Large panorama des méthodes informatiques criminalistiques
Outils et méthodologies informatiques
Méthodologies
Une quinzaine de méthodologies ont été inventées aux Etats Unis entre 2002 et 2011 mais aucune n’est réellement universellement utilisée dans l’investigation car elles dépendent toutes de l’environnement dans lequel évolue la scène de crime. Je vais donc vous présenter la généralisation suivante :
- La saisie consiste à récupérer et sceller le matériel suspecté d’être à l’origine d’un acte malveillant pour l’analyser en laboratoire. Cette étape se fait par l’expert en présence d’un représentant des forces de l’ordre.
- La recherche d’informations s’effectue selon des méthodologies respectant des motifs connus. Ici, un important travail de prise photographique et de copies numériques des supports est réalisé.
- Dans l’informatique légale, les données collectées sont copiées. Un hash de l’original de l’image est réalisé et conservé.
- L’analyse s’effectue sur les copies, jamais sur les originaux. Au travers de cette analyse, des hash de l’ image sont réalisés et comparés au hash initial pour déterminer si l’image a bien gardé le même état.
- Les preuves digitales sont ensuite mises sous scellés et conservées pour servir en cour de justice. Chaque preuve est accompagnée d’une empreinte MD5 qui la rend unique et atteste de son intégrité.
- Les preuves sont comparées à la version des faits d’un suspect pour démontrer leur véracité. Puis, elles sont utilisées en cour de justice. Plus elles sont pertinentes, plus elles rapprochent la justice de la vérité sur une affaire.
Boîte à outils
La boîte à outils de l’expert est généralement composée de logiciels … :
| Système d’exploitation hautement sécurisé (DEFT, SIFT, Helix, Kali Linux) |
| Analyse des logs PC, logiciels, Smartphones, Caméras (Autopsy, PhotoRec ) |
| Analyse des navigateurs (WebLog, Dumpzilla) |
| Analyse de la RAM |
| Analyse des périphériques connectés (NetSleuth) |
| Analyse des fichiers |
| Analyse des métadonnées de fichiers (ExifTool) |
| Analyse des emails |
| Virtualisation (Sandbox, Oracle VM VirtualBox) |
| Cassage de mots de passe (OphCrack, Crack, John The Ripper) |
| Cassage de clés WiFi (Aircrack) |
| Analyse réseau (Wireshark, NetSleuth, Snort) |
| Récupération de fichiers supprimés (TestDisk) |
| … |
… et de matériels :
| Câbles (réseau, croisé, série, USB) |
| Adaptateurs |
| Connecteurs |
| Ordinateur portable |
| Disque dur grosse capacité, sécurisé par biométrie |
| DVD et CD à graver |
| Clé USB bootable pour des systèmes et logiciels en Live CD (Ophcrack) |
| Stylos et papier ou dictaphone numérique |
| Multiples tournevis toutes tailles, toutes formes |
| Lampe électrique |
| Ruban adhésif patafix, élastiques et colliers |
| Vis, trombones |
| Appareil photo |
| … |
Certains outils peuvent être obtenus gratuitement. Les autres ont un prix conséquent :
| Outil de récupération de données | 39 - 1000 $ |
| Scanner de fichiers et d'image disque | 495 - 3995 $ |
| Scanner d’emails | 394 - 769 $ |
| Extracteur de données sur smartphones | 229 $ |
| Système d’exploitation sécurisé | 139 - 239 $ |
| Duplicateur physique de supports de données | 3300 $ |