Verification d'empreinte forensique.

Pratique consistant a calculer et comparer des empreintes cryptographiques (generalement MD5 et SHA-256) des images forensiques et des supports sources pour prouver l'integrite des preuves. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.

Pratique consistant a calculer et comparer des empreintes cryptographiques (generalement MD5 et SHA-256) des images forensiques et des supports sources pour prouver l'integrite des preuves.

La verification d'empreinte forensique est la pratique fondamentale qui consiste a calculer des empreintes cryptographiques telles que MD5, SHA-1 et SHA-256 sur la preuve numerique et a les comparer a chaque etape pour demontrer que la preuve n'a pas ete modifiee. Pendant l'acquisition, des bloqueurs d'ecriture materiels ou logiciels et des outils comme FTK Imager, Guymager ou 'dd' calculent l'empreinte du support source et celle de l'image obtenue ; les empreintes doivent correspondre. Le re-hash sur la station de travail et a chaque transfert ou restauration est documente dans la chaine de custody. Des normes comme NIST SP 800-86, les bonnes pratiques SWGDE et ISO/IEC 27037 imposent un double hash (MD5 + SHA-256) car MD5 n'est plus resistant aux collisions. Des jeux d'empreintes comme la NIST NSRL aident aussi a filtrer les fichiers connus comme legitimes.

Les défenses contre Verification d'empreinte forensique combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Hash de preuve, Verification d'empreinte d'image, Hashing forensique.