Un dirigeant m’appelle. Son poste se comporte bizarrement, un message de rançon, ou juste ce doute qui ne lâche pas : « je crois que je me suis fait avoir ». À partir de là, chaque geste compte, et la plupart des réflexes naturels (redémarrer, lancer un antivirus, supprimer le fichier suspect) sont précisément ceux qui détruisent les preuves et compliquent la récupération.

Alors j’ai construit un outil pour ne jamais improviser cette première heure : une clé USB de première intervention, autoportante, que je peux brancher sur n’importe quelle machine. Pas un gadget de geek. Un kit rangé, documenté, avec une méthode derrière. Voici ce qu’il y a dedans, et pourquoi l’organisation compte autant que les outils.

Le principe de base : ne jamais faire confiance au système d’exploitation d’une machine potentiellement infectée. On démarre l’ordinateur sur un environnement propre, externe, posé sur la clé. Au branchement, un menu (Ventoy) propose plusieurs systèmes complets. On choisit selon la situation :

Cinq portes d’entrée sur une seule clé. Mais avant même de booter, une question tranche tout : y a-t-il un enjeu de preuve ? (soupçon d’un tiers, données chiffrées, litige possible). Si oui et que la machine est allumée, on capture d’abord la mémoire vive (elle disparaît à l’extinction), puis on démarre sur CAINE en lecture seule. Sinon, un triage léger sous Windows suffit. Dans tous les cas, le réflexe par défaut c’est lecture seule : on regarde sans rien toucher. On ne répare jamais avant d’avoir préservé.

N’importe qui peut entasser des centaines d’outils sur une clé. Ce qui fait la différence en intervention, sous stress, c’est de trouver le bon outil en trois secondes. C’est pour ça que tout est rangé par usage, pas par ordre alphabétique ni par éditeur :

• Anti-malware : les scanners de désinfection que je tiens à jour avant chaque mission.
• Analyse système : la suite qui révèle ce qui se lance au démarrage, quels processus tournent, quelles connexions réseau sont ouvertes.
• Forensic : acquisition de la mémoire vive, reconstruction de la chronologie des évènements, récupération de fichiers effacés.
• Accès distant / serveur : pour récupérer proprement les journaux d’un serveur compromis.
• Mobile : investigation côté Android quand le téléphone est dans la boucle.
• Utilitaires : compression, recherche instantanée, cartographie du disque.

Je ne donne pas ici la liste exhaustive des binaires, et c’est volontaire : ce qui compte pour vous, ce n’est pas le nom de chaque programme, c’est qu’il y ait une logique claire et quelqu’un qui sait lequel sortir, quand, et pourquoi. L’ordre, c’est la moitié du métier.

Un exemple concret de cette logique. Votre antivirus, c’est un seul moteur de détection, et ce qui passe sous son radar ne passe pas forcément les autres. Sur une machine encore allumée, le réflexe c’est donc de confronter chaque programme actif à des dizaines de moteurs d’un coup, en quelques secondes.

Et ça se fait proprement : on ne transmet jamais le fichier suspect (il peut contenir vos données, ou alerter l’attaquant), seulement son empreinte numérique. C’est la même philosophie que pour mon outil de diagnostic Windows en lecture seule : la machine est auscultée, jamais modifiée. Préserver fait partie de la méthode, pas seulement détecter.

Voilà ce qui sépare un prestataire sérieux d’un dépanneur qui « réinstalle tout » : une doctrine affichée, suivie à chaque intervention. La mienne tient en trois mots, dans cet ordre, non négociable :

Préserver → analyser → remédier.

Ce que ça veut dire concrètement :

• Empreinte avant / après. On calcule une signature numérique (hash) de ce qu’on touche, pour prouver que rien n’a été altéré pendant l’intervention.
• On travaille sur copie, jamais sur l’original quand un enjeu de preuve existe.
• On n’éteint pas une machine allumée avant d’avoir capturé sa mémoire vive : éteindre, c’est perdre des preuves volatiles à jamais.
• Constat factuel, jamais d’accusation nominative. Je documente ce que je vois, je ne désigne personne.
• Périmètre strict. Matériel personnel ou autorisé uniquement. Un poste d’entreprise, c’est la DSI et, si besoin, un dépôt de plainte.
• Zéro donnée client sur la clé. Les fiches embarquées sont génériques ; les éléments d’un cas vont dans un espace chiffré, séparé.

Cette discipline a un nom dans mon atelier : un cadre d’intervention en phases, de F0 à F8, du triage initial jusqu’à la remédiation. On commence par cadrer la demande et recueillir le consentement écrit, on préserve (mémoire vive puis image disque, avec empreinte SHA-256 vérifiée avant et après), on analyse sur une copie, et seulement à la fin on remédie : éradication ciblée et documentée, ou remise à plat, puis rotation de tous les secrets et durcissement (BitLocker, double authentification, comptes perso et pro séparés).

Deux niveaux selon le besoin : une session d’hygiène (sécuriser comptes et appareils, quelques heures) reste le cas par défaut. Le volet forensic (préserver les preuves, retrouver le vecteur, reconstituer la chronologie) est un engagement distinct, plus lourd, qui peut courir sur un à trois jours selon le nombre de machines, avec un devis dédié. On ne le déclenche que si le triage le justifie.

Et une honnêteté que je dois à mes clients : chercher « qui », c’est réunir des éléments matériels exploitables par la justice (horodatages, identifiants, empreintes), jamais désigner une personne. Un prestataire n’est pas un expert judiciaire : la corrélation suggère, l’enquête prouve. Si l’analyse ne révèle aucune trace de compromission, je le dis clairement, c’est un résultat et pas un échec. Mon rôle est de préserver proprement et d’orienter vers le dépôt de plainte et les services compétents. Selon les cas, les faits peuvent relever de l’article 323-1 du Code pénal (atteinte à un système de traitement automatisé de données), de l’article 226-1 (atteinte à la vie privée) ou de l’article 226-15 (secret des correspondances). La qualification finale appartient aux enquêteurs.

Un outil sans mode d’emploi, sous pression, ne sert à rien. La clé embarque donc sa propre bibliothèque d’aide hors-ligne, une fiche par situation :

• un pas-à-pas d’intervention complet (PC, smartphone, comptes) ;
• le cadre méthodologique F0 à F8 et ses garde-fous légaux ;
• le Kit Premiers Secours Numériques (les réflexes immédiats, côté victime) ;
• un mémo de commandes prêtes à copier, pour les cas où la machine ne répond plus qu’en ligne de commande ;
• un plan de triage rapide pour une machine encore allumée ;
• un guide « quel système de secours pour quelle situation ».

Chaque fiche existe en deux formats : lisible dans un navigateur, et en texte brut directement en console quand la machine est trop abîmée pour ouvrir autre chose. Autrement dit : je ne sors pas une boîte à outils, je sors une procédure. C’est ça, accompagner. Et il y a une fiche que je veux mettre entre toutes les mains, vous pouvez la récupérer plus bas.

La prochaine brique, celle sur laquelle je travaille en ce moment : automatiser la prise d’empreinte du poste de la victime. L’idée, c’est qu’au branchement de la clé, on capture en une passe un instantané complet et horodaté de la machine : signatures d’intégrité, inventaire des programmes et des démarrages automatiques, état réseau, chronologie des évènements récents.

La brique de base existe déjà, en version manuelle : une collecte qui rassemble en un seul passage l’état « vivant » de la machine, à analyser ensuite au calme sur un poste sain. Ce que je construis, c’est la version industrialisée : un déclenchement, un instantané de référence propre et reproductible. Objectif : gagner de précieuses minutes sur cette fameuse première heure. Le diagnostic se fait tout seul ; l’humain garde la décision.

Je ne mets pas la clé pro en téléchargement : elle contient des outils sensibles et une méthode qui s’opère, elle ne se distribue pas en libre-service. Mais je partage volontiers ce qui vous est vraiment utile tout de suite.

Laissez-moi votre email et je vous envoie la fiche Premiers Secours Numériques (PDF) : les cinq réflexes des premières minutes quand un poste est compromis (isoler, préserver, documenter, sécuriser ses accès depuis un appareil sain, attendre l’intervention), et surtout les fausses bonnes idées qui détruisent les preuves. Générique, concret, sans jargon. Parce que dans la grande majorité des cas, une réaction méthodique et rapide suffit à récupérer la situation sans perte majeure de données.