|
Résumé de section
-
1. Description et objectifs du cours
Le cours CSEC 450 : Techniques de l’informatique légale propose une immersion approfondie dans les méthodes, outils et procédures utilisés dans l’acquisition, l’analyse et la présentation d’éléments de preuve numériques. Ce cours initie les étudiants à l’ensemble des techniques nécessaires pour mener des investigations numériques conformément aux normes légales et aux exigences de sécurité.
Ce cours offre une immersion approfondie dans le monde complexe et en constante évolution de la criminalistique numérique. Ce cours va au-delà des fondamentaux pour doter les étudiants des compétences de pointe et des outils essentiels nécessaires à la collecte, à l'analyse, à la préservation et à la présentation d'éléments de preuve numériques dans le respect des normes légales et éthiques les plus strictes. Nous explorerons des scénarios d'investigation réels, préparant ainsi les futurs experts à opérer avec rigueur et efficacité dans divers contextes judiciaires et d'incidents de sécurité.
Les thématiques principales abordées sont :
§ L’acquisition et la préservation des preuves numériques.
§ L’imagerie forensique et l’analyse des systèmes de fichiers.
§ La récupération de données supprimées ou dissimulées.
§ L’analyse du registre Windows et de l’historique Internet.
§ La gestion des incidents et l’analyse de la chronologie des événements.
§ La forensique des réseaux sociaux et des appareils mobiles.
§ Réponse à Incident et Chasse aux Menaces (Threat Hunting)
§ La rédaction de rapports d’expertise et les procédures de présentation en justice.
Les étudiants auront accès à une combinaison d’activités comprenant :
§ Des cours théoriques.
§ Des discussions interactives.
§ Des laboratoires pratiques.
§ Des projets de recherche individuels.
Ces activités visent à renforcer les compétences techniques et la capacité des étudiants à analyser des données numériques dans des contextes réels d’investigation.
2. Objectifs généraux du cours
À l’issue de ce cours, les étudiants seront capables de :
§ Maîtriser les principes de la préservation, de l’acquisition et de l’analyse des preuves numériques conformément aux standards légaux.
§ Appliquer efficacement des outils et logiciels de forensique numérique pour créer et analyser des images forensiques exploitables juridiquement.
§ Réaliser des procédures avancées de récupération de données et d’analyse de systèmes de fichiers.
§ Exploiter des données critiques issues du registre Windows, de l’historique Internet et des médias sociaux pour soutenir une enquête numérique.
§ Mener des investigations sur des appareils mobiles et analyser les informations récupérées.
§ Construire des lignes de temps détaillées des événements pour appuyer une analyse forensique.
§ Produire des rapports d’expertise rigoureux et préparer des présentations pour des audiences judiciaires.
§ Identifier les procédures légales liées à l’acquisition et à la présentation des preuves numériques devant les tribunaux.
§ Mettre en œuvre des techniques d’intervention rapide en cas d’incident de sécurité.
3. Concepts technologiques couverts par le cours
§ DIGITAL EVIDENCE DEFINITION & USAGE (Briefly)
§ Authentication and Chain of Custody
§ Courtrom Usage
§ FORENSIC PROCESSES & PROCEDURES
§ Collection & Imaging
§ Examination
§ Analysis
§ Reporting
§ WINDOWS FORENSIC TOOLS & ARTIFACTS
§ Windows Disk Partitioning
§ NTFS
§ Registry Analysis
§ USB Device Artifacts
§ Link Files & Win7 Jumplists
§ Windows Prefetch
§ Restore Points & Volume Shadow Copy
§ Application Metadata
§ Memory Analysis
§ Log Analysis
§ Timelines
§ Incident Response Lifecycle (Briefly)
§ Preparation
§ Identification
§ Containment
§ Eradication
§ Recovery
§ Follow-Up & Lessons Learned
4. Pré-requis
CONDITIONS PRÉALABLES : CSEC 418
-
À la fin du cours, l’étudiant devra démontrer les compétences suivantes :
Résultat 1 :Connaître et appliquer les processus légaux et techniques d’acquisition, de préservation et d’analyse des preuves numériques.
Critères d’évaluation :
§ Identifier avec précision les procédures d’acquisition des preuves conformes aux standards juridiques.
§ Sélectionner et utiliser des outils forensiques adaptés à différents contextes d’enquête.
§ Expliquer les principes d’intégrité et de chaîne de possession des preuves.
Résultat 2 :Créer et analyser des images forensiques fiables et juridiquement admissibles.
Critères d’évaluation :
§ Produire des images forensiques en utilisant des techniques sécurisées et reproductibles.
§ Vérifier l’intégrité des images forensiques via des fonctions de hachage.
§ Démontrer la capacité à analyser des images et à récupérer des données supprimées.
Résultat 3 :Exploiter des sources spécifiques de données numériques pour répondre à une problématique d’investigation.
Critères d’évaluation :
§ Analyser le registre Windows, l’historique Internet et les systèmes de fichiers.
§ Identifier des éléments de preuve dans des environnements mobiles et sur des plateformes de réseaux sociaux.
§ Construire et interpréter des lignes de temps détaillées d’événements numériques.
Résultat 4 :Appliquer une méthodologie rigoureuse d’investigation d’incidents.
Critères d’évaluation :
§ Détailler les étapes d’une intervention forensique en réponse à un incident.
§ Appliquer les procédures d’analyse de systèmes compromis.
§ Respecter les standards d’éthique et de légalité tout au long de l’investigation.
Résultat 5 :Communiquer efficacement les résultats d’une enquête numérique sous forme de rapport professionnel et de présentation orale.
Critères d’évaluation :
§ Rédiger des rapports d’expertise structurés et compréhensibles par des professionnels non techniques.
§ Argumenter les conclusions avec des preuves numériques clairement présentées.
§ Identifier les exigences et les contraintes liées aux procédures judiciaires concernant les preuves numériques.
-
Résultat 1 :Connaître et appliquer les processus légaux et techniques d’acquisition, de préservation et d’analyse des preuves numériques.
Critères d’évaluation :
§ Expliquer avec précision les exigences légales et éthiques relatives à la forensique numérique.
§ Identifier les étapes de la chaîne de possession des preuves.
§ Sélectionner correctement les méthodes et outils appropriés pour l’acquisition des preuves.
Résultat 2 :Créer et analyser des images forensiques fiables et juridiquement admissibles.
Critères d’évaluation :
§ Produire une image forensique complète et intègre à l’aide d’outils spécialisés.
§ Utiliser des fonctions de hachage pour vérifier l’intégrité des données.
§ Réussir la récupération de fichiers supprimés et en extraire des éléments exploitables.
Résultat 3 :Exploiter des sources spécifiques de données numériques pour répondre à une problématique d’investigation.
Critères d’évaluation :
§ Analyser efficacement des systèmes de fichiers et des registres Windows.
§ Identifier des traces numériques pertinentes dans l’historique Internet, les applications mobiles et les réseaux sociaux.
§ Établir une chronologie cohérente des événements à partir des traces numériques collectées.
Résultat 4 :Appliquer une méthodologie rigoureuse d’investigation d’incidents.
Critères d’évaluation :
§ Décrire toutes les étapes de la réponse à un incident numérique.
§ Appliquer une procédure d’analyse structurée sur un système compromis.
§ Respecter les protocoles de préservation des preuves et de documentation des interventions.
Résultat 5 :Communiquer efficacement les résultats d’une enquête numérique sous forme de rapport professionnel et de présentation orale.
Critères d’évaluation :
§ Rédiger un rapport forensique clair, structuré et juridiquement pertinent.
§ Présenter oralement les conclusions avec des preuves numériques bien organisées et compréhensibles.
§ Expliquer les enjeux juridiques liés à la présentation des preuves devant une juridiction.
-
Activité d’apprentissage
Modalité d’évaluation
Pondération (%)
Travaux pratiques (TP) individuels et en groupe
Évaluation pratique en laboratoire avec mise en situation
30%
Quiz et contrôles continus
Évaluations périodiques des connaissances théoriques
20%
Projet d’investigation numérique
Étude de cas pratique et rédaction d’un rapport forensique
25%
Présentation orale des résultats
Soutenance du projet devant le formateur
10%
Examen final
Évaluation écrite couvrant les connaissances globales et les applications pratiques
15%
Total
100%
Résumé des modalités d’évaluation
- Apprentissage par la pratique (TP et projets) : priorité donnée à la manipulation d’outils forensiques et à l’analyse de cas concrets.
- Évaluations formatives régulières (quiz) : pour vérifier la maîtrise progressive des concepts.
- Évaluation sommative (examen final) : pour mesurer la compréhension globale des techniques et procédures.
- Communication orale : pour développer la capacité à présenter les résultats de manière professionnelle et compréhensible.
-
- Présentation du cours, attentes, pré-requis et des objectifs.
- Définitions et concepts clés.
- Historique et importance de la forensic numérique.
- Différences entre la forensic numérique et d'autres disciplines de la sécurité.
- Cadre légal et éthique de la forensique numérique. Normes et meilleures pratiques (ISO 27037, ACPO).
- Discussion : Impact des nouvelles technologies sur la preuve numérique.
-
- Phases détaillées d’une enquête numérique : Planification, Collecte, Examen, Analyse, Rapports.
- Importance de la chaîne de possession des preuves. Rôles et responsabilités du forenseur numérique.
- Concepts de stockage de données : disques durs, SSD, clés USB. Organisation des données : secteurs, clusters, blocs.
- Systèmes de fichiers : FAT, NTFS. Structure et métadonnées.
- Présentation des principaux outils forensiques. (aperçu des catégories d'outils, open source vs commerciaux).
- TP : Démonstration d’un outil forensique.
- TP : Mise en place d'un environnement de laboratoire forensique sécurisé (VMs, outils open source).
-
- Méthodes d’acquisition des données numériques (disques, mémoire vive, réseaux).
- Techniques d’imagerie forensique (physique, logique, distante) et vérification de l'intégrité (hashing).
- Outils d'acquisition : FTK Imager, Guymager, dd. Création de hachages (MD5, SHA-1, SHA-256).
- Préservation de la scène numérique. Documentation et préparation de la saisie.
- TP : Création d’une image forensique et calcul d’empreinte numérique (hashing).
- TP : Acquisition d'une image disque et d'une image mémoire RAM d'un système compromis ; vérification des empreintes numériques.
-
- Analyse approfondie des systèmes de fichiers (FAT, NTFS, EXT).
- Techniques de récupération des données supprimées : principes et outils (Recuva, PhotoRec, foremost).
- Introduction à l'anti-forensique et ses techniques de détection.
- TP : Récupération de fichiers effacés et analyse de partitions.
-
- Analyse du registre Windows, des journaux d'événements et des fichiers temporaires.
- Analyse des journaux sous Linux (bash history, syslog, cron).
- Extraction et analyse des historiques Internet.
- Introduction aux investigations sur les réseaux sociaux.
- TP : Extraction d’informations du registre et des navigateurs.
-
- Évaluation théorique et pratique intermédiaire couvrant les semaines 1 à 5.
- TP : Exercices basiques d'extraction d'informations à partir d'un dump mémoire (processus, connexions réseau).
-
- Techniques d’investigation sur smartphones et tablettes (logique, physique, débogage).
- Extraction des données mobiles et analyse des applications.
- Spécificités de l'investigation sur les appareils IoT.
- TP : Analyse simulée d’un appareil mobile.
- TP : Analyse simulée d'un appareil mobile (smartphone/tablette), extraction d'historiques de communications et de géolocalisation.
-
- Construction d’une chronologie (timeline) d’événements numériques.
- Corrélation des événements et documentation d’incidents.
- TP : Élaboration d’une chronologie d’un incident forensique.
-
- Processus d’intervention rapide et documentation des incidents.
- Techniques d’analyse post-incident.
- TP : Simulation d’une intervention en situation de crise.
- TP : Simulation d'une réponse à incident (identification, confinement, éradication) sur un système compromis ; introduction à un scénario de chasse aux menaces.
-
- Structure d’un rapport d’investigation numérique.
- Normes de présentation devant les tribunaux.
- TP : Début du projet d’investigation et rédaction de rapports.
-
- Soutenance des projets devant la classe et le formateur.
- Évaluation de la clarté, de la rigueur et de la pertinence des méthodologies employées.
|