Si vous êtes victime d’un incident de cybersécurité, faites très attention à la preuve numérique associée! Un incident de sécurité peut se rendre au tribunal et mener à des accusations au criminel; il faut alors réaliser une enquête pour prouver qui est le responsable de celui-ci. Une preuve est toujours à la base d’une enquête (sans arme du crime, le crime peut difficilement être prouvé!)
Il y a cependant, une différence de taille lorsqu’on parle d’incidents de cybersécurité et non pas d’incidents traditionnels; c’est que la preuve est maintenant de nature numérique (ordinateur, disque dur, serveur, clef USB…), ce qui demande une expertise très ciblée afin de pouvoir la traiter.
Nous avons justement eu la chance de parler avec Michel Cusin, consultant en sécurité et membre du réseau CyberSwat. Il nous a expliqué plus en détail comment ce type d’enquête fonctionne. Michel œuvre dans le domaine de la sécurité de l’information depuis plus de 17 ans. Il a organisé dans le passé, des journées de conférences et d’échanges sur la sécurité à Québec. Il a surtout une forte expertise en tests d’intrusion et en gestion d’incidents et est souvent amené à réaliser des enquêtes forensiques suite à des incidents de sécurité survenus chez ses clients.
Or, il nous a précisé que dès qu’il y a mauvaise manipulation, la preuve numérique peut être discréditée par le juge lors d’un procès. Ce qui veut dire que même si une personne est coupable, elle pourrait être disculpée faute de preuve admissible! Quelle frustration cela doit être!
Qu’est-ce qu’exactement un incident de sécurité qui pourrait demander une enquête judiciaire? Michel nous a donné un exemple fictif très flagrant, afin d’aider à mieux comprendre. Imaginez une négociation en cours entre un patron et un syndicat. Tout d’un coup, le patron se rend compte que les membres du syndicat semblent détenir de l’information qu’ils ne devraient pas avoir et l’utilisent pour gagner les négociations. Le patron a déjà une petite idée de qui a pu donner l’information, mais il ne peut le prouver. Il soupçonne qu’un employé a envoyé de l’information de son portable de travail. Il lance donc une enquête.
Voici comment ce patron aurait pu gâcher sa seule preuve numérique en 5 étapes (et comment ne pas faire l’erreur de votre côté)!
1. Ne pas protéger la scène de crime
Dès que vous vous rendez compte de l’incident, il faut tout de suite prendre possession du support numérique qui a servi selon vous, à provoquer l’incident (dans le cas de notre exemple, un portable). De la même manière que lorsqu’un crime survient, les policiers entourent le lieu du crime d’un ruban de protection pour empêcher toute personne qui n’est pas un enquêteur, à toucher aux objets. Vous devez prendre possession de l’ordinateur, le débrancher du réseau sans toutefois couper l’alimentation électrique et faire en sorte que plus personne n’y accède.
2. Ne pas noter toute manipulation de la preuve
Dès que le portable est entre vos mains, vous devez tout noter dans un cahier de notes (date, heure, lieu, votre nom). Il faut toujours en tout temps, savoir qui est responsable de la preuve numérique et où elle se trouve. Nous appelons cela « la chaîne de possession ». Il faut donc également consigner qui est en possession des éléments de preuve saisis dans le temps, sur le document de chaîne de possession. Ce dernier doit suivre la preuve numérique en tout temps. De cette façon, il est facile de déterminer qui en était responsable lorsque c’est arrivé.
3. Continuer à utiliser la preuve numérique
Il ne faut surtout pas continuer à utiliser le portable, même via une session à distance (qui laissera des traces) pour ne pas contaminer la preuve ou risquer d’effacer un élément important pour l’enquête. Ne l’allumez pas. Ne l’éteignez pas s’il est ouvert. Il doit rester tel que vous l’avez récupéré.
4. Copier le contenu de la preuve numérique sans respecter de procédure
Une fois qu’un spécialiste récupérera le portable, il va copier tout le contenu sur un autre disque afin d’effectuer ses recherches. Il ne fait jamais de recherches directement sur l’original. Seulement, la procédure à suivre pour effectuer la copie est très stricte. Par exemple, il faut couper l’alimentation électrique du système en retirant le câble d’alimentation pour figer la preuve dans le temps. Il faut également utiliser un logiciel reconnu dans le marché, copier l’intégralité du contenu (même les fichiers effacés) et s’assurer que l’intégrité soit respectée dans la copie. Michel a souvent entendu ses clients lui dire qu’ils avaient fait des copies des fichiers en mode de copie de sauvegarde (backup) sur une clef USB sans aucune réelle méthodologie. Ce type de copie sera invalidée en cour en un rien de temps!
5. Ne pas attendre un spécialiste pour analyser la preuve
Si vous n’avez pas d’expertise en enquête forensique ou n’êtes pas en mesure d’établir votre crédibilité en cour, ne touchez plus à rien et appelez un spécialiste! Toutes les actions que vous pourriez faire risquent d’altérer la preuve numérique et permettre au coupable de s’en tirer en toute impunité!
Lorsqu’un sinistre en cybersécurité survient, le temps joue contre vous. Il faut contenir l’incident afin d’en garder le contrôle tout en favorisant un retour à la normale dans les plus brefs délais. Le Groupe CyberSwat, c’est la force d’un réseau partout en province! Nul besoin de réaliser des démarches auprès de multiples entreprises pour offrir une couverture géographique complète.
Merci à Michel Cusin d’avoir pris le temps de nous vulgariser ces concepts d’informatique judiciaires
Vous avez été victime d’un incident de sécurité dans le passé et vous désirez savoir comment mieux vous protéger dans le cas d’un incident? Contactez-nous pour en savoir davantage sur le fonctionnement de notre service de gestion en incident de cybersécurité.
2 réflexions au sujet de “Comment gâcher une preuve numérique en 5 étapes lors d’un incident de sécurité”