Sommaire
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
L'analyse forensique est un domaine en pleine expansion, les techniques d'analyse ont suivi l'évolution de la technologie. Techniquement, nous pouvons retrouver en mémoire n'importe quelle donnée volatile, que ce soit des mots de passe ou des clés de chiffrement.
Avec la généralisation de machines possédant plusieurs giga-octets de mémoire vive et utilisant la cryptographie à la fois sur le poste et sur le réseau, l'analyste ne peut plus faire l’impasse sur l'analyse de la mémoire.
Pour reprendre les propos de Nicolas Ruff [sstic07], trois méthodologies existent pour réaliser des analyses forensiques: dead forensics, live forensics et « la voie du milieu ». Le dead forensics consiste simplement de manière imagée à débrancher la prise de courant, donc globalement à analyser une copie de disque (appelée aussi image) ou de tous supports numériques. C'est le plus souvent la méthode « officielle ». Le live forensics a pour objectif de réaliser l'analyse sur la cible en cours d'exécution, cette méthode est essentiellement utilisée pour détecter toute éventuelle compromission sur un système. Enfin, « la voie du milieu », comme son nom l'indique, se positionne entre ces deux méthodologies et consiste à analyser une image mémoire d'un système en cours d'exécution. Cette méthodologie a un avantage sur le dead forensics, à savoir qu'il est possible de récupérer et analyser les informations dynamiques en collectant la mémoire physique, et a aussi un avantage sur le live forensics, puisque toute contre-expertise sera possible à partir de l'image analysée.
Les systèmes d'exploitation de Microsoft regorgent d'interfaces de programmation diverses et variées. Parmi elles, DPAPI, qui permet de chiffrer et déchiffrer les données jugées sensibles de façon transparente, est restée pendant plus de 10 ans non documentée. Nous vous proposons dans cet article de regarder sous le capot et de découvrir les secrets du moteur de chiffrement de Windows.