24 novembre 2011

Effacement

Dans ce dossier de recherche d'images et de vidéos pédopornographiques, la justice me demandait de retrouver également tous les contacts sur l'ordinateur mis sous scellé.

Me voici en train de procéder à l'analyse du disque dur, après avoir ouvert le scellé et effectué la copie de travail du disque dur (copie identique en tout point à l'original). Comme d'habitude, je commence par créer une machine virtuelle fonctionnelle pour pouvoir me promener sur le disque dur avec l'explorateur de fichiers, afin de me faire une première idée de l'organisation générale, avant de lancer la grosse artillerie pendant des heures. Et là, je constate que les fichiers ont été effacés avec un utilitaire de nettoyage en profondeur... Plus aucune trace de quelque fichier que ce soit appartenant à l'un des utilisateurs de l'ordinateur, à part les fichiers et dossiers systèmes et les applications installées.

Bon.

Je lance quand même l'analyse avec mes outils habituels (Sleuthkit, etc), je trie les photos et films récupérés dans les différentes zones du disque dur non traitées par le nettoyage soi-disant en profondeur (zone non allouée, fichier hiberfil.sys et pagefile.sys principalement) et remplis ma mission en mon honneur et ma conscience (cf serment sous le titre du blog) en mettant de côté tout ce qui ressemble de près ou de loin à des données pédopornographiques. J'y passe quelques week-ends et quelques nuits.

Mais de contacts point. A part quelques bribes d'adresses emails récupérées difficilement par des scripts de recherche lancés sur toutes les données du disque dur susceptibles de stocker des adresses en clair (essentiellement des fichiers de logs).

Avant de commencer à rédiger mon rapport et de fournir les données trouvées, je recommence un tour d'horizon manuel du contenu non effacé du disque dur. Et sur le compte de l'utilisateur Droïdekas, je tombe sur le répertoire suivant:
"C:\Documents and Settings\Droidekas\Application Data\Apple Computer\MobileSync\Backup"
contenant deux sous-répertoires codés.

Tiens, tiens.

Je lance mon moteur de recherche favori Duck Duck Go Yippy Google, qui me confirme qu'il s'agit bien là de la sauvegarde d'un iPhone associé à cet ordinateur.

Il se trouve que je ne suis pas spécialisé dans l'analyse inforensique de ce que nos amis polynésiens appellent un Vini, nos voisins suisses un Natel, nos cousins québécois un cell, mes enfants un portable et moi un téléphone mobile. Encore moins dans l'analyse des smartphones.

Mais Google est mon ami, et une recherche à peine poussée me permet de trouver un petit programme qui s'appelle iPhone Backup Extractor. Une fois téléchargé, antivirus-analysé, installé sur une machine virtuelle, testé, validé, et payé, je peux procéder à la récupération de toutes les données sauvegardées de cet iPhone.

Et bien entendu, de tous les contacts de l'utilisateur.
Et des SMS.
Et des rendez-vous.
Et des images et vidéos.

Cela m'a donné deux semaines de travail supplémentaire, porte de bureau fermée, avec une pensée pour ce newbie en matière de disk wiping.

Il ne faut jamais être trop confiant en matière d'effacement de traces.

25 commentaires:

  1. Bonjour,

    J'avais lu quelque part que certains organismes spécifiques (comprendre bourrés de moyens, avec salle blanche et matériel de pointe) arrivaient encore à lire des données après plusieurs formatage successifs et que seul la destruction physique d'un disque pouvait protéger des données sensibles. Bien entendu, même sans des moyens énormes, il est toujours possible de sauver quelques fichiers effacer avec des logiciels spécifiques d'analyse.

    Du coup, vous parlez d'effacement, mais le cryptage des données ne représente pas un risque plus grand ?

    Je lisais un article sur le blog de Korben qui parlait des softwares type TrueCrypt qui permettent de chiffrer tout un disque dur et de rendre le déchiffrement impossible et incontournable si l'on ne possède pas le mot de passe associé. Cet article précise que ce genre de logiciel rend la vie dure aux enquêteurs de tout poils.

    Du coup, je me suis demandé si ce cas de figure s'était déjà présenté et ce que vous avez fait / feriez ?
    La justice peut-elle obliger un suspect à donner son mot de passe pour que vous puissiez continuer vos investigations ou vous devez nécessairement vous débrouiller avec ce que vous avez ?

    Je ne sais pas si vous permettez d'ajouter des liens dans les commentaires. Je le donne quand même, n'hésitez pas à le retirer si cela gêne et je m'en excuse par avance.
    => http://korben.info/une-technologie-qui-empeche-la-police-de-faire-correctement-son-travail.html

    RépondreSupprimer
  2. "je constate que les fichiers ont été effacés avec un utilitaire de nettoyage en profondeur..."

    Question : Comment peut-on affirmer qu'il y'a eu nettoyage ?
    Comment être certain que les fichiers étaient bien là avant ?
    Est-ce que la présence d'un logiciel de ce type dans la liste des logiciel installés est suffisante ?


    L'histoire est intéressante et fait sourire, merci de la partager !


    Je suis également intéressé sur le point soulevé par QuiPhenix :
    Si un policier me demande mon mot de passe, dois-je lui révéler ?
    Qu'est-ce que je risque si je ne le donne pas ?
    Que dit la loi à ce sujet ?

    RépondreSupprimer
  3. @QuiPhenix: De manière générale, "à l'impossible nul n'est tenu". Les magistrats ne peuvent en vouloir à un expert judiciaire qui ne peut ouvrir un container TrueCrypt. En pratique, avec un peu d'astuce, on peut y arriver.

    RépondreSupprimer
  4. @Anonyme: Les utilitaires de nettoyage laissent en général une signature de leur passage (ex: succession typique de blocs de 256 octets, etc). De toute manière, l'absence de tout fichier utilisateur et la présence d'un programme d'effacement sont des indices très forts. Dans un rapport, il faut le préciser comme cela et ne pas oublier que l'on ne sait pas qui a voulu effacer les traces.

    Concernant vos trois dernières questions, je ne suis pas assez qualifié pour y répondre. Un avocat saurait vous conseiller.

    Je dirais simplement à titre personnel que cela dépend de votre force à vouloir protéger votre vie privée.

    RépondreSupprimer
  5. bien joué ;)
    un lien vers un article sur le "one pass wiping"
    http://exploitability.blogspot.com/2011/10/la-destruction-de-donnees-sur-disque.html
    Cdlt

    RépondreSupprimer
  6. Quelque chose m'échappe sur ces histoire de "wiping". Pourquoi effacer les fichiers quand on peut tout simplement les transformer en "bouillie d'octets" ?
    Je ne parle pas d'un Truecrypt, mais simplement d'un bout de code qui va prendre chaque fichier, et remplacer chaque octet par un autre choisi au hasard. Le processus est irréversible.

    Je crois savoir que ce genre de technique n'est pas garantie à cause de la commande TRIM, mais dans le cas de HDD traditionnels, ça devrait rendre tout fichier "détruit" totalement inutilisable, non ?

    RépondreSupprimer
  7. @AntoineViau: Remplacer des octets valides par des blocs d'octets à zéro efface complètement le fichier. Rien en sert d'utiliser des blocs d'octets aléatoires, sauf à être plus long (et c'est déjà assez long comme cela).

    Par contre, pour éviter l'analyse électronique des surfaces du disque dur (analyse basée sur la rémanence électromagnétique) il est conseillé d'écrire plusieurs fois sur chaque emplacement, et si possible une valeur différente. Votre proposition est donc correcte et utilisée dans le cas de logiciels à plusieurs passes (et c'est tréééééés long;)

    RépondreSupprimer
  8. Vu les densités... êtes-vous certain que l'analyse (microscopie electronique ou autre) surfacique ait encore un sens?

    Il y a 15 ans, peut-être... mais désormais, plusieurs passes est-ce que ça a encore vraiment un sens?

    Bon, dans certaines boites on a encore, quand qqun démissionne, le HDD extrait par l'agent de sécurité, taillé en 2 et plongé dans un bain d'acide en présence du démissionnaire... mais on connait la force des habitudes :o)

    RépondreSupprimer
  9. Hello! comment avez vous pu oublier l'excellentissime "foremost" après avoir utiliser eraser avec méthode gutmann ,foremost as pu récupérer photo vidéos , fichiers texte en qualité d'origine.c'est l'arme ultime de récup de données ( et gratos :p )

    RépondreSupprimer
  10. J'ai rien compris...
    Mais alors là, rien compris.

    RépondreSupprimer
  11. @lambertine: le suspect a cherché à effacer toutes les traces compromettantes mais a oublié le mécanisme de sauvegarde automatique de son smartphone.

    RépondreSupprimer
  12. Avec l'avènement des controle des smartphones par la justice, avez vous eu des cas d'étude de récupération de données sur la plupart de ces modèles d'appareils et si oui est ce la même chose que pour un pc, merci Mr Zythom

    RépondreSupprimer
  13. Depuis longtemps la justice demande le contenu des communications. Aussi, dès la sortie des premiers smartphones, les experts judiciaires ont été sollicités. Pour ma part, je me sens incompétent pour l'analyse de ce type de device, je ne souhaite pas acquérir cette compétence ni le matériel très onéreux que cela nécessite.

    RépondreSupprimer
  14. Bonjour,

    je decouvre ce blog, et en meme temps un univers qui m'était inconnu jusque là, c'est très interessant, merci de partager. (même si vos explications dépassent de très loin mon incompétence informatique...)

    RépondreSupprimer
  15. Merci pour ce blog ^^ pendant les pauses au boulot c'est parfait !

    bon courage et bonne continuations nous attendons les autres posts avec impatience !

    RépondreSupprimer
  16. Est-il vrai qu'avec les photos et autres données sauvegardées dans les spmartphones il y a aussi les coordonnées gps, notamment des lieux où ont été pris les photos ?

    RépondreSupprimer
  17. @Poilauxpattes: Beaucoup d'appareils disposent de cette possibilité que l'on appelle "geotagging". Il est en général possible de l'activer/désactiver. Par exemple sur l'iPhone.

    RépondreSupprimer
  18. Bonsoir,

    Supposons que l'utilisateur pousse le vice jusqu'à supprimer toutes ses données téléphoniques.

    Vous arrive t'il parfois de devoir contacté les opérateurs téléphoniques pour, si c'est possible bien entendu, avoir plus d'information sur ses recherches à l'aide de la 3g, ou ses sms?
    Bonne soirée.

    RépondreSupprimer
  19. Bonsoir,

    Lorsque l'utilisateur à eu le "bon sens" d'effacer y compris ses données téléphoniques, que ce soit sur le téléphone même ou le backup, avez vous le droit de demander à son opérateur un historique de ses recherches, géolocalisations, et toutes données que ces même opérateurs intrusifs peuvent avoir conservées?
    Bonne soirée.

    RépondreSupprimer
  20. @jzcku et Oursobors: Un expert judiciaire doit strictement suivre les missions fixées par le magistrat qui l'a nommé. Il m'arrive, dans ce cadre, d'indiquer au juge que l'ordinateur montre des traces intéressantes qui désignent un téléphone mobile, auquel cas, le magistrat peut (s'il le souhaite) ajouter comme mission de remonter jusqu'aux opérateurs. Il rédige alors une commission rogatoire qui ouvre les portes des opérateurs. L'expert judiciaire n'a pas ce pouvoir, mais sert alors de contact technique du juge auprès des opérateurs. C'est d'ailleurs la même chose auprès des FAI.

    RépondreSupprimer
  21. Merci pour votre réponse précise et éclairante et désolé pour ce double post :)

    RépondreSupprimer
  22. Question pratique toute bête : si vous devez comme ici acquérir un logiciel spécifique, pouvez-vous en obtenir remboursement, ne serait-ce que partiel ?
    Car au lu de quelques uns de vos posts, non seulement le matériel nécessaire, mais les logiciels (heureusement que l'Open source existe) et surtout le temps passé, semblent sans mesure avec ce que vous pouvez obtenir comme rétribution ...
    Et sans moyens adéquats, l'expertise n'aboutit pas forcément à des résultats aussi probants !

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.