DFIR
Stage

Digital Forensic & Incident Response NAS

Description du poste

Synacktiv recherche un·e stagiaire (F/H) en sécurité informatique, pour une durée de 6 mois, capable de participer à l’extension de son arsenal. Le·a stagiaire sera également amené·e à prendre part à des missions de réponse aux incidents, afin d’acquérir une meilleure vision du métier et de la manière dont le sujet pourrait en pratique être utile dans le cadre de ces missions.

Dans le cadre d’une investigation numérique, le CSIRT Synacktiv est amené à analyser des serveurs de fichiers en particulier des NAS (Network Attached Storage). Ces équipements ont généralement un système d’exploitation spécifique, embarquent des logiciels développés par l’éditeur (sauvegarde, synchronisation cloud, explorateur de fichiers Web, etc.) ou des logiciels OSS (partage de fichiers Windows, supervision SNMP, etc.). L’objectif de ce stage est de mener une étude sur un ou plusieurs NAS afin d’identifier des méthodes d’acquisition de la donnée, les journaux d’intérêt ainsi que des artefacts forensics (des fichiers dont le contenu permet indirectement de tracer une activité). On se placera notamment dans le cas d’une investigation numérique suite à une intrusion informatique: le serveur NAS est utilisé comme rebond dans le réseau ou directement accéder pour voler des données. En mettant à profit les connaissances acquises, le·a stagiaire sera amené·e à produire une méthodologie d’analyse, réaliser des signatures d’identification d’activité (yara/ioc) et développer des scripts/codes de collecte, voire d’analyse. Dans le cas où le NAS supporte des applications, il pourra être étudié la réalisation d’une application spécifique à l’écosystème du NAS étudié (type Synology Packages). Une étude matérielle du dispositif pourra également être réalisée en fonction des capacités d’acquisition proposées par le NAS. L’étude portera en priorité sur le système fichier embarqué sur le NAS (flash / disque dur) et la mémoire volatile du serveur.

Une étude des logiciels parfois poussés sur le poste de travail (Windows, Linux ou MacOS) pourra également être envisagée selon l’avancement du stage et les choix méthodologiques. En première intention, les éditeurs Synology / Qnap / WD seront privilégiés pour ce stage. Enfin, à l'issue du stage, l'intéressé·e sera encouragé·e à publier une série d'articles sur les résultats obtenus (blog Synacktiv, Intercert-France).

Synacktiv dispose d’une expertise avancée en matière d’analyse matérielle : la mise en application des travaux déjà réalisée sur les NAS pourra être utilisée (internals du NAS, moyens hardware d’acquisition des données). Ainsi le·a stagiaire sera amené·e à travailler avec le pôle rétroconception de Synacktiv.

Ce stage peut déboucher sur un CDI d'expert sécurité dans le pôle réponse à incident de Synacktiv.

Profil recherché

  •  Forte volonté d'apprendre sur les aspects techniques liés à l’investigation numérique et aux systèmes d’exploitation ;
  •  Connaissances de langages de programmation (Python, compilation/debug programme ARM) et savoir adapter un programme à un nouvel environnement ;
  • Connaissance de Linux : services, système de fichiers, administration, mémoire, gestion des périphériques, réseau ;
  • Savoir conduire une démarche analytique rigoureuse : la méthodologie s’applique à un cadre de traitement d’un incident de sécurité ;
  •  Anglais et français indispensables.

Rémunération

  • Stage : 1 800 € brut par mois. Bonus en fonction des résultats.
  • Puis, si passage en CDI : 43 200 € brut par an.

Localisation

Poste basé à Paris (métro Grands Boulevards) ou Toulouse (métro François Verdier).

Postuler

Merci d'envoyer votre demande à apply@synacktiv.com.