Vous avez découvert la source de l'attaque toutefois les raisons qui y sont liées restent floues. Éclaircissez les circonstances de l'attaque en suivant les indices.
Nous sommes donc sûrs que la commande malveillante a été exécutée depuis l’ordinateur de l’administrateur système. Pour comprendre quand la compromission a eu lieu, vous allez donc devoir retracer ses actions.
Nous savons à présent que l'attaque a été réalisée vers 12h UTC+0 le 20 janvier 2025. Cependant, l'administrateur système jurant qu'il était innocent et qu'il n'avait pas accès au cluster à ce moment-là, une analyse de son calendrier et de son blog personnel permet de plaider son innocence. De plus, cette étape permet d'avoir une idée de la temporalité de la compromission de l'ordinateur de l'administrateur système.
En ouvrant l'ICS, dans un site web tel que ce visualiseur nous remarquons que Daniel était bien au travail le 20 janvier 2025 ce qui ne le dédouane pas de l'attaque. Toutefois, nous pouvons remarquer qu'il était en vacances du 13/01 au 19/01. Ceci est un élément intéressant, car c'est une information retrouvée dans le blog de Daniel et qui peut être utilisée pour prouver que l'ordinateur de l'administrateur système a été compromis pendant son retour de vacances.
Le fil est présenté sous la forme d'un docker dont il faut charger l'image. Pour cela, il faut utiliser la commande suivante :
docker load -i dd_blog.gz
Une fois l'image chargée, il faut lancer le container avec la commande suivante :
docker run -d -p 8080:80 dd_blog
Une fois le container lancé, il est possible d'accéder au blog de Daniel en se rendant sur l'adresse http://localhost:8080.
Un grand fil de plus de 800 articles est disponible. Afin de répondre à la première question, il faut partir des posts du 20 janvier 2025 puis remonter le fil d'un jour. En effet, Daniel post qu'il a perdu sa valise durant 2 heures à l'aéroport de Paris le 19 janvier 2025.
Deux heures plus tard, il poste qu'il a retrouvé sa valise. Cette fourchette est fine et permet de supposer que l'ordinateur de l'administrateur système a été compromis durant cette période. En effet, il est possible que l'attaquant ait eu accès à l'ordinateur de l'administrateur système durant son absence et qu'il ait installé keylogger ou un autre malware pour compromettre l'ordinateur de l'administrateur système.
Ainsi nous avons la réponse aux deux questions suivantes : Date de la compromission de l'ordinateur de l'administrateur système ainsi que le lieu de celle-ci.
Le jour de l'attaque, l'administrateur système post un déjeuner pour l'anniversaire de sa mère. Il est donc possible de prouver qu'il n'était pas devant son ordinateur à ce moment-là. Voici le post en question :
Déjeuner d'anniversaire avec ma mère et mon frère. Beaucoup de rires, un bon resto, et une tarte maison. 💛 #Famille
Afin de répondre à la question de la localisation de l'administrateur système il suffit de télécharger l'image du post et d'analyser les données EXIF. Pour cela, il faut utiliser la commande suivante :
exiftool restau-DY-cgmde.png.jpg
Ce qui renvoie les données EXIF suivantes :
...
GPS Latitude : 48 deg 50' 47.18"
GPS Longitude : 2 deg 17' 43.73"
GPS Altitude Ref : Above Sea Level
Image Size : 1268x1405
Megapixels : 1.8
GPS Altitude : 10 m Above Sea Level
GPS Position : 48 deg 50' 47.18", 2 deg 17' 43.73"
Comme la réponse attendue est en degrés décimaux, il faut convertir les coordonnées GPS. Pour cela, il est intéressant d'utiliser un site comme GPS Coordinates afin d'avoir l'adresse exacte et de connaître le restaurant où l'administrateur système était le jour de l'attaque.
En convertissant les coordonnées GPS, nous obtenons les coordonnées souhaitées.