Skip to content

Pendant une réponse à incident, vous trouvez un vide suspect dans les journaux d'authentification. Que concluez-vous et que faites-vous ?

Réponse courte

Un vide dans les journaux locaux pendant un incident peut signifier des journaux effacés ou falsifiés, une étape anti-forensique courante, donc ne traitez pas l'absence de journaux comme une absence d'activité. Recoupez avec des journaux centralisés/transférés, l'EDR et les données réseau que l'attaquant n'a probablement pas pu altérer, et consignez le vide d'intégrité comme un constat. Supposer que le serveur était inactif fait confiance à des preuves que l'attaquant contrôle peut-être, traiter le vide comme une preuve que rien ne s'est passé est exactement la conclusion qu'il veut, et supprimer d'autres journaux détruit ce qui reste. Corroborez plutôt avec une télémétrie indépendante.

Un vide net et inexpliqué dans les journaux d'authentification pendant un incident actif est lui-même une preuve — et l'erreur la plus dangereuse est de le lire comme « rien ne s'est passé ». Effacer ou éditer sélectivement des journaux est une technique anti-forensique documentée (MITRE ATT&CK T1070, suppression d'indicateurs). Les attaquants le font précisément pour qu'un répondeur moins expérimenté conclue que la fenêtre était calme.

La bonne conclusion et la bonne action

Traitez le vide comme un possible événement d'intégrité, et non comme un fait sur l'activité. Ensuite :

  • Corroborez avec des sources que l'attaquant n'a probablement pas pu atteindre. Les journaux centralisés/transférés (déjà hors de l'hôte), la télémétrie EDR, les données de flux réseau et les journaux des équipements en amont (pare-feu, VPN, fournisseur d'identité) montrent fréquemment encore ce que les journaux locaux ne montrent plus.
  • Chassez les artefacts de falsification. Sous Linux, les anomalies de rotation du journal, les vides qui coïncident avec l'activité de l'attaquant ailleurs, ou les incohérences d'inode/horodatage peuvent trahir un effacement même quand les entrées ont disparu.
  • Documentez le vide d'intégrité comme un constat explicite, avec la fenêtre temporelle et ce que les preuves corroborantes comblent ou non. C'est essentiel pour la délimitation de portée comme pour l'admissibilité.

Pourquoi les distracteurs échouent

  • « Le serveur était inactif » suppose que le journal manquant reflète fidèlement la réalité — mais l'attaquant contrôle peut-être justement cette source. L'absence de preuve n'est pas une preuve d'absence.
  • « Faire confiance au vide comme preuve que rien ne s'est passé » est la conclusion que l'attaquant orchestre ; c'est le piège, pas la réponse.
  • « Supprimer le reste des journaux pour faire le ménage » détruit les preuves restantes et pourrait constituer une destruction de preuves — catastrophique pour une enquête et toute action en justice.

Ce que l'examinateur cherche à évaluer

Si vous vous méfiez instinctivement des vides commodes, recourez à une télémétrie indépendante et inviolable, et préservez plutôt que détruisez les preuves — le jugement senior qui distingue « les journaux disent que rien ne s'est passé » de « on a fait dire aux journaux que rien ne s'est passé ».

Questions de suivi probables

  • Quels artefacts sous Linux révèlent que les journaux ont été effacés même lorsque les entrées elles-mêmes ont disparu ?
  • Comment le transfert centralisé des journaux change-t-il la capacité d'un attaquant à se cacher, et quelles en sont les limites ?
  • Comment documenteriez-vous un vide d'intégrité de preuve pour qu'il résiste à un examen juridique ?

Sources

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.