Wikipédia

Forensique de l'Internet des objets

Articles connexes : Analyse forensique et Internet des objets.

La forensique de l'internet des objets (IoT) est une branche de la forensique numérique consistant en l'analyse d'éléments présents dans un ou plusieurs appareils numériques. La différence entre la forensique numérique classique et la forensique de l'IoT réside majoritairement dans les sources de preuves.

Le développement de cette branche de la forensique numérique rencontre un certain nombre de challenges liés aux spécificités de l'IoT, et soulève des questionnements sur les limites de cette pratique concernant à la fois le domaine juridique et celui de la vie privée.

Description modifier

Parallèle avec la forensique numérique classique modifier

Pour des raisons techniques, il est temporairement impossible d'afficher le graphique qui aurait dû être présenté ici.

Total du nombre d’incidents détectés de 2009 à 2014 en millions (chiffres 2015)[1]

La criminalité informatique s'est étendue à l'IoT alors même que celui-ci se développait. La criminalité IoT représente toute activité malveillante impliquant le paradigme IoT, en ce sens que les dispositifs, services ou canaux de communication IoT peuvent être un sujet, un objet ou un outil liés aux crimes[2]. En dépit des nombreuses mesures de sécurité en place, les cyberattaques liées à l'IoT continuent d'augmenter[3]. Selon une étude datant de 2015 de HP, 84% des utilisateurs de l'IoT ont déjà subi une violation de leur sécurité[4].

Il existe un grand nombre de périphériques IoT mais peu d'identifiants par défaut (ex: admin/admin, user/password, root/toor), ce qui permet d'ailleurs à des malwares d'exploiter cette faille (en)[5]. Par ailleurs, les utilisateurs laissent parfois les identifiants par défaut[6]. De plus, les communications entre les périphériques et le routeur local ne sont pas tout le temps chiffrées[7]. La possibilité d'accéder à ceux-ci via des applications mobiles n'augmente en rien leur sécurité. Parmi les appareils les plus populaires analysés, on retrouve des téléviseurs intelligents, des webcams, des serrures de porte connectées et des télécommandes de garage et de concentrateurs permettant de contrôler plusieurs appareils[8]. Tous ces appareils présentent, s'ils sont utilisés par un tiers, un réel danger pour l'utilisateur.

La forensique de l'IoT présente plusieurs avantages par rapport à la forensique classique, découlant chacun de la différence majeure entre elles : les sources. Celles-ci différent par leur nature, par leur nombre, par le format des preuves et par les protocoles utilisés[9]. Classiquement, les preuves pourraient être des ordinateurs, des appareils mobiles, des serveurs, etc. Pour la forensique de l'IoT, les preuves peuvent être extraites des appareils ménagers, des voitures, des lecteurs RFID, nœud-capteurs, implants médicaux chez l'homme ou l'animal, etc[10].

Comparaison entre les sources de la forensique classique et l'IoT d'après Alabdulsalam et al.[10]
Classique IoT
Nature Ordinateurs, Téléphones portables, Réseaux sociaux, Cloud, Serveurs Proxy Electroménager connecté, Voitures, Réseaux de capteurs, Implants médicaux (homme ou animal)
Nombre 10.8 milliards de périphériques connectés (11.9 prévus en 2022) (chiffres 2018)[11] 7.0 milliards de périphériques connectés (13.5 prévus en 2022) (chiffres 2018)[11]
Format Documents numériques, Formats fichiers standards (JPEG, MP3, PDF) Tous les formats possibles
Protocoles Ethernet, 802.11 (a,b,g,n), Bluetooth, IPv4/IPv6 RFID, Rime[12]

Afin de pointer les différences entre forensique numérique classique et forensique de l'IoT, celui-ci est divisé en domaines tels que les services de Cloud Computing, les appareils mobiles, l'informatique fixe, les capteurs RFID ou l'Intelligence Artificielle (IA)[13]. Ainsi, ces différences ont pu être mises en évidence en fonction des domaines ciblés. Par conséquent, un modèle composé de trois zones a vu le jour[14]. Ces zones aident les enquêteurs à choisir leur point de départ pour travailler. La zone 1 est composée du réseau interne, c'est-à-dire tout le matériel et le logiciel directement lié au lieu de l'enquête (ex : périphériques Bluetooth ou Wi-Fi). La zone 2 comprend tous les périphériques et logiciels autour du réseau, ceux qui font la liaison entre réseau interne et externe. On retrouve par exemple les IPS/IDS et les pare-feux. La zone 3 contient tout ce qui se trouve en dehors du réseau interne, comme les données des FAI, celles des opérateurs de réseau mobile, etc. Cette conceptualisation de zone aide les praticiens à élaborer un plan d'enquête organisé[15].

La forensique de l'IoT en pratique modifier

La forensique numérique sert à comprendre et à reconstruire la séquence d'événements qui ont dû se produire lors de la génération desdits éléments. Cette investigation est commune à la forensique numérique classique et à celle de l'IoT. Elle concerne l'acquisition, l'examen, l'analyse et la présentation de ces éléments et de la séquence d'événements reconstruite comme preuve devant un tribunal[16],[17]. C'est McKemmish en 1999 qui décrit ce modèle à quatre étapes repris par la suite dans de nombreux articles[18],[19],[20],[21]. Ces quatre étapes sont décrites ainsi :

1 - Identification
Cette étape consiste à identifier les sources potentielles de preuves, acquises de manière légale avec l’approbation de l’autorité appropriée[19]. Savoir quelle preuve est présente et où et comment elle est stockée est essentiel pour déterminer quels processus doivent être utilisés pour faciliter sa récupération ;
2 - Préservation
La conservation des données est cruciale compte tenu de la probabilité d'un examen judiciaire par un tribunal[20]. Il est impératif que tout examen des données stockées soit effectué de la manière la moins intrusive possible. Certaines modifications sont inévitables, mais il est primordial de les minimiser. Lorsqu'on opère un changement, il doit pouvoir être expliqué. Cela s'applique non seulement aux modifications des données elles-mêmes, mais aussi aux modifications physiques des dispositifs électroniques[18] ;
3 - Analyse
Cette étape correspond à l'extraction, au traitement et à l'interprétation des données. Une fois extraite, la preuve numérique (en) peut ne pas être assez significative en elle-même. Elle nécessite généralement un traitement avant qu'elle puisse être comprise et prise en compte par un jury[21] ;
4 - Présentation
La présentation est la dernière étape pour valider la donnée en tant que preuve devant un tribunal. Cela inclut la manière de présenter, mais aussi l'expertise et les qualifications du présentateur ainsi que la crédibilité des processus employés pour produire la preuve présentée[18].

Le volume d'affaires judiciaires concernant la criminalité numérique grandit également. Depuis 2010, l'institut médico-légal néerlandais (en) a mis en place une solution DFaaS[a] (nom inspiré par la solution Software as a service) basée sur XIRAF[b] afin de lutter contre le volume d'affaires en attente de traitement[22],[23]. Cette solution prend en charge une grande partie des questions de stockage lors d'une enquête, permettant ainsi aux enquêteurs une automatisation du traitement des données plus efficace[24]. Pour garantir l'intégrité judiciaire, comme dans le processus traditionnel, la première tâche consiste à créer des copies légitimes[c] des appareils numériques[25]. La grande différence est que les images sont copiées dans un stockage central et traitées à l'aide d'un ensemble d'outils standards[22]. Ceux-ci vont des outils d'extraction de systèmes de fichiers et des espaces non alloués aux outils d'analyse des logs[d] et de l'historique Internet[26]. Les résultats obtenus via ces outils sont stockés dans une base de données centralisée et peuvent être interrogés et analysés à tout moment au cours de l'enquête.

Début 2012, Hansken[e], le successeur de XIRAF, voit le jour dans le but d'être une version de production qui remplacera son prédécesseur en tant que solution DFaaS. Celui-ci se compose de plusieurs modules qui servent tous un objectif spécifique, communiquant ensemble via une technologie RPC[f],[27].

Oriwoh propose un scénario hypothétique dans lequel un certain M. X a utilisé divers périphériques IoT pour commettre des infractions. Cette illustration aide à souligner les questions que les enquêteurs numériques peuvent se poser dans le cadre d'enquêtes liées à l'IoT.

Illustration d'un scénario hypothétique proposé par Oriwoh[28].
Scénario

M. X travaillait pour « Smart Kids », l'école primaire locale, en tant que technicien informatique. Son réseau personnel (PAN) se compose de son téléphone portable et de sa tablette. Ses appareils personnels ne sont enregistrés chez aucun fournisseur de service de réseau mobile.

« Smart Kids » a mis en place un système dans lequel tous les ordinateurs sont en réseau. Toutes les voies d'entrée et de sortie (portes, portails et fenêtres) sont contrôlées par ordinateur. En outre, l'école dispose d'un système de Cloud central où les étudiants peuvent consulter leurs résultats en ligne. « Smart Kids » a récemment licencié M. X après avoir affirmé qu'il altérait leurs services de sécurité informatique.

Mme Smart est la directrice de « Smart Kids ». Son réseau local (plus précisément son réseau de maison, HAN (en)) est composé de son ordinateur portable, la console de jeux X-box de son fils, son système d'éclairage et de chauffage domestique, sa voiture et son matériel médical intelligent.

L'hôpital local « Healing Hands » a mis en place un système dans lequel tous les appareils électroniques et les systèmes liés au patient ont été mis en réseau. Les armoires de distribution de médicaments intelligentes et les dossiers des patients sont également connectés. Différents niveaux de droits d'accès sont évidemment présents sur les différents périphériques de ce réseau.


Attaque

M. X utilise ses appareils mobiles pour accéder aux dossiers de l'hôpital et de mener les attaques suivantes :

  • Il commence par modifier les prescriptions de Mme Smart, modifiant ainsi les médicaments qu'elle doit récupérer plus tard dans la journée. Il prend le contrôle du compte de messagerie de l'hôpital de son médecin et lui envoie un courrier électronique l'informant que l'ordonnance renouvelée a été réduite en raison de l'amélioration de son état de santé. Son distributeur de médicaments intelligent ne distribuera donc que la dose réduite.
  • Il accède au système de navigation automatique de sa voiture et le configure pour qu'il sélectionne l'itinéraire le plus long vers la destination sélectionnée.
  • En utilisant un exploit de porte dérobée qu'il a installée alors qu'il travaillait chez « Smart Kids », M. X accède aux dossiers scolaires du fils de Mme Smart et baisse ses notes.
  • Il remplit l'espace de stockage de 64 Go de son fils sur sa Xbox avec des fichiers compromettants.
  • En augmentant ses privilèges sur son réseau domestique, il altère le système d'éclairage intelligent installé chez Mme Smart : celui-ci éteint maintenant lorsqu'il détecte un mouvement et allume dans le cas contraire. Mme Smart est inquiète parce que cela signifie que les lumières restent allumées pendant toute la durée de leur absence de la maison.

À la suite de ces attaques, l'école « Smart Kids » demande une enquête sur le problème posé par ses systèmes informatiques. L'hôpital ordonne également une enquête afin de déterminer pourquoi certains dossiers de l'hôpital semblent avoir été falsifiés. Mme Smart s'inquiète de l'augmentation de ses factures. Elle appelle les sociétés qui ont fourni et installé les différents services pour enquêter sur les situations. Elle invite également une société de police scientifique à s'assurer qu'elle n'a pas été piratée.


Investigation

Quelques questions pouvant être posées par les investigateurs dans le cadre de l'enquête fictive liée au précédent scénario.

  1. Questions pour l'hôpital et l'école :
    • Qui a accès à quels enregistrements ?
    • Comment ces enregistrements sont-ils généralement consultés (localement, à distance) ?
    • Quels sont les niveaux d'autorisation et ceux-ci ont-ils été violés dans le passé ? Est-il facile de violer ces règles, c'est-à-dire est-ce que les tests de pénétration effectués ont donné des résultats ?
    • Y a-t-il des registres tenus par l'hôpital et l'école de qui a eu accès à quoi et quand ?
    • Existe-t-il des caméras de sécurité autour de l'école qui pourraient montrer des gens qui traînent avec des ordinateurs portables ou d’autres appareils mobiles pouvant être utilisés pour accéder au réseau de l’école ?
  2. Questions au concepteur du système d'éclairage intelligent :
    • Existe-t-il un recours de la part du concepteur de système d'éclairage intelligent pour résoudre les problèmes auxquels Mme Smart était confrontée ?
    • Le concepteur a-t-il mis en place un système susceptible de faciliter les enquêtes judiciaires ?
  3. Questions au vendeur du système d'éclairage intelligent :
    • Existe-t-il un recours pour les problèmes rencontrés par le client ?
    • A-t-il mis en place un système de réponse aux incidents pour enquêter sur ces problèmes ?
  4. Questions à Mme Smart et son fils :
    • Comment le système d'éclairage est-il contrôlé (localement, à distance) ?
    • A-t-elle une configuration de mot de passe fort ? L'a-t-elle partagé avec quelqu'un d'autre ou réutilisé pour d'autres services ?
    • Dispose-t-elle d’un pare-feu, d’un IDS/IPS ou d’autres services de sécurité périmétrique de ce type ?


Approche possible

Les enquêteurs IoT peuvent choisir de surveiller physiquement et logiquement le réseau de communication HAN de Mme Smart. Il peut toutefois être difficile d'obtenir des preuves si les périphériques de son réseau communiquent à l'aide d'un protocole de communication propriétaire. Dans ce cas, il peut être nécessaire de concevoir des outils spécialisés pour capturer puis analyser ces informations.

Les preuves possibles dans ce scénario sont :

  • Logs d’accès de l’hôpital aux dossiers de Mme Smart, ainsi qu’aux appareils et au compte de son médecin.
  • Logs d’accès de la console de son fils.
  • Logs d’accès de sa voiture et éventuellement de la boîte noire de la voiture.
  • Logs du système d'éclairage intelligent.
  • Logs de tous les périphériques chez elle (ex : pare-feu, IDS[g]/IPS[h], etc).

Grands challenges modifier

Des milliards d’appareils interconnectés attirent les cyber-criminels et offrent ainsi une très grande surface d’attaque. C’est pourquoi il est nécessaire de disposer de moyens pour sécuriser les données de l'IoT, mais également d'être capable de mener des investigations efficaces en cas de crime[29].

Néanmoins, le développement de la forensique de l'IoT se heurte à divers challenges.

Interconnectivité modifier

Dans l'IoT, il est très difficile de savoir exactement d’où proviennent les données qui sont utilisées comme preuves à cause de l’interconnectivité qui existe entre les différents appareils qui le composent. L'énorme quantité de données échangées ralentit grandement le déroulement des étapes de la forensique numérique et peut même induire en erreur les enquêteurs[30]. Il est donc compliqué pour ces enquêteurs de déterminer par qui un crime a été commis. Plus l'environnement dans lequel ce crime a été commis est interconnecté, plus il est difficile d'identifier un coupable[31].

C'est à cause des raisons citées précédemment que le modèle de Harbawi et al. se concentrent sur l’utilisation de preuves numériques (en). Dans ce modèle, la preuve numérique est considérée comme l’élément central de la forensique numérique, et par extension, de celle de l'IoT[30]. Il se base sur l’utilisation de l’algorithme Last-on-Scene (LoS), qui permet de retrouver l’appareil dont est originaire une preuve afin de définir les outils et les techniques les plus à même de mener à bien une enquête[32]. Il propose également aux enquêteurs de mettre en commun leur travail en mettant le résultat de leurs efforts sur une plateforme en ligne[33].

Volume et diversité modifier

Le nombre d'appareils connectés est actuellement très élevé, et ne cesse d'augmenter. Des statistiques réalisées par l'entreprise américaine Gartner et par le site internet de statistiques Statista témoignent de la place de plus en plus importante que prennent les appareils de l'IoT dans notre société[34],[35].

De plus, les machines qui constituent l'IoT sont équipées de protocoles de communication différents selon le constructeur. On peut citer, de manière non exhaustive, le protocole Weave pour les appareils Nest Labs, le protocole Z-Wave, ou encore le protocole ZigBee, conçus notamment pour la domotique. Il n'existe donc pas de protocole standard au sein de l'IoT[36].

Dans ce contexte, un des challenges de la forensique de l’IoT est de pouvoir gérer un énorme parc de machines très différentes les unes des autres. Il n’existe que peu de standardisation dans ce domaine[29]. À l'heure actuelle, les outils et procédures proposés par la forensique numérique ne suffisent pas dans le cadre de l'IoT. De plus, il n'existe aucun framework générique disponible capable de mener à bien une enquête dans ce type d'environnement numérique[37].

Utilisation des données modifier

La localisation des données correspond à la phase d'identification de la forensique numérique. Dans leur article, Bouchaud et al. se concentrent sur l’adaptation de cette phase d'identification à la forensique de l'IoT. En effet, dans le domaine de la forensique de l’IoT, il est d’importance cruciale de pouvoir identifier d’où proviennent les preuves avancées devant une cour[38].

Il est donc nécessaire d’identifier si les données proviennent du Cloud, d’appareils intermédiaires, de téléphones portables, etc. À noter également que certaines données peuvent être acquises depuis différents pays. Cela peut alors faire entrer plusieurs juridictions différentes en ligne de compte, en fonction des pays impliqués[39].

Intégrité des données modifier

Dans la forensique de l'IoT, il est également important de prendre en compte le fait selon lequel les données de l'IoT sont volatiles. Un grand nombre d'appareils de l'IoT utilise des systèmes d'exploitation temps réel, qui ne gèrent pas la persistance des données. De plus, lorsque les données sont transférées via un réseau ad hoc de l'IoT, il ne s'agit que d'un transfert éphémère. On peut également ajouter qu'il n'existe ici encore aucun framework unifié capable de gérer la volatilité des données. Les données de l'IoT peuvent donc facilement être supprimées, ce qui pose problème quand on veut les présenter devant une autorité juridique[36].

De plus, il ne faut pas que ces données soient modifiées. Pour un enquêteur de la forensique de l'IoT, il est important de s'assurer que les données présentées en tant que preuves soient les mêmes que celles qui ont été récupérées durant l'enquête initiale. Il se doit donc de maintenir la chaîne de traçabilité des preuves acquises, c'est-à-dire maintenir la liste des éléments qui prouvent d'où viennent ces preuves. Tout ceci est nécessaire car une affaire juridique se base sur des faits. Il ne faut donc pas que ces faits soient altérés, auquel cas ils perdraient toute crédibilité[40].

Limites modifier

Les méthodologies employées par la forensique de l'IoT ressemblent fortement à celles employées par la forensique numérique classique. Elles consistent en une version hybride de ces dernières, basées sur le schéma classique de préparation, analyse, présentation et stockage des données[13].

Cependant, les éléments extraits par ces différentes méthodes d'investigation peuvent avoir plus ou moins de valeur devant la loi selon la façon dont ces investigations ont été conduites. Ils peuvent également soulever des questionnements au niveau de la vie privée des utilisateurs.

Validité juridique modifier

Les données de l'IoT sont de nature complexe. Selon les constructeurs, les normes peuvent changer du tout au tout. Un des challenges de la forensique de l'IoT est donc de proposer une méthode universelle de traitement de ces données afin d'en extraire des preuves juridiques valides[37].

Les particularités de l'IoT rendent impossible l'utilisation des modèles de la forensique numérique préexistants, tels que le modèle de McKemmish (1999)[41] ou celui de NIST (Kent, Chevalier, Grance, Dang, & Kent, 2006)[42].

Aux États-Unis, par exemple, les données acquises lors d'une enquête classique doivent être associées à une solide chaîne de traçabilité pour être validées par une cour. Mais à l'heure actuelle, cette chaîne de traçabilité est insuffisante dans le domaine de la forensique numérique. En effet, rien ne permet de prouver la qualité des données récoltées, ni que ces dernières soient accessibles uniquement par les personnes autorisées[43]. Pour améliorer la chaîne de traçabilité, il faudrait alors améliorer à la fois la phase de pré-investigation de la forensique de l'IoT, ainsi que la phase d'analyse en temps réel[44].

Pour répondre à cette problématique, Victor R. Kebande et Indrakshi Ray ont quant à eux proposé le prototype d'un modèle générique de traitement des données de l'IoT appelé DFIF-IoT[i]. Leur modèle, proactif et réactif à la fois, est constitué de trois étapes. La première étape, proactive, tente d'anticiper la perpétration d'un crime. La deuxième étape concerne la récupération des données à proprement parler depuis le Cloud, différents réseaux, ou alors directement depuis les objets qui constituent l'IoT. Enfin, la troisième et dernière étape, réactive, présente la marche à suivre une fois qu'un crime a été commis[45]. L'avantage de ce modèle est de proposer une approche holistique et standardisée de la forensique de l'IoT à même de fournir des preuves valables devant la loi.

Pour améliorer la façon dont sont conduites les investigations de la forensique de l’IoT, il doit également être possible, a minima, de savoir qui a perpétré un crime, quelle est la nature de ce crime, quand a-t-il été commis, comment le criminel s’y est pris et, enfin, dans quel but a-t-il été commis. Ceci dans le but de permettre aux appareils de l’IoT de répondre aux exigences de la Common Criteria for Information Technology et donc de renforcer la valeur juridique des preuves obtenues[46].

Vie privée modifier

La plupart des solutions d'investigation informatique ont jusqu'ici négligé la nécessité de protéger la vie privée lors des enquêtes numériques. Les mécanismes et outils traditionnels de la forensique numérique ne requièrent pas la participation volontaire des citoyens[47]. Pourtant, dans des scénarios tels que ceux envisagés par l'IoT, l'acquisition de preuves numériques peut devenir impossible sans l'aide de citoyens. Sans approche coopérative, il est très difficile de comprendre le contexte dans son ensemble. C'est ici qu'intervient le concept de témoin numérique. C'est une solution innovante pour obtenir des preuves numériques (en) dans des scénarios IoT. Cependant, cette solution présente de sérieuses limitations en matière de confidentialité. Il est nécessaire d'établir les principes de confidentialité qui devraient être appliqués à chacune des phases de l'approche du témoin numérique afin de rendre cette solution viable[48].

Afin d'intégrer les propriétés de confidentialité (et conformément à la norme ISO 29100:2011[49]), le modèle PRoFIT[j] a été défini. Il correspond parfaitement au concept de témoin numérique[50]. Celui-ci définit six phases : préparation (planification et configuration de l’environnement), collecte basée sur le contexte, analyse des données et corrélation, partage de l’information, présentation et examen. Nieto et al. le définissent comme suit[51].

1 - Préparation
à ce stade, l’enquêteur élabore le plan traditionnel en prenant soin de préparer l’environnement selon le modèle PRoFIT. Cela comprend la configuration des périphériques et de la plate-forme IoT. Cette préparation peut consister à installer un logiciel pour aider et conseiller l'utilisateur sur les informations contenues dans l'appareil par exemple. Certaines enquêtes peuvent nécessiter des autorisations judiciaires supplémentaires ;
2 - Collecte
cette phase concerne la collecte de données à partir des appareils impliqués dans l'affaire en respectant le principe de traçabilité ;
3 - Analyse
cette phase est consacrée à l'analyse des données collectées précédemment. De plus, de nouvelles données non traitées peuvent être acquises durant cette phase. Il est donc nécessaire d'avoir des outils capables d'extraire de l'information de données traitées et non traitées ;
4 - Partage de l'information
cela correspond à la phase où les différentes organisations autorisées vont partager et échanger des données relatives à l'enquête ;
5 - Présentation
l'objectif de cette phase est de présenter les résultats de l'enquête aux autorités compétentes (comme un tribunal) ;
6 - Examen
cette dernière phase est destinée à évaluer et à améliorer le processus d’enquête ainsi que le processus de restitution des preuves collectées.

Notes et références modifier

Notes modifier

  1. Digital Forensics as a Service, en français 'Forensique en tant que service'.
  2. XML Information Retrieval Approach to digital Forensics, en français 'Approche de la récupération d'informations XML en forensique numérique'.
  3. Une copie "légitime" représente toute information numérique pouvant être utilisée comme preuve dans une affaire de type judiciaire.
  4. Logs, en français 'Historique des événements'.
  5. En référence à Hansken (en), un éléphant célèbre du XVIIe siècle. Le logo de Hansken est aussi un éléphant.
  6. Remote Procedure Call, en français 'Appel de procédure distante'.
  7. Intrusion Detection System, en français 'Système de détection d'intrusion'.
  8. Intrusion Prevention System, en français 'Système de prévention d'intrusion'.
  9. Digital Forensic Investigation Framework for Internet of Things, en français 'Système d'investigation de la Forensique Numérique pour l'Internet des Objets'.
  10. Privacy-aware IoT-Forensic Model, en français 'Modèle de la forensique de l'IoT respectueux de la vie privée'.

Références modifier

  1. Atlas Magazine 2015
  2. Hossain 2015, p. 26
  3. Symantec 2018
  4. HP 2015, p. 5
  5. Kolias 2017, p. 81
  6. Patton 2014, p. 233
  7. HP 2015, p. 6
  8. Zia 2017, p. 2
  9. Oriwoh 2013, p. 611
  10. a et b Alabdulsalam 2018, p. 3
  11. a et b IoT Analytics 2018
  12. Dunkels 2007
  13. a et b Oriwoh 2013, p. 608
  14. Meffert 2017, p. 2
  15. Oriwoh 2013, p. 613
  16. Raghavan 2013, p. 91
  17. Köhn 2012, p. 22
  18. a b et c McKemmish 1999, p. 1
  19. a et b Yusoff 2011, p. 18
  20. a et b Tanner 2009, p. 295
  21. a et b Perumal 2009, p. 42
  22. a et b van Baar 2014, p. 58
  23. Alink 2006, p. 51
  24. Lillis 2016, p. 6
  25. KONICA MINOLTA 2018
  26. van Beek 2015, p. 21
  27. van Beek 2015, p. 29
  28. Oriwoh 2013, p. 609
  29. a et b Bouchaud 2018, p. 1
  30. a et b Harbawi 2017, p. 2
  31. Bréda 2018, p. 2
  32. Harbawi 2017, p. 3
  33. Harbawi 2017, p. 4
  34. Dorai 2018, p. 1
  35. Gartner 2017
  36. a et b Dorai 2018, p. 3
  37. a et b Kebande 2016, p. 356
  38. Bouchaud 2018, p. 4
  39. Alabdulsalam 2018, p. 5
  40. MacDermott 2018, p. 3
  41. McKemmish 1999
  42. Hegarty 2014, p. 164
  43. Giova 2011, p. 1
  44. Huda Nik Zulkipli 2017, p. 323
  45. Kebande 2016, p. 359
  46. Bréda 2018, p. 263
  47. Nieto 2018, p. 2
  48. Nieto 2016, p. 35
  49. ISO 2017
  50. Yaqoob 2017, p. 268
  51. Nieto 2017, p. 628-629

Voir aussi modifier

Bibliographie modifier

  • (en) S. Alabdulsalam, K. Schaefer, T. Kechadi et N. LeKhac, « Internet of Things Forensics: Challenges and Case Study », Article Cornell University Library,‎ (lire en ligne)
  • (en) A. Dunkels, « Rime — A Lightweight Layered Communication Stack for Sensor Networks », SemanticScholar,‎ (lire en ligne)
  • (en) M.D. Köhn, « Integrated Digital Forensic Process Model », University of Pretoria, Pretoria,‎ (lire en ligne)
  • (en) C.S. Meffert, D.R. Clark, I. Baggili et F. Breitinger, « Forensic State Acquisition from Internet of Things (FSAIoT): A General Framework and Practical Approach for IoT Forensics through IoT Device State Acquisition », ARES '17 Proceedings of the 12th International Conference on Availability, Reliability and Security,‎ (ISBN 978-1-4503-5257-4, DOI 10.1145/3098954.3104053)
  • (en) Victor R. Kebande et Indrakshi Ray, « A Generic Digital Forensic Investigation Framework for Internet of Things(IoT) », 2016 IEEE 4th International Conference on Future Internet of Things and Cloud,‎ (ISBN 978-1-5090-4052-0, DOI 10.1109/FiCloud.2016.57)
  • (en) R.C. Hegarty, D.J. Lamb et A. Attwood, « Digital Evidence Challenges in the Internet of Things », Tenth International Network Conference (INC 2014),‎ (lire en ligne)
  • (en) R. McKemmish, « What is Forensic Computing? », Australian institute of criminology, Trends & issues in crime and criminal justice, no 118,‎ (ISBN 0 642 24102 3, ISSN 0817-8542, lire en ligne)
  • (en) D. Lillis, B. Becker, T. O'Sullivan et M. Scanlon, « Current Challenges and Future Research Areas for Digital Forensic Investigation », The 11th ADFSL Conference on Digital Forensics, Security and Law (CDFSL 2016), Daytona Beach, Florida, USA, May 2016,‎ (DOI 10.13140/RG.2.2.34898.76489)
  • (en) R.B. van Baar, H.M.A. van Beek et E.J. van Eijk, « Digital Forensics as a Service: A game changer », Digital Investigation, vol. 11, no 1,‎ (DOI 10.1016/j.diin.2014.03.007)
  • (en) Y. Yusoff, R. Ismail et Z. Hassan, « Common Phases of Computer Forensics Investigation Models », International Journal of Computer Science & Information Technology (IJCSIT), vol. 3, no 3,‎ (DOI 10.5121/ijcsit.2011.3302)
  • (en) A. Tanner et D. Dampier, « Concept Mapping for Digital Forensic Investigations », Advances in Digital Forensics V. DigitalForensics 2009. IFIP Advances in Information and Communication Technology, vol. 306,‎ (ISBN 978-3-642-04155-6, DOI 10.1007/978-3-642-04155-6_22)
  • (en) S. Perumal, « Digital Forensic Model Based On Malaysian Investigation Process », IJCSNS International Journal of Computer Science and Network Security, vol. 9, no 8,‎ (lire en ligne)
  • (en) M. Hossain, M. Fotouhi et R. Hasan, « Towards an Analysis of Security Issues, Challenges, and Open Problems in the Internet of Things », 2015 IEEE World Congress on Services,‎ (ISSN 2378-3818, DOI 10.1109/SERVICES.2015.12)
  • (en) G. Bréda, P. J. Varga et Z. Illési, « Forensic Functional Profile of IoT Devices – Based on Common Criteria », IEEE 16th International Symposium on Intelligent Systems and Informatics (2018),‎ (ISSN 1949-0488, DOI 10.1109/SISY.2018.8524813)
  • (en) T. Zia, P. Liu et W. Han, « Application-Specific Digital Forensics Investigative Model in Internet of Things (IoT) », ARES '17 Proceedings of the 12th International Conference on Availability, Reliability and Security, vol. 55,‎ (DOI 10.1145/3098954.3104052)
  • (en) M. Patton, E. Gross, R. Chinn, S. Forbis, L. Walker et H. Chen, « Uninvited Connections: A Study of Vulnerable Devices on the Internet of Things (IoT) », 2014 IEEE Joint Intelligence and Security Informatics Conference,‎ (ISBN 978-1-4799-6364-5, DOI 10.1109/JISIC.2014.43)
  • (en) H.M.A. van Beek, E.J. van Eijk, R.B. van Baar, M. Ugen, J.N.C. Bodde et A.J. Siemelink, « Digital forensics as a service: Game on », Digital Investigation, vol. 15,‎ , p. 20-38 (DOI 10.1016/j.diin.2015.07.004)
  • (en) W. Alink, R.A.F. Bhoedjang, P.A. Boncz et A.P. de Vries, « XIRAF – XML-based indexing and querying for digital forensics », Digital Investigation, vol. 3,‎ , p. 50-58 (DOI 10.1016/j.diin.2006.06.016)
  • (en) M. Harbawi et A. Varol, « An improved digital evidence acquisition model for the Internet of Things forensic I: A theoretical framework », 5th International Symposium on Digital Forensic and Security (ISDFS),‎ (DOI 10.1109/ISDFS.2017.7916508)
  • (en) F. Bouchaud, G. Grimaud et T. Vantroys, « IoT Forensic: identification and classification of evidence in criminal investigations », ARES 2018 - Proceedings of International Conference on Availability, Reliability and Security, Hamburg, Germany,‎ (DOI 10.1145/3230833.3233257)
  • (en) G. Dorai, S. Houshmand et I. Baggili, « I Know What You Did Last Summer: Your Smart Home Internet of Things and Your iPhone Forensically Ratting You Out », ARES 2018 - Proceedings of International Conference on Availability, Reliability and Security, Hamburg, Germany,‎ (DOI 10.1145/3230833.3232814)
  • (en) A. Nieto, R. Rios et J. López, « IoT-Forensics Meets Privacy: Towards Cooperative Digital Investigations », Sensors, vol. 18,‎ (DOI 10.3390/s18020492)
  • (en) A. Nieto, R. Roman et J. López, « Digital Witness: Safeguarding Digital Evidence by Using Secure Architectures in Personal Devices », IEEE Network, vol. 30, no 6,‎ (ISSN 1558-156X, DOI 10.1109/MNET.2016.1600087NM)
  • (en) I. Yaqoob, I.A.T. Hashem, A. Ahmed, S.M.A. Kazmi et C.S. Hong, « Internet of things forensics: Recent advances, taxonomy, requirements, and open challenges », Future Generation Computer Systems, vol. 92,‎ , p. 265-275 (DOI 10.1016/j.future.2018.09.058)
  • (en) A. MacDermott, T. Baker et Q. Shi, « IoT Forensics: Challenges For The IoA Era », New Technologies, Mobility and Security (NTMS),‎ (lire en ligne)
  • (en) M. Chernyshev, S. Zeadally, Z. Baig et A. Woodward, « Internet of Things Forensics : The Need, Process Models, and Open Issues », IT Professional, vol. 20, no 3,‎ (DOI 10.1109/MITP.2018.032501747)
  • (en) C. Kolias, G. Kambourakis, A. Stavrou et J. Voas, « DDoS in the IoT: Mirai and Other Botnets », Computer, vol. 50, no 7,‎ , p. 80-84 (ISSN 1558-0814, DOI 10.1109/MC.2017.201)

Nurul Huda Nik Zulkipli ; Ahmed Alenezi and Gary B. Wills

  • (en) A. Alenezi, G. B. Wills et N. Huda Nik Zulkipli, « IoT Forensic: Bridging the Challenges in Digital Forensic and the Internet of Things », Proceedings of the 2nd International Conference on Internet of Things, Big Data and Security, vol. 1,‎ , p. 315-324 (DOI 10.5220/0006308703150324)
  • (en) G. Giova, « Improving Chain of Custody in Forensic Investigation of Electronic Digital Systems », IJCSNS International Journal of Computer Science and Network Securit, vol. 11, no 1,‎ , p. 1-9 (lire en ligne)

Liens externes modifier

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Forensique_de_l%27Internet_des_objets&oldid=214512918 ».