investigations solution d’investigation numÉrique dell™ défis du … · 2009. 9. 10. · une...
TRANSCRIPT
Investigations
PROJET DE SOLUTION
DÉFI : LE TSUNAMI NUMÉRIQUECes dernières années ont été marquées par une hausse exponentielle, en termes de volume, de rapidité et de sophistication, des activités numériques perpétrées par des délinquants et des groupes terroristes dans le monde entier. Aujourd’hui, la plupart des délits possèdent une composante numérique. D’aucuns parlent d’un tsunami numérique.
L’évolution technologique rapide du matériel électronique constitue un facteur aggravant. La diversité croissante des systèmes électroniques grand public, tous dotés d’une capacité de mémoire ou de stockage de plus en plus importante, offre aux délinquants et aux terroristes de multiples opportunités de dissimuler des informations dangereuses.
Ainsi, il n’est pas rare que des PC et des ordinateurs portables soient équipés de disques durs offrant plusieurs centaines de gigaoctets de stockage. Les derniers disques durs peuvent même aller jusqu’à 2 ou 4 téraoctets. Sachant qu’un seul téraoctet équivaut à 200 DVD, cela représente une capacité de stockage phénoménale et pose un problème qui continuera à s’aggraver.
Des PC aux ordinateurs portables, des téléphones mobiles aux clés USB, en passant par les consoles de jeux, les forces de l’ordre et les services de sécurité atteignent les limites du clonage, de l’ingestion (ou de la numérisation), de l’indexation et de l’analyse de quantités croissantes de données suspectes, et ce sans compromission du rapport de garde numérique ni de la sécurité des citoyens.
Une fois les délinquants présumés arrêtés et les PC saisis, les forces de l’ordre et les services de sécurité subissent d’énormes pressions pour traiter et analyser les preuves potentielles dans un laps de temps très court et dans des environnements informatiques laissant beaucoup à désirer.
De plus, lorsque des organisations entières sont suspectées de perpétrer des activités criminelles ou terroristes, le nombre de systèmes à analyser peut rapidement augmenter.
SOLUTION D’INVESTIGATION NUMÉRIQUE DELL™
Défis du marché
• Lemanqued’expertiseetde ressources, et le volume exponentiel de données suspectes ont engendré un retard de 18 à 24 1 mois.
• L’approcheinformatiqueadhoc et non structurée cible une seule ou plusieurs infrastructures PC.
• Destempsd’investigationcoûteux sont consacrés à la gestion des technologies, à la duplication des données et à la sécurisation du rapport de garde.
• L’accèsauxdonnéeshorssite est limité. Les enquêteurs doivent se trouver dans le laboratoire pour éviter tout risque de fuite des informations.
• Descodesmalveillantspeuventcorrompre les stations de travail des analystes, ce qui pourrait entraîner une régénération du système et une contamination des preuves.
• Lesapprochesdelasauvegardedesdonnées suspectes varient d’une autorité à l’autre. Les risques de dysfonctionnement des systèmes/supports s’accentuent au fil du temps.
Avantages de la solution
• Simplificationdelanumérisation, du partage et de l’archivage des données pour les experts et les équipes, ce qui peut considérablement améliorer la productivité.
• Standardisationdel’infrastructureinformatique des investigations et établissement d’un processus clair pour l’échange sécurisé d’informations électroniques.
• Concentrationdel’expertiseen matière d’investigation sur l’analyse des données suspectes en offrant une seule interface utilisateur pour une suite d’applications d’investigation.
• Analyseetexamensécurisés,sur site ou à distance, des données suspectes et des preuves.
• Possibilitéd’exécuterdescodesmalveillants dans un environnement cloisonné sans affecter l’intégrité des systèmes.
• ConfigurationsBURA(Back-Up,Recovery and Archiving*) et DR (Disaster Recovery, reprise après sinistre) en option permettant d’établir un processus clair pour sécuriser le rapport de garde, ainsi que pour partager et détruire les informations.
NUMÉRIQUES
* Sauvegarde, restauration et archivage
LA NUMÉRISATION DES DONNÉES PREND DU TEMPSLes forces de l’ordre et les services de sécurité doivent d’abord copier ou « cloner » les disques durs afin d’éviter de « contaminer » la source des données. Ils doivent pour cela surmonter d’importantes difficultés, car des capacités de stockage massives sont nécessaires pour préserver les données copiées à partir des clones.
La copie et le traitement des disques durs saisis, ainsi que des systèmes sur lesquels ils fonctionnaient, peuvent prendre plusieurs heures, voire plusieurs jours. Ces opérations exigent de nombreuses précautions et un souci du détail.
Pour préserver le rapport (ou la continuité) de garde, il convient de respecter plusieurs consignes strictes. La documentation doit mentionner les conditions dans lesquelles les preuves ont été collectées.
L’identité de toutes les personnes amenées à manipuler les preuves doit être relevée. La durée du séquestre des preuves, les conditions de sécurité durant la manipulation ou le stockage des preuves, et le mode de transfert des preuves vers d’autres dépositaires doivent être consignés... tout cela prend du temps.
PROBLÈMES ACTUELS DE L’INGESTION ET DE L’ANALYSEUne fois clonées, les données sont numérisées, ou « ingérées », par des experts de l’investigation numérique sur un ou plusieurs PC hautes performances ou stations de travail. Là encore, ces opérations peuvent prendre un temps considérable, en fonction de la quantité de données ingérées avant l’indexation, le triage et l’analyse.
Compte tenu de l’important volume de données à analyser et des risques de perte de données, les experts doivent se trouver dans le laboratoire pour mener à bien leurs analyses. En outre, des lois locales peuvent interdire les recherches à distance sur les disques durssaisisàdesfinsd’analysepardesunitéscriminelleshigh-tech.
Il est donc peu surprenant que le traitement des disques durs saisis accuse un immense retard (de 18 à 24 mois en moyenne).
Dans le meilleur des cas, les données peuvent être partagées via des serveurs de fichiers, mais l’analyse doit toujours être réalisée dans le laboratoire et requiert des capacités réseau de pointe pour transférer les données vers l’amont et l’aval entre les serveurs centralisés et les PC des analystes. Bien souvent, le partage de données est impossible entre des analystes travaillant sur un même site, et a fortiori s’ils travaillent sur des sites distants. Le partage en temps réel entre des sites, voire à travers des frontières, entre des services relevant de plusieurs administrations est donc irréalisable.
Par conséquent, la seule solution actuellement disponible pour les analyses approfondies consiste à se rendre dans le laboratoire. En outre, un code malveillant contenu dans une image clonée pourrait endommager la station de travail de l’expert de l’investigation, ce qui se traduirait par une régénération du système avec reprise depuis le début du processus d’ingestion ou, si ce code n’était pas détecté, par la compromission du rapport de garde.
PRÉSENTATION DE LA SOLUTION D’INVESTIGATION NUMÉRIQUE
Étape 1 (ingestion) : Comme dans les pratiques existantes,
les données suspectes sont clonées. Toutefois, au lieu d’être numérisées sur une seule station de travail, les données sont ingérées par un référentiel de preuves central. L’ingestion immédiate des données par le datacenter minimise les transferts de données d’un système à l’autre, ce qui permet non seulement d’augmenter la disponibilité des données pour les analystes, mais également d’améliorer considérablement la productivité et l’efficacité.
Étape 2 (stockage) : Le stockage direct des données suspectes dans le datacenter permet aux analystes de se concentrer sur l’analyse au lieu d’avoir à se demander s’ils disposent de suffisamment d’espace disque libre sur leur PC pour stocker et indexer les données. Cela signifie également qu’ils ne sont pas ralentis par la sauvegarde d’autres travaux d’investigation sur des supports enregistrables, tels que des DVD.
La centralisation du stockage des données permet également de partager plus efficacement les données et les charges de travail, ainsi que d’écourter le temps nécessaire pour copier des jeux de données extrêmement volumineux d’un système à l’autre, ce qui contribue à améliorer la productivité. Ce processus peut prendre plusieurs heures, même sur les derniers réseaux à haut débit, et monopolise inutilement les ressources PC et réseau.
Étape 3 (analyse) : La centralisation du stockage des données suspectes permet d’indexer et de trier les données dans le datacenter sur des serveurs hautes performances au lieu d’utiliser les PC dédiés des analystes.
Les analystes peuvent concurremment exécuter plusieurs sessions en utilisant des logiciels tels que AccessData® FTK et Guidance® EnCase® sur une seule ou plusieurs stations de travail, ce qui améliore considérablement la productivité. Ainsi, ils peuvent consacrer leur temps à l’analyse des données plutôt qu’à leur administration.
L’exécution de chaque instance d’application dans une session
serveur indépendante protège le reste du système contre les codes malveillants et les virus, contribuant ainsi à préserver l’intégrité du système. Si les analystes ont besoin d’exécuter des applications ou des codes malveillants à des fins de compréhension et d’établissement de preuves, ils peuvent le faire dans des environnements sécurisés et isolés.
Auparavant, l’exécution malencontreuse de codes malveillants pouvait compromettre l’intégrité des preuves potentielles et du rapport de garde, et le temps déjà consacré à l’analyse l’était en pure perte. Suite à ce type de fausse manipulation, il aurait probablement fallu régénérer la station de travail de l’analyste et entièrement recommencer les processus de numérisation et d’analyse.
Étape 4 (présentation) : Une fois que les données ont été traitées et que les éléments potentiellement intéressants ont été identifiés, il est possible d’octroyer un accès sécurisé en temps réel aux preuves légales potentielles à des équipes d’inspection pouvant regrouper jusqu’à 200 agents de police (selon la taille de l’infrastructure d’investigation).
En outre, la nature formalisée de cette infrastructure simplifie l’accès à distance sécurisé à des experts qualifiés. Les équipes d’analyse n’ont donc pas besoin de se trouver sur site pour enquêter sur des infractions de grande envergure et il n’est pas nécessaire de prendre le risque de graver les preuves sur CD.
Étape 5 (archivage et recherche) : Le projet de solution d’investigation numérique de Dell™ peut fournir un environnement modulaire et évolutif pouvant être étendu et mis à niveau pour suivre la demande croissante de traitement et l’augmentation exponentielle des besoins de stockage.
L’intégration d’une infrastructure formalisée de sauvegarde, de restauration et d’archivage (BURA) permet d’optimiser la coopération entre les services de sécurité et les forces de l’ordre, même à travers les frontières. De plus, les structures BURA standard contribuent à alléger la charge administrative des analystes, à assurer la cohérence entre les laboratoires, notamment durant les périodes de crise, et à minimiser les risques pour la chaîne de garde numérique, tandis que les preuves potentielles sont actuellement sauvegardées sur des DVD enregistrables et des systèmes de sauvegarde grand public. Cela simplifie considérablement les transferts sécurisés d’informationsentreleslaboratoiresdecriminologiehigh-tech.
En outre, le projet de solution d’investigation numérique de Dell comprend un composant de recherche en option qui permet de corréler les informations entre les jeux de données ingérés. L’analyste peut ainsi rapidement lancer des recherches de type Internet sur l’intégralité du magasin de données légales, aussi bien sur le contenu en ligne actif que sur les données archivées liées à d’anciennes enquêtes.
Fig. 1. Division du processus d’investigation numérique en 5 étapes distinctes.
L’approche de l’investigation numérique adoptée par Dell repose sur un processus en série et applique les principes du cloud computing** en exploitant les capacités du datacenter pour permettre le traitement simultané et en parallèle des preuves numériques.
CYCLE DE VIE DE L’INVESTIGATION DE DELLIngestion : Une fois clonées, les données suspectes sont directement ingérées par un référentiel de preuves central, et non par une station de travail. La solution permet d’ingérer simultanément plusieurs systèmes.
1
2
3
4
5
Confidentialité
Permet d’éviter la divulgation
ou la fuite d’informations.
Intégrité
Permet de préserver le
rapport de garde numérique.
Disponibilité
Optimise la productivité et l’efficacité des investigations.
Option BURA formalisée et recherche de
données suspectes
Exécution sécurisée de codes
malveillantsInteropérabilité
et évolutivité
Collaboration et accès sécurisés sur site ou à distance
Stockage : La copie directe des données vers des systèmes de stockage DellTM EquallogicTM et EMC à haut débit permet un échange de données transparent entre les serveurs et les systèmes de stockage, ce qui améliore la productivité.
Analyse : Un ou plusieurs PC Dell OptiPlexTM peuvent concurremment exécuter plusieurs sessions d’analyse, ce qui contribue à améliorer encore la productivité.
Présentation : La solution permet d’octroyer un accès sécurisé aux données légales à un nombre variable d’équipes d’inspection sur site ou distantes 24 heures sur 24, 7 jours sur 7, 365 jours par an.
Archivage et recherche : Les options BURA* standard permettent de préserver le rapport de garde numérique, ainsi que d’échanger des données et de coopérer en période de crise en toute sécurité.
**”Informatique en nuages” fait référence à l’utilisation de la mémoire et des capacités de calcul des ordinateurs répartis dans le monde entier et liés entre eux par un réseau.
Accès partagé aux preuves
numériques 24 heures sur 24, 7 jours sur 7, 365 jours par an, avec une
disponibilité de 99,99%
L’infrastructure d’investigation est une suite haute disponibilité de services serveur, de stockage et logiciels conçus pour traiter et stocker des données d’investigation numérique, et préserver la sécurité et l’intégrité de ces données tout au long de leur cycle de vie. Les éléments de la solution illustrés dans la Figure 3 ci-dessoussontlessuivants:
• Stockagedespreuves: Plateforme de stockage modulaire commune constituée d’un ensemble de systèmes de stockage hautes performances et haute capacité. Elle permet de traiter
rapidement les données et de les transférer de manière transparente vers des supports de stockage économiques pour la rétention à court (en ligne) et long terme (hors ligne).
• Servicesd’applications: Toutes les applications d’investigation principales sont exécutées dans le datacenter, ce qui permet de réduire le trafic/la latence réseau et d’améliorer les performances. L’analyste d’investigation peut ainsi exécuter plusieurs instances des applications à partir d’une seule station de travail sans affecter les performances.
• Servicesd’intégrité:Suite de logiciels COTS personnalisés qui protègent les applications et les données contenues dans le système contre les codes malveillants. Toutefois, un analyste peut continuer à exécuter les codes/applications suspects dans un environnement sécurisé et isolé.
• Servicesdeconfidentialité: Périmètre de sécurité permettant d’éliminer les fuites de données non autorisées (configurable selon les normes gouvernementales).
• Gestiondescas:Intégration en option avec les logiciels de gestion des enquêtes existants des services de sécurité ou des forces de l’ordre.
• Autresservices:Dell™ peut ajouter d’autres services à l’infrastructure de sa solution, tels que la traduction (texte, audio et vidéo) et la recherche d’entreprise.
RÉSUMÉ
SUITE DE LA PRÉSENTATION DE LA SOLUTION D’INVESTIGATION NUMÉRIQUE
Fig. 2. Capture d’écran de la solution d’investigation numérique de Dell montrant une station de travail à double écran exécutant simultanément plusieurs instances d’AccessData® FTK (versions 1.8 et 2.2) et de Guidance® EnCase®.
Fig. 3. Représentation de la solution d’investigation numérique de Dell montrant l’ingestion, l’analyse, et la sauvegarde, la restauration et l’archivage (BURA) formels.
Disponibilité
Storage
Storage
Storage
SOLUTION D’INVESTIGATION DE DELLTraitement
Disque hautes performances
Stockage des preuves
Archive en ligne
Disque haute capacité
Virtualisation d’application
Services de confidentialité
Archive hors ligne
Bande
Stations d’inspection
Systèmes saisis
Station de travail de l’analyste
Entrée
Sortie
Services d’intégrité
Gestion des cas
Dell™ a été fondé en 1984 par Michael Dell sur un concept simple : la vente directe de systèmes informatiques aux clients nous permettrait de mieux comprendre leurs besoins et de leur fournir les solutions les plus efficaces pour y répondre.
Notre stratégie commerciale flexible combine notre modèle client direct révolutionnaire avec de nouveaux canaux de distribution afin d’étendre notre portée aux administrations, entreprises et individus du monde entier.
Dell coopère avec les forces de l’ordre, les services de sécurité, les intégrateurs de systèmes et les éditeurs de solutions spécialisées pour simplifier les complexités actuellement liées à la manipulation et au traitement des données et informations suspectes.
Dell conçoit, construit et personnalise des produits et services allant de solutions mobiles embarquées jusqu’à des solutions d’investigation numérique d’entreprise évolutives. Nous pouvons fournir aux forces de l’ordre et aux services de sécurité un accès sécurisé, à distance et en temps réel à des informations essentielles et des travaux collaboratifs.
Pour vous aider à prendre des décisions plus judicieuses, à agir en temps opportun et à gagner en agilité, Dell vous propose les produits suivants :
• OrdinateursportablesLatitude™pourletravailmobileetflexible,avecdessolutionsembarquéespour les communications en temps réel.
• StationsdetravailDellPrecision™etserveursPowerEdge™pourlesapplicationsdetraitementintensif telles que les investigations numériques, la simulation et la modélisation de datacenters à haut rendement énergétique et l’infrastructure de commande et de contrôle.
• SolutionsdestockageDell|EMCDellEqualLogic™etPowerVault™offrantunaccèsévolutif,sécurisé et interopérable, et solutions de sauvegarde, de restauration et d’archivage (BURA) pour les informations sensibles et la veille stratégique.
• ServicesmondiauxDelloffrantunensembledeplanspratiquesetexécutablespoursimplifierl’informatique, notamment des services de conseil en infrastructure, des services de déploiement, des services gérés et Dell ProSupport™.
À PROPOS DE DELL™
1.Source:«Policewantnewremoteharddrivesearchpowers»,TheRegister,29avril2009http://www.theregister.co.uk/2009/04/29/remote_hard_drive_forensics/
Dell renonce à tout titre de propriété sur les marques et noms de produits appartenant à des tiers auxquels il serait fait référence. AccessData, AccesData FTK sont des marquesdéposéesparAccessDataCorp.Guidance,GuidanceEnCasesontdesmarquesdéposéesparGuidanceSoftwareInc.EMCestunemarquedéposéeparEMCCorp.DellS.A.Capital:1676939€.8avenuedustadedeFrance,93218SaintDeniscedex-France.N°351528229RCSMontpellier-APE4651Z