**Convaincu qu’une intrusion a pu se produire durant le sommet,** période où les contrôles de sécurité étaient relâchés, le RSSI vous confie une mission sensible. Votre objectif est d’analyser les mouvements et comportements du personnel ainsi que des invités afin de déceler toute activité suspecte.
À vous de mener l’enquête avec rigueur et méthode : saurez-vous identifier les indices cachés et révéler ce qui s’est réellement passé ?
## Objectif de la mission :
Identifier une potentielle intrusion physique ayant conduit à la fuite de données sensibles.
## Documents mis à votre disposition :
- Liste des employés de MindCure
- Logs des badgeuses du bâtiment
- Carte d’invitation officielle distribuée aux visiteurs
Documents complémentaires fournis par le RSSI (notes internes, extraits de plan, signalements anonymes…)
## Votre rôle :
Analyser les mouvements et activités dans le bâtiment le jour de l’événement. Chaque détail compte : une anomalie, un oubli ou une incohérence pourrait être la clé de l’enquête.
La première etape consiste à confronter les différentes sources d'information fournies. En consultant le document planning.pdf, on remarque que le 29 mars 2025 à 14 h 00 se tient une conférence importante. Cette présentation est animée par Alysson Klocko, identifiée comme cheffe de projet. Elle est donc censée rester devant un public, ce qui l'empêche de circuler librement dans le bâtiment.
Afin de confirmer l'identité et le numéro de badge d'Alysson, nous consultons ensuite le fichier employes.csv. On y retrouve l'enregistrement suivant :
Ce résultat permet d'associer le badge 1081 à Alysson Klocko.
Nous pouvons alors passer à l'examen du fichier logs_badges_29_03_25.csv, qui consigne l'ensemble des passages validés par les badgeuses le jour de l'incident. En filtrant les entrées relatives à l'ID 1081, plusieurs utilisations apparaissent.
Le filtrage peut s'effectuer de cette façon en ouvrant le fichier sur Excel :
La colonne 1 correspond aux horodatages des actions et apparaît sous forme de timestamps Unix (par exemple 1 743 258 030.0). Ce format n'est pas directement lisible comme une date, il représente le nombre de secondes écoulées depuis le 01 janvier 1970 (UTC). On peut convertir les timestamps en date lisible avec un convertisseur en ligne :
Le site utilisé ici est epochconverter.com .
Ce log indique que le badge d'Alysson a été utilisé à 14 h 20 min 30 s (GMT+0) pour accéder à une badgeuse. Or, à ce moment précis, elle se trouvait officiellement en conférence devant un public.
Cette contradiction entre le planning de l'événement, les informations RH et les journaux d'accès prouve que le badge d'Alysson Klocko a été utilisé de façon frauduleuse pendant son intervention. Ce nom est la solution de la première question.
Une fois identifié que le badge 1081 (Alysson Klocko) est impliqué, l'étape suivante consiste à trouver l'heure précise à laquelle l'accès suspect a eu lieu.
Pour une analyse plus poussée de logs_badges_29_03_25.csv une conversion des timestamps de tout le fichier est indispensable pour obtenir une date et une heure interprétables. Excel ne sait pas les interpréter directement, il faut donc les transformer en un format exploitable.
La première étape consiste à nettoyer les données. Comme le .0 à la fin n'apporte aucune information, on le supprime avec l'outil de recherche/remplacement (Ctrl+H) en recherchant .0 et en le remplaçant par vide. On obtient alors une colonne ne contenant que des entiers purs comme 1743258250.
Ensuite, on crée une nouvelle colonne dédiée à la conversion. Dans la cellule voisine de la première valeur (par exemple A5110 si le timestamp brut est en B5110), on saisit la formule suivante :
Cette formule décompose le nombre de secondes en jours pour qu'Excel puisse les comprendre et ajoute comme point de départ la date du 01 janvier 1970. Une fois la formule entrée, on la recopie sur toute la colonne en tirant vers le bas. Les résultats affichés sont des nombres à virgule. Pour les rendre lisible, il suffit d'appliquer un format de date/heure : clic droit sur la colonne → Format de cellule → Date (ou Personnalisée) → et choisir jj/mm/aaaa hh:mm:ss.
On peut maintenant retracer les actions prises par l'intrus. On voit qu'à partir de 14:20:30 il y a eu des déplacements dans le bâtiment et 4 portes ont été ouvertes consécutivement (AC=1). Puis le badge a été utilisé pour ressortir des pièces dans le sens inverse (AC=0). On en déduit que l'intrus a pénétré dans la pièce qui correspond à la dernière porte ouverte. Le flag est l'heure correspondante à cette action.
Une fois l'heure de l'intrusion identifiée, l'étape suivante consiste à comprendre où le badge a été utilisé. Le fichier logs_badges_29_03_25.csv contient une colonne HID : elle enregistre l'adresse IP de la badgeuse utilisée, mais pas le nom de la salle.
On a compris à l'étape précédente que le badge a été utilisé pour entrer dans 4 pièces différentes avant de faire le chemin inverse. On peut croiser ces adresses IP avec le plan du bâtiment où les badgeuses sont indiquées. Cette corrélation permet d'établir qu'un trajet ouvrant 4 portes sans faire demi-tour donne acces au bureau du Laboratoire A.
Le flag est la liste des IP des badgeuses utilisées dans l'ordre : 172.16.0.37 -> 172.16.0.144 -> 172.16.0.11 -> 172.16.0.155
