Ce que j'entends souvent de la part des recruteurs c'est
Pierre, contactez des candidats, c'est très chronophage.
Je dois envoyer des messages, relancer, réécrire des messages personnalisés.
Alors moi je leur réponds, avec LinkedIn Recruteurs, vous pouvez sélectionner vos critères
et l'IA rédige instantanément un message personnalisé, bien plus attrayant pour votre candidat
et vous pouvez même programmer un message de relance.
Vous aussi faites partie des 76% de recrutes en français qui déclarent embaucher plus vite grâce à LinkedIn.
Vous voulez plus d'informations ? Rendez-vous sur LinkedIn.com.
Ou sur LinkedIn.com.
Pour la première fois de l'histoire de la DGSE et en partenariat avec elle,
nous avons l'immense honneur de recevoir deux agents en fonction Julien et Marie.
Marie nous parlera de son travail d'enquêtrice et Julien de forensic.
Vous allez voir, c'est passionnant.
Pour des raisons évidentes de sécurité, vous ne les verrez pas.
Mais on a quand même réussi à mettre en place une démonstration.
À base de cassage de mot de passe de clé USB ou encore d'analyse de machine virtuelle,
c'est parti pour une interview exclusive d'agents de la DGSE.
Bonjour à vous deux.
Est-ce que vous pouvez commencer par m'expliquer c'est quoi votre job respectif ?
Alors mon travail, ça va être de recevoir des supports.
Donc on a pu capturer tout le terrain, à part d'Olelien,
prendre ses supports, en extrait le maximum d'informations,
ces informations vont sûrement être chiffrées,
protégées, parce que de nous, il y a plus en plus d'informations qui sont chiffrées.
Et donc on va être déchiffré ces informations pour pouvoir les capitaliser,
à extraire du renseignement, de la donnée utile pour le service et pour pas de référence.
À la DGSE, je fais ce qu'on appelle de la CTI.
Pour que les gens voient un peu de quel type de menace on parle.
Ça peut être un pays, ça peut être quoi ?
Alors dans les menaces cyber, tu as en gros deux grosses menaces pour moi.
Tu as les menaces étatiques qui viennent de pays,
ça va être vraiment tout ce qui est un cyber espionnage.
Tu as les menaces qui sont plus, d'autant on entend beaucoup parler dans les médias
et notamment au moment de la crise du Covid, donc les renseignements aires.
Et ça c'est plus le secteur privé, c'est tout aussi crucial pour la France
puisque ça peut représenter des entreprises qui sont déterminantes pour la sécurité des femmes.
C'est quoi la différence entre une attribution, qu'est-ce que c'est, et une imputation ?
Est-ce que tu peux nous expliquer parce que c'est du jargon de ton métier justement ?
Et c'est très important en fait.
Alors une attribution ça va être quelque chose d'officiel en fait.
C'est un pays, c'est un gouvernement d'un pays qui va vraiment dire
cette campagne d'attaque, nous l'attribuions à ce pays, cette organisation,
ce groupe de cyberactivistes.
Alors qu'une imputation, c'est quelque chose qui va rester en interne entre guillemets,
donc officieux, attribution officielle, imputation,
quelque chose d'officieux qui ne sort pas dans les journaux en gros.
Et en fait c'est rare.
C'est très très rare.
Il y en a eu une dans le journal du monde pendant l'été 2021 je crois.
C'était quoi l'histoire de l'année ?
C'est une campagne d'attaque qui a été attribuée à la Chine.
D'accord.
Et sur des services vitaux français ?
Donc sur une campagne d'attaque qui faisait des services vitaux français ?
On précise bien, vous même, vous n'êtes pas sur le terrain,
vous travaillez du coup normalement dans le temps d'accueillir.

Exactement.
Mais en fait, toi, des renseignements que tu peux trouver sur ces supports informatiques,
ils peuvent ensuite être utiles à d'autres agents.
C'est pas moi qui vais ensuite faire le traitement du renseignement,
c'est pas moi qui vais prendre des notes sur des faits quoi.
Mais moi je vais vraiment extraire toutes ces informations
pour qu'ensuite d'autres bureaux puissent travailler dessus.
Et une question que beaucoup de gens se posent dans la sécurité,
c'est est-ce que tous les processus de chiffrement sont cassables ou pas ?
Tout le processus ne sont pas cassables évidemment.
Sur le papier, on a des algorithmes qui sont cassables,
qui ont été prouvés mathématiquement comme étant cassables.
Après là, nous on va chercher les files, là où on peut les exploiter,
c'est sur la partie humaine.
Donc le choix des mots de passe, par exemple.
Ou alors ça va être sur la partie implementation,
sur la manière dont l'algorithme a été implementé,
parfois il y a des files,
il n'a pas été effrayé correctement dans l'ogiciel
pour qu'on peut exploiter ces files logiciels ou matériels
pour obtenir un déchiffré.
C'est-à-dire que le processus de chiffrement lui-même
est 100% prouvé sur le papier,
mais au moins de l'implémentation,
il y a du code.
Sans pas l'implantation faible pour l'utilisation,
il y a des files qui s'ouvrent à ce moment-là,
et c'est ça la comique.
Ok.
En sachant l'arsenal dans ta disposition pour casser ce genre de choses,
si demain tu devais avoir un document très important
et faire en sorte que personne ne puisse jamais mettre la main dessus, tu ferais quoi ?
Alors j'utiliserais des algorithmes connus et reconnus,
donc c'est les standards actuels, c'est AES,
uniquement pour le chiffrement.
Donc j'utiliserais un logiciel open source qui a été audité,
et vite tout ce qui est source fermée parce qu'on ne peut pas savoir ce qu'il y a dedans.
Et ensuite, je choisirais surtout un bon mot de passe,
ça se paraît évident, mais voilà.
Il faut faire un calcul d'entropie,
mais bon, en gros, pour avoir un mot de passe solide,
il faut compter entre 15 minimum,
avoir 20 caractères, et complètement liatoires,
donc générer par un gestionnaire de mot de passe.
Quelqu'un d'entropie qui te permet de savoir le nombre de milliards d'années
qu'il faut d'un pour le casser.
Voilà, en gros.
En fin de parole.
Est-ce que Marie, tu pourrais essayer de nous raconter
comment se passe une journée dans ton travail ?
Mon travail au quotidien, ça va être de pivoter,
à partir de ce qu'on appelle les indices de compromissions, les AES aussi.
On va essayer de remonter la chaîne d'attaque
jusqu'à cette fameuse imputation,
et ça va s'épluer sur différentes capacités qu'on a,
donc évidemment qui sont un peu plus énergiques que juste de l'open source,
et aussi sur notre base de connaissance interne.
En fait, c'est de la track ?
Oui, en gros.
Mais de la track virtuelle ?
Oui.
C'est fou.
Effectivement, je pense qu'il y a beaucoup de gens qui rêvraient,
qui sont dans l'ozine.
Ça arrive très souvent à ce moment,
quand tu es en mode,
je sais qu'il y a quelque chose qui se cache par ici, là,
mais je n'ai pas les sources,
parce que je ne suis pas en haut de la pyramide.
Sur cette question de l'arsenal,
que l'on a quand on rentre à la DGSE,
il n'y a que des choses que vous vous développez,
est-ce que vous participez aussi dans le monde de l'open source,
comment ça marche ?
Tout ce qu'il y a avec la PC,
on ne peut pas dire grand chose,
comme ce que je disais,
l'open source, il y a quand même des petits pépites,
et après, on a évidemment nos propres outils,
et d'autres capteurs.
C'est pareil pour toi sur le forencicle,
où je sais qu'il y a plein d'outils qui sont disponibles,
même pour les gens qui veulent s'initier à votre métier,
il peut déjà commencer, il n'y a pas besoin d'être déjà sûr.
Il y a plein d'outils open source disponibles pour faire du forencicle,
donc après le forencicle étant vraiment une niche,
les open source ne sont pas toujours à jour ou maintenues, malheureusement,
mais on peut quand même se faire ses armes
sur du volatibit, des outils comme ça, du test, disque.
Est-ce que tu voudrais te prêter au jeu aussi,
essayer de me raconter dans une mission un peu fictive,
comment se passerait une journée chez toi ?
Dans une opération à l'extérieur de la France,
on aurait trouvé un support,
donc par exemple un téléphone ou un ordinateur ou n'importe quoi,
tu peux compter en de l'information,
donc on va recevoir le téléphone,
on va faire une extraction sur le téléphone,
donc comme peut-le faire la police,
comme peut-le faire plein d'autres entités.
Donc le but, ça va être extraire le max d'informations,
ensuite une fois qu'on a cette extraction de téléphone,
là moi je vais devoir chercher
qu'est-ce qu'il y a d'intéressant dedans niveau enseignement,
puisque si le moment je me concentre,
du coup, sur tout ce qui est chiffré,
donc par exemple je prends d'une application,
je vois que la chiffre c'est donné,
là je vais comprendre comment c'est donné,
donc je prends l'application,
je vais probablement faire de la rétro-engénériture,
je comprends comment est chiffre,
je vais développer une capacité de déchiffrer
cette application si j'identifie une faille ou...
ce dont on parlait d'ailleurs un problème
dans l'implementation de l'utilisation,
je développe une capacité,
je déchiffe cette application au téléphone,
et après je rend aux autres bureaux
l'information déchiffrée et accessible
pour que d'autres services capitalisent sur.
Toi de ton point de vue,
j'imagine que tu peux pas nous dire exactement sur quoi tu travailles,
tu vois, mais est-ce que ton avis a changé
depuis que tu es à l'intérieur de la maison,
et est-ce que tu es devenu un peu plus parano qu'avant ?
Oui, oui, je répondrais oui totalement,
j'ai augmenté mon thread model.
T'accaras pas sur le numérique, on va dire ?
Ça voilà,
c'est un numérique assez renforcé.
Très techniquement,
j'avais fait peut-être que tu l'as vu,
une vidéo où je commandais du matériel sur le moncombre et compagnie,
j'essayais de faire ça, exactement,
de me mettre dans la peau d'un agent de la DGSE.
Et, typiquement,
je remarquais que les disques durs,
c'était souvent du pain à bénis,
puisque, juste, il y a rarement d'chivrement,
et c'est très, très facile de récupérer des partitions,
par exemple, à être comme ça.
Sur un téniphone,
c'était vachement plus compliqué.
Typiquement,
ring pour récupérer le contenu de la mémoire,
donc, dumper la mémoire,
et bien, sans l'alterrer,
et bien, c'était hyper dur.
Comment tu fais, tu soudes ?
C'est compliqué, donc, c'est un domaine très, très technique.
Des gens spécialisés dans l'extraction,
c'est un domaine de pointes,
ils demandent des technologies de pointe, évidemment.
Le même méthode, après, c'est des trucs sans public,
c'est que, en réalité,
les extractions logiques,
qui se font par le logiciel,
et après, tu as les extractions physiques,
qui se font en prenant directement l'appui du téléphone,
tu l'as dessous, tu l'as mets dans un victoire, et tu es...
Incroyable.
Et après, tous les téléphones sont chiffrés maintenant, donc,
il y a encore d'autres étapes,
et là, on prévient à enfin avoir l'information.
Le graal.
Tu dis que le lock,
par exemple, sur un téléphone,
c'est un truc qui est déconseillé ou pas ?
Ça, c'est de regarder la littérature scientifique,

c'est expliqué, hein,
si vous voulez avoir une bonne petite idée.
C'est la mode passe de 15 à 20 caractères,
et fait de l'un de les mêmes.
Je vais la dire, bon.
Sur un téléphone ?
Ah oui, sur un téléphone.
Raph, on est supertables.
Oui, mais bon.
Il faut ce qu'il faut.
Ça, c'est un certain téléphone ?
Oui.
Sérieux ?
Oui, bien sûr.
Après, ça dépend de son straight model,
là, c'est des points qu'on se protège,
et ça dépend de son risque, c'est pas grave.
Il faut évoluer ce risque.
Salut !
Si vous appréciez Endorscore,
vous pouvez nous aider de ouf,
en mettant 5 étoiles sur Apple Podcast,
en mettant une idée d'invité
que vous aimeriez qu'on reçoive.
Ça permet de faire remonter Endorscore.
Voilà.
Telle une fusée.
Tu dirais que c'est quoi les...
Donc les principales difficultés
que tu rencontres,
qui te font que tu te grattes la tête
dans ton travail,
et que tu dormes à la nuit.
C'est quoi les principaux challenges
de ton job ?
Bah, il y a plusieurs choses.
Parfois, c'est des limites techniques,
où on a des attaques
de plus en plus sophistiquées,
où on arrive plus à remonter,
parce que c'est trop...
Camouflé.
Camouflé, anonymisé.
Ça, c'est un aspect aussi
de main-général dans le renseignement.
Quand il y a une menace,
tu peux continuer à la traquer.
Enfin, il faut y remédier.
Et le moment où tu vas, bah...
publier des indices de compréhension,
tu vas tout perdre.
C'est aussi ça,
bah ça, c'est clairement pas
une décision qui nous appartient,
c'est une décision qui apprend.
C'est en plus...
C'est-à-dire quand même,
le fait de commencer à essayer de remédier
à la menace,
fait que toi,
ton job se termine
puisque tu es gariée.
Oui, voilà.
Exactement.
Et du coup, la menace s'arrête,
en effet.
Enfin, il n'y a plus d'attaque,
il n'y a plus de campagne de finie,
mais voilà, à quel prix.
Toi, c'est quoi tes principaux challenges,
du coup,
du matériel incassable de...
Ça arrive parfois, quand même.
Ça, oui.
Il en sort pas en vivant, évidemment.
Tout s'est ni par ce qu'assez, bien sûr.
C'est une question de temps et de ressources,
tout est faible.
Effectivement,
là, parfois, il y a une mise à jour,
matériel ou logiciel
qui casse nos capacités.

c'est embêtant.
On recommence à zéro.
On recommence à zéro, voilà.
On recommence, mais bon,
c'est le métier, quoi.
Et puis,
on finit toujours par trouver, au final.
Ce qui pose le plus de barrière aujourd'hui,
c'est la démocratisation du chiffrement.
Oui.
La cartographie qui est partout
et qui est plus en plus avancée,
sophistiquée.
Il y a 10 ans, rien n'était chiffré.
C'était vraiment open bar.
Oui.
Maintenant,
voilà, c'est devenu la banalité
d'avoir...
d'avoir quelque chose de chiffre.
Qu'est-ce qui vous a amené
à d'abord bosser à la DGSE
dans le service ?
Comment est-ce que vous en avez entendu parler,
déjà, Marie ?
J'en ai entendu parler parce que
il faut savoir que la DGSE recrute
énormément de profils techniques ingénieurs.
Chaque année, il y a un énorme...
Il y a beaucoup d'offres de stage.
Après, ça reste le stage.
Oui, il y a.
Mais il y a beaucoup d'offres de stage.
Et c'est comme ça que j'ai entendu parler à la DGSE.
À peu près pareil, j'ai entendu parler des stages.
Moi, j'ai fait un stage pour le coup.
J'ai commencé par ça.
Donc, direct, voilà.
Stage de fin d'études.
Et oui, comme tu disais,
il n'y a pas forcément besoin
d'en refaire une grande école ingénieur
ou quoi pour accéder à la DGSE.
Il y a vraiment de tous les profils
que ce soit technicien ou ingénieur
ou autre encore.
Et aussi, il y a un truc qui n'est pas souvent connu.
C'est que tu te dis, je vais devenir agent à la DGSE.
Égal, je vais avoir une vie très compliquée.
Mais en fait, pas forcément.
C'est à dire que vous vous y travaillez.
En fait, il commence à ressembler à peu près à n'importe quelle entreprise
qui serait à Paris.
C'était pareil, voilà.
On est dans un bureau.
Jusqu'au terrain de jeu, pas le même.
Voilà, c'est ça.
Sauf tout le monde.
Mais est-ce que même en étant technicien,
il y a quand même une petite formation
sur tout simplement le fait que vous allez avoir
accès à des informations classifiées ou des choses comme ça.
Et donc potentiellement, vous pourriez subir des pressions
d'être comme ça.
Est-ce que vous êtes formé un peu à vivre ça ?
On est en effet sensibilisé au fait
qu'on travaille pas n'importe où.
On travaille quand même à la DGSE,
une entité du ministère des Armées,
dans la fonction publique.
C'est quand même pas n'importe quelle entreprise.
On se doit d'avoir dans notre vie perso
une sécurité particulière.
Typiquement, on peut pas dire n'importe qui qu'on travaille.
Mais ça, c'est une question hyper intéressante.
À qui est-ce que vous êtes autorisé
de raconter un petit peu votre vie ?
Parce que si on peut parler à personne,
jamais de ce qu'on fait,
il y a de quoi est tout fait.
C'est quoi la règle là-dessus ?
En théorie, on peut pas développer
des voies et des jasses sur l'appartenance au service
à qui se soit dans le public.
Ça, c'est autorisé.
Ça paraît un peu logique,
c'est pour notre sécurité en tout.
Après, ce qu'on fait au travail,
on peut pas en parler non plus, évidemment,
parce qu'on travaille sur des choses classifiées.
Il y a des gens qui pourraient penser
que c'est horrible de pas pouvoir parler
de ce qu'on fait tous les jours.
Et on peut parler avec ses collègues au travail.
Enfin, de compte que ça soit du même bureau,
que ça soit d'autres bureaux
de très loin ou de plus près.
On peut échanger avec des gens
qui sont eux habilités.
Dans la sphère,
qu'est-ce qui fait que vous restez à la DGSE ?
C'est quoi ce qui vous fait vibrer
le plus dans votre job actuellement ?
Moi, j'ai rejoint la DGSE
parce que je voulais servir mon pays.
Et je savais que dans le milieu de la cybersecurity,
c'était quand même la DGSE qui avait le « lise »
là où il y avait le plus d'enjeux.
Et aussi là où il y avait le plus de capacités.
Et c'est ce qui m'intéressait.
Et ce qui me fait rester,
c'est que, comme je l'ai expliqué,
mon métier est passionnant.
On a préparé, en fin de compte,
la passion pour la cybersecurity,
la passion pour tout ce domaine-là
et de voir que je pouvais excéder
à des capacités assez incroyables
de travailler sur des sujets uniques.
C'est ça, vraiment,
c'est le truc qui m'a motivé à venir.
Et enfin, ce qui me fait rester,
c'est que tous les jours,
je vais recevoir un téléphone,
un truc qui vient de n'importe où.
Et je vais devoir le casser tous les jours
sans nouveau challenge.
Je ne sais pas sur quoi je vais tomber,
mais je sais qu'à la fin de la journée,
je vais peut-être casser
et j'aurais aidé mon pays aussi.
On se sent utiles.
Je pense qu'on pourrait tranquillement
passer à notre démonstration.
C'est la fameuse pièce ?
Tout à fait.
La pièce à conviction ?
Voilà, on va prendre cette clé.
Donc, du coup, voilà, on va la...
Ça s'appelle une microde.
C'est qui, à part exact,
donc là, bon, on peut aller,
évidemment, aller jeter un oeil
sur la clé, hein.
Deuxièmement, évidemment.
Mais là, voilà,
pas grand chose, c'est un point de vécance.
Mais bon, évidemment, on va pas
s'arrêter à ça.
Il y a peut-être des informations
qui vont être utiles
ou qui ont été sur la clé
pour s'en acheter un outil open source
qui s'appelle TestDisc.
Et donc là, en fait, on va lui demander
de chercher des fichiers
qui auraient pu être supprimés.

Donc là, il a trouvé une partition cachée,
c'est ça ?
Elle était pas cachée à la partition
parce qu'on a resté à l'ouvert
dans le navigateur de fichier là.
Oui, d'accord.
Donc, elle était là,
mais elle était vide,
apparemment, cette version.
Ouais, OK.
On va quand même vérifier,
donc on va aller sur Ndilit.
Pour vérifier, ça peut être des fichiers.
Je m'étais fait cette clé.
Et là, par exemple, on va...
Oh !
...qu'un fichier.
Donc on va le sélectionner
et on va aller copier ce fichier
dans notre dossier de travail.
Là, on va copier, donne OneFile.

Donc on peut quitter tout ça.
Donc là, on voit que
il y a de la donnée dedans.

On dirait qu'il y a mon mot de passe, apparemment.
Voilà.
Donc ça, typiquement,
ça va faire sembler à un combo login mot de passe.
Hum.
Et là, on voit que le mot de passe,
il est pas en clair.
Enfin, ça ressemble à un mot de passe.
Ça, c'est bizarre.
Et donc là, à vue d'oeil,
ça ressemble à un hash, comme ça.
Ça ressemble à une version modifiée du mot de passe,
une version sécuisée
pour qu'on puisse pas lire directement le mot de passe.
Donc ce hash,
maintenant, on va essayer de l'attaquer.
On va essayer de retrouver le mot de passe original.
Donc pour faire ça,
on peut encore utiliser un outil open source,
ce qui s'appelle hash4.
Et donc, cet outil va permettre
d'effectuer différentes attaques sur les hash.
On a choisi une attaque par dictionnaire.
Donc c'est-à-dire qu'on va prendre un dictionnaire
de mot de passe très courant
et on va le lancer sur ce hash
pour essayer de retrouver le mot de passe original.
Alors malheureusement,
les gens ont tendance à choisir des mot de passe très simples,
encore en 2022.
Un, deux, trois, quatre, cinq, six,
on a Hazardie, etc.
Mais un autre problème,
c'est que les gens réutilisent les mêmes mot de passe
sur des sites différents.
Donc sur Facebook, on va utiliser le même mot de passe
sur le Twitter, etc.
Parfois, elle est base de données fuite
et donc, c'est mot de passe, surtout dans la nature.
Donc c'est mot de passe à utiliser à un endroit.
On va pouvoir l'utiliser à un autre endroit.
Et en termes de volume,
là tu vas pas tester 200 ou 300 mot de passe, j'imagine.
Donc là, c'est des millions
et encore des millions,
du tout des despiscences X,
des milliards, des millions,
de milliards de mot de passe.
C'est énorme en fait.
Tu vas être réveillé.
Voilà, tu vas être réveillé.
Et donc aujourd'hui, il y a des effets publics
de base de données de mot de passe
compilées, énormes de plusieurs milliards de mot de passe
qu'on peut trouver en libre access sur Internet.
En fait, ça marche.
Et il y a probablement beaucoup de mot de passe dedans.
Voilà, il y a des sites qui permettent de vérifier
si votre mot de passe a été fité.
Et bien souvent, malheureusement, ça marche.
OK.
Donc la prochaine étape, ça va être d'utiliser HLAT.
Donc, j'ai encore préparé la commande.
Encore que HLAT va commencer.
Le mot de passe a été trouvé.
Ça dirait 4 secondes.
Et donc, voilà.
Donc en fait, on trouve le mot de passe
microbe de 222 pour ce HLAT.
Donc ensuite, on pourrait utiliser le login
et le mot de passe pour se connecter à tous les autres.
Par exemple, ou faire de l'investigation supplémentaire.
Mais ça, ça sort de ton job.
Voilà, tout ça fait.
D'ailleurs, c'est ton vrai mot de passe.
Tu as sauvé.
Je sais que tu m'avais accouté.
Ah ouais ?
Vraiment ?
Evidemment, voilà.
Tout a été préparé en amont.
L'HLAT tout s'est bien aligné.
Évidemment, dans la pratique, c'est beaucoup plus dur.
Et là, t'as fini ta journée.
Tu pourras l'ajouter.
Voilà, c'est ça.
Nique.
Voilà.
Donc parfois, là, on teste un mot de passe.
Mais parfois, c'est des milliers,
voire des centaines de milliers de mot de passe qui sont trouvés.
Donc, tu as le temps de te capasser
de quelque plus importante.
Est-ce qu'on passerait à la prochaine démonstration ?
Tout à fait.
Alors là, on va passer un petit cap en complexité.
Voilà, la machine de...
Une suite qui pourrait intéresser le service.
On voit qu'on a un logiciel qui s'appelle TrueCrypt.
C'est à dire, TrueCrypt,
c'est un logiciel assez connu,
qui est à la vie de faire du chiffre au monde.
Et là, sur le bureau, on a un fichier,
conteneursecret.mp4.
Là, on est sur la machine de l'attaquant,
enfin de la cible.
T'as un fichier vidéo sur ton ordinateur
qui n'est pas un vrai fichier vidéo ?
Ce n'est pas un fichier vidéo.
Donc, une des spécificités de TrueCrypt et d'autres logiciels,
c'est qu'on peut utiliser n'importe quel fichier
pour faire un conteneur qui va compter deux fichiers.
Ah !
En gros, c'est un genre de disque dur, maquillé, un fichier.
C'est ça.
C'est parfois concord.
Mais voilà, ce n'est pas ça qui nous arrête, heureusement.
Et donc là, j'ai monté un conteneur qui a été monté sur un disque.
Donc là, on peut imaginer que je fais mes petites choses dans mon conteneur.
Et puis, j'éteins l'ordinateur.
Je vais faire autre chose.
Juste, je vais rouler l'ordinateur.
J'ai fait autre chose.
Donc là, je vais remettre le rôle de mon métier.
Et je vais procéder à faire un dump
de la mémoire vive de l'ordinateur.
Donc, on va couper la RAM de l'ordinateur.
Donc, la RAM, c'est la mémoire vive
qui, quand elle est débranchée,
perd toute l'information qu'il y a dessus.
Tout à fait.
Et donc, ça représente toutes les processus, les activités
qui sont actuellement en cours dans ce système d'exploitation allumée.
Ça a toute l'intelligence de l'ordinateur.
Et donc, pour toi, trouver la RAM, c'est ça.
Ça a énormément de valeur.
Tout à fait.
Parce que dès que quelque chose est fché sur l'écran,
par exemple, dès que quelque chose est écrit, en fait,
tout ce que c'est l'ordinateur, c'est dans la RAM.
Donc, évidemment, ça peut inclure des mots de passe ou des clés
ou des choses comme ça qui va venir s'intéresser.
Dans la pratique, ça peut être plusieurs sources.
Donc, soit physiquement, on va se brancher sur la RAM pour la lire.
Mais ça, c'est un attaque assez rare.
Quand même, soit sur Windows par défaut,
on a la veille prolongée qui est activée.
Donc, par exemple, si votre ordinateur a plus de batterie,
il va se mettre en veille prolongée automatiquement
pour sauvegarder ce qu'il y a dessus et il va s'éteindre.
Et copie la RAM.
Voilà.
Mais non.
Et en fait, copie la RAM sur le disk dur.
Dans des fchés d'hypermation,
ces fchés sont faits sur le disk dur.
Ils ne sont pas chiffrés.
Qu'est-ce qu'on en fait maintenant ?
Maintenant, on va utiliser un autre outil de base source
qui s'appelle Volatility.
Donc, par exemple, il y a une petite bien connue de la communauté.
Donc, c'est un outil.
Il est créé en Python et il permet d'analyser ces fchés de dump,
d'analyser la RAM et d'en extraire des données intéressantes.
On va lui spécifier le profit de la machine qui nous intéresse.
Donc, si c'est une machine des 2d sur une version,
on va lui donner notre fché de dump qu'on a généré juste alors.
Et on va lui passer le module qu'on va pu utiliser.
Donc là, le module, ça s'appelle Cookryp Astrays.
Donc, évidemment, ça peut être intéressant d'avoir ça.
Donc, on va lancer, on va voir ce qu'il va nous donner.
Donc, il y a 2 giga-drammes.
Et là, on voit qu'il a trouvé quelque chose.
C'est trop dur.
Donc, à l'obsette qui nous a donné.
Là, on voit un mot de passe de taille 10,
un code, un 2, 3, 4.
Ce qu'on va faire, c'est qu'on va prendre ce conteneur.
Donc, pareil, on prend notre disk de notre cible.
On copie le fché «conteneursecret.mp4»
parce que c'est celui-là qui nous intéresse.
Vu qu'on a un dump, on a une copie du disk.
On va pouvoir lancer Veracrypt,
Veracrypt qui permet notamment d'ouvrir des fchés trop gris.
On va lui spécifier notre petit fché qu'on a copié.
Donc, «conteneursecret.mp4»
et on va essayer de l'ouvrir avec le mot A.
C'est bon, on va essayer de le cliquer.
T'es 3-4 ?
Non.
Donc là, on va essayer de voir si c'est le arrivo dans le campier.
Voilà.
Là, on voit qu'il a réussi à se monter.
Et donc, si on ouvre...
Trop stylé.
On va faire un fché.
Attendez une seconde, je pense que ça vaut le coup
que j'explique pourquoi cette demonstration est ouf.
On a une cible qui a visiblement des choses à cacher.
Pour cacher ces fchés, elle va utiliser TropCrypt,
qui est un logiciel très connu.
Son ordinateur passe en mode veille,
ce qui nous permet à nous enquêteurs de récupérer le contenu de la mémoire vive de l'ordinateur.
On ne connaît pas son mode passe TropCrypt.
On ne peut pas accéder à ces documents ultra chiffrés.
Et pourtant, grâce à cet outil Volatility,
notre esprit national a réussi à scanner l'entierté des 2 giga d'arame
pour retrouver pile-poil exactement l'endroit dans la mémoire
où est-ce toqué la clé de chiffrement secrète ?
Ah, mon calomètre !
Et voilà, ils ont réussi à trouver les images de l'étante dans les disques durs.
Terrible, trop stylé, franchement c'est hyper intéressant.
C'était hyper cool, vous avez passé un bon moment ?
Oui, carrément.
Merci à la DGS pour d'avoir accepté ce format exceptionnel.