02 février 2016

L'analyse d'un disque dur et les poupées russes

J'arrive d'un tribunal relativement lointain où j'ai du me rendre pour aller chercher un scellé. Je le sors de ma voiture et le dépose dans mon bureau. Il s'agit d'un ordinateur assez banal sur lequel j'ai assez peu d'informations : son propriétaire est soupçonné dans une affaire brassant pas mal d'argent et le magistrat me demande de retrouver des images de complices pour lui permettre de démontrer que l'utilisateur de l'ordinateur était bien en contact avec eux...

Je prends quelques photos du scellé avant de l'ouvrir.

L'ordinateur contient plusieurs disques durs que je prends en photo. Ceux-ci sont reliés à une carte RAID. Aïe. Cela va compliquer l'analyse.

Je note scrupuleusement tous les branchements, ainsi que le positionnement des différents disques durs, et je relève leurs caractéristiques individuelles. Je note également la marque et le modèle de la carte contrôleur RAID. Dans le cadre de mon travail de responsable informatique dans une école d'ingénieurs, j'ai l'habitude de plusieurs configurations RAID : RAID logiciel, RAID matériel, RAID 0, 1, 5 et 6. Je sais d'expérience qu'il existe des cartes RAID plus ou moins exotiques. Celle que j'ai sous les yeux ne m'est pas inconnue.

En matière d'analyse inforensique d'un groupe de disques RAID, vous pouvez réaliser une image bit à bit de chaque disque séparément, indépendamment du contrôleur RAID. Vous pouvez également faire une image du disque globalement à travers le contrôleur RAID, avec le risque de rater une partition cachée par le firmware du contrôleur.

Je ne prends pas de risque : je prends dans mon stock de disques durs des disques ayant les bonnes capacités, et je procède aux prises d'images : une première prise d'images de chaque disque par sécurité (au cas où l'un d'entre eux tombe en panne), une image globale à travers le contrôleur RAID, puis un clonage de chaque disque pour reconstruction du RAID sur ma propre carte RAID afin de pouvoir démarrer l'ordinateur sur des disques différents. Bref, c'est ceinture ET bretelle.

Une fois que j'ai enfin la possibilité de regarder le contenu du groupe de disques durs, je commence mon analyse "primaire" par la recherche d'images. Au bout de quelques jours, je me rends à l'évidence : il n'y a rien d'intéressant.

Je regarde alors les différents logiciels installés, et je vois qu'un logiciel de virtualisation est présent sur le disque dur, ainsi que plusieurs machines virtuelles. Intéressant :-)

Je récupère une copie de chaque image virtuelle et je procède à leur analyse. La plus intéressante est celle dont la date d'utilisation est la plus récente. Il s'agit d'une machine Windows. Je recommence une analyse complète. Rien.

La machine est plutôt "propre", avec peu d'informations en cache et en base de registres. Je note la présence du logiciel "CCleaner" que je connais bien pour ses capacités de nettoyage mais aussi pour sa fonction "effaceur de disques". Je regarde dans cette direction. Pas concluant.

Je trouve dans le répertoire de l'utilisateur quelques fichiers cc_XXX.reg typique du nettoyage par CCleaner de la base de registres. Ce sont des sauvegardes des clefs de registres qui vont être supprimées par CCleaner. Je regarde le contenu de ces fichiers et je tombe sur une information qui m'intéresse au plus haut point : la machine virtuelle Windows a contenu un jour un logiciel (effacé depuis) de stéganographie...

En informatique, la stéganographie est une technique permettant de cacher de l'information dans un fichier. Avec le nom du logiciel, je cherche sur internet, et je découvre que sa particularité est de cacher des images dans d'autres images. Bien.

Je récupère toutes les images présentes sur l'ordinateur, et sur les différentes machines virtuelles.

Je récupère tous les mots de passe présents sur l'ordinateur et ses machines virtuelles, via les outils de récupération des comptes Windows, mais surtout via les différents emails encore présents sur les différents supports (lire le billet "Cracker les mots de passe").

Je récupère le logiciel de stéganographie sur internet. Je fais plusieurs essais sur mon ordinateur pour me familiariser avec le logiciel. C'est assez ludique.

Je me rends compte alors d'un réflexe que j'ai, à savoir de conserver une version originale de l'image dans laquelle je vais cacher l'information. J'ai donc deux fois la même image, mais avec des tailles différentes.

Je recherche sur le scellé toutes les images identiques mais de tailles différentes. J'en trouve dix !

Je teste le logiciel de stéganographie, avec ces images et tous les mots de passe que j'ai pu récupérer. BINGO ! L'un des mots de passe a été utilisé pour insérer des images dans d'autres images sur la machine virtuelle Windows.

Je récupère toutes les images cachées. Il s'agit de documents scannés contenant les noms et signatures des personnes mentionnées dans mon ordonnance de désignation.

Je préviens le magistrat par téléphone. Il me dit que cela conforte d'autres éléments de preuve. Je suis un peu déçu, mais j'attaque la rédaction de mon rapport. Il va me falloir être pédagogue pour expliquer tout cela clairement.

Parfois l'enchaînement des opérations que je note sur mon cahier d'investigation me fait peur. Et si je n'avais pas fait telle ou telle recherche ? Et si je n'avais pas vu telle ou telle information ?

Ici, l'information intéressante se trouvait cachée dans des images, qui se trouvaient dans une machine virtuelle stockées dans une grappe de disques durs... Un empilement de poupées russes que j'aurais très bien pu rater.

J'aurais simplement écrit "je n'ai pas trouvé les éléments recherchés". Cela ne veut pas dire qu'ils n'existent pas. Cela veut simplement dire que je ne les ai pas trouvés. Et parfois, je me dis que j'ai vraiment failli passer à côté...

Et ça, ça m'empêche de dormir.

8 commentaires:

  1. Ce serait utile si le côté technique (logiciel utilisé pour retrouver/comparer les images identiques par exemple), le nom du logiciel de stéganographie, la méthode utilisée pour tester les mots de passe (script?)... Toute information pertinante et non confidentielle permettant de savoir faire de même

    RépondreSupprimer
    Réponses
    1. Je n'ai pas voulu alourdir le billet avec trop d'informations techniques que, de toutes façons, les experts judiciaires connaissent déjà.

      Supprimer
    2. Oui m'enfin il n'y a pas que des experts judiciaires qui vous lisent... ��
      Votre blog est toujours aussi passionant. Merci.

      Supprimer
  2. Toujours un régal de lire vos péripéties ! Bravo continuez ainsi !!!

    RépondreSupprimer
  3. c'est en lisant ce genre de billet que je me rend compte qu'il me faudra encore pas mal de temps pour être un bon informaticien :)

    RépondreSupprimer
  4. Passionnant, j'adore votre narration. Merci

    RépondreSupprimer
  5. Comme quoi, il s'en est vraiment fallut de peu pour trouver ces preuves. L'utilisateur avait pris toutes ses précautions, il n'a été trahit uniquement que par une sauvegarde automatique qu'il ignorait, un peu par hasard. Pour le coup, chapeau !

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.