Aller au contenu
Forensique numérique, secrets commerciaux, serveurs de fichiers, serveurs, serveurs de messagerie, appareils externes, supports externes, appareil mobile, appareil personnel

Dans le monde d'aujourd'hui, la quantité de communication est astronomique. Le BYOD (Bring Your Own Device) ajoute de la complexité lorsqu'il est déjà confronté à des sources de données traditionnelles utilisées en entreprise telles qu'un ordinateur de bureau, un ordinateur portable, un serveur et une messagerie d'entreprise.

Cet article est destiné à être un rappel utile (ou pour certains, de nouvelles informations) sur les éléments à prendre en compte lors de l'utilisation de la criminalistique numérique pour enquêter sur un vol potentiel ou une utilisation inappropriée de données propriétaires. Compte tenu de l'évolution du paysage technologique, je m'en voudrais de ne pas dire de consulter un professionnel médico-légal et juridique avant de prendre une décision.

Prise en compte des zones/dispositifs de stockage électronique

Il existe certaines sources de données électroniques que les défendeurs, les plaignants et les experts médico-légaux neutres devraient prendre en compte pour toute enquête. Il s'agit notamment des ordinateurs portables/de bureau (ou stations de travail), des serveurs de messagerie, des serveurs de fichiers, des supports externes, des référentiels en ligne, des comptes de messagerie personnels, des ordinateurs personnels, des smartphones et d'autres appareils informatiques mobiles.

La collecte de certaines de ces sources est explicite, mais d'autres peuvent ne pas être aussi simples. Quelques exemples des nuances que vous pouvez rencontrer incluent les serveurs de messagerie et de fichiers.

Les serveurs de messagerie peuvent être configurés de plusieurs façons. Certains conservent une copie de tous les e-mails uniquement sur le serveur, tandis que d'autres permettent une synchronisation avec d'autres appareils (par exemple, l'utilisation d'Outlook), ou un serveur peut permettre à un utilisateur de télécharger et de conserver la seule copie de l'e-mail sur son appareil local. (s).

Il s'agit d'une distinction importante à comprendre afin de ne pas supposer que les e-mails seront tous situés sur un ordinateur de bureau ou un ordinateur portable. Une technique peut consister à synchroniser l'e-mail avec l'ordinateur de bureau ou l'ordinateur portable avant de créer une image médico-légale de cet appareil, ce qui peut vous éviter d'avoir à collecter l'e-mail à partir du serveur de messagerie.

Pour les serveurs, il est important de comprendre les types de serveurs utilisés et les termes généraux que les dépositaires (utilisateurs) peuvent utiliser pour les décrire. Prenons l'exemple d'un serveur de fichiers : un serveur sur lequel des individus ou des membres de certains groupes peuvent stocker une myriade de types de documents, même des archives d'e-mails. Il est souvent appelé « dossier réseau privé » ou « répertoire personnel » pour les individus, et « partage de groupe » (par exemple, partage de groupe de comptabilité, partage de groupe d'ingénierie) pour les membres de certains groupes qui ont un espace commun pour le partage. documents.

Considérations relatives à l'analyse

Les données peuvent quitter une entreprise de différentes manières. Une façon d'exfiltrer de "grandes" quantités de données consiste à connecter un périphérique externe. Il est très facile de connecter un appareil externe, de copier en masse des fichiers sur l'appareil, de déconnecter l'appareil et de repartir avec

ce. Alors, quels artefacts faut-il prendre en compte si vous voulez voir ce type d'activité sur votre poste de travail de type Microsoft Windows couramment utilisé ?

Une façon de visualiser l'activité d'un utilisateur consiste à examiner les fichiers de liens (également appelés fichiers LNK). Un fichier de lien est un raccourci sur un lecteur local qui peut indiquer l'historique d'un fichier en cours d'ouverture à partir d'un périphérique connecté.

Les clients me demandent souvent pourquoi je ne peux pas leur donner une liste des fichiers qui ont été copiés sur un périphérique externe - ce n'est pas si simple. Windows ne crée pas de « journal », de « piste d'audit » ou d'« enregistrement » de fichiers qui sont simplement copiés sur un périphérique externe via la méthode du glisser-déposer. En l'absence du périphérique réel sur lequel les fichiers ont été copiés, vous devez vous fier à d'autres artefacts, tels que des fichiers de liens, pour montrer ou déduire que cette activité s'est produite.

Par exemple, j'ai un document enregistré sur un périphérique USB amovible nommé tradesecret.doc (le fichier cible). Si j'enregistre et ferme ce document, puis reviens à mon menu Démarrer de Windows et sélectionne le programme Microsoft Word, j'obtiens une liste de documents récents (y compris "tradesecret.doc") que je peux choisir d'ouvrir.

Cette méthode d'ouverture d'un de ces documents crée ce qu'on appelle un raccourci. Un raccourci existe sur l'ordinateur car un document a été "ouvert". Les raccourcis contiennent des métadonnées, y compris le chemin du fichier cible. Le chemin peut être un appareil externe qui a quitté l'entreprise avec l'employé décédé. Le raccourci peut également contenir les dates et heures de création du raccourci lui-même, ainsi que les dates de création, de modification et d'accès du fichier cible réel.

Ces métadonnées de raccourci peuvent vous indiquer quand un fichier a été copié sur un périphérique amovible et s'il a été modifié sur ce périphérique. Veuillez garder à l'esprit que la localisation d'une copie du même fichier nommé sur le disque dur de l'ordinateur ne signifie pas qu'il a le même contenu que la copie qui a été identifiée sur le périphérique externe. Le seul véritable moyen d'identifier une liste complète de fichiers et leur contenu est d'analyser le périphérique externe.

Le nuage

Les référentiels en ligne sont des zones « dans le cloud ». Des programmes comme OneDrive, Carbonite, Dropbox, SugarSync, Hightail, Mozy et ShareFile ne sont que quelques-uns des centaines (voire des milliers) de référentiels en ligne. Bien que chacun puisse varier légèrement dans la façon dont ils sont utilisés, en fin de compte, ils permettent tous à un utilisateur de stocker et d'accéder à des fichiers.

Rechercher l'installation et l'utilisation de ces programmes sur un poste de travail peut s'avérer précieux. La visite de ces sites peut également créer un enregistrement dans les fichiers d'historique Internet. Certains de ces sites enregistrent même des journaux d'audit détaillés de l'activité des fichiers (téléchargements, téléchargements, suppressions, etc.). Gardez à l'esprit que vous devrez peut-être agir rapidement, car ces journaux d'audit peuvent durer jusqu'à 30 jours.

Appareils mobiles

En plus de passer des appels et d'envoyer des SMS, les appareils mobiles et les smartphones peuvent stocker des fichiers. Avec l'avancement actuel des "applications", il est possible de récupérer, d'ouvrir, de modifier et de réenregistrer un document sur un appareil mobile ou dans le référentiel basé sur le cloud à partir duquel le document a été récupéré.

Un autre exemple de la façon dont les données sensibles peuvent être stockées sur les appareils mobiles sont les cartes SIM, qui peuvent maintenir des listes de contacts et peuvent être facilement déplacées d'un téléphone à un autre téléphone compatible. Dans certains cas, la simple prise d'une liste de contacts peut être très importante, car il peut s'agir d'une liste de clients.

N'oublions pas les fichiers de sauvegarde créés à partir de BlackBerry, d'iPhone/iPad et d'autres appareils mobiles. Ceux-ci peuvent s'avérer utiles pour montrer la propriété ou l'utilisation d'un appareil qui n'a pas été produit pour inspection, en particulier dans le monde BYOD d'aujourd'hui, où l'appareil peut être une propriété privée mais où l'utilisation autorisée dans l'entreprise a entraîné des données d'entreprise sur l'appareil.

Toujours sur le sujet du BYOD, familiarisez-vous avec les politiques et les règles de l'entreprise pour ces appareils hybrides. Votre entreprise a-t-elle des politiques bien écrites, par exemple si l'employeur peut "effacer" à distance les données professionnelles de l'appareil en cas de perte de l'appareil ou si l'employé et l'entreprise se séparent ? Avez-vous réfléchi à la façon de traiter ce problème avant qu'il ne se produise? Je l'ai trop souvent vu dans lequel la valeur par défaut d'un client était d'effacer à distance l'appareil mobile d'un employé lors de son départ, puis de vouloir des preuves de cet appareil (qui n'existe plus).

En plus de mettre en œuvre et de renforcer une culture de sécurité et de se réserver la possibilité d'« effacer » les appareils en cas de perte ou de vol, les entreprises doivent également envisager une formation continue, des reconnaissances annuelles et définir et gérer les attentes des employés concernant la confidentialité qu'ils devront respecter. abandonner en échange de la commodité d'utiliser leurs appareils personnels pour le travail. Cela peut aider à éviter certaines conversations gênantes lorsque vous devez examiner l'appareil personnel de quelqu'un.

En cas de besoin, quels sont certains des artefacts que l'on pourrait rechercher pour s'assurer que les données confidentielles de l'entreprise n'ont pas été prises ou ne résident plus sur l'appareil d'un employé parti ? Par exemple, vous souhaiterez peut-être connaître les informations de géopositionnement (données GPS), qui peuvent indiquer où se trouvait l'appareil à une date/heure particulière.

Voici quelques exemples d'activités d'utilisateurs à étudier : les pièces jointes qui ont été séparées d'un e-mail et enregistrées sur l'appareil ; logiciel installé qui permet une connexion directe à un ordinateur de l'entreprise qui peut contourner un protocole de sécurité particulier ; les noms des pièces jointes qui peuvent exister dans les comptes de messagerie personnels sur l'appareil ; des photos qui peuvent avoir été prises d'un document secret commercial au lieu du fichier réel pris ; et l'historique Internet et/ou les SMS, pour n'en nommer que quelques-uns. Les données sur l'appareil réel peuvent différer de la dernière sauvegarde, en particulier si l'appareil est utilisé plus fréquemment et plus récemment que la dernière sauvegarde.

En résumé, il est important d'être éduqué ou entouré de personnes qui sauront vous informer. Obtenir un saut dans l'enquête, savoir que les preuves seront périssables et préserver ce qui est nécessaire même s'il est mis sur la glace vous donnera une longueur d'avance.

iDiscovery Solutions est une société de conseil stratégique, de technologie et de services d'experts - fournissant des solutions personnalisées d'eDiscovery allant de la criminalistique numérique au témoignage d'expert pour les cabinets d'avocats et les entreprises aux États-Unis et en Europe.

fr_FRFR