Cybercrime et informatique légale : Principes, pratiques et algorithmes modernes

Titre original :

Cyber Crime and Forensic Computing: Modern Principles, Practices, and Algorithms

Contenu du livre :

Ce livre présente une étude complète des différents outils et techniques disponibles pour réaliser des analyses criminelles de réseaux. Il passe également en revue les différents aspects de la criminalistique des réseaux, ainsi que les technologies connexes et leurs limites. Cela aide les praticiens et les chercheurs en sécurité à mieux comprendre le problème, l'espace de solution actuel et le champ de recherche futur afin de détecter et d'enquêter efficacement sur les différentes intrusions dans les réseaux. L'informatique légale gagne rapidement en importance car le nombre de délits impliquant des systèmes numériques ne cesse d'augmenter. En outre, ce domaine est encore sous-développé et pose de nombreux défis techniques et juridiques. Le développement rapide d'Internet au cours de la dernière décennie semble avoir facilité l'augmentation des incidents liés aux attaques en ligne. De nombreuses raisons incitent les attaquants à ne pas craindre de mener leurs attaques. Par exemple, la rapidité avec laquelle une attaque peut être menée, l'anonymat fourni par le média, la nature du média qui permet de voler des informations numériques sans les supprimer, la disponibilité accrue des victimes potentielles et l'impact global des attaques sont quelques-uns des aspects. L'analyse criminalistique s'effectue à deux niveaux différents : La criminalistique informatique et la criminalistique des réseaux.

La criminalistique informatique concerne la collecte et l'analyse de données provenant de systèmes informatiques, de réseaux, de flux de communication et de supports de stockage, de manière à ce qu'elles soient admissibles devant un tribunal. La criminalistique des réseaux concerne la capture, l'enregistrement ou l'analyse d'événements de réseau afin de découvrir des informations probantes sur la source d'attaques de sécurité dans un tribunal. La criminalistique des réseaux n'est pas un autre terme pour désigner la sécurité des réseaux. Il s'agit d'une phase étendue de la sécurité des réseaux, car les données destinées à l'analyse judiciaire sont collectées à partir de produits de sécurité tels que les pare-feu et les systèmes de détection d'intrusion. Les résultats de cette analyse de données sont utilisés pour enquêter sur les attaques. La criminalistique des réseaux fait généralement référence à la collecte et à l'analyse de données réseau telles que le trafic réseau, les journaux de pare-feu, les journaux de systèmes de détection d'intrusion, etc. D'un point de vue technique, elle fait partie du domaine déjà existant et en pleine expansion de la criminalistique numérique.

De même, la criminalistique des réseaux est définie comme "l'utilisation de techniques scientifiquement éprouvées pour collecter, fusionner, identifier, examiner, corréler, analyser et documenter des preuves numériques provenant de sources numériques multiples, activement traitées et transmises, dans le but de découvrir des faits liés à l'intention planifiée ou au succès mesuré d'activités non autorisées visant à perturber, corrompre ou compromettre des composants du système, ainsi que de fournir des informations pour aider à réagir à ces activités ou à s'en remettre". La criminalistique des réseaux joue un rôle important dans la sécurité des organisations d'aujourd'hui. D'une part, elle permet de connaître les détails des attaques externes, ce qui garantit que des attaques similaires seront déjouées à l'avenir. D'autre part, la criminalistique des réseaux est essentielle pour enquêter sur les abus commis par des initiés, qui constituent le deuxième type d'attaque le plus coûteux au sein des organisations. Enfin, les forces de l'ordre ont besoin de la criminalistique des réseaux pour les crimes dans lesquels un ordinateur ou un système numérique est soit la cible d'un crime, soit utilisé comme outil pour commettre un crime. La sécurité des réseaux protège le système contre les attaques, tandis que la criminalistique des réseaux se concentre sur l'enregistrement des preuves de l'attaque. Les produits de sécurité des réseaux sont généralisés et recherchent d'éventuels comportements nuisibles. Cette surveillance est un processus continu qui s'effectue tout au long de la journée.

Cependant, la criminalistique des réseaux implique une enquête post mortem sur l'attaque et est initiée après la notification du crime. Il existe de nombreux outils qui permettent de capturer les données transférées sur les réseaux afin d'enquêter sur une attaque ou sur les intentions malveillantes des intrusions. De même, divers cadres d'analyse criminelle des réseaux sont proposés dans la littérature.