Les Journées francophones de l'investigation numérique ou JFIN 2008 organisée par l'association AFSIN à laquelle Lexfo a adhéré se déroule du 03 au 05 Septembre 2008 à Vandoeuvre Les Nancy.

Lire la suite

Nouvellement nommé expert judiciaire près la Cour d'appel de Paris pour une période probatoire de 2 ans, je commence sérieusement à me préparer à ma première expertise.

Lire la suite

Lexfo vous souhaite une excellente année 2008 !

La présentation faite à l'OSSIR le 8 Octobre 2007 sur le thème "Retour d'expérience de missions de forensics" est désormais en ligne (disponible sur la page Ressources du site).

Cette présentation détaille les différentes problématiques rencontrées lors de missions de forensics et les solutions adoptées. Y est décrit aussi l'outil Forensics Live Tool de Lexfo utilisé dans un contexte réel de détection de compromission.

Lexfo a publié dans MISC 31 un article intitulé "Acquisition de données sur les mobiles". Différentes techniques pour récupérer les données sur un terminal GSM ou une carte SIM (y compris les données effacées) sont détaillées et peuvent être reprises lors d'une expertise judiciaire :

Lire la suite

Lexfo a réalisé aujourd'hui lors d'une réunion d'un groupe de travail sur la sécurité informatique, une présentation sur le sujet la récupération de données. La présentation exposait notamment différents cas de figure comme la récupération sur carte SIM et détaillait les différentes solutions pour protéger les données numériques.

Si vous souhaitez sensibiliser vos utilisateurs, former vos équipes informatiques sur ce thème ou d'autres thèmes en rapport à la sécurité informatique, n'hésitez pas à contacter Lexfo à l'adresse contact@lexfo.fr.

Lexfo a publié un court article dans MISC 30 dans lequel est décrit la procédure pour récupérer les event logs effacés d'un système Windows :

Tout le monde connait les journaux d'évènements (ou event logs) sous Windows. C'est en quelque sorte l'équivalent des fichiers de logs sous Linux. Ces journaux sont visualisables via l'outil Event Viewer et sont au nombre de trois: le journal des applications, de sécurité et du système. Les noms sont assez significatifs pour éviter d'expliquer leurs rôles respectifs.

Via l'application Event Viewer, il est possible d'effacer totalement tous les enregistrements de chaque journal d'évènements. La problématique est alors la suivante: comment récupérer ces enregistrements ? Une telle problématique peut se présenter typiquement dans le cadre d'une analyse forensique lorsqu'une personne a volontairement effacé les évènements dans le but de "cacher" son activité sur le serveur en question.

La procédure expliquée ne s'applique pas à Windows Vista, le format des event logs ayant changé. Ces derniers sont maintenant basés sur une technologie XML.

La technique décrite dans l'article a été utilisée lors d'une analyse forensique chez un client, mais sans une dose de patience et une connaissance des outils adéquats, il aurait été difficile d'aboutir à un résultat concluant.

Ce billet fut court mais intense.