Science Forensique Généra-le 2024-2025: Typologie des Traces - PDF

Science forensique générale : Typologie des traces 05 – Les traces numériques (par T. Souvignet) 2024-2025 Présentation ▪ Prof. Associé Thomas Souvignet 2002 2004...

Science forensique générale : Typologie des traces 05 – Les traces numériques (par T. Souvignet) 2024-2025 Présentation ▪ Prof. Associé Thomas Souvignet 2002 2004 MSc Sécurité des Gendarmerie 2014 2019 Systèmes d’Information française PhD Prof UNIL 2017 1979 Commandant de 2003 compagnie (45 ans) 2011 MSc IT Security MSc & Computer Systèmes SFGTypo-2425 (T. Souvignet) Crime embarqués 2 Objectifs du jour ▪Présenter la notion de « données numériques » ▪Souligner l’omniprésence et l’évolution rapide du numérique ▪Introduire les traces numériques ▪Présenter différentes phases du processus forensique numérique SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 3 Qu’est-ce qu’une technologie numérique ? Données numériques Données représentées sous forme numérique : enregistrées sous la forme de nombres pouvant prendre un nombre fini de valeurs (valeurs discrètes) … par opposition aux données analogiques SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 4 Qu’est-ce qu’une technologie numérique ? Elément mesuré Analogique Numérique Température SFGTypo-2425 (T. Souvignet) Son Image(s) : lelivrescolaire.fr – centrakor.com – aliexpress.com Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 5 Qu’est-ce qu’une technologie numérique ? SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 6 L’avènement du numérique Consultation d’une vidéo de 2010 avec élèves d’une classe Québécoise : https://www.youtube.com/watch?v=mz1iezAHOig A quoi cela vous fait-il penser ? SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 7 L’avènement du numérique Numérisation des usages 1970 1980 1990 2000 2010 2020 SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 8 L’omniprésence du numérique Au sein du foyer - 1970 Crédit photo : www.mam-menuiserie.fr SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 9 L’omniprésence du numérique Au sein du foyer - 1980 Crédit photo : www.mam-menuiserie.fr SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 10 L’omniprésence du numérique Au sein du foyer - 1990 Crédit photo : www.mam-menuiserie.fr SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 11 L’omniprésence du numérique Au sein du foyer - 2000 Crédit photo : www.mam-menuiserie.fr - californialost dogs.org – easycash.fr SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 12 L’omniprésence du numérique Au sein du foyer - 2010 Crédit photo : www.mam-menuiserie.fr SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 13 L’omniprésence du numérique Au sein du foyer - 2024 Crédit photo : www.mam-menuiserie.fr - lesnumeriques.com - noderun.com – samsung.com SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 14 Et les traces alors ? Quelles traces numériques ? Pourquoi ? SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 15 Et les traces alors ? Trace : « Marque, signal ou objet, la trace est un signe apparent (pas toujours visible à l'œil nu). Elle est le vestige d'une présence ou d'une action à l'endroit de cette dernière » Margot 2014 Signal numérique en transit ou stocké SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 16 Où se trouve la trace numérique d’intérêt ? Supports numériques Poster une image sur Instagram SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 18 Où se trouve la trace numérique d’intérêt ? Supports physiques Poster une image sur Instagram SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 19 Quelles traces ? Diversité des traces présentes sur un smartphone : - Entrée base de données «Appel» - Entrée base de données «SMS» - Entrée dans application de messagerie instantanée - Fichiers photo ou vidéo - Entrée dans une base statistique de localisation -… SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 20 Quelles traces ? Diversité des traces présentes sur un serveur distant : - Entrées dans fichiers journaux du serveur - Entrées dans une application serveur (ex. message instagram) - Fichier lié à une application serveur (ex. photo instagram) -… SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 21 Quelles traces ? Diversité des traces présentes sur un ordinateur : - Entrées de journaux d’événement - Entrées de bases de registre - Entrées d’historique de navigation Web - Fichier de cache de navigateur Web - Fichiers «utilisateur» d’une application -… SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 22 Quelles fonctions élémentaires ? Entrée base de données «SMS» - Emetteur - Destinataire - Date/Heure - Contenu 1/ Déterminer la source 2/ Relier des affaires 3/ Identifier la nature et entre elles le profil de la source - … des traces (détecter des répétitions d'une trace criminelles) 5/ Trouver des relations entre des 4/ Recomposer une personnes et des 6/ Désigner des lieux entité à partir des objets pièces détachées d'intérêt (les relations entre des entités) SFGTypo-2425 (T. Souvignet) 8/ Renseigner sur 7/ Reconstruire la d'autres aspects de structure temporelle l'activité productrice de des événements la trace Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 23 Quelles fonctions élémentaires ? Entrée dans une base statistique de localisation - Latitude/Longitude - Date/Heure - … 2/ Relier des affaires 3/ Identifier la nature et 1/ Déterminer la source entre elles le profil de la source des traces d'une trace (détecter des répétitions criminelles) 5/ Trouver des relations entre des 4/ Recomposer une personnes et des 6/ Désigner des lieux entité à partir des objets pièces détachées d'intérêt (les relations entre des entités) SFGTypo-2425 (T. Souvignet) 8/ Renseigner sur 7/ Reconstruire la d'autres aspects de structure temporelle l'activité productrice de des événements la trace Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 24 Quelles traces / fonctions ? Traces numériques liées à une brosse à dent connectée - Utilisation - (Non) utilisation - Profil de brossage 1/ Déterminer la source 2/ Relier des affaires 3/ Identifier la nature et entre elles le profil de la source des traces - Etc. (détecter des répétitions criminelles) d'une trace 5/ Trouver des relations entre des 4/ Recomposer une personnes et des 6/ Désigner des lieux entité à partir des objets pièces détachées d'intérêt (les relations entre des entités) SFGTypo-2425 (T. Souvignet) 8/ Renseigner sur 7/ Reconstruire la d'autres aspects de structure temporelle l'activité productrice de des événements la trace Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 25 Quelles traces / fonctions ? Traces numériques liées à un véhicule connecté : - Utilisation / (Non) utilisation - Localisation - Profil de conduite 1/ Déterminer la source 2/ Relier des affaires 3/ Identifier la nature et entre elles le profil de la source des traces - Etc. (détecter des répétitions criminelles) d'une trace 5/ Trouver des relations entre des 4/ Recomposer une personnes et des 6/ Désigner des lieux entité à partir des objets pièces détachées d'intérêt (les relations entre des entités) 8/ Renseigner sur SFGTypo-2425 (T. Souvignet) 7/ Reconstruire la d'autres aspects de structure temporelle l'activité productrice de des événements la trace Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 26 La prise en compte du numérique Consultation d’une vidéo de 2015 avec élèves d’une classe Lyonnaise : https://www.youtube.com/watch?v=21Mua6UiHBU A quoi cela vous fait-il penser ? SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 27 Perception du numérique Au sein du foyer - 1990 Crédit photo : www.mam-menuiserie.fr SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 28 Perception du numérique Au sein du foyer - 2024 Crédit photo : www.mam-menuiserie.fr - lesnumeriques.com - noderun.com – samsung.com SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 29 Investigation et analyse de données numériques Processus forensiques numériques Différents modèles SFGTypo-2425 (T. Souvignet) Casey, E. (2011). Digital evidence and computer crime: Forensic science, computers, and the internet. Academic press. Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 32 Processus forensiques numériques Modèle proche des modèles traditionnels SFGTypo-2425 (T. Souvignet) Pollitt M, Casey E, Jaquet-Chiffelle D-O, Gladyshev P. (2018). A Framework for Harmonizing Forensic Science Practices and Digital/Multimedia Evidence, OSAC Technical Series 0002, OSAC Task Group on Digital/Multimedia Science. Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 33 Prélèvement de la trace numérique Prélèvement d’un système informatique « vivant » (en fonctionnement) : - Limiter les contaminations (postérieures à l’événement) - Techniques : système d’enregistrement numérique (DVR/CCTV) - Volontaires : effacement à distance SFGTypo-2425 (T. Souvignet) - Limiter les pollutions - Minimiser les traces liées aux actions nécessaires au prélèvement (ex. acquisition de mémoire vive) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 34 Acquisition de la trace numérique Acquisition des données numériques Extraire les données du support en prévision de leur analyse Préservation – bloqueur en écriture / box de faraday SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 35 Acquisition de la trace numérique Acquisition des données numériques Lecture de toutes les données (image forensique) en garantissant leur traçabilité et intégrité (empreinte numérique – NB : ≠ empreinte physique) SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 36 Analyse de la trace numérique Données structurées - Systèmes de fichiers - Permettent de structurer les données (eg. Fichiers) présentes sur un support de données - Exemple : FAT32, NTFS, APFS, ext2/4, etc. - Fichiers - Permettent de rassembler des données liées entre elles dans un même SFGTypo-2425 (T. Souvignet) container logique - Exemple (extension) : JPEG, MP4, DOCX Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 37 Analyse de la trace numérique Problématique des formats de fichiers/codages propriétaires Ex. vidéo protection (DVR/CCTV) => formats propriétaires Crédit photo : www.amazon.fr SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 38 Analyse de la trace numérique Problématique des codages propriétaires Induction basée sur le Triangle de Peirce (rétro-ingénierie) Connaissances générales Règles SFGTypo-2425 (T. Souvignet) Activité Résultat, traces Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 39 Traitement et exploitation des données Combinaison de différentes traces numériques ▪ D’un même support de données : données liées à l’utilisation de l’ordinateur + données d’applications + … ▪ Entre plusieurs supports de données : données d’un disque dur + données d’une clé USB + données d’un téléphone mobile + données d’un opérateur télécom + … Visualisation ▪ Explorer les données ▪ Produire de la connaissance SFGTypo-2425 (T. Souvignet) ▪ Communiquer Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 40 Exemple Cas WADA vs RUSADA Support de traces numériques Transmis par Collecté dans le Transmis par informateur(s) laboratoire de Moscou autorités russes 2015 LIMS Backup data Données de Moscou 2019 LIMS Sauvegarde de Sauvegardes de base de données base de données SFGTypo-2425 (T. Souvignet) Copies forensiques de : - Serveurs LIMS Copie forensique - Serveurs de stockage d’ordinateur - Instruments d’analyse - Sauvegardes 42 Traces numériques 2015 LIMS Vérification de l’intégrité Données de Moscou 2019 LIMS des traces Sauvegarde de base de données Copies forensiques de : - Serveurs LIMS SFGTypo-2425 (T. Souvignet) - Serveurs de stockage - Instruments d’analyse - Sauvegardes 43 Demande initiale Analyser les données numériques transmises Données de Moscou 2015 LIMS 2019 LIMS Comparer les bases de données transmises SFGTypo-2425 (T. Souvignet) (version 2015 et version 2019) Rechercher des incohérences 44 Dans un premier temps… Quelques éléments : 3/ Identifier la nature et 1/ Déterminer la source 2/ Relier des affaires le profil de la source des traces entre elles d'une trace (détecter d es rép étitions criminelles) 4/ Recomposer une entité à partir des pièces 5/ Trouver des relations 6/ Désigner des lieux entre des personnes et d'intérêt détachées des objets 2015 LIMS 2019 LIMS (les relations entr e d es entités) 8/ Renseigner sur 7/ Reconstruire la d'autres aspects de structure temporelle des l'activité productrice de la événements SFGTypo-2425 (T. Souvignet) trace Mais rien de très clair… 45 En y regardant de plus près… WADA demande de se focaliser sur période restreinte avant leur intervention Mise en évidence de : 3/ Identifier la nature et 1/ Déterminer la source 2/ Relier des affaires le profil de la source des traces entre elles d'une trace (détecter d es rép étitions criminelles) 4/ Recomposer une SFGTypo-2425 (T. Souvignet) entité à partir des pièces 5/ Trouver des relations 6/ Désigner des lieux entre des personnes et d'intérêt détachées des objets (les relations entr e d es entités) 8/ Renseigner sur 7/ Reconstruire la d'autres aspects de structure temporelle des l'activité productrice de la événements trace 46 Mise en évidence de manipulations avant l’intervention de la WADA 7/ Reconstruire la structure temporelle des événements SFGTypo-2425 (T. Souvignet) 47 Contre-feux médiatiques SFGTypo-2425 (T. Souvignet) https://www.youtube.com/watch?v=1J84r_DiFi0 https://www.facebook.com/RTDocumentary/videos/457872301584439 49 Erreurs dans la manipulation des traces 5/ Trouver des relations entre des personnes et des objets (les relations entre des en tités) 8/ Renseigner sur 7/ Reconstruire la d'autres aspects de structure temporelle des l'activité productrice de la événements trace https://www.facebook.com/RTDocumentary/videos/457872301584439 SFGTypo-2425 (T. Souvignet) https://www.wada-ama.org/sites/default/files/resources/files/cas_award_6689.pdf §649 50 Tribunal Arbitral du Sport […] SFGTypo-2425 (T. Souvignet) https://www.wada-ama.org/sites/default/files/resources/files/cas_award_6689.pdf §653 51 Conclusion Objectifs du jour ▪Présenter la notion de « données numériques » ▪Souligner l’omniprésence et l’évolution rapide du numérique ▪Introduire les traces numériques ▪Présenter différentes phases du processus forensique numérique SFGTypo-2425 (T. Souvignet) Science forensique générale – Typologie des traces – Traces numériques (T. Souvignet) 53 Une formation qui s’adapte au numérique Machine learning in forensic Pratique avancée en investigation Analyse de données en sécurité et science et identification numériques renseignement Internet Investigations Network and System Forensics Analyse criminelle opérationnelle Master … Malware & cyber threats Investigation numérique : appareils Cybercrime and online abuse mobiles et smartphone apps Cryptographie et authentification Criminalité informatique et numérique Computer forensic cybercriminalité : études de cas Bachelor 3 Exploitation des traces numériques Bachelor 2 SFGTypo-2425 (T. Souvignet) Introduction à la criminalistique numérique Criminalistique numérique pratique Bachelor 1 Informatique et réseaux Programmation en Python Algorithme et pensée computationnelle Mathématique 54 Science forensique générale : Typologie des traces Des questions ??? 05 – Les traces numériques (par T. Souvignet) 2023-2024

Science Forensique Généra-le 2024-2025: Typologie des Traces - PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue