Un ordinateur portable compromis est sur votre bureau, toujours allumé, avec un processus suspect en cours d'exécution. Pour préserver les preuves, que faites-vous ?
Réponse courte
Suivez l'ordre de volatilité. La RAM, les connexions réseau actives et la table des processus disparaissent à l'arrêt ; capturez-les donc en premier, puis prenez une image forensique du disque en documentant les empreintes et une chaîne de possession ininterrompue. Un arrêt propre détruit les preuves résidentes en mémoire — y compris le malware sans fichier et les clés qui n'existent qu'en RAM. Copier-puis-supprimer altère la scène et brise l'intégrité. Lancer l'antivirus de l'entreprise modifie le système et peut mettre en quarantaine ou supprimer l'artefact même que vous devez analyser.
Un hôte compromis et allumé est une scène de crime qui se dégrade. Les preuves les plus précieuses sont les plus fragiles, et le mauvais réflexe — l'éteindre pour le « figer » — efface justement ces preuves. Cette question teste si vous connaissez l'ordre de volatilité (codifié dans la RFC 3227) et savez l'appliquer sous pression.
Pourquoi « le volatil d'abord » est la réponse
Les données qui disparaissent le plus vite doivent être collectées en premier :
- RAM — processus en cours, malware sans fichier injecté, clés de déchiffrement, presse-papiers et identifiants qui n'existent *qu'*en mémoire.
- Connexions réseau actives — sockets C2 actifs, ports en écoute, cache ARP.
- Liste des processus et modules chargés — ce qui s'exécute réellement à l'instant.
Vous capturez cela en premier, puis prenez une image forensique du disque. Tout du long, vous enregistrez des empreintes cryptographiques (pour prouver que l'image n'a pas été altérée) et maintenez une chaîne de possession ininterrompue — qui a manipulé la preuve, quand et pourquoi — pour qu'elle reste recevable.
Pourquoi les autres options détruisent les preuves
- Arrêt propre — cela paraît sûr, mais cela vide la RAM, coupe les connexions actives et peut déclencher des routines anti-forensiques ou d'effacement au prochain démarrage. Les preuves résidentes en mémoire — souvent le cœur d'une intrusion moderne — sont perdues à jamais.
- Copier le fichier sur USB et le supprimer — vous altérez la scène, détruisez les horodatages et le slack du système de fichiers, brisez la chaîne de possession, et n'attrapez peut-être même pas le vrai composant malveillant (il peut n'être qu'en mémoire ou avoir d'autres fichiers en réserve).
- Lancer l'antivirus — l'AV modifie le système : il scanne, écrit des journaux et met en quarantaine ou supprime le processus suspect — détruisant l'artefact même venu analyser et contaminant la preuve.
Ce que le recruteur évalue
Il veut un répondeur qui traite la manipulation des preuves comme méthodique et défendable : collecter le plus volatil d'abord, travailler sur des copies forensiques, tout hasher et documenter la chaîne de possession. Nommer les artefacts résidents en mémoire qu'un arrêt perdrait — et refuser de laisser l'AV modifier la machine — montre que vous savez préserver une preuve qui tient lors d'une investigation ou devant un tribunal.
Questions de suivi probables
- Quels artefacts n'existent qu'en mémoire et seraient perdus à jamais à l'arrêt ?
- Comment préservez-vous et prouvez-vous l'intégrité lors de l'imagerie d'un disque sur un système en fonctionnement ?
- Décrivez-moi la documentation de la chaîne de possession pour la capture mémoire et l'image disque.