L’ANSSI au CoRIIN 2019 : la Conférence sur la réponse aux incidents et l’investigation numérique


À la veille du Forum international sur la cybersécurité (FIC), le CESYF propose la cinquième édition CoRIIN. Cette conférence entièrement dédiée aux techniques de la réponse aux incidents et de l’investigation numérique rassemblait le 21 janvier 2019 à Lille, les enquêteurs spécialisés, experts judiciaires, chercheurs du monde académique ou industriel, juristes et spécialistes de la réponse aux incidents pour partager et échanger sur les techniques du moment.

Pour être efficace, la lutte contre les menaces numériques implique l’adaptation perpétuelle aux évolutions des pratiques et des technologies auxquelles les organisations sont confrontées. La recherche et le développement, ainsi que le partage de ces travaux, sont donc indispensables, tant sur le plan technique que dans l’approche sociologique ou juridique.

Avec la conférence CoRIIN, le Centre Expert contre la Cybercriminalité Français (CESYF) invite les spécialistes de l’ensemble de ces domaines d’expertise impliqué à se retrouver et à échanger lors d’une journée entièrement consacrée à la réponse aux incidents et l’investigation numérique.

À l’ occasion de plusieurs interventions, l’agence nationale de la sécurité des systèmes d’information (ANSSI) a présenté ses derniers travaux en la matière.

Au programme :

Investigation dans AmCache par Blanche Lagny – 12:20/12:50

L’AmCache est une base de données spécifique à Windows 7, 8 et 10 et leurs équivalents serveurs, qui consigne des métadonnées portant sur l’exécution de binaires et l’installation de programmes sur un système. Méconnue et objet de recherches insuffisantes, cette base constitue un artefact sous-exploité dans le cadre des investigations numériques.

Les travaux présentés lors de la CoRIIN 2019 visent à réhabiliter cet artefact auprès des analystes, en fournissant une documentation de référence détaillée des cas dans lesquels une conclusion peut être tirée.

En savoir plus sur ces travaux

Investigation numérique sur l’annuaire Active Directory avec les métadonnées de réplication par Léonard Savina – 16:45/17:25

La réplication de l’annuaire Active Directory entre les machines contrôleurs de domaine permet d’offrir une haute disponibilité de ce service. Ce mécanisme de réplication génère des métadonnées, qui permettent de retrouver des informations liées à la modification des objets de cet annuaire.
L’ANSSI présentait à la CoRIIN 2019, un outil d’analyse forensique permettant de générer une chronologie partielle des modifications effectuées sur l’annuaire à partir de ces métadonnées.

En savoir plus sur cette présentation

Le programme complet de la conférence : https://www.cecyf.fr/activites/recherche-et-developpement/coriin-2019/