Sem 3 Flashcards
Que signifie scène de crime?
Le lieu où l’action s’est déroulé ainsi que tous les lieux et éléments qui se sont liés à cette action (objets, traces, victimes, etc…)
Elle appartient au passé
Que signifie le champ d’investigation?
Tous les lieux où des investigations sont réalisées pour dévoiler des éléments liés à l’action. Résultats d’une compréhension -> téléphone
Les donnes numériques sont représentées sous forme numérique enregistrée sous valeurs discrète ou analogique?
Valeurs discrète car sont enregistrées sous la forme de nombres pouvant prendre un nombre fini de valeurs ( des 0 et des 1)
Ajd quels sont les appareils numériques les plus utilisés lors de recherches de traces?
Ordi, téléphone, clé usb
Quel est le problème pour trouver les traces des appareils numérique?
- Savoir où la donnée est stockée
Quels sont les 3 étapes très importante lors de la recherche de traces numérique?
- Identifier objet numérique
- Savoir où donnee est stockée
- Préserver les données (comme geler les données)
- Documenter tout manipulation, tout les états
Quelle est l’objectif du prélèvement?
Identifier les éléments susceptibles de contenir des données nécessaires à l’analyse et les prélever tout en préservant leur intégrité et en garantissant une tracabilité
Qu’est ce qu’une contamination?
Donnée postérieur aux traces pertinentes ça le système fonctionne normalement
Qu’est-ce qu’une pollution?
Trace ajoutée lors de l’enquête pour l’ouverture d’un fichier et le faire défilé. Modifications des données internes
Comment éviter la pollution?
Isoler l’appareil des réseau
Pourquoi prélève t’on les traces numériques?
Éviter que les traces numériques disparaissent et puissent être analysées
Quelles sont les 3 choses qui provoquent des confusions des traces?
-temps qui passe
-contaminations
-pollutions
Qu’est ce qu’une bruit de fond?
Traces antérieures à l’action
Pourquoi les traces numériques sont moins sujette à la confusion que les traces?
En numérique tout est horodatée, on connaît donc l’ordre des événements. Mais plus on navigue plus on contamine
Quel est le protocole d’intervention?
-gel des lieux
-démarche de prise en compte de la scène
Quelles est le but de la préservation numérique et physique?
Récupérer les appareils et leur données tout en préservant leur intégrité et en garantissant leur tracabilité (évitez toute les altérations immédiates des données que ce soit physique ou numérique)
De quoi faut il préserver les appareils?
Altération/dommages/ accès physique et numérique
Qu’évite t’on avec la manipulation adaptée?
Pollution immédiate et futur
Qu’évite t’on avec un conditionnement adapté?
-Se prémunir des risques de modification (pollutions):
-> manipulation
-> décharge électrostatique
-> modification à distance
Comment peut on initier et maintenir une chaîne de confiance dans les éléments prélevés?
-tracabilite
-mise sous scellé judiciaire
-empreinte numérique
Quel sont les objectifs de maintenir une chaîne de confiance dans les éléments prélevés?
-non répudiation
-rapporter les actions effectuées
-associer des informations pertinentes au supports prélevé
Quel est l’objectif de l’acquisition des données?
Acquérir les données nécessaires à l’analyse tout en préservant leur intégrité et en garantissant une traçabilité
Que comprend l’acquisition des données?
Les donnes volatiles (mémoire vive)
Les donnes non volatiles (données présentes sur un support de stockage)
Qu’est très intéressant comme données à acquérir pour utiliser l’horodateur ?
La date et l’heure du système
Quel est deux des principe fondamentaux de la criminalistique numérique?
-Ne jamais procéder à l’analyse d’un support informatique en travaillant directement sur le support original, sauf cas exceptionnel
-tjrs travailler dans la mesure du possible sur une copie forensique
En quoi constitue l’acquisition des donnés non volatile?
De copier l’intégralité du contenu du support. Par ex (structure logique du support, structure des système es des fichiers, espace non alloué…)
Quelles sont les 3 grandes familles dans lequel les supports de stockage peuvent être groupés?
-support magnétique (disque dur, bandes magnétiques)
-supports à mémoire flash (SSD, clé USB, cartes mémoire)
-support optique (Cd, dvd, blue-ray disc)
Citer différent interface et connecteurs physique
-IDE
-SATA
-SCSI/ SAS
-Universal Serial Bus/ Thunderbolt
Citer différent interface et connecteurs physique
-IDE
-SATA
-SCSI/ SAS
-Universal Serial Bus/ Thunderbolt
À quoi sert un connecteur IDE?
Permet de connecter des périphériques de stockage comme des disques durs ou des lecteurs optique à l’ordinateur.
À quoi sert un connecteur SATA?
Relie disque dur, des SSD et des lecteurs optique à la carte mère, permettant au processeur d’accéder aux données stockées sur ces périphériques
Qu’est ce qu’un interface SCSI?
Interface standard utilisée pour connecter et transférer des données entre différents type de périphériques, tels que disque durs, scanners, imprimantes et autre équipements informatique à l’ordinateur. Il est robuste et flexible
Qu’est qu’un connecteurs universal serial bus?
Connecteur USB est une interface standardisée utilisée pour connecter divers périphériques à un ordi ou un autre appareil électronique. Transférer des données et de recevoir de l’alimentation électrique
Que faut il faire attention avec le téléphone mobile?
Ne pas rompre la chaîne de préservation d’intégrité
Où peut on trouver des traces numériques d’intérêt?
-réseaux
-iOT locales et distance
-iOT différents protocoles de communication
Quelles sont les deux principaux types de copies forensique?
Clone
Image
Quelle est la différence entre un clone et une image?
Tout est pareil sauf la destination.
Sur quoi est copier le clone?
Le clone est une copie réalisé directement sur un support de destination
Ou est copier l’image?
L’image et un copie réalisé directement dans un ou plusieurs fichier svt appelé image disque ou image forensique
Quelles sont les 3 grandes support de stockage?
-supports à mémoire flash (SSD, carte mémoire)
-support optique (CD, DVD)
-support magnétique (disque dur, bande magnétique)
Quelles sont les principaux formats d’images forensiques?
-Raw (extension : .raw, .001, y002, .dd ….)
-Expert Witness Format / EnCase (.E01, E02, s01)
Comment est la copie des extension RAW?
-Copie brute des données
-Pas de compression
Comment est la copie expert witness format? Exemple d’une acquisition de donnés non volatile -> image:
-container (entête)
-possibilité de compression/chiffrement des données
-tracabilite stockée dans le container
-contrôle d’intégrité des données directement inclus dans le container
Dans quelle phase le risque d’altérer les données originales est le plus élevé?
Pdt l’acquisition des données
Qu’est il nécessaire d’utiliser pour préserver l’intégrité des données?
Nécessaire d’utiliser des moyens de blocage en écriture
Citer différents dispositifs de blocage en écriture?
-dispositif directement intégré en support original
-bloqueurs matériels
-duplicateurs forensique
-bloqueurs logiciel
Comment garantir la tracabilité ?
-chain of costudy
-empreinte numérique des supports/fichiers
-documenter les opérations effectuées
En criminalistique numérique à quoi sert la copie forensique?
-Vérification d’intégrité
-Tracabilité des fichiers bruts
-Embarqué dans fichiers évolués
En criminalistique numérique comment un clone est utilisé?
Tracabilité
En criminalistique numérique à quoi ça sert d’éliminer ou recherche r des fichiers connus ou d’intérêt
Tracabilité
En criminalistique numérique à quoi sert la continuité de la preuve?
Intégrité des fichiers extraits/joints au rapport
