Est-il sûr d'analyser des images mémoire en ligne ?
3 min de lecture
Une image RAM est l'artefact le plus sensible d'un cas typique. Mots de passe en clair, tickets Kerberos, clés de session TLS, jetons porteurs, documents déchiffrés, données personnelles en mémoire, tout y est, dans l'espace d'adressage des processus, à la disposition de quiconque peut faire un grep. Envoyer ce fichier à un SaaS tiers est un vrai risque, qu'un examen interne contesterait à juste titre. ramparser est conçu pour que la question ne se pose pas.
Le modèle de confidentialité en termes concrets
- L'image ne quitte jamais l'appareil. Vous choisissez un fichier
local. Le navigateur le lit par plages via
FileReaderSyncà l'intérieur d'un Web Worker. Aucun point d'envoi n'existe pour le contenu mémoire, non par politique mais par code manquant. - L'analyse est en WebAssembly local. Le moteur forensique est en Rust compilé vers WASM et tourne dans votre onglet. Aucune analyse côté serveur n'existe. La page statique elle-même est livrée depuis un CDN ; tout ce qui suit est local.
- Seul un identifiant de build public est récupéré. Pour la
précision des symboles sur Windows, ramparser envoie uniquement
le GUID et l'âge du PDB noyau (le même identifiant que toute machine
de ce build Windows annonce) à un proxy qui renvoie le PDB
ntoskrnlpublic de Microsoft. Aucun octet de votre image ne fait partie de cette requête.
Ce qui est envoyé hors de l'appareil, exactement
| Donnée | Quitte le navigateur ? |
|---|---|
| Contenu de l'image mémoire | Jamais |
| Listes de processus / sortie des plugins | Jamais (rendu local) |
| GUID + âge du PDB noyau (public) | Oui, pour récupérer les symboles correspondants |
L'identifiant PDB ne révèle que le build de l'OS (par ex. un niveau de patch Windows 10). Il n'est pas spécifique à votre machine, votre affaire ni votre utilisateur.
Bonnes pratiques en plus de l'outil
L'outil garde l'image locale. Le reste de la discipline de chaîne de possession reste à votre charge :
- Travaillez sur une copie, jamais sur le fichier de preuve original.
- Hashez l'image (SHA-256) avant et après toute manipulation. Enregistrez le hash dans vos notes d'affaire.
- Exécutez ramparser sur un poste de confiance. Un poste d'analyse compromis fuit encore via la mémoire processus du navigateur.
- Pour les récupérations de symboles Windows en environnements restreints, miroitez le serveur de symboles public Microsoft à l'intérieur de votre réseau DFIR et redirigez les requêtes PDB de ramparser vers lui.
Pourquoi cela compte en pratique
La mémoire contient des secrets qui survivent au chiffrement disque. Les clés BitLocker se trouvent en mémoire sur un hôte en marche. Clés de session SSH, cookies de session navigateur, jetons OAuth, contenu de toute fenêtre de chat privée, tout est récupérable depuis la RAM avec les bons plugins. Un environnement réglementé (santé, finance, défense, gouvernement) ne peut pas accepter un flux qui envoie ces octets à un tiers, indépendamment de TLS, du statut SOC2 du fournisseur ou de la politique de rétention annoncée.
L'analyse locale supprime entièrement la question.