données d’Android – SMS, journaux d’appels, contacts, etc.

Des rapports détaillés peuvent être générés au format HTML ou XLS.

Détecteur de disques cryptés

Encrypted Dis k Detector peut être utile pour vérifier les disques physiques cryptés. Il prend en charge les volumes cryptés TrueCrypt, PGP, BitLocker, Safeboot.

Kit Forensic

Utilisé par les forces de l’ordre comme le FBI, Europol, etc., Kit Forensic de Passware est un outil de premier ordre pour enquêter sur des affaires sérieuses.

Sa récupération de mot de passe fonctionne pour plus de 340 cas d’utilisation, y compris MS Office, les portefeuilles Bitcoin, Mac OS X Keychain, les meilleurs gestionnaires de mot de passe, PDF, BitLocker, et plus encore.

passware

L’une des principales caractéristiques de Kit Forensic est son analyse de la mémoire en direct qui vous aide à déterrer les clés de chiffrement et les mots de passe à partir d’une image disque. En outre, il permet de démanteler le chiffrement intégral du disque déployé par des outils tels que BitLocker, TrueCrypt, le disque DMG d’Apple, LUKS(2), McAfee, etc.

Cet outil d’investigation forensique se décline en plusieurs versions, de Kit basic à Kit forensic, en fonction de ce que vous devez décoder. Cependant, vous pouvez également télécharger la version gratuite à puissance limitée pour avoir un aperçu de l’un des outils d’investigation les plus puissants.

Wireshark

Wireshark est un outil de capture et d’analyse de réseau qui permet de voir ce qui se passe dans votre réseau. Wireshark vous sera utile pour enquêter sur les incidents liés au réseau.

Magnet RAM Capture

Vous pouvez utiliser Magnet RAM Capture pour capturer la mémoire physique d’un ordinateur et analyser les artefacts dans la mémoire.

Il prend en charge le système d’exploitation Windows.

Network Miner

Un analyseur judiciaire de réseau intéressant pour Windows, Linux et MAC OS X pour détecter le système d’exploitation, le nom d’hôte, les sessions et les ports ouverts par reniflage de paquets ou par fichier PCAP. Network Min er fournit des artefacts extraits dans une interface utilisateur intuitive.

networkminer

NMAP

NMAP (Network Mapper) est l’un des outils d’audit de réseaux et de sécurité les plus populaires. NMAP est supporté par la plupart des systèmes d’exploitation, y compris Windows, Linux, Solaris, Mac OS, HP-UX, etc. Il s’agit d’un logiciel libre et gratuit.

RAM Capturer

RAM Capturer de Belkasoft est un outil gratuit pour extraire les données de la mémoire volatile d’un ordinateur. Il est compatible avec le système d’exploitation Windows. Les vidages de mémoire peuvent contenir le mot de passe d’un volume crypté et les identifiants de connexion pour les webmails et les services de réseaux sociaux.

Enquêteur judiciaire

Si vous utilisez Splunk, Forensic Investig ator sera un outil pratique. Il s’agit d’une application Splunk qui combine de nombreux outils.

splunk-forensic-investigator
  • Recherche WHOIS/GeoIP
  • Ping
  • Scanner de port
  • Capteur de bannières
  • Décodeur/analyseur d’URL
  • Convertisseur XOR/HEX/Base64
  • Visualisation des partages SMB/NetBIOS
  • Recherche totale de virus

FAW

FAW (Forensics Acquisition of Websites) est un logiciel qui permet d’acquérir des pages web à des fins d’investigation judiciaire.

  • Capture de la totalité ou d’une partie de la page
  • Capture de tous les types d’images
  • Capture du code source HTML de la page web
  • Intégration avec Wireshark
faw

HashMyFiles

HashMyFiles vous aidera à calculer les hachages MD5 et SHA1. Il fonctionne sur presque tous les derniers systèmes d’exploitation Windows.

hashmyfiles

Crowd Response

Response de Crowd Strike est une application Windows qui permet de collecter des informations sur le système pour répondre aux incidents et aux engagements de sécurité. Vous pouvez visualiser les résultats en XML, CSV, TSV ou HTML avec l’aide de CRConvert. Il fonctionne sous Windows XP 32 ou 64 bits.

Crowd Strike dispose d’autres outils d’investigation utiles.

  • Totrtilla – acheminez anonymement le trafic TCP/IP et DNS via Tor.
  • Shellshock Scanner – scannez votre réseau pour détecter la vulnérabilité shellshock.
  • Heartbleed scanner – scannez votre réseau pour détecter la vulnérabilité Heart Bleed d’OpenSSL.
crowdstrike

NFI Defraser

L’outil d’investigationDefraser peut vous aider à détecter des fichiers multimédias complets ou partiels dans les flux de données.

ExifTool

ExifTool vous aide à lire, écrire et modifier les méta-informations pour un certain nombre de types de fichiers. Il peut lire les données EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, etc.

Toolsley

Toolsley dispose de plus de dix outils utiles pour l’investigation.

  • Vérificateur de signature de fichier
  • Identificateur de fichier
  • Hash & Validate
  • Inspecteur binaire
  • Encodeur de texte
  • Générateur d’URI de données
  • Générateur de mot de passe

SIFT

Le poste de travailSIFT (SANS investigative forensic toolkit) est disponible gratuitement sous Ubuntu 14.04. SIFT est une suite d’outils forensiques dont vous avez besoin et l’une des plateformes open source de réponse aux incidents les plus populaires.

sift

Dumpzilla

Extrayez toutes les informations intéressantes des navigateurs Firefox, Iceweasel et Seamonkey pour les analyser avec Dumpzilla.

dumpzilla

Historique du navigateur

Foxton propose deux outils gratuits très intéressants.

  1. Browser history capturer – capturer l’historique du navigateur web (chrome, firefox, IE & edge) sur Windows OS.
  2. Browser history viewer – extrait et analyse l’historique de l’activité Internet de la plupart des navigateurs modernes. Les résultats sont affichés dans un graphique interactif et les données historiques peuvent être filtrées.

Kali Linux

Kali Linux est l’un des systèmes d’exploitation les plus populaires pour les tests de sécurité et d’intrusion, mais il possède également des capacités médico-légales. Il existe plus de 100 outils, je suis donc certain que vous en trouverez un pour répondre à vos besoins.

3 kali linux

Paladin

PALADIN forensic suite – la suite Linux forensic la plus connue au monde – est une distribution Linux modifiée basée sur Ubuntu, disponible en 32 et 64 bits.

paladin

Paladin contient plus de 100 outils répartis en 29 catégories, soit presque tout ce dont vous avez besoin pour enquêter sur un incident. Autospy est inclus dans la dernière version – Paladin 6.

Sleuth Kit

Le Sleuth Kit est une collection d’outils en ligne de commande pour enquêter et analyser les volumes et les systèmes de fichiers afin de trouver des preuves.

CAINE

CAINE(Computer Aided Investigate Environment) est une distribution Linux qui offre une plateforme forensique complète comprenant plus de 80 outils vous permettant d’analyser, d’enquêter et de créer un rapport exploitable.

caine

Conclusion

J’espère que les outils ci-dessus vous aideront à gérer plus efficacement les incidents de cybersécurité et à accélérer le processus d’investigation. Si vous êtes novice en matière d’investigation forensique, vous pouvez consulter ce cours.