Votre profil
Le groupe Deveryware Contact
Hyperscalabilité de l’investigation numérique
ChapsVision acquiert le Groupe Deveryware qui intègre Flandrin Technologies, sa division cyber
Accueil > Actualités & Blog > Technique > Hyperscalabilité de l’investigation numérique

Hyperscalabilité de l’investigation numérique

18 décembre 2020

La pratique de l’investigation numérique évolue au rythme des technologies, et notamment depuis l’arrivée du cloud sur lequel sont stockées de plus en plus de données.
L’investigation numérique dépasse désormais les frontières de nos pays, voire même nos continents, faisant augmenter la diversité et le volume de nos données.

D’autre part, la nature des crimes est devenue bien plus technique : faille de réseau, fuite de données, menaces internes, malwares, ransomwares, propriété intellectuelle, cybersécurité…. 

Cela demande plus d’outils et de compétences techniques pour déterminer qui, quoi, comment et quand.

Les enquêteurs numériques sont devenus, par la force des choses, le partenaire technique des forces de l’ordre.

Tracip vous accompagne dans la mise en place d’un laboratoire centralisé d’investigation numérique, avec l’appui de Nuix.

Vous souhaitez revoir vos process et/ou évaluer la pertinence de la mise en place d’un hyperlab Nuix au sein de votre entité ? Notre équipe est à votre disposition sur contact@tracip.fr.

Les problématiques auxquelles l’hyperscalabilité tente de répondre :

  1. Augmentation importante du volume de données : le nombre de supports à analyser et leur capacité croît de manière importante et continue.
  2. Diversité croissante : multiplication des types de supports, des formats de fichiers qui doivent être interprétés pour en faciliter le traitement.

Ces deux phénomènes génèrent souvent du retard et du stress dans l’enquête, sujet critique pour les enquêteurs faisant face à l’exigence grandissante des tribunaux et du grand public.

Les éléments de l’hyperscalabilité (hyper-évolutivité)

Qu’est-ce que l’hyperscalabilité ?

C’est un environnement informatique distribué dans lequel le volume de données et le traitement de certaines tâches peuvent augmenter de façon exponentielle et peuvent toujours être hébergés rapidement et de façon peu onéreuse.

Triage

Il est donc important de pouvoir traiter et analyser d’importants volumes de données, mais il est encore plus important de pouvoir procéder à du triage, du classement, travailler en équipe et partager le savoir.

Selon le temps imparti, le triage, indispensable en amont de l’enquête, peut être imaginé de la façon suivante :

  1.  Urgent : analyse portant sur les réseaux partagés, réseaux sociaux et webmail
  2.  Peu urgent : les appareils classiques et objets dormants (téléphones inutilisés, vieux ordinateurs)
  3.  Ecarté l’analyse : les appareils ne contenant probablement aucune information pertinente

La même classification peut être appliquée sur les données trouvées pour identifier les informations cruciales :

  1.  Critique : capture de RAM
  2. Urgent : historique de navigation, emails locaux, dossiers de documents

Cela permet de se focaliser sur l’essentiel dès le départ.

Flux de traitement

Comme le disait Abraham Lincoln :  » Que l’on me donne six heures pour couper un arbre, j’en passerai quatre à préparer ma hache. »

Ceci s’applique à l’investigation numérique : se poser les bonnes questions avant de démarrer peut impacter significativement le flux de traitement de l’investigation.

  1.  Que cherche-t-on?
  2.  Quel type de données cherche-t-on et qui a besoin de les voir?
  3.  Quel est le rôle de notre équipe d’investigation?
  4.  Cherche-t-on des liens entre les personnes ou entre les cas?

La plupart des outils forensiques offrent de nombreuses options au démarrage, et notamment le fait de pouvoir trier le type de fichier que l’on souhaite analyser, les données à indexer, les entités à extraire, la récupération et reconstruction de fichiers effacés.

Globalement, cela revient à dicter à l’outil le niveau de précision souhaité dans l’investigation selon le temps imparti. Par exemple, si l’on souhaite déterminer si un mail a été envoyé, à qui, et quand, il est inutile de télécharger tous les fichiers Windows. Le principe est d’utiliser uniquement les fichiers utiles.

Mise à l’échelle

Quel que soit le niveau de tri et le nombre de fichiers mis de côté durant la phase de triage, il restera toujours un volume important de données à analyser.

Avec la plupart des outils forensiques traditionnels, les enquêteurs se retrouvent confrontés à des difficultés de traitement dues au volume et peuvent commettre d’éventuelles erreurs, ce qui demande une surveillance constante du système, empêchant la poursuite d’une autre tâche en parallèle.

Vitesse de traitement

La fiabilité des résultats est essentielle dans une affaire. Si l’enquêteur n’a pas confiance en ses données, il passera beaucoup de temps à les confirmer pour les défendre devant les tribunaux.

La vitesse du logiciel est aussi importante que la capacité à gérer la scalabilité, surtout lorsque les échéances sont courtes.

Lorsqu’un suspect est en garde à vue, le temps de traitement est très limité. Il est important de pouvoir se focaliser sur les éléments clés.

Collaboration

La complexité de certaines enquêtes requiert l’intervention de plusieurs enquêteurs, qui ne se trouvent pas tous au même endroit et qui ont potentiellement des niveaux de qualification hétérogènes.

Une bonne planification permettra un travail efficace. Chaque enquêteur pourra se concentrer sur le type de fichier précis qu’il maitrise et pourra se connecter à l’affaire pour y déposer son rapport depuis une connexion sécurisée. Les résultats seront partagés entre tous les enquêteurs.

Renseignements

Les enquêteurs pourront se connecter à une base de données centrale, et consulter toutes les affaires antérieures.

Mise en place d’un hyperlaboratoire avec Nuix

Depuis toujours, Nuix met en avant le concept de laboratoire d’investigation numérique comprenant un serveur Nuix hyper puissant, offrant des solutions pour :

  1. Ingérer plusieurs To de preuves numériques chaque jour
  2. Appliquer des process parallèles et distribués et un flux de traitement programmé pour automatiser le traitement des données
  3. Fournir un process robuste, répétable et audité pour mettre à disposition de gros volumes de preuves à analyser
  4. Marquer automatiquement les éléments présentant un intérêt potentiel
  5. Utiliser des outils d’analyses pour trouver les preuves critiques

Modules complémentaires pour Nuix

Elastic Search

Les installations Nuix standard utilisent Apache Lucene text indexes et la base de données Apache Derby. Cette solution convient à la plupart des organisations ayant un besoin d’analyse et de revue de données.

Pour les installations hyperscalables, l’utilisation de Elastic Search rend possible le traitement massif de données et de nombreux types de données en permettant:

  1. L’indexation non parallèle et la recherche rapide dans de gros volumes de données en quelques secondes
  2. l’Investigation et le dépôt d’informations centralisées, réunissant les affaires passées et présentes
  3. La collaboration et la capacité à décomposer des silos de renseignements pour amener jusqu’à des centaines d’enquêteurs, d’officiers et d’analystes à travailler ensemble sur une affaire
  4. Partager les informations et les ressources entre plusieurs sites ou bureaux

Collaboration renforcée avec Web Review et Analytics:

Solution en ligne (web-based) qui permet aux enquêteurs ayant un niveau technique limité de visualiser les éléments de l’enquête en amont. L’interface conviviale permet de :

  1. Prendre en charge autant de connexions que nécessaire
  2. Outrepasser les frontières géographiques en optimisant la collaboration (enquêtes multi sites)
  3. Eviter la mise en place de serveurs ou d’infrastructures de bases de données complexes. 

Traitement de la voix avec Nuix Voice

A l’aide de Voci, Nuix Voice convertit les enregistrements et fichiers audio ou video en scripts fidèles et ponctués, exploitables pour l’analyse, la recherche ou tout autre process additionnel.

Une heure suffit à convertir 100 heures de fichiers audio. Ces transcriptions et leurs metadonnées deviennent ainsi disponibles pour l’utilisation de Nuix Investigator Lab, Web Review and Analytics ainsi que pour les autres logiciels Nuix.

Nuix Analytics and Intelligence 

Nuix Analytics and Intelligence est une plateforme intuitive et puissante, qui améliore les capacités disponibles avec Nuix Investigator Lab en facilitant grandement l’extraction et l’interaction des informations provenant d’à peu près toutes les sources de données ou tous les types de fichiers.

Les enquêteurs, même débutants, peuvent facilement identifier les liens entre les personnes, les objets et les événements à travers différentes sources de données et différentes affaires.

Nuix Insight Analytics & Intelligence

Nuix Insight Analytics & Intelligence aide à combiner les données forensiques avec toute autre source de renseignements telles que:

  1. Les fichiers open source et renseignements orientés cybersécurité
  2. Les données de communication et les enregistrements téléphoniques provenant des opérateurs de téléphonie mobile
  3. Les données machine générées par l’activité humaine, telles que les journaux d’accès
  4. Les informations contenues dans les enquêtes précédentes
  5. Toutes autres sources de données du monde réel, telles que les manifestes de vol, les journaux d’expédition des ports, etc
Témoignage de l’autorité de la Concurrence Danoise