Forensics : la faute originelle

Dans le cadre d’une perte de données importante pour une entreprise, le 1er réflexe d’une démarche Forensics est de ne pas chercher à redémarrer la station ou le serveur sur lequel le dommage s’est produit. Il faut étudier la possibilité de réaliser, en tout 1er lieu, une copie du ou des disques de la machine.

Lors du démarrage d’un PC, les système Windows, Linux, Mac OS X créent de très nombreux fichiers. Ils consignent de nombreuses informations dans des journaux de logs ou d’événements.  Ces nouvelles écritures iront coloniser et écraser les secteurs où étaient logés les fichiers potentiellement effacés. Si, de surcroît, pensant bien faire, vous installez des logiciels, vos chances de récupérer les données s’étiolent en proportion de la quantité d’octets que vous écrivez sur le disque ! Les disques SSD, par leur technologie, ne permettent pas aussi facilement la récupération de données que les disques 2,5″ et 3,5″ classiques.

Clonage de disque

Si le système est installé sur une machine virtuelle, l’opération est assez simple à réaliser, par une copie de l’image sur laquelle Windows ou Linux s’exécutait. Pour ce qui est d’une machine physique, vous aurez à réaliser un clonage de disque à l’aide d’un système Linux exécutant la commande dd, TestDisk ou le Live CD / USB CloneZilla.

La récupération des données effacées

Il existe de très nombreux logiciels Open Source vous permettant la récupération de partitions et de fichiers effacés. Citons :

Forensics : la faute originelle

Le P2V et les limites de VMware Converter

Dans le cadre du P2V, s’il vous pensez à installer installer VMware Converter sur le système à cloner, sachez que c’est une très, très mauvaise idée.

Sécurité  / Formateur Computer Forensics