Protection 📝 Détection et prévention de la falsification d’horodatage (Timestomping)

[Sylvain*]

Détection et prévention de la falsification d’horodatage (Timestomping)

Introduction

Le timestomping est une technique employée par les attaquants pour modifier les métadonnées temporelles d’un fichier, dans le but de masquer son origine, sa date de création ou de modification. Cette méthode est particulièrement utilisée dans les attaques furtives, pour éviter la détection lors d’analyses forensiques ou par des solutions de sécurité chronologiques. Les malwares et outils offensifs comme Metasploit, PowerShell Empire, ou des scripts personnalisés permettent d’altérer ces horodatages afin de se fondre dans la masse des fichiers système légitimes. Ce guide détaille les étapes de détection, d’analyse et de protection contre ces manipulations.

---

Prérequis

• Connaissance approfondie de Windows

• Familiarité avec les attributs de fichiers NTFS

• Compétences en analyse forensique et en ligne de commande

• Droits administrateurs nécessaires

---

Niveau de difficulté

• Étape #1 : Compréhension des horodatages NTFS

• Étape #2 : Identification de fichiers falsifiés

• Étape #3 : Utilisation d’outils de forensique

• Étape #4 : Surveillance active des changements de métadonnées

• Étape #5 : Mise en place de protections préventives

---

Les Avantages

• Étape #1 : Détection de fichiers modifiés frauduleusement

• Étape #2 : Renforcement de l’analyse forensique

• Étape #3 : Meilleure traçabilité des accès aux fichiers

• Étape #4 : Réduction de la surface d’évasion possible

• Étape #5 : Conformité avec les normes d’intégrité des données

---

Les Inconvénients

• Étape #1 : Techniques avancées parfois difficiles à détecter

• Étape #2 : Analyse chronophage des logs systèmes

• Étape #3 : Risque de faux positifs sur fichiers système

• Étape #4 : Outils spécialisés parfois coûteux

• Étape #5 : Maintenance continue nécessaire des mécanismes de détection

---

Étape #1

Connaître les 4 horodatages NTFS : création, modification, accès, changement MFT

Utiliser la commande

dir /T:C /T:A /T:W

Comparer les dates pour détecter les incohérences

Lister les fichiers par date avec :

powershell "Get-ChildItem -Recurse | Sort-Object CreationTime"

---

Étape #2

Identifier les fichiers récemment créés mais datés dans le passé

Contrôler avec Log Parser ou PowerShell les accès suspects

Rechercher des fichiers non signés ou dans des répertoires inhabituels

Établir une ligne de base des horodatages normaux pour comparaison

---

Étape #3

Utiliser FTK Imager ou Autopsy pour inspecter les métadonnées brutes

Vérifier les journaux d’audit avec Event Viewer

Rechercher les processus ayant accédé ou modifié les fichiers

Croiser les logs de sécurité, de création et de modification

---

Étape #4

Activer l’audit des objets :

Gpedit.msc > Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d’audit > Audit de l’accès aux objets

Configurer l’audit sur les répertoires critiques via Advanced Security Settings

Superviser les événements Event ID 4663

Intégrer les alertes à une solution SIEM pour corrélation

---

Étape #5

Bloquer les outils de timestomping avec AppLocker

Surveiller l’usage de SetFileTime, Touch.exe, PowerShell Set-ItemProperty

Établir des listes blanches de logiciels autorisés

Appliquer des règles d'intégrité des fichiers avec Windows Defender ou OSSEC

---

Astuce

Automatisez la détection des incohérences de date avec des scripts PowerShell exécutés régulièrement en tâche planifiée, exportant les résultats vers un journal sécurisé.

---

Mise en garde

La modification manuelle des horodatages de fichiers à des fins de test peut créer des conflits avec les solutions de sauvegarde, d’archivage ou de sécurité. Ces opérations doivent être isolées en laboratoire.

---

Conseil

Conservez des copies de référence (hash + horodatages) des fichiers critiques et analysez périodiquement les écarts avec des outils comme FCIV ou Hashdeep.

---

Solutions alternatives

• détection timestomping windows

• analyse métadonnées fichiers ntfs

• timestomping forensics ntfs powershell

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

Le timestomping est une méthode efficace pour masquer l’activité malveillante sur un système Windows, mais il peut être contré par une surveillance approfondie, l’usage d’outils de forensique et la mise en place de politiques d’intégrité rigoureuses. Ce guide permet d’identifier et d’empêcher la falsification des métadonnées temporelles pour renforcer la résilience du système.