L'un des objectifs d'une enquête judiciaire est de mieux comprendre un incident en identifiant et en analysant les preuves qui s'y rapportent. Ce module décrit les différentes étapes du processus complet d'investigation informatique légale et souligne le rôle des témoins experts dans la résolution d'une affaire de cybercriminalité. Il souligne également l'importance des rapports d'enquête formels présentés devant un tribunal lors d'un procès.

Les dispositifs de stockage tels que les disques durs (HDD) et les disques durs à semi-conducteurs (SSD) constituent une source importante d'informations au cours d'une enquête criminalistique. L'enquêteur doit localiser et protéger les données recueillies sur les dispositifs de stockage en tant qu'éléments de preuve. Par conséquent, il est nécessaire que l'enquêteur ait des connaissances sur la structure et le comportement des dispositifs de stockage. Le système de fichiers est également important, car le stockage et la distribution des données dans un dispositif dépendent du système de fichiers utilisé. Ce module donne un aperçu des disques durs et des systèmes de fichiers.

L'acquisition de données est la première étape proactive du processus d'investigation forensique. L'acquisition de données forensiques ne consiste pas simplement à copier des fichiers d'un appareil à un autre. Grâce à l'acquisition de données, les enquêteurs cherchent à extraire chaque élément d'information présent dans la mémoire et le stockage du système de la victime, afin de créer une copie légale de ces informations. De plus, cette copie légale doit être créée de manière à ce que l'intégrité des données soit préservée de manière vérifiable et puisse être utilisée comme preuve au tribunal. Ce module aborde les concepts fondamentaux de l'acquisition de données et les différentes étapes de la méthodologie d'acquisition de données.

Après avoir compromis un système, les attaquants tentent souvent de détruire ou de cacher toutes les traces de leurs activités, ce qui rend les enquêtes judiciaires extrêmement difficiles pour les enquêteurs. L'utilisation de diverses techniques par les cybercriminels pour détruire ou cacher les traces de leurs activités illégales et entraver les processus d'investigation forensique est appelée "anti-forensique". Les enquêteurs doivent vaincre l'anti-forensics afin que l'enquête produise des preuves concrètes et précises qui permettent d'identifier et de poursuivre les auteurs. Ce module présente les principes fondamentaux des techniques anti-forensiques et explique en détail comment les enquêteurs peuvent les déjouer à l'aide de divers outils.

La criminalistique Windows fait référence à l'enquête sur les cybercrimes impliquant des machines Windows. Il s'agit de recueillir des preuves à partir d'une machine Windows afin que le ou les auteurs d'un cybercrime puissent être identifiés et poursuivis en justice. Windows est l'un des systèmes d'exploitation les plus utilisés ; la probabilité qu'une machine Windows soit impliquée dans un incident est donc élevée. Les enquêteurs doivent donc avoir une connaissance approfondie des différents composants d'un système d'exploitation Windows, tels que le système de fichiers, les registres, les fichiers système et les journaux d'événements, où ils peuvent trouver des données ayant une valeur probante. Ce module explique comment collecter et examiner des preuves médico-légales liées à des incidents de cybercriminalité sur des machines Windows.

Windows est sans doute la plate-forme la plus utilisée pour les analyses criminalistiques en raison de sa popularité dans les systèmes d'entreprise. Il existe plusieurs outils d'investigation numérique pour les systèmes fonctionnant sous Windows. Cependant, lorsqu'il s'agit de mener des investigations sur des systèmes Linux et Mac, les enquêteurs sont confrontés à un autre type de défi. Si les techniques d'investigation sont les mêmes, les outils utilisés peuvent être différents. Ce module explique comment collecter et examiner des preuves liées à des incidents de cybercriminalité sur des machines basées sur Linux et MacOS.

L'investigation forensique des réseaux fait référence à l'analyse des événements de sécurité du réseau (qui comprennent les attaques de réseau et d'autres événements indésirables qui compromettent la sécurité du réseau) dans deux buts principaux : déterminer les causes des événements de sécurité du réseau afin que des mesures de protection et des contre-mesures appropriées puissent être adoptées, et rassembler des preuves contre les auteurs de l'attaque afin de les présenter devant un tribunal. Ce module aborde les méthodes d'investigation du trafic réseau afin de localiser les paquets suspects et d'identifier les indicateurs de compromission (IoC) à partir de l'analyse de divers fichiers journaux.

Les applications web permettent aux utilisateurs d'accéder à leurs ressources par l'intermédiaire de programmes côté client tels que les navigateurs web. Certaines applications web peuvent contenir des vulnérabilités qui permettent aux cybercriminels de lancer des attaques spécifiques à l'application, telles que l'injection SQL, le cross site scripting, l'inclusion de fichiers locaux (LFI), l'injection de commandes, etc. qui causent des dommages partiels ou complets aux serveurs sous-jacents. En outre, de telles attaques contre les applications web peuvent entraîner des dommages financiers et de réputation considérables pour les organisations. Dans la plupart des cas, les organisations sont incapables de retracer la cause première d'une attaque, ce qui laisse des failles de sécurité que les attaquants peuvent exploiter. C'est là que la criminalistique des applications web prend toute son importance. Ce module aborde la procédure d'investigation des applications web, les différents types d'attaques contre les serveurs et les applications web, et les endroits où rechercher des preuves au cours d'une enquête. En outre, il explique comment détecter et enquêter sur les différents types d'attaques basées sur le web.

Le web se compose de trois couches : le web de surface, le web profond et le web sombre. Alors que le web de surface et le web profond sont utilisés à des fins légitimes, le web sombre est principalement utilisé par les cybercriminels pour perpétrer des activités néfastes/antisociales. L'accessibilité au dark web nécessite l'utilisation du navigateur Tor, qui offre aux utilisateurs un haut niveau d'anonymat grâce à un mécanisme complexe, permettant ainsi aux criminels de dissimuler leur identité. Ce module présente les principes fondamentaux de la criminalistique du dark web, décrit le fonctionnement du navigateur Tor et aborde les étapes à suivre pour mener une enquête criminalistique sur le navigateur Tor.

Au cours des dernières décennies, les services de courrier électronique ont été largement utilisés pour la communication dans le monde entier, pour l'échange de textes et de messages multimédias. Cependant, cela a également fait du courrier électronique un outil puissant pour les cybercriminels afin de diffuser des messages malveillants et de mener des activités illégales. Le présent module a pour but de vous familiariser avec le sujet des délits liés au courrier électronique et la manière dont ils se produisent. Il se concentre principalement sur les étapes qu'un enquêteur doit suivre dans le cadre d'une enquête sur un crime par courrier électronique.

Actuellement, les logiciels malveillants, communément appelés "malware", constituent l'outil le plus efficace pour compromettre la sécurité d'un ordinateur ou de tout autre appareil électronique connecté à l'internet. Ils sont devenus une menace en raison des progrès rapides des technologies telles que les techniques de chiffrement et de dissimulation des données. Les logiciels malveillants sont la principale source de cyber-attaques et de menaces pour la sécurité de l'internet ; les analystes en criminalistique informatique doivent donc avoir l'expertise nécessaire pour y faire face. Ce module aborde en détail les différents types de logiciels malveillants, les principes fondamentaux de la criminalistique des logiciels malveillants et les différents types d'analyse des logiciels malveillants que les enquêteurs peuvent effectuer pour examiner le code malveillant et déterminer comment le logiciel malveillant interagit avec les ressources du système et le réseau pendant la durée d'exécution.