
Législation numérique
Incident de sécurité informatique dans votre entreprise ? Nous collectons des preuves à l’épreuve des tribunaux et des audits en votre nom.
Conservation des preuves à l’épreuve des tribunaux et des révisions sous la forme d’un rapport informatique médico-légal.
- Aide à la récupération, à l’analyse et à la conservation des données, ainsi qu’à la préparation de celles-ci en tant que preuves numériques à utiliser en justice.
-
Sauvegarde de tous les fichiers nécessaires comme preuves, par exemple pour d’autres mesures médico-légales numériques
-
Récupération de données effacées ou cachées d’appareils numériques, dans la mesure où ces données existent en principe, au moyen de File Carving
-
Collecte de preuves sur la base du principe de Locard pour l’identification d’un suspect et d’un mobile
-
Sécurisation des fichiers en respectant la chaîne de conservation pour l’intégrité des preuves numériques

Procédure
1.
La première étape implique l’identification des objectifs de l’enquête et des ressources nécessaires. Nous identifions d’abord les preuves et le type de données auxquelles nous avons affaire, y compris les appareils sur lesquels les données sont stockées. En tant que spécialistes de la criminalistique numérique, nous travaillons avec tous les types d’appareils de stockage électronique : Disques durs, téléphones portables, PC, tablettes, etc.
2.
Au cours de cette phase, nous nous assurons que les données sont isolées et conservées dans les règles de l’art. Cela se fait selon le principe Never Touch Original, de sorte que les preuves sont sauvegardées et que l’on ne travaille que sur des images. Les appareils originaux sauvegardés ne sont pas touchés jusqu’à la fin de l’enquête.
3.
La phase d’analyse comprend une recherche systématique approfondie de preuves pertinentes. Nous travaillons aussi bien avec des fichiers système qu’avec des fichiers utilisateurs et des objets de données. Sur la base des preuves trouvées, nous commençons maintenant à tirer des conclusions.
4.
Au cours de cette phase, toutes les preuves pertinentes trouvées sont documentées. Une analyse « why-ecause » est mise à disposition, ce qui donne un nouvel élan aux autorités lors de l’enquête.
5.
Au stade final, toutes les preuves et conclusions sont communiquées conformément aux protocoles médico-légaux, qui contiennent les méthodes et procédures d’analyse et leurs explications.
Utilisation polyvalente : que ce soit pour clarifier la question de la culpabilité devant le tribunal, vis-à-vis de vos partenaires commerciaux ou à présenter à votre assureur.
Nous utilisons entre autres les techniques suivantes :
Analyse de la chronologie :
– Énumération des événements système par ordre chronologique afin de faciliter l’identification des activités
Recherche par mots-clés :
– Les modules d’extraction de texte et de recherche d’index nous permettent de trouver des fichiers qui contiennent des termes spécifiques ou qui correspondent à nos modèles d’expressions régulières (RegEx).
Les artefacts de tissage :
– Nous extrayons l’activité web des navigateurs courants afin d’identifier l’activité des utilisateurs.
Analyse de l’enregistrement :
– Les documents et les périphériques USB récemment consultés peuvent ainsi être identifiés
Analyse des fichiers LNK :
– Identification des liens et des documents consultés
Analyse des e-mails :
– Analyse des messages identifiés sur le système
Données EXIF :
– Extrait les informations de localisation et de caméra des fichiers JPEG
Analyse des systèmes de fichiers :
– Prise en charge des systèmes de fichiers courants, y compris NTFS, FAT12/FAT16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2
Extraction de chaînes de caractères Unicode :
– Extraction de chaînes de caractères de l’espace mémoire non alloué et de types de fichiers inconnus dans toutes les langues courantes
Détection du type de fichier :
– Sur la base des signatures, nous indexons le système et détectons les extensions qui ne correspondent pas, comme c’est le cas par exemple pour les logiciels malveillants.
Analyse du système Android et iOS :
– Extraire des données, entre autres, des SMS, des journaux d’appels, des contacts, de Tango, etc.
Cas d’utilisation concrets
Analyse de base
En interprétant des chaînes de caractères, en examinant les appels à l’API Windows ou en identifiant les logiciels malveillants empaquetés et en reconnaissant les signatures basées sur l’hôte, nous obtenons un premier aperçu. Ensuite, nous faisons exploser le malware dans un environnement contrôlé afin de collecter les signatures réseau et d’identifier les domaines malveillants et les charges utiles de deuxième niveau.


Analyse des logiciels malveillants en langage d’assemblage x86
Grâce à l’assemblage x86, nous pouvons désormais effectuer des analyses avancées. Pour ce faire, nous utilisons des outils tels que Cutter et x32dbg afin d’obtenir des informations importantes sur les logiciels malveillants au niveau le plus bas possible. En contrôlant le processus d’exécution du logiciel malveillant et en traitant ses instructions de bas niveau dans un débogueur, nous disposons désormais de toutes les possibilités d’analyse avancée.
Documents
Les documents malveillants et les logiciels malveillants fournis par les documents sont également analysés par nos experts, y compris les macros malveillantes et les injections de modèles à distance.
Le shellcode intégré peut également être identifié et extrait par nos soins. Identification également pour les techniques de déploiement de logiciels malveillants par script ou masquées.

Autres domaines d’activité :
- Décompilation et rétro-ingénierie d’assemblages C# et rétro-ingénierie du framework .NET ainsi qu’analyse de logiciels malveillants écrits en Go
- Rétro-ingénierie des programmes malveillants cryptés C2-Droppers
- Développer à rebours des applications Android et iOS malveillantes
- Écrire des règles YARA pour aider à la détection d’exemples de logiciels malveillants
Votre contact
Vous pouvez toujours nous joindre personnellement. Parce que la fidélité du partenaire est bien plus importante pour nous que le succès à court terme.

Philipp Kalweit
Managing Partner
+49 40 285 301 257