Analyse forensique
L'analyse forensique (anglais : digital forensics), également appelée investigation numérique, est un domaine scientifique souvent rattaché à divers crimes informatiques, dans lequel on cherche à récupérer et analyser des supports numériques potentiellement suspicieux. L'analyse forensique a de nombreuses applications. La plus commune est de venir supporter ou réfuter une hypothèse avant un passage au tribunal.
On retrouve également l'analyse forensique dans le domaine privé. En cas de cyber-attaque, on peut notamment examiner les intrusions qui ont eu lieu pour mieux se rendre compte de l'impact de l'attaque sur le Système d'information.
Types
Analyse à froid
L'analyse à froid (anglais : dead forensics) est le cas où on prend soin de copier toutes les données à analyser sur un support dédié. Cela permet d'isoler le support potentiellement dangereux pour l'analyse sans impacter le support originel.
Analyse à chaud
L'analyse à chaud (anglais : live forensics) est le cas où le support est directement analysé dans ce cas. Ce type d'analyse est particulièrement adapté si l'on souhaite directement analyser la mémoire vive et les processus actifs d'un appareil que l'on suspecte.
Analyse en temps réel
Ce type d'analyse est une analyse préventive où l'on examine régulièrement un support sensible. On peut notamment surveiller en temps réel le trafic réseau d'un appareil pour analyser, détecter et comprendre une attaque réseau qui arrive subitement.
Détection de manipulations sur des supports numériques
Lorsqu'un acteur malveillant manipule un contenu numérique (e.g. photos, vidéos, sons, etc.) il laisse des traces que l'on peut éventuellement identifier. La manipulation en question peut être réalisée manuellement à l'aide de logiciels de retouches ou bien en utilisant des algorithmes de création de contenu réalistes comme les Deepfake.
La manipulation <<copier-coller>> est par exemple très utilisée dans les réseaux sociaux. Elle est notamment réalisée avec des outils de photomontage de plus en plus efficaces, qui la rend souvent difficile à détecter à l’œil-nu. La zone falsifiée de l’image ne se distingue plus que par ses traces de bruit résiduel liées à l’acquisition, la compression, et aux différents traitements de l’image.
Un analyste forensique peut intervenir dans ce cadre-là et chercher la présence d'Artéfact numérique trahissant la manipulation du support. De la même façon, il peut détecter la présence d'artéfacts manuellement ou automatiquement à l'aide d'un algorithme de détection de falsifications[2]. Plus précisément, pour détecter ce type de falsification, l’analyste forensique va chercher à construire un modèle permettant de détecter automatiquement la présence de bruits possédant une signature différente au sein d’une même image.
Rôle de l'intelligence artificielle
Les récentes avancées en intelligence artificielle apportent une aide significative aux analystes forensiques sans se substituer pour autant à leur travail. Étant donné la capacité d'un réseau de neurones artificiel à analyser efficacement des signaux de type textes, images et sons, il est désormais possible pour l'analyste de présélectionner une petite quantité de contenus jugés suspects parmi un très grand ensemble de données à examiner[3] - [4].
Néanmoins, pour être capable de créer un algorithme pertinent, nous devons disposer d'une base de contenus falsifiés la plus hétérogène possible pour garantir une certaine capacité du modèle à généraliser sur des contenus inconnus.
Notes et références
- « Définition de l'Analyse forensique », sur www.assurcyber.com (consulté le )
- « Démasquer les images détournées, truquées, forgées… », sur Data Analytics Post, (consulté le )
- Yue Wu, Wael AbdAlmageed et Premkumar Natarajan, « ManTra-Net: Manipulation Tracing Network for Detection and Localization of Image Forgeries With Anomalous Features », 2019 IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR),‎ , p. 9535–9544 (DOI 10.1109/CVPR.2019.00977, lire en ligne, consulté le )
- (en) Qingzhong Liu, Andrew H. Sung et Mengyu Qiao, « Detection of Double MP3 Compression », Cognitive Computation, vol. 2, no 4,‎ , p. 291–296 (ISSN 1866-9964, DOI 10.1007/s12559-010-9045-4, lire en ligne, consulté le )