IT Forensic : autopsie d’un système informatique piraté
De plus en plus les techniques de piratage informatiques deviennent complexes et difficiles à détecter par les outils de sécurité (attaques par insertion, fragmentation, mutation, etc.). De plus en plus les piratages ont un but criminel (vol d’informations hautement stratégiques, mise d’un système d’information dans un état instable et incohérent, tentatives de vol de technologies/brevets, etc.).
Une spécialité de l’informatique a pour but de mettre en évidence le piratage d’un système informatique, de déterminer le but du piratage, de repérer les données volées ou modifiées et de retrouver éventuellement les coupables afin de permettre aux entreprises piratées de traduire éventuellement les coupables en justice
Cette spécialité est L’IT Forensic ou la « médecine légale » informatique. En plus du piratage informatique, elle permet de rechercher les causes d’un incident informatique majeur (crash d’un système critique, comportement anormal d’une application critique, baisse exagérée de performances, etc.)
L’IT Forensic permet de collecter des preuves par autopsie sur un système informatique.
Aspects juridiques de l’autopsie d’un système informatique.
Pour que les informations récoltées lors d’une autopsie informatique soient valables d’un point de vue juridique, l’autopsie doit être réalisée en respectant certaines conditions :
Tout système informatique ou de télécommunication étant potentiellement une cible pour les pirates informatiques, il est nécessaire lors de la conception et la mise en place d’un système informatique ou de télécoms, de vérifier que le système ainsi que les procédures de gestion et la politique de sécurité sont conformes aux lois nationales ou internationales notamment en matière de collecte d’éléments de preuve. Sinon en cas de piratage avéré, on risque de se retrouver dans l’incapacité de poursuivre le coupable, même si celui ci se présente à votre entreprise pour vous notifier oralement qu’il a pénétré votre système et volé des données.
De même, lorsque votre réseau est piraté et que vous arrivez à retrouver l’identité du pirate, il vous est impossible de le traduire en justice si vous avez collecté vos preuves à partir de journaux d’événements (fichiers contenant les traces des opérations et actions qu’on réalise sur un ordinateur) que vous avez modifié, même par inadvertance.
Il est donc nécessaire d’accorder une attention particulière au volet juridique dans la mise en place de tout système informatique, qu’il soit connecté à Internet ou non.
Il ne faut pas oublier qu’une entreprise disposant un réseau local isolé non connecté à Internet peut être convoitée par des pirates dans le but de voler des dossiers sensibles par exemple.
Signes de la mort clinique (compromission) d’un système informatique :
La réalisation d’une autopsie informatique suppose que la mort clinique du système informatique en question a été constatée.
Ceci se fait en observant certains phénomènes et comportements inhabituels sur le système informatique concerné : impossibilité pour tous les utilisateurs de se connecter au système, impossibilité de l’administrateur de se connecter malgré le fait que son mot de passe n’ait pas été changé, grandes lenteurs inhabituelles, modifications des fichiers binaires, réponses non attendues en exécutant certains commandes, présence de fichiers binaires douteux, etc.
Dans certains cas, la compromission peut se faire par accès physique aux locaux de l’entreprise et le pirate peut oublier (dans la précipitation) de refermer le capot d’un ordinateur, de débrancher un câble qu’il a utilisé pour accéder à un équipement ou pour transférer des données. Souvent on trouve tout simplement un tourne et vis ou un composant électronique étranger sur la ‘scène du crime’.
Ce qu’il ne faut pas faire lorsqu’on constate la compromission d’un système informatique
Lorsqu’on soupçonne qu’un système informatique est piraté, il faut surtout garder son sang froid et éviter de vouloir le remettre le plus rapidement possible en état de marche. En installant et désinstallant des outils ou des logiciels, on risque d’effacer ou d’altérer des indices qui auraient permis de constituer des preuves.
Il faut aussi éviter d’envoyer un mail à l’administrateur du système, il se peut que le pirate ait pris en main tout le système informatique global de l’entreprise, même si ce système est composé de plusieurs réseaux repartis à travers le monde. Dans ce cas, le pirate peut avoir accès à tous les courriers et sera donc informé des moindres décisions transmises à l’administrateur du système.
Le silence étant d’or, en cas de piratage avéré, il faut éviter une très grande communication, surtout sur les contre-mesures prévues. Les murs ont des oreilles et le pirate peut être celui qu’on soupçonne le moins.
Il faut également éviter de réaliser une autopsie sur une machine piratée, on risque de récolter des informations non valides et non valables d’un point de vue juridique, auquel cas l’autopsie n’aurait pas eu de sens.
Dans le cas d’une intrusion physique avérée sur un équipement, il faut prendre contact avec son avocat ou un spécialiste du droit avant d’envisager quoi que ce soit (si l’on veut pouvoir poursuivre le coupable). Un indice altéré peut invalider une poursuite judiciaire. Ensuite, on pourra analyser les composants de l’ordinateur pour voir si des éléments n’ont pas été soustraits, échangés, ajoutés ou détruits. Cette analyse se termine par une analyse logicielle pour voir si le pirate a volé des données, installé des outils, etc.
Continuité des activités et préparation d’une autopsie
En cas de compromission avérée, il faut débrancher le système informatique atteint du reste du système global. Ensuite, il faut réaliser une copie physique du disque dur (avec l’outil dd par exemple) et monter cette copie sur un système saint (contrairement à la médecine, une autopsie informatique se fait toujours sur un système saint). Il faut éviter de réaliser une autopsie à partir de la sauvegarde d’un disque dur, on risque de perdre beaucoup d’indices.
Après avoir mis le système saint en marche, qu’on peut alors sortir sa « trousse médicale » en vue de réaliser l’autopsie.
Continuité des activités
La gestion saine d’un système informatique nécessite de disposer d’un plan de continuité des activités (ou plan de reprise sur incidents) qui décrit les procédures et les actions à effectuer en cas d’incident informatique (crash, piratage, etc.). Ce plan doit être clair, précis, le plus complet possible, régulièrement mis à jour de façon à permettre d’être le plus réactif possible.
On veillera à utiliser une machine saine avec le système d’exploitation le plus sûr et à appliquer les correctifs sur l’équipement de secours avant de le mettre en service. Cette remise en service suppose aussi de disposer d’une politique rigoureuse en matière de sauvegarde des données afin de remettre le service en état de marche avec les données les plus récentes possibles.
La sauvegarde ne doit pas concerner uniquement les données stratégiques de l’entreprise, elle doit aussi prendre en compte les journaux d’événements car en cas de piratage ou d’incident majeur, on ne pourra compter que sur les journaux d’événements pour reconstituer l’incident.
Il est nécessaire pour une entreprise de disposer d’un serveur de log qui est une machine sur laquelle l’on rapatrie tous les journaux d’événements des éléments critiques du système informatique (serveurs, PCs, routeurs, ..). L’un des réflexes ‘innés’ d’un pirate est de supprimer ses traces dans les journaux d’événements et si l’on ne dispose pas d’un serveur de log, il devient quasi impossible de remonter une attaque si le pirate a effacé ses traces sur la machine piratée.
Il est tout aussi nécessaire pour une entreprise disposant d’un réseau informatique, de mettre en place un outil de supervision réseau qui collecte pour chaque équipement surveillé les informations sur la quantité de mémoire utilisée, la charge processeur, le taux d’occupation disque, la température du processeur, etc. En cas de crash avec destruction totale du disque dur, on peut recourir à ces informations pour rechercher les causes de l’incident.
Des exemples d’outils de supervision réseau sont : NAGIOS, HP Openview, Cisco Works.
Il est donc important pour toute entreprise disposant d’un système informatique comportant des éléments critiques, de mettre en place une politique de gestion informatique rigoureuse et un plan de continuité des activités.
Réalisation de l’autopsie informatique
Les outils tels que ‘The Coroner Toolkit’ ou ‘Sleuthkit’ permettent d’analyser un système informatique pour collecter des preuves. Ils permettent de repérer les fichiers effacés par le pirate et aident à reconstituer le piratage.
D’autres indices peuvent être récoltés en analysant les journaux d’événements manuellement ou avec des outils (IDS, vérificateurs de log, corrélateurs d’événements, ..).
Des connaissances avancées Linux/Unix/Windows, en programmation système et en maintenance informatique sont très souvent nécessaires pour réaliser les autopsies informatiques.
La reconstitution du crime (le piratage)
Cette opération consiste à analyser les indices collectés pour tenter de reconstituer le but du pirate. En corrélant les informations collectées, on essaie de conclure si le pirate a atteint son but (vol de données ou sabotage par exemple).
Ensuite, les preuves collectées doivent être cryptées en utilisant un système de cryptage robuste, reconnu comme étant difficile à casser et reconnu par la loi. Il faut éviter les systèmes cryptographiques MD5 et SHA-1 (reconnus jusqu’à récemment comme étant « très très forts ») car il a déjà été démontré qu’il est possible de générer deux fichiers différents ayant la même signature MD5 ou SHA-1 (notion de collision MD5 ou SHA-1). Si vous cryptez vos données avec ces systèmes, lors d’un procès il suffira à votre agresseur de présenter un autre fichier (un simple document texte par exemple) ayant la même signature que le fichier contenant vos preuves, et il repartira tranquillement chez lui. Vous risquez ensuite de quitter la salle d’audience sous des sifflements, car vous serez vu comme celui qui a voulu faire accuser un pauvre petit malheureux, innocent et inoffensif.
Et les pirates créèrent l’anti-autopsie
Tout n’est pas rose dans l’IT Forensic et dans certains cas, la réalisation d’une autopsie peut s’avérer une tâche très ardue dont l’issue est incertaine. En effet, s’il existe des techniques pour réaliser des autopsies informatiques, il existe aussi des techniques anti-forensic ou anti-autopsies qui permettent aux pirates de durcir l’opération de collecte des preuves. Entre autres techniques anti-autopsie, on peut citer :
La contraception qui consiste à exécuter une attaque sur un système informatique sans créer de fichier sur le disque dur (bonjour la collecte des indices à partir des journaux d’événements !!!).
L’altération de fichiers (modification du nom ou de l’extension des fichiers)
Le découpage de fichiers, la modification des extensions DOS, etc.
La stéganographie, etc.
Comme dans les westerns, « Django » souffre souvent mais s’en sort toujours.
Afin de détecter et mettre en évidence les techniques anti-autopsies développées par les pirates, des travaux en cours explorent de nouvelles techniques appelées « anti-anti-autopsie ». Ces techniques peuvent être très complexes comme par exemple la recherche d’indices dans la partie non utilisée d’une image.