La criminalistique numérique dans le contexte militaire — la collecte, la préservation et l'analyse systématiques de preuves numériques après un incident cyber — sert deux objectifs qui ne sont pas toujours alignés : soutenir le rétablissement immédiat des opérations et recueillir des preuves suffisantes pour l'attribution et, potentiellement, des conséquences juridiques ou militaires. C'est une tension opérationnelle fondamentale que les organisations militaires de réponse aux incidents doivent résoudre avant qu'un incident se produise, et non au cœur d'une crise.

La criminalistique commerciale est optimisée pour les preuves juridiques et les poursuites. La criminalistique cyber militaire est principalement optimisée pour comprendre l'attaque et soutenir les décisions opérationnelles — attribution de l'acteur, analyse TTP pour identifier d'autres systèmes potentiellement compromis, rétablissement de la capacité opérationnelle — tout en préservant la liberté d'action pour des conséquences juridiques ou opérationnelles si une telle décision est prise ultérieurement. Dans le contexte français, le CALID (Centre d'Analyse en Lutte Informatique Défensive) et le CERT-FR jouent des rôles complémentaires dans la réponse aux incidents cyber militaires.

Analyse de la mémoire : Volatility et techniques de criminalistique en direct

Volatility est le standard de facto pour l'analyse criminalistique de la mémoire open source. Il analyse des dumps RAM (acquis à partir de systèmes en direct avec des outils tels que winpmem, LiME ou un snapshot VMware) pour récupérer des artefacts criminalistiquement précieux : processus en cours d'exécution et leurs relations parent-enfant, connexions réseau établies, modules noyau chargés, chaînes déchiffrées à partir de charges utiles chiffrées, clés de registre et poignées de fichiers accessibles uniquement en mémoire, pas sur disque.

Pour les systèmes Windows, les plugins Volatility fournissent une analyse détaillée : pslist/pstree pour l'énumération des processus avec les hiérarchies parent-enfant, netscan pour les connexions réseau (y compris les connexions TCP vers l'infrastructure C2), malfind pour détecter l'injection de pages mémoire malveillantes dans des processus légitimes, dlllist pour énumérer les DLL chargées par chaque processus. Pour les systèmes Linux, les plugins linux_bash et linux_netstat offrent des capacités similaires.

La durée de capture de la mémoire est une contrainte opérationnelle critique. Un dump de mémoire d'un système avec 32 Go de RAM prendra un temps significatif selon la vitesse de stockage. Pour les systèmes en direct dans des environnements sensibles au temps, la tactique de "criminalistique en direct" — capturer uniquement les artefacts mémoire critiques plutôt qu'un dump complet — peut être opérationnellement préférable, même si elle est moins complète sur le plan criminalistique.

Préservation des preuves et chaîne de custody

La chaîne de custody — un enregistrement documenté de chaque contact avec une preuve numérique, qui et quand — est nécessaire pour qu'une preuve criminalistique résiste à l'examen dans un contexte juridique ou judiciaire militaire. Pour les enquêteurs militaires d'incidents cyber, cela signifie : documenter quand et comment les preuves ont été acquises (y compris les valeurs de hachage pour la vérification de l'intégrité), enregistrer toutes les analyses effectuées sur les preuves, stocker les preuves originales (disques chiffrés et dumps de mémoire) dans un stockage à accès restreint et immuable, effectuer des analyses uniquement sur des copies vérifiées.

Le hachage SHA-256 de chaque fichier de preuve lors de l'acquisition et avant et après chaque session d'analyse fournit la preuve mathématique que la preuve n'a pas été modifiée. Les outils criminalistiques tels que dd et dcfldd automatisent ce processus. Le stockage des preuves doit inclure à la fois le stockage principal et de sauvegarde avec un journal d'accès.

Criminalistique réseau : Zeek et reconstruction du trafic

Les preuves réseau — enregistrements de trafic, journaux DNS, NetFlow — fournissent une chronologie des événements de l'incident qui peut ne pas être disponible depuis un seul hôte compromis. Zeek (anciennement Bro) est le standard de facto pour l'analyse réseau : il génère des journaux structurés (conn.log, dns.log, http.log, ssl.log, files.log) à partir du trafic brut capturé via la mise en miroir de port configurée ou des dérivations réseau passives. Ces journaux peuvent être examinés rétrospectivement grâce à la capture complète de paquets en mémoire tampon (une fenêtre de 30 à 90 jours de paquets complets est conservée dans un SOC bien équipé).

La reconstruction du trafic à partir de paquets complets offre la plus haute résolution criminalistique : Wireshark et tcpdump peuvent reconstituer le contenu réel des sessions à partir du trafic de paquets capturé, permettant aux enquêteurs de reconstruire le contenu exfiltré, de voir les commandes exactes émises dans les sessions SSH ou de vérifier le contenu de téléchargements suspects. Pour les sessions chiffrées (TLS), la reconstruction du contenu est impossible sans les clés de session ; cependant, les métadonnées (durée de session, volumes de données, certificats de serveur) restent criminalistiquement précieuses.

Cartographie MITRE ATT&CK : structuration des résultats criminalistiques

La cartographie des résultats criminalistiques sur la matrice MITRE ATT&CK — une taxonomie hiérarchique des TTP (Tactics, Techniques, Procedures) des cybermenaces — fournit une méthode structurée pour communiquer le comportement des attaquants observés. Au lieu de détails techniques bruts, la cartographie ATT&CK fournit une description normalisée qui est compréhensible par les analystes de différentes organisations et plateformes d'échange d'information.

ATT&CK Navigator permet aux enquêteurs de visualiser toute la chaîne d'attaque comme une carte de chaleur de la matrice ATT&CK, révélant la signature TTP complète de l'attaque. Pour les organisations militaires, cette signature TTP est le résultat analytique principal de l'enquête criminalistique : elle informe les tâches de threat hunting dans d'autres systèmes potentiellement compromis, les améliorations de détection via l'ajustement des règles SIEM, et l'échange de données d'attribution avec les organisations alliées via des formats d'échange de renseignements standardisés (STIX/TAXII). Dans le contexte DGA/CALID, cela constitue la base de la collaboration dans le cadre des groupes de cyberdéfense alliés.

Enseignement clé : L'erreur criminalistique la plus courante dans les incidents cyber militaires est la restauration des systèmes compromis avant une collecte de preuves suffisante. Sous la pression du rétablissement des opérations, la tendance naturelle est de restaurer à partir des sauvegardes aussi rapidement que possible. Mais l'écrasement des systèmes compromis détruit les preuves qui peuvent identifier la surface d'attaque, le vecteur de compromission initial et la portée complète de la compromission — des informations nécessaires pour empêcher une nouvelle intrusion. Pour les unités CERT militaires françaises, une collecte criminalistique minimale avant restauration — dump de mémoire, image disque, journaux réseau — doit être une procédure obligatoire même dans des contextes opérationnels sensibles au temps.