Skip to main content
recuperation-donnees-forensic

La récupération de données lors d’une analyse forensique : PhotoRec

Un système informatique a été victime d’une attaque, d’une fraude ou d’un acte de malveillance, que ce soit par une intrusion, la propagation d’un virus ou intrusion d’un rootkit, il est trop tard.

On est plus là dans la prévention mais dans la constatation des dégâts après une attaque : il s’agit de l’analyse forensique.

Elle a pour but de collecter et d’analyser les preuves numériques de l’attaque en question afin d’établir l’origine de l’incident et d’enclencher une procédure judiciaire, un dossier d’assurance ou une action interne.

tribunal-forensique-informatiaque

Fonctionnement d’une analyse forensique

L’analyse forensique (ou encore « forensic » voir « computer forensics ») peut s’effectuer sur différentes sources pour la constitution de preuves : postes de travail, serveurs, smartphones, systèmes d’exploiration, routeurs, applications, etc.

Elle se compose de deux approches : l’analyse forensique légale aura pour but de fournir des preuves numériques fiables qui pourront être utilisées dans un tribunal.

L’analyse forensique technique, elle, sera concentrée sur les méthodes du pirate informatique, en analysant principalement les codes malveillants et les outils exploités durant l’attaque.

C’est pourquoi il est important en premier lieu de déterminer le périmètre dans lequel les investigateurs, les experts forensic, vont opérer.

Tout d’abord, les experts vont tenter d’écarter toute piste de défaillance matérielle et logicielle ou d’une potentielle erreur humaine. Cela passe par l’analyse des logs, fonctionnements logiciels, accès récents, etc.

 

forensique-informatique

 

On réalise ensuite l’analyse complète des données qui ont été copiées, qui peut se faire sous trois approches différentes : A froid (on dit aussi dead forensics) où on copie un maximum de données sur un autre support pour aller plus en profondeur dans l’analyse sans impacter le système existant.

A l’inverse, une analyse à chaud qu’on appel aussi live forensics, consiste à récupérer les données sur un système en cours de fonctionnement, permettant l’analyse de la RAM (mémoire vive), des processus actifs ou encore des connexions réseaux établies.

Enfin le dernier type d’analyse est l’analyse en temps réel où les experts vont capturer le trafic réseau afin d’analyser, et de comprendre l’attaque qui a eu lieu sur le réseau.

De cette analyse découlera un rapport constituant toutes les preuves attendues.

La récupération de données via PhotoRec

Nous l’avons vu, une étape essentielle de l’analyse forensique peu importe sa nature c’est la récupération des données. Et bien celle-ci peut se faire via PhotoRec, un logiciel open source créé en 2002 et mis à jour depuis avec la dernière version 7.0 en 2015.

Il est facilement téléchargeable depuis le site officiel www.cgsecurity.org/wiki/PhotoRec_FR.

 

photorec-recuperer-information-perdu

 

Le logiciel fonctionne dans un terminal (ou invité de commandes sur Windows) et requiert les droits administrateurs. Vous devrez ensuite sélectionner le disque dur ainsi que la partition (si le disque dur est partitionné) dont vous souhaitez récupérer les données.

Le logiciel vous demandera aussi le type de système de fichiers de votre disque (FAT, NTFS, etc.) et enfin vous aurez à sélectionner une destination (différente de celle d’origine) où stocker les données récupérées puis appuyez sur « C » une fois situé sur le bon emplacement.

Ça y est, la recherche commence et cela pourra prendre beaucoup de temps mais vous retrouverez totalement ou presque vos données perdues.

Joffrey Outtier

Joffrey Outtier est le fondateur de sforsecure.fr, ce blog sur la sécurité informatique a été créé pour partager mes connaissances en cybersécurité et sensibiliser les utilisateurs aux dangers du numérique. Pour le suivre sur Twitter : @JoffreyO.