L'importance de la RAM dans l'analyse criminalistique des ordinateurs
Lorsque nous parlons de criminalistique informatique, nous faisons référence à toute collecte d'informations sur une machine, où des informations utiles peuvent être trouvées pour une enquête. Certaines des étapes de collecte impliquées dans une analyse médico-légale consistent à collecter des données à partir de diverses machines sur le réseau, toute information trouvée sur les ordinateurs qui sont importants, collecter des informations à partir des disques durs des machines, et également collecter des informations à partir de la mémoire RAM.
La RAM est une mémoire volatile ou dynamique qui est utilisée pour stocker les données et les instructions nécessaires au processus d'exécution d'un programme. Cette mémoire présente certaines particularités qui la rendent différente de sa contrepartie, la mémoire ROM. La plus notable d'entre elles est précisément sa volatilité. Ce souvenir est éphémère, il est donc stocké pour une courte durée dans l'équipement. Comme il s'agit d'une mémoire volatile, dès que la machine est éteinte, tout ce qui est stocké dans la mémoire RAM disparaît, et ne peut être récupéré d'aucune manière.
La mémoire RAM est la mémoire qui se trouve dans la machine et qui est utilisée pour stocker des variables, des programmes et toutes sortes de données nécessaires à son bon fonctionnement. Au moment où un programme est exécuté, toutes ses données sont stockées dans la mémoire RAM.
Lorsqu'on accède à la mémoire RAM d'un ordinateur, on peut trouver beaucoup plus d'artefacts que dans d'autres endroits, comme le disque dur.
On peut y trouver diverses données qui présentent un intérêt dans le domaine de l'analyse judiciaire des ordinateurs : ports de communication ouverts dans le système, clés de cryptage écrites en mémoire pendant l'exécution des programmes qui les utilisent, etc.
L'importance de cette mémoire dans l'analyse criminalistique des ordinateurs
La RAM est souvent l'un des premiers systèmes où l'on peut trouver des artefacts liés à une cyber-attaque.
Cela se produit pour plusieurs raisons : Il est nécessaire de récupérer des informations sur les événements qui ont eu lieu dans le cadre d'une cyber-attaque particulière, et la RAM contient la plupart des détails sur les processus qui ont été actifs et les processus qui ont accédé à la mémoire.
Il s'agit d'une ressource très rapide en matière d'acquisition, car pour accéder à la mémoire RAM, il faut avoir accès à un ordinateur physique, et il n'y a donc aucun inconvénient à réaliser ce type d'enquête, qui peut être effectuée sur place.
Cependant, il est nécessaire, au moment où l'on sait qu'une cyberattaque a eu lieu, que l'une des dernières choses à faire soit d'éteindre l'équipement concerné, car cela pourrait entraîner la perte de ce type de preuves, puisque, comme nous l'avons mentionné précédemment, la mémoire RAM ne stocke des données que lorsque le système est allumé.
Certains des logiciels malveillants actuels fonctionnent en mémoire vive. Pour les détecter et analyser leur comportement, il est donc important d'analyser une copie de la mémoire volatile de l'ordinateur où l'activité suspecte a été détectée. Mais il faudra d'abord effectuer le processus d'acquisition.
Afin de vider la mémoire (memory dump), il existe plusieurs outils qui nous aideront à y parvenir. Il est toujours conseillé, comme dans tout processus d'acquisition, d'utiliser ceux qui ont été préalablement testés et que le chercheur se sent à l'aise d'utiliser, après avoir vérifié qu'ils fonctionnent correctement.
Une fois acquis, il faut passer à la phase suivante, celle de l'analyse.
Pour l'analyse de cette mémoire, il existe plusieurs possibilités de logiciels différents axés sur ce type de recherche, Volatility étant peut-être l'outil le plus connu.
Volatility est un outil médico-légal open source pour la réponse aux incidents et l'analyse des logiciels malveillants. Il est écrit en Python et est compatible avec Microsoft Windows, Mac OS X et Linux. L'outil contient un certain nombre de commandes qui permettent à l'enquêteur de parcourir les données stockées en mémoire à la recherche d'éventuelles anomalies. Il est possible de collecter des informations sur divers éléments tels que l'analyse des ports ouverts et de la liste des connexions, la recherche dans l'historique des commandes exécutées, l'affichage d'informations sur les périphériques, la visualisation d'informations sur les différents processus, etc.
L'un des éléments clés lors de la réalisation d'un exercice de médecine légale sur un ordinateur ou un réseau d'ordinateurs est l'acquisition et l'analyse correctes de la mémoire RAM, car elle stocke des informations qui peuvent être cruciales dans une enquête et qui ne peuvent pas être acquises par d'autres moyens. Compte tenu de sa sensibilité due au fait qu'il s'agit d'un type de mémoire volatile, il est d'une importance vitale que l'enquêteur ait une connaissance approfondie de ce type de processus pour éviter la perte de ce type de preuve.
Ainoa Guillén González, coordinatrice de l'espace cybersécurité de Sec2Crime