Cloud forensics
Le cloud computing est l’avenir. Ce paradigme offre des avantages économiques importants aux entités commerciales. En raison de cette avancée, il a ses défis et ses menaces qui peuvent mettre en danger l’entité commerciale. Le cloud computing est devenu un nouveau champ de bataille pour la cybercriminalité. Pour enquêter sur ces cas, nous avions besoin de la criminalistique du cloud.
“La criminalistique en nuage est l’application de la criminalistique numérique dans le cloud computing en tant que sous-ensemble de la criminalistique en réseau pour recueillir et conserver des preuves de manière à pouvoir être présentées devant un tribunal.”
Cloud forensic est l’amalgame de toutes les différentes criminalistiques (c’est-à-dire la criminalistique numérique, la criminalistique réseau, la criminalistique matérielle, etc. ). Il implique des interactions entre divers acteurs du cloud (fournisseurs de cloud, consommateurs de cloud, courtiers en cloud, opérateurs de cloud, auditeurs de cloud) pour faciliter les enquêtes internes et externes. Légalement, il s’agit de situations multi-juridictionnelles et multi-locataires.
Étapes de la criminalistique du cloud
· Identification
Identifier l’acte inapproprié ou les activités potentiellement criminelles impliquant des systèmes informatiques. Ces activités peuvent être une plainte déposée par un individu, des anomalies détectées par IDS, la surveillance et le profilage en raison d’une piste d’audit, les événements suspects dans un cloud dépendront de l’adoption du modèle de déploiement (Privé, Public, Communautaire et Hybride), de la forme des services cloud (i.e. SaaS, PaaS et IaaS) utilisés et la région géographique opte pour le déploiement.
· Préservation et collecte
Collecte de données à travers toute la source sans nuire à son intégrité conformément aux normes légales et médico-légales. Conservez toutes les preuves et données sans tempérer leur intégrité pour une enquête plus approfondie. Il est possible que la collecte de données nécessite un volume de stockage extrêmement important.
L’enquêteur doit donc aborder les règles et réglementations concernant les questions de protection des données et de confidentialité et leur impact sur les preuves stockées dans le cloud. Lors de la collecte de données du côté fournisseur de cloud, tenez toujours compte des données de l’autre utilisateur ou de l’organisation. Une image précise des données du service cloud doit être obtenue pour une enquête plus approfondie. Un enquêteur peut tenter de préserver les données résidant dans le cloud en servant un ordre juridique au fournisseur de services cloud.
· Détection
En utilisant plusieurs méthodes et algorithmes (filtrage, correspondance de motifs, etc.), nous pouvons détecter l’activité suspecte ou le code malveillant.
· Analyse
En utilisant certains outils médico-légaux, nous pouvons analyser et enquêter sur les données et la criminalité. L’autorité juridique peut poser la question à l’organisation ou à un individu pour trouver des preuves. Après avoir analysé les données, nous devons partager le témoignage avec les forces de l’ordre et l’organisation des victimes ou un individu.
Défis en criminalistique du cloud: –
· Surveillance de la chaîne externe de dépendances par rapport aux fournisseurs de cloud externes
· Différents fournisseurs ont des approches différentes de l’informatique en nuage.
· Manque de loi / réglementation et de conseils juridiques
· Accès et contrôle réduits des données médico-légales à tous les niveaux du côté client
· Parfois manque d’expertise médico-légale
· Chaque serveur cloud contient des fichiers de nombreux utilisateurs. Il est difficile d’isoler les données d’un utilisateur individuel des autres
· À l’exception des fournisseurs de services cloud, il n’existe généralement aucune preuve établissant un lien entre un fichier de données donné et un suspect particulier
Solution de criminalistique Cloud
· Test d’outils judiciaires
Actuellement, il n’existe aucun outil médico-légal spécifique au cloud à part entière disponible sur le marché. Pourtant, les experts médico-légaux utilisent les outils existants pour acquérir des preuves à partir de l’environnement cloud.
Les experts médico-légaux utilisent les outils ci-dessous pour leur enquête
1. Encase Enterprise – Pour collecter des données à distance à partir de la couche de système d’exploitation invité du cloud. Il est préférable d’analyser les données IaaS mais pas l’instantané des données.
2. Accessdata FTK – Pour collecter des données à distance à partir de la couche de système d’exploitation invité du cloud.
3. FORST – Plate-forme de cloud computing à pile ouverte pour acquérir les journaux de l’Api, le disque virtuel et les journaux du pare-feu invité.
4. Analyseur de cloud UFED – Pour analyser les données et les métadonnées du cloud.
5. Docker Forensics Toolkit & Docker Explorer – Extrait et interprète l’artefact de médecine légale à partir d’images dick du système hôte Docker.
6. Diffy (par Netflix)
Manque de transparence concernant l’infrastructure cloud interne. Les fournisseurs de services cloud ne peuvent pas partager la mise en œuvre interne détaillée de leurs produits car cela peut constituer une menace pour leur système.
· SLA
Les accords de niveau de service doivent inclure des informations procédurales claires et précises sur la manière dont une enquête médico-légale serait traitée par l’enquêteur et par le fournisseur de services cloud en cas d’incident criminel. Il convient également de mentionner les rôles et responsabilités de chaque partie avec l’implication juridique de leurs actions.
· Forensics-as-a-service
Les fournisseurs de services cloud devraient fournir un mécanisme ou des services par lesquels les enquêteurs peuvent mener des enquêtes médico-légales approfondies.
Conclusion, ce sujet vise à partager la sensibilisation à la criminalistique du Cloud.