Découvrez les coulisses de l’investigation numérique, discipline fascinante et méconnue de la cybersécurité. À l’occasion de la sortie de son livre aux Editions ENI, Alain Menelet, Chef du centre d’excellence cyberdéfense aérospatiale, nous a accordé une interview.
Cet expert y dévoile les enjeux, les méthodes et les outils de ce domaine captivant et en constante évolution. De la notion de réponse à incident à la recherche de preuves en passant par la veille permanente, Alain Menelet lève un peu le voile sur cette pratique mais aussi sur son parcours et son expérience d’écriture.
ENI : Comme le titre l’indique, votre livre parle de l’investigation numérique. Qu’est-ce que c’est exactement ?
Alain Menelet : L’investigation, qu’elle soit numérique ou non, consiste à s’appuyer sur un ensemble de méthodologies scientifiques ayant pour objectif de comprendre factuellement ce qu’il s’est passé et quelles sont les actions ayant conduit à l’incident observé. La collecte, la préservation et l’analyse des preuves occupent une place centrale dans cette démarche, en commençant par leur prélèvement jusqu’à leur exploitation en respectant notamment des contraintes d’intégrité. Il est particulièrement captivant de démêler les actions de l’attaquant et de les organiser chronologiquement.
Elle s’intègre naturellement dans un processus plus global qui est celui de la réponse à incident. Cette dernière aborde des problématiques plus larges telles que la gestion de crise et la reprise d’activité. Là où la priorité de l’investigation numérique est de comprendre ce qu’il s’est passé et prendre le temps de répondre aux hypothèses formulées, la réponse à incident a des contraintes principalement pécuniaires et il ne faut donc pas perdre trop de temps.
ENI : Sur quels types d’événements ou contextes fait-on appel à l’investigation numérique ? Est-ce en réaction d’événements ou parfois en anticipation ?
AM : C’est une très bonne question. Pour répondre à la 2e partie de votre question, il faut revenir à la réponse à incident qui est de plusieurs natures.
Elle peut avoir une nature préventive. En d’autres termes, il s’agit de réaliser un ensemble de prélèvements initiaux afin de pouvoir comparer nos références avec l’état du système lors d’un incident de sécurité, garantissant ainsi la capacité à effectuer une analyse comparative. Cette approche présente l’avantage d’enrichir la compréhension du système d’information pour l’équipe d’intervention en cas d’incident. Cependant, elle est confrontée à plusieurs contraintes, notamment le suivi des évolutions du système sur lequel les prélèvements ont été effectués. En effet, si aucun prélèvement n’est réalisé après les mises à jour ou évolutions du système, nos références deviennent obsolètes.
L’autre cas est l’intervention à la suite d’un incident de sécurité. Le CSIRT (Computer Security Incident Response Team) déploiera alors ses équipes dans le but de réaliser une réponse à incident et une investigation numérique. C’est cette approche qui est détaillée dans le livre. À noter que de nombreux outils sont communs à ces deux approches.
Pour revenir sur votre première partie de question, l’investigation numérique intervient à la suite d’un incident de sécurité ou lors d’enquêtes plus larges. Pour illustrer cela, nous avons par exemple l’intervention pour donner suite à l’attaque informatique d’une PME avec chiffrement des données ou bien l’analyse d’un téléphone mobile saisi dans le cadre d’une perquisition.
ENI : Votre livre porte sur les systèmes Microsoft Windows et GNU/Linux. Qu’en est-il sur les autres ? L’approche est la même pour les OS mobiles ?
AM : Le domaine est tellement vaste qu’il a nécessairement fallu réduire le périmètre. C’est pour cela que le titre précise les systèmes d’exploitation abordées et les outils associés. Concernant Microsoft Windows, les outils et méthodes présentées concernent les versions x86/x64. Ceci exclut donc les versions ARM. Les particularités sont nombreuses notamment sur la base de registres.
Pour GNU/Linux, le périmètre est défini à cette grande famille ; les systèmes mobiles Android ou IOS par exemple ne sont pas inclus. Cette restriction exclut également les systèmes Unix et par effet de bord aussi MacOS. À noter tout de même qu’une grosse partie des notions présentées sont communes. Cela pourra faire l’objet d’une seconde édition, qui sait ^^
ENI : Concilier théorie et pratique dans un ouvrage sur ce thème est très rare…
AM : Je suis parti d’un constat. En informatique et dans la cybersécurité au sens large, il est obligatoire selon moi d’effectuer une veille permanente. Nous n’avons pas le choix. Heureusement, nous avons à notre disposition tellement de vecteurs de connaissance qu’il n’est plus possible de ne pas savoir. En revanche, il est devenu plus difficile de s’assurer de l’exactitude et de la pertinence d’une donnée dans cette masse d’information.
Il manquait selon moi un livre sur cette thématique rédigé en langue française. Ceci est paradoxal lorsque l’on sait l’importance de la langue anglaise et que l’on constate à quel point la littérature est florissante sur ce sujet. Ayant eu la chance d’enseigner l’investigation numérique dans de multiples contextes et j’ai eu le sentiment que ce domaine expliqué en français manquait.
Concilier théorie et pratique s’est démocratisé ces dernières années dans la littérature anglo-saxone avec des auteurs comme Sparc Flow ou bien Peter Kim qui couvrent de nombreuses méthodes offensives avec un contexte et une pratique pertinente. Sans prétendre proposer la même qualité de contenu, l’idée derrière mon travail est de détailler des approches et méthodes scénarisées en études de cas. Il ne s’agit que d’une infime partie des cas possibles mais qui, selon moi, représentent ce que nous sommes susceptible de traiter au quotidien.
ENI : Vous parliez de la nécessaire veille mais vous oblige-t-elle à constamment mettre à jour la pratique ?
AM : Oui et non. La compréhension des modes opératoires adverses est importante avec une vision offensive et défensive. L’attaquant va tenter de réduire au minimum ses traces et il est donc nécessaire de comprendre les outils, actions utilisées afin de savoir où chercher. Cela induit aussi le développement d’outils de détection selon les éléments offensifs utilisés. Un véritable jeu du chat et de la souris !
Un point important est la maitrise par l’analyste de ses outils et notamment de l’innocuité.
ENI : Le domaine de l’investigation numérique est aussi mis en lumière avec les nombreuses actualités autour de la cybersécurité. Ne devient-il pas plus important ?
AM : La réponse à incident et l’investigation numérique ont pas mal évoluées ces dernières années, principalement avec la démocratisation des solutions Cloud. Cela s’accompagne d’un nouveau terrain de jeu, de nouveaux outils et une législation en construction. Cela amène de nouvelles questions telles que, où sont stockées mes données ou bien comment réaliser les prélèvements… Les journaux d’évènements prennent une place cruciale, laissant en retrait le traditionnel prélèvement de disque dur par exemple.
ENI : Vous parlez des prélèvements virtuels dans le livre, pouvez-vous nous en dire plus ?
AM : Pour être précis, il s’agit de prélèvements effectués en environnement virtualisé par opposition aux prélèvements physique.
Il faut dans ce cas prendre en considération les particularités des hyperviseurs et des formats associés.
ENI : Il va falloir se réinventer ?
AM : Cela est cohérent avec la notion de veille permanente et la nécessité de toujours rester en alerte afin de connaître les outils et méthodologies des attaquants mais aussi les doctrines et évolutions en matière de règlementation et de procédure judiciaires.
ENI : C’était votre premier livre. Quelle expérience cela a-t-il été et pourquoi l’avez-vous écrit ?
AM : Lol. Expérience à la fois riche et frustrante. Écrire seul est un exercice particulier et j’avoue avoir surestimé ma capacité à m’auto-critiquer. Heureusement, j’ai pu être épaulé par un ami tout au long de la rédaction de ce livre. Et lorsque le gros est fini, j’ai pu compter sur une relecture bienveillante.
Pourquoi l’avoir écrit ? Pour le partage. J’apprécie la citation « le savoir ne vaut que s’il est partagé ». Elle a accompagné ce livre et mon quotidien.
J’ai déjà écrit quelques articles et si l’occasion se présente je n’hésite pas. C’est un exercice intéressant et particulièrement la critique effectuée par des pairs. Elle est toujours constructive et ne peut qu’aider à progresser.
ENI : Quel parcours vous a amené à ce domaine de l’investigation numérique et quels conseils donneriez-vous pour suivre cette voie ?
AM : Avant de faire de la cyberdéfense, à mon sens, il faut avoir un bagage en informatique. Cela peut paraître curieux dit comme cela mais j’ai le sentiment que c’est souvent occulté. Ce domaine est transverse a tellement de domaines en informatique (réseau, système, web, développement …) qu’il faut s’appuyer sur des bases solides.
Ingénieur en informatique, je reste confiant sur le niveau des écoles d’ingénieur et sur leur capacité à répondre aux enjeux de demain. À l’issue de ce type de formation, les opportunités sont plus que nombreuses aussi bien dans un SOC (Security Operation Center) que dans une équipe CSIRT. Et puis le plus important, la passion 😊
Nous vivons dans une belle époque car si les bibliothèques sont moins peuplées, des plateformes d’apprentissage présentent une plus-value indéniable. Je pense par exemple à Hack the box avec une branche academy de valeur ou bien à Root-Me avec un gout de l’effort récompensé.
Alain MENELET a été responsable d’équipes de réponse à incident au sein du ministère des armées ainsi que chef de projet d’un SOC, ce qui lui permet d’avoir une vision complète des processus régissant la détection et la réponse à un incident cyber. Il est également l’auteur de nombreux articles et enseigne l’investigation numérique, les stratégies de détection au sein des SOC et l’analyse de malwares. Aujourd’hui responsable du centre d’excellence cyberdéfense dans le domaine aérospatial au sein de l’école de l’Air et de l’Espace, il propose un livre empreint de toute son expertise sur l’investigation numérique en environnement Microsoft Windows et GNU/Linux.