Législation numérique
Incident de sécurité informatique dans votre entreprise ? Nous collectons des preuves à l’épreuve des tribunaux et des audits en votre nom.
Conservation des preuves à l’épreuve des tribunaux et des révisions sous la forme d’un rapport informatique médico-légal.
- Aide à la récupération, à l’analyse et à la conservation des données, ainsi qu’à la préparation de celles-ci en tant que preuves numériques à utiliser en justice.
-
Sauvegarde de tous les fichiers nécessaires comme preuves, par exemple pour d’autres mesures médico-légales numériques
-
Récupération de données effacées ou cachées d’appareils numériques, dans la mesure où ces données existent en principe, au moyen de File Carving
-
Collecte de preuves sur la base du principe de Locard pour l’identification d’un suspect et d’un mobile
-
Sécurisation des fichiers en respectant la chaîne de conservation pour l’intégrité des preuves numériques
Procédure
1.
La première étape implique l’identification des objectifs de l’enquête et des ressources nécessaires. Nous identifions d’abord les preuves et le type de données auxquelles nous avons affaire, y compris les appareils sur lesquels les données sont stockées. En tant que spécialistes de la criminalistique numérique, nous travaillons avec tous les types d’appareils de stockage électronique : Disques durs, téléphones portables, PC, tablettes, etc.
2.
Au cours de cette phase, nous nous assurons que les données sont isolées et conservées dans les règles de l’art. Cela se fait selon le principe Never Touch Original, de sorte que les preuves sont sauvegardées et que l’on ne travaille que sur des images. Les appareils originaux sauvegardés ne sont pas touchés jusqu’à la fin de l’enquête.
3.
La phase d’analyse comprend une recherche systématique approfondie de preuves pertinentes. Nous travaillons aussi bien avec des fichiers système qu’avec des fichiers utilisateurs et des objets de données. Sur la base des preuves trouvées, nous commençons maintenant à tirer des conclusions.
4.
Au cours de cette phase, toutes les preuves pertinentes trouvées sont documentées. Une analyse « why-ecause » est mise à disposition, ce qui donne un nouvel élan aux autorités lors de l’enquête.
5.
Au stade final, toutes les preuves et conclusions sont communiquées conformément aux protocoles médico-légaux, qui contiennent les méthodes et procédures d’analyse et leurs explications.
Utilisation polyvalente : que ce soit pour clarifier la question de la culpabilité devant le tribunal, vis-à-vis de vos partenaires commerciaux ou à présenter à votre assureur.
Nous utilisons entre autres les techniques suivantes :
Analyse de la chronologie :
– Énumération des événements système par ordre chronologique afin de faciliter l’identification des activités
Recherche par mots-clés :
– Les modules d’extraction de texte et de recherche d’index nous permettent de trouver des fichiers qui contiennent des termes spécifiques ou qui correspondent à nos modèles d’expressions régulières (RegEx).
Les artefacts de tissage :
– Nous extrayons l’activité web des navigateurs courants afin d’identifier l’activité des utilisateurs.
Analyse de l’enregistrement :
– Les documents et les périphériques USB récemment consultés peuvent ainsi être identifiés
Analyse des fichiers LNK :
– Identification des liens et des documents consultés
Analyse des e-mails :
– Analyse des messages identifiés sur le système
Données EXIF :
– Extrait les informations de localisation et de caméra des fichiers JPEG
Analyse des systèmes de fichiers :
– Prise en charge des systèmes de fichiers courants, y compris NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2
Extraction de chaînes de caractères Unicode :
– Extraction de chaînes de caractères de l’espace mémoire non alloué et de types de fichiers inconnus dans toutes les langues courantes
Détection du type de fichier :
– Sur la base des signatures, nous indexons le système et détectons les extensions qui ne correspondent pas, comme c’est le cas par exemple pour les logiciels malveillants.
Analyse du système Android et iOS :
– Extraire des données, entre autres, des SMS, des journaux d’appels, des contacts, de Tango, etc.
Cas d’utilisation concrets
Analyse de base
En interprétant des chaînes de caractères, en examinant les appels à l’API Windows ou en identifiant les logiciels malveillants empaquetés et en reconnaissant les signatures basées sur l’hôte, nous obtenons un premier aperçu. Ensuite, nous faisons exploser le malware dans un environnement contrôlé afin de collecter les signatures réseau et d’identifier les domaines malveillants et les charges utiles de deuxième niveau.
Analyse des logiciels malveillants en langage d’assemblage x86
Grâce à l’assemblage x86, nous pouvons désormais effectuer des analyses avancées. Pour ce faire, nous utilisons des outils tels que Cutter et x32dbg afin d’obtenir des informations importantes sur les logiciels malveillants au niveau le plus bas possible. En contrôlant le processus d’exécution du logiciel malveillant et en traitant ses instructions de bas niveau dans un débogueur, nous disposons désormais de toutes les possibilités d’analyse avancée.
Documents
Les documents malveillants et les logiciels malveillants fournis par les documents sont également analysés par nos experts, y compris les macros malveillantes et les injections de modèles à distance.
Le shellcode intégré peut également être identifié et extrait par nos soins. Identification également pour les techniques de déploiement de logiciels malveillants par script ou masquées.
Autres domaines d’activité :
- Décompilation et rétro-ingénierie d’assemblages C# et rétro-ingénierie du framework .NET ainsi qu’analyse de logiciels malveillants écrits en Go
- Rétro-ingénierie des programmes malveillants cryptés C2-Droppers
- Développer à rebours des applications Android et iOS malveillantes
- Écrire des règles YARA pour aider à la détection d’exemples de logiciels malveillants
Réservez votre rendez-vous
Vos contacts
Vous pouvez toujours nous joindre personnellement. Parce que la fidélité du partenaire est bien plus importante pour nous que le succès à court terme.
Philipp Kalweit
Associé gérant
+49 40 285 301 257
Philipp Kalweit est un consultant expérimenté en sécurité informatique sur les thèmes de la sensibilisation à la sécurité et de l’audit informatique offensif. En tant que directeur de la stratégie et du conseil, il est responsable de la stratégie de l’entreprise et des activités de conseil. Depuis six ans, il conseille et contrôle des clients issus de l’environnement des PME et des grands groupes, notamment des organisations réglementées par la BCE et la BaFin ainsi que des groupes dans le secteur de la vente au détail. Son activité de conseil est centrée sur la sécurité informatique holistique. Pour son travail, il a été honoré en 2019 par DIE ZEIT en tant que « Hamburger du mois » et a été intégré la même année dans la liste Forbes « 30 under 30 DACH ».
Günther Paprocki
Associé gérant
+49 40 285 301 258
Depuis mai 2024, il est Günther Paprocki, ingénieur commercial diplômé, est l’associé gérant de KALWEIT ITS. En tant que directeur des ressources humaines et des opérations, il est responsable des opérations et des ressources humaines. Après avoir travaillé chez Sharp, Philips et Cisco, il apporte un vent de fraîcheur à notre société de conseil. Que ce soit dans le domaine du photovoltaïque, de l’e-mobilité ou du premier réseau de téléphonie mobile en Allemagne, Günther Paprocki a toujours travaillé dans des secteurs d’avenir. Sa mission actuelle : rendre la cybersécurité plus forte en Allemagne.