Les techniques 'anti-forensics' sont de plus en plus employées par les pirates

Alors que les polices spécialisées commencent seulement à maîtriser les techniques de recherche des preuves électroniques, les pirates – eux – disposent d'outils de plus en plus simples à utiliser pour effacer leurs traces ou maquiller subtilement leurs infractions.

CIO.COM et Slashdot se font l'écho de l'inquiétude grandissante des enquêteurs envers la simplification et l'automatisation des techniques « Anti-Forensics » - comprenez par là « contre-analyse post-mortem ».

Il y a encore quelques années, peu de personnes possédaient les compétences nécessaires pour rendre invisibles leurs intrusions et activités sur les machines corrompues. aujourd'hui, de plus en plus d'outils facilitent l'effacement des données, la modification des dates et heures d'accès aux fichiers, le nettoyage des fichiers de journalisation, ou le camouflage de fichiers au cœur du système … Maquiller ses méfaits électroniques est désormais à la portée de la plupart des script-kiddies.

Timestomp, l'outil préféré des pirates pour maquiller leurs intrusions

L'outil « Anti-Forensics » qui serait le plus fréquemment retrouvé par les enquêteurs sur les machines corrompues serait TIMESTOMP. Développé par James C. Foster et Vincent Liu, TIMESTOMP permet de modifier tous les timestamps NTFS. Il est ainsi possible de modifier la date d'accès, de modification ou de création de n'importe quel fichier du système… de quoi rendre fous les enquêteurs à la recherche de preuves d'intrusion !

Mots clés : analyse post mortem, recherche de preuves, preuve informatique, traces piratage