Approche de collecte de preuves dans une investigation numérique

Abstract

La cybersécurité est devenue un enjeu majeur en matière de défense et de sécurité nationales. Le développement des Technologies de l’Information et de la Communication a créé un nouvel univers numérique dont la maîtrise est gage du développement socio-économique des États. Ce nouvel univers est en soi un espace de souveraineté des Etats qui doit être sécurisé et défendu au même titre que les espaces terrestre, aérien et maritime. Par ailleurs, les méthodes de protection doivent suivre le rythme de l’évolution de l’environnement des cyberattaques. Avec l’émergence d’attaques complexes, une nouvelle approche est nécessaire en matière de sécurité. Il ne suffit plus seulement de renforcer le dispositif sécuritaire de son système d’information mais, un État doit être capable d’identifier et d’appréhender les auteurs d’une attaque afin que ceux-ci répondent de leurs actes devant une juridiction nationale ou internationale. Les techniques de détection des intrusions se sont muées en véritables dispositifs de prévention contre les attaques sur les systèmes d’information. Adaptés conséquemment, ils peuvent être capables d’aider à l’identification des auteurs de certains actes criminels. Malheureusement, les techniques mis en place jusqu’à ce jour ne se limitent qu’aux études comportementales des utilisateurs et approches par scénario. Les ressources qui sont les éléments fondamentaux des systèmes d’information sont mises à l’écart alors que leur exploitation est capitale dans la recherche des traces et indices qui constituent des preuves numériques à charge ou à décharge devant les juridictions. Afin que les États et les organisations continuent à entretenir l’atmosphère de confiance qui doit les caractériser, des modèles d’investigation numériques "digital forensic models" ont été élaborés. Malheureusement, ces modèles ont été conçus suivant la logique qu’ils ne peuvent se déployer qu’après qu’un incident se soit produit, alors que le modèle multidimensionnel que nous proposons est à la fois réactif, actif et proactif. Au regard des modèles précédents, tous les indices et preuves qui auraient pu soutenir le processus criminel en amont se trouvent écartés. Cette thèse apporte une contribution à la détection des intrusions par une approche basée sur le comportement des ressources dans un système d’information. Ensuite, elle concours à la sécurisation des SI à travers la réalisation d’un modèle d’investigation numérique de large spectre capable de rechercher les indices et preuves numériques ainsi que les auteurs en vue de leur présentation devant une juridiction compétente. Après avoir présenté un état de l’art sur la cybercriminalité et l’investigation numérique, un cadre formel de l’investigation numérique après une intrusion est défini. Ceci passe d’abord par la conception d’un système d’information dans lequel les ressources sont les piliers, ensuite par la mise sur pied d’une méthode baptisée " resource behavior technique" qui s’appuie sur le comportement et le flux de travail entre les ressources pour détecter une attaque. Une technique d’investigation numérique multidimensionnelle qui permet d’élucider les attaques indépendamment d’une plateforme particulière est proposée. A cet égard, de nouveaux algorithmes qui améliorent les performances de l’outil de détection des intrusions de référence appelé Snort ont été définis. Cette thèse se termine par des expérimentations permettant de valider l’approche proposée.