Forensics Linux : Artifacts et Investigation : Guide Complet

Forensics Linux : Artifacts et Investigation — Guide technique approfondi : Forensics Linux : Artifacts et Investigation. Analyse détaillée des techniques, outils et méthodologies pour les professionnels DFIR et threat intelligence. La réponse aux incidents et l'investigation numerique sont des competences critiques dans le secteur actuel des menaces. La réponse aux incidents et l'analyse forensique requierent une expertise technique pointue et une méthodologie rigoureuse. Les équipes DFIR sont confrontees a des defis croissants : volumes de donnees massifs, techniques d'evasion élaborées et environnements hybrides cloud. Cet article fournit un guide technique complet avec des procedures detaillees et des exemples concrets pour les professionnels de l'investigation numerique.

Extraction des Artifacts Volatils sous Linux : Mémoire, Processus et Connexions

L'investigation forensique Linux d'un système compromis débute idéalement par la capture des données volatiles, qui disparaissent lors de tout redémarrage ou arrêt du système. L'ordre de volatilité, formalisé dans le RFC 3227 du IETF, définit la séquence de collecte pour maximiser la préservation des preuves : mémoire RAM, table des connexions réseau, table de routage, processus en cours, fichiers ouverts, puis disques. La fenêtre de collecte est critique : un attaquant averti peut effacer ses traces en quelques secondes sur un système Linux avec les droits root.

Les commandes prioritaires pour la collecte des artefacts volatils sur un système Linux potentiellement compromis :

date -u && uptime && hostname && uname -a
# Processus actifs avec arguments complets
ps auxwwf
ps -eo pid,ppid,user,cmd,lstart,etime --forest
# Connexions réseau actives et ports ouverts
ss -tulpna
netstat -tulpna
lsof -i -P -n
# Fichiers ouverts par tous les processus
lsof -n 2>/dev/null | head -500
# Modules noyau chargés (rootkits potentiels)
lsmod | sort
# Variables d'environnement de chaque processus
cat /proc/*/environ 2>/dev/null | strings | sort | uniq
# Tâches cron et timers systemd
crontab -l; cat /etc/cron* 2>/dev/null; systemctl list-timers

• Capture mémoire RAM : utiliser LiME (Linux Memory Extractor) comme module noyau pour extraire la RAM vers un fichier ou via réseau sans écrire sur les disques de la machine compromise
• dd sur /proc/kcore : méthode alternative de capture mémoire disponible sans installation, mais moins fiable que LiME sur les systèmes récents avec KASLR activé
• Avmg (Avocado Memory Grabber) : outil spécialisé pour les captures mémoire en environnement conteneurisé ou avec des restrictions d'accès noyau
• Volatility 3 avec profil Linux : analyse post-capture pour extraire les processus, connexions, modules noyau chargés et artefacts de rootkit depuis le dump mémoire obtenu

La détection des processus cachés par les rootkits nécessite de croiser plusieurs sources : comparer la liste ps avec /proc, vérifier la cohérence entre netstat et /proc/net/tcp, et comparer lsmod avec la liste des modules présents dans /sys/module/. Toute discordance entre ces sources est un indicateur fort de présence d'un rootkit en mode noyau actif sur le système investigué.

Analyse des Logs Système Linux et Reconstruction de la Timeline Forensique

La reconstruction d'une timeline forensique Linux précise nécessite la collecte et la corrélation de multiples sources de logs avec des horodatages fiables. Les systèmes Linux modernes utilisent systemd-journald comme collecteur principal, stockant les logs dans un format binaire indexé sous /var/log/journal/, complété par les logs traditionnels dans /var/log/ (syslog, auth.log, kern.log, secure) sur les distributions sans migration complète vers journald.

L'extraction et l'analyse des logs clés pour l'investigation forensique Linux :

journalctl --since "2026-05-01" --until "2026-05-24"   --output json-pretty > /tmp/journal_export.json
journalctl -p err..crit --since "7 days ago" --no-pager
journalctl _SYSTEMD_UNIT=ssh.service --since "30 days ago" --no-pager
grep -E "Failed|Accepted|Invalid|Disconnected" /var/log/auth.log | tail -200
last -F -w | head -100
lastb -F | head -50
ausearch -i --start "05/01/2026" --end "05/24/2026" -m USER_AUTH,USER_CMD
aureport --login --start 05/01/2026 --end 05/24/2026

• auth.log et secure : tentatives de connexion SSH réussies et échouées, sudo et su, changements de session PAM, création de comptes utilisateurs
• kern.log : messages du noyau incluant les chargements de modules, les OOM killer events et les erreurs matérielles pouvant indiquer des actions de rootkit
• audit.log via auditd : si auditd est configuré, traces détaillées des appels système selon les règles définies, permettant une attribution précise des actions à des processus et utilisateurs spécifiques
• /var/log/wtmp et btmp : historique des connexions réussies et échouées persistant en format binaire même après rotation des logs textuels, analysable via les commandes last et lastb
• Timestamps des fichiers : les métadonnées atime, mtime, ctime des fichiers critiques (/bin, /sbin, /etc) permettent de détecter des modifications inattendues via find ou stat en les comparant à une baseline connue

La construction de la timeline forensique s'effectue avec des outils comme log2timeline/plaso qui ingèrent simultanément toutes les sources de logs et de métadonnées de fichiers pour produire une timeline CSV ou JSON unifiée, visualisable dans Timesketch. Cette approche permet de mettre en évidence les relations causales entre événements distants dans le temps et d'identifier le vecteur d'infection initial même lorsque les logs ont été partiellement effacés par l'attaquant. La corrélation avec les logs des équipements réseau (firewall, proxy, IDS) complète la timeline en ajoutant la dimension des communications avec les infrastructures de command-and-control identifiées lors de l'investigation.

Détection des Rootkits Linux et Analyse des Modules Noyau Suspects

Les rootkits Linux modernes opèrent au niveau du noyau (kernel-mode rootkits) pour se rendre invisibles aux outils de surveillance userspace traditionnels. Leur détection nécessite des approches qui opèrent à un niveau de privilège équivalent ou supérieur au rootkit lui-même. L'outil rkhunter (Rootkit Hunter) réalise des vérifications heuristiques des binaires système, des fichiers de configuration et des permissions pour détecter les rootkits connus. Chkrootkit effectue des vérifications similaires. Ces outils ne détectent cependant pas les rootkits avancés conçus pour les contourner spécifiquement.

La détection avancée des rootkits noyau repose sur plusieurs techniques complémentaires :

• Comparaison /proc versus lsmod : un rootkit qui masque un module noyau le fait disparaître de lsmod mais le module reste visible dans /proc/modules si le rootkit ne masque pas les deux sources simultanément
• Analyse des interruptions IDT/IDT hooks : comparer la Interrupt Descriptor Table actuelle avec la table attendue pour détecter les hooks d'interruption utilisés par certains rootkits anciens
• Démarrage depuis un medium externe de confiance : booter depuis un Live CD Linux de confiance permet d'analyser le système compromis sans que le rootkit soit actif, éliminant complètement la problématique des hooks de dissimulation
• Analyse de la mémoire avec Volatility 3 (profil Linux) : les plugins linux.pslist, linux.lsmod et linux.check_syscall permettent de détecter les discordances entre les structures noyau en mémoire et ce que les APIs userspace exposent
• Tripwire et AIDE : systèmes de détection d'intégrité qui comparent les hashes des binaires et fichiers de configuration avec une baseline cryptographique établie sur un système sain, détectant les modifications introduites par les rootkits qui altèrent des binaires légitimes

En cas de découverte d'un rootkit actif sur un système de production, la procédure recommandée est de ne pas redémarrer le système (la mémoire contient des artefacts volatils précieux), de capturer immédiatement la mémoire RAM via LiME, puis d'isoler le système du réseau sans l'arrêter pour permettre une investigation forensique complète avant sa mise hors service définitive et sa réinstallation depuis zéro sur des bases saines. La réinstallation est préférable à la tentative de nettoyage d'un système infecté par un rootkit noyau, car l'intégrité du noyau lui-même ne peut plus être garantie une fois qu'un rootkit s'est exécuté avec des privilèges ring 0.

Forensique des Conteneurs Docker et Kubernetes sous Linux

L'adoption massive des conteneurs Docker et des orchestrateurs Kubernetes dans les infrastructures Linux modernes introduit de nouveaux défis forensiques. Un conteneur compromis partage le noyau Linux de l'hôte mais dispose de son propre espace de noms (namespace) pour les processus, le réseau et le système de fichiers. L'investigation forensique d'un incident impliquant des conteneurs doit couvrir à la fois le niveau hôte et le niveau conteneur, car des artefacts pertinents peuvent se trouver dans l'un ou l'autre selon la technique d'attaque utilisée.

Les commandes clés pour l'investigation forensique des environnements Docker et Kubernetes :

docker ps -a
docker inspect {container_id}
docker diff {container_id}
docker logs {container_id} --since 24h
docker exec {container_id} ps auxwwf
docker exec {container_id} ss -tulpna
docker history {image_name}
kubectl get pods --all-namespaces -o wide
kubectl logs {pod_name} -n {namespace} --previous
kubectl exec {pod_name} -- ps auxwwf

La commande docker diff révèle les fichiers modifiés dans le système de fichiers du conteneur depuis son démarrage, ce qui est particulièrement utile pour identifier les fichiers créés ou modifiés par un attaquant ayant compromis un conteneur. L'export du système de fichiers du conteneur via docker export permet une analyse forensique statique avec des outils traditionnels. Pour les environnements Kubernetes, l'analyse des logs du serveur API (audit logs Kubernetes) via kube-apiserver trace toutes les opérations effectuées sur le cluster, y compris les créations de pods malveillants ou les tentatives d'escalade de privilèges via des RoleBindings suspects. La préservation des images de conteneurs suspectes via docker commit avant la suppression du conteneur garantit la conservation des preuves forensiques pour analyse ultérieure.

L'adoption de principes de sécurité DevSecOps dans les pipelines CI/CD des organisations Linux impose de nouvelles exigences forensiques. Lorsqu'un incident de sécurité implique un système de build ou un runner CI/CD, les artefacts forensiques sont distribués entre le système de contrôle de version (logs Git), le runner CI/CD (logs de job, variables d'environnement, artefacts générés) et le système de déploiement cible. La corrélation de ces sources multiples est indispensable pour reconstituer la chaîne d'attaque complète, notamment dans les scénarios de compromission de la chaîne d'approvisionnement logicielle (supply chain attack) où du code malveillant est introduit dans les pipelines de build pour contaminer les artefacts produits et distribués aux utilisateurs finaux de l'application ou de la bibliothèque affectée.

La maîtrise des techniques forensiques Linux est fondamentale pour toute équipe SOC ou CSIRT qui doit investiguer des incidents sur des systèmes serveurs, des conteneurs ou des équipements réseau fonctionnant sous Linux. L'investissement dans la formation des analystes forensiques et dans les outils adaptés permet de réduire significativement le MTTD (Mean Time to Detect) et le MTTR (Mean Time to Respond) lors des incidents affectant l'infrastructure Linux de production.