Aller au contenu

Analyse forensique

Un article de Wikipédia, l'encyclopédie libre.

L'analyse forensique (anglais : digital forensics), également appelée investigation numérique, est un domaine scientifique souvent rattaché à divers crimes informatiques, dans lequel on cherche à récupérer et analyser des supports numériques potentiellement suspicieux. L'analyse forensique a de nombreuses applications. La plus commune est de venir supporter ou réfuter une hypothèse avant un passage au tribunal.

On retrouve également l'analyse forensique dans le domaine privé. En cas de cyber-attaque, on peut notamment examiner les intrusions qui ont eu lieu pour mieux se rendre compte de l'impact de l'attaque sur le Système d'information.

Analyse à froid

[modifier | modifier le code]

L'analyse à froid (anglais : dead forensics) est le cas où on prend soin de copier toutes les données à analyser sur un support dédié. Cela permet d'isoler le support potentiellement dangereux pour l'analyse sans affecter le support originel.

Analyse à chaud

[modifier | modifier le code]

L'analyse à chaud (anglais : live forensics) est le cas où le support est directement analysé dans ce cas. Ce type d'analyse est particulièrement adapté si l'on souhaite directement analyser la mémoire vive et les processus actifs d'un appareil que l'on suspecte.

Analyse en temps réel

[modifier | modifier le code]

Ce type d'analyse est une analyse préventive où l'on examine régulièrement un support sensible. On peut notamment surveiller en temps réel le trafic réseau d'un appareil pour analyser, détecter et comprendre une attaque réseau qui arrive subitement.

Détection de manipulations sur des supports numériques

[modifier | modifier le code]

Lorsqu'un acteur malveillant manipule un contenu numérique (e.g. photos, vidéos, sons, cryptomonnaies, etc.) il laisse des traces et indices que l'on peut éventuellement identifier. La manipulation en question peut être réalisée manuellement à l'aide de logiciels de retouches ou bien en utilisant des algorithmes de création de contenu réalistes comme les Deepfake, ou sous couvert d'un pseudoanonymat dans le cas des cryptomonnaies telles que le Bitcoin basées sur la blockchain.

La manipulation <<copier-coller>> est par exemple très utilisée dans les réseaux sociaux. Elle est notamment réalisée avec des outils de photomontage de plus en plus efficaces, qui la rend souvent difficile à détecter à l'œil-nu. La zone falsifiée de l'image ne se distingue plus que par ses traces de bruit résiduel liées à l'acquisition, la compression, et aux différents traitements de l'image. Les images générées par intelligence artificielle générative présentent aussi généralement certaines caractéristiques intrinsèques.

Un analyste forensique peut intervenir dans ces contextes et détecter des Artéfact numérique trahissant la manipulation du support ou d'un système logiciel, financier, etc. Il peut aussi détecter la présence d'artéfacts manuellement ou automatiquement à l'aide d'un algorithme de détection de falsifications[2]. Pour détecter ce type de falsification, l'analyste forensique va chercher à construire un modèle permettant de détecter automatiquement la présence de bruits ou d'éléments possédant une signature différente au sein d'une même image ou d'un système.

L'un des défis de la criminalistique numérique est la conservation et gestion des preuves numériques de leur détection/acquisition au moment de leur présentation à un tribunal, en permettant grâce à un processus dit Chaîne de Garde (CoC), qu'elles soient entre temps consultées, sans pouvoir être détériorées par les parties prenantes de l'enquête, afin de rester recevables devant un tribunal. En 2021, des chercheurs ont proposé d'utiliser une Chaîne de Garde dématérialisée et basée sur la Blockchain (B-CoC)[3],[4].

Rôle de l'intelligence artificielle

[modifier | modifier le code]

Les récentes avancées en intelligence artificielle apportent une aide significative aux analystes forensiques sans se substituer pour autant à leur travail. Étant donné la capacité d'un réseau de neurones artificiel à analyser efficacement des signaux de type textes, images et sons, il est désormais possible pour l'analyste de détecter certains fichiers contrefaits[5],[6].

Néanmoins, pour être capable de créer un algorithme pertinent, nous devons disposer d'une base de contenus falsifiés la plus hétérogène possible pour garantir une certaine capacité du modèle à généraliser sur des contenus inconnus.

Notes et références

[modifier | modifier le code]
  1. « Définition de l'Analyse forensique », sur www.assurcyber.com (consulté le )
  2. « Démasquer les images détournées, truquées, forgées… », sur Data Analytics Post, (consulté le )
  3. (en) Gulshan Kumar, Rahul Saha, Chhagan Lal et Mauro Conti, « Internet-of-Forensic (IoF): A blockchain based digital forensics framework for IoT applications », Future Generation Computer Systems, vol. 120,‎ , p. 13–25 (DOI 10.1016/j.future.2021.02.016, lire en ligne, consulté le ).
  4. (en) Randa Kamal, Ezz El-Din Hemdan et Nawal El-Fishway, « A review study on blockchain-based IoT security and forensics », Multimedia Tools and Applications, vol. 80, no 30,‎ , p. 36183–36214 (ISSN 1380-7501 et 1573-7721, DOI 10.1007/s11042-021-11350-9, lire en ligne, consulté le ).
  5. Yue Wu, Wael AbdAlmageed et Premkumar Natarajan, « ManTra-Net: Manipulation Tracing Network for Detection and Localization of Image Forgeries With Anomalous Features », 2019 IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR),‎ , p. 9535–9544 (DOI 10.1109/CVPR.2019.00977, lire en ligne, consulté le )
  6. (en) Qingzhong Liu, Andrew H. Sung et Mengyu Qiao, « Detection of Double MP3 Compression », Cognitive Computation, vol. 2, no 4,‎ , p. 291–296 (ISSN 1866-9964, DOI 10.1007/s12559-010-9045-4, lire en ligne, consulté le )