Portail officiel de la sécurité informatique - ANSSI - République française

Objectif de l’analyse

L’analyse de l’incident proprement dit peut être une tâche difficile, et nous ne la décrirons pas ici en détail. Il est probable qu’à partir de cette étape vous ferez appel à un service d’assistance ou à votre installateur pour réaliser les tâches techniques.

Typiquement plusieurs questions se posent, comme par exemple :

 Quelle est la vulnérabilité qui a permis au pirate de pénétrer illégalement sur la machine (ou plus généralement quelle est la faiblesse qui a rendu possible l’incident) ?

 Qu’a fait l’agresseur une fois entré sur la machine ?

 Comment peut-on remettre la machine en état de fonctionner ?

La question la plus importante est la première, car si aucune réponse n’est trouvée à cette question, le système restera vulnérable une fois remis en service, et pourra être attaqué à nouveau.

Pour vous aider dans votre analyse sur cet aspect, nous vous donnons à la fin de ce chapitre un guide général d’analyse.

Copie de disque

Une autre difficulté de l’analyse, si celle-ci est faite directement sur la machine affectée, est qu’alors les traces éventuellement laissées par l’attaquant peuvent être accidentellement effacées, ou que le travail d’analyse génère lui-même des traces qui se confondent ensuite avec les traces laissées par l’agresseur. L’analogie souvent utilisée pour illustrer ce problème est celle de la cour d’école après la neige : si un élève a traversé une cour enneigée pour faire l’école buissonnière, alors ses traces initiales seront très visibles dans la neige. Par contre, plus il y aura de gens qui traverseront la cour, plus les traces initiales seront difficiles à percevoir… Pour éviter cette difficulté, les règles de l’art précisent qu’il faut :

 faire une copie intégrale (bit à bit) du disque de la machine analysée,

 puis travailler sur la copie plutôt que sur l’original.

Il existe des outils spéciaux pour effectuer une copie "bit à bit" d’un disque.

Une solution plus simple, en particulier pour les incidents graves, consiste tout simplement à mettre de côté le disque dur de la machine qui a été attaquée, et à confier ensuite ce disque à des experts en investigation sur incident.

Si vous ne pouvez pas faire une copie complète des disques, vous devez en tout cas au moins conserver une copie des journaux de connexions à votre système ainsi que tout autre élément qui vous parait pertinent par rapport à l’incident.

Guide pour l’analyse

Pour les incidents les plus simples, les questions suivantes peuvent vous aider et guider votre analyse :

1) Un virus a-t-il infecté l’ordinateur concerné ? Le contrôle antivirus est le premier contrôle généralement effectué sur une machine affectée par un incident de sécurité. Si un virus est trouvé, vous devez considérer que la plateforme était mal protégée et qu’elle a été affectée par une attaque "automatique". La réinstallation complète de la machine et le renforcement de sa sécurité (comme décrit à l’étape 5) sont alors fortement conseillés.

2) La machine est-elle à jour en terme de correctifs de sécurité ? Les éditeurs publient régulièrement des correctifs pour des failles de sécurité découvertes dans le système d’exploitation ou dans les applications de base (comme par exemple les serveurs HTTP). Si ces correctifs ne sont pas appliqués sur vos machines, alors les pirates peuvent utiliser ces failles pour rentrer illégalement sur celles-ci. Si vous êtes en retard de quelques correctifs, vous pouvez examiner ces correctifs pour savoir si les failles correspondantes ont été utilisées. Si vous avez un retard important, vous pouvez en conclure qu’il y a une forte probabilité qu’une des failles de sécurité auxquelles votre système est sensible a été utilisée. Dans ce cas, tout comme le cas 1 (contrôle antivirus), la réinstallation complète de la machine et le renforcement de sa sécurisation (comme décrit à l’étape 5) sont fortement conseillés.

3) Y a-t-il une faille (ou une erreur de programmation) dans les applications développées pour cette plateforme ? Le dernier niveau de contrôle pour évaluer la vulnérabilité d’une plateforme est d’examiner les applications qui ont été développées spécifiquement pour ces systèmes. Il se peut en effet qu’une erreur de programmation dans ces applications ait permis à un pirate de pénétrer illégalement sur le système. Afin d’évaluer cet aspect (et d’y trouver une solution), nous vous conseillons de vous adresser à la société qui a effectué ces développements.