09 mars 2016

La logique de l'autre

Quand j'ai reçu cette mission du magistrat, elle m'a semblé classique, presque banale : je dois vérifier la présence (ou pas) d'un ensemble de données commerciales qui intéressent les enquêteurs.

Je reçois quelques jours plus tard le scellé judiciaire : un bel ordinateur fixe emballé dans du papier kraft d'un autre siècle. Je prends des photos, je brise le scellé, je prends des photos, je prends des notes, j'ouvre l'ordinateur, je prends des photos de ses entrailles : il y a plusieurs disques durs de grosses capacités. Aïe.

Trois disques durs de 3 To*.
Je commande rapidement quatre disques de 4 To que j'agrège en RAID0 sur un FreeNAS créé pour l'occasion. Mon bureau ressemble à un capharnaüm de câbles, de PC ouverts, de disques durs en vrac... Plus que tout, je crains une panne matérielle impromptu sur les disques du scellé. J'installe un grand ventilateur et je me dépêche de faire une copie bit à bit de chaque disque.

Je commence mon analyse en bootant une machine virtuelle sur une copie du disque système du scellé. Première étape : comprendre la logique de rangement de l'utilisateur de l'ordinateur. Où se trouvent les données non effacées, y a-t-il un système de chiffrement, quels sont les logiciels utilisés, quels sont les différents mots de passe, etc. Je lance quelques logiciels de recherche basiques pour voir si les données que l'on me demande sont présentes en clair sur l'un des disques durs. Rien.

Je travaille sur le dossier tous les soirs (je suis salarié d'une école d'ingénieurs, j'y travaille de 8h à 19h du lundi au vendredi, je ne peux consacrer du temps à cette analyse que les soirs après 21h et les week-ends). Entre le montage du FreeNAS, les copies des disques durs et les premières analyses des données, il s'est déjà écoulé trois semaines. Le magistrat m'a demandé de rendre mon rapport en deux mois. Je suis encore dans les temps.

Je commence une analyse plus en profondeur des données, avec le logiciel TSK (The Sleuth Kit) et son interface graphique Autopsy. Quelques jours de calculs plus tard, je trouve des traces de fichiers qui concernent le dossier.

Par contre, ces traces sont "bizarres". Les fichiers ne sont pas détectés sur un système de fichiers Windows (alors que l'ordinateur que l'on m'a amené fonctionne sous Windows), mais sous un système GNU/Linux...

C'est curieux.
Je regarde de plus près la zone du disque où j'ai repéré ces traces. Il s'agit d'un gros fichier "vdi". C'est un type de fichier qui, par convention, est utilisé par VirtualBox. Je vérifie : oui, ce logiciel est bien installé sur le scellé.

VirtualBox est un logiciel bien connu, qui permet de gérer et faire fonctionner des machines virtuelles sur un ordinateur. Je l'utilise couramment, surtout depuis que j'ai abandonné Windows 10 pour Mint (j'ai toujours un Windows 7 "sécurisé" que je fais tourner en machine virtuelle pour certains logiciels dont j'ai encore l'usage...).

Mon utilisateur est donc adepte de VirtualBox. Je fais la liste des machines virtuelles présentes sur le scellé (enfin sur les copies des disques, ça fait longtemps que j'ai remonté le scellé et qu'il est rangé, ainsi que mon gros ventilateur), ainsi que la liste des fichiers "vdi" et assimilés.

Il y a plein de fichiers "vdi", tous avec des noms plus ou moins farfelus...

Je récupère les informations des différentes machines virtuelles pour comprendre comment les disques virtuels sont organisés, quelle machine utilise quel(s) disque(s), et quels sont les différents systèmes d'exploitations installés.

Puis, je transfère toutes ces machines virtuelles pour les démarrer une par une sur un ordinateur fraîchement installé pour cela (avec la même version de VirtualBox que celle du scellé).

Et là, je tombe une configuration un peu surprenante : une machine virtuelle avec trois disques durs virtuels, qui, quand on la démarre, affiche une invite "openmediavault login"... OpenMediaVault est un projet open source de gestion de NAS.

Je teste les différents mots de passe récupérés sur l'hôte Windows, pour me connecter sur l'interface web, et je découvre un volume de stockage réparti en RAID1 sur deux fichiers virtuels, eux-même repartis sur deux des trois disques durs physiques. Le tout est accessible "à tout le monde" en mode SMB/CIFS depuis l'hôte Windows...

Évidemment, les données intéressantes étaient stockées à cet endroit là.

Donc je résume : l'utilisateur du scellé sur lequel est installé Windows, a installé un NAS virtuel qui propose du stockage local accessible à tous localement sans mot de passe.

Je n'ai pas compris la logique du truc. Quel est l'intérêt d'utiliser un NAS OpenMediaVault virtuel local pour stocker des données ? Quel est l'intérêt de proposer ensuite un accès "pour tous" à ces données, même localement ? Quel est l'intérêt de monter un RAID1 virtuel Debian sur deux fichiers gérés par Windows ?

J'ai eu beau tourner le problème dans ma tête, je n'ai pas compris la logique de l'autre. Parfois, il vaut mieux ne pas savoir...

J'ai évalué à 200h le temps passé sur ce dossier. Je n'en ai facturé que 30... Et je n'ai pas fait payer le matériel acheté (essentiellement les disques durs, que j'utilise maintenant dans mon système de sauvegarde/stockage). Par contre, j'ai beaucoup galéré pour la rédaction du rapport. Pour rester le plus clair possible, j'ai repoussé mes investigations techniques (et les explications associées) en annexe.

Pas sur qu'elles aient été lues par grand monde ;-)


------------------------------------------
* : le dossier étant ancien, j'ai "actualisé" les valeurs citées, en particulier les capacités des disques.

6 commentaires:

  1. Peut-être êtes-vous tombé sur le matériel d'un débutant créatif, un aspirant à la sérénitude numérique du maître "geek"?
    Il s'y essaye, il bidouille, mais faute de temps ou de moyens, il reporte l'investissement dans un NAS physique et ne se casse pas la noix à sécuriser ce qui ne s'avère qu'une ébauche fonctionnelle.
    Peut-être! :-D

    RépondreSupprimer
  2. Je pense également qu'il s'agit d'un POC provisoire qui dure.
    Surtout si cette histoire est assez ancienne pour que les NAS n'aient pas encore fait leur entrée dans nos salons.

    RépondreSupprimer
  3. Ce commentaire a été supprimé par l'auteur.

    RépondreSupprimer
  4. Bonjour Zythom,

    tout d'abord, merci de nous faire partager votre quotidien tel que vous le faites, avec tout le temps et l'investissement que cela demande, surtout aux vues de vos multiples casquettes.
    Je ne suis qu'une petite noob dans le milieu à l'heure actuelle (meme pas encore sortie de mon école d'ingénieur) et ait toujours été intéressée par le judiciaire, d'autant plus depuis que je vous ai découvert.

    J'aurai tout de même une question pour l'expert judiciaire que vous êtes. N'avez vous jamais songé à intégrer un organisme national de lutte contre la cybercriminalité tel que l'OCLCTIC ou le SJTRJD (etc..) et pourquoi?

    Merci encore pour votre travail. J'espère avoir le plaisir de pouvoir vous lire encore longtemps!

    RépondreSupprimer
  5. "Je travaille sur le dossier tous les soirs (je suis salarié d'une école d'ingénieurs, j'y travaille de 8h à 19h du lundi au vendredi)"
    LOL !.. non mais sérieux qui irait croire ca ? alors que tous les profs "bossent" 15 a 20h par semaine
    vous allez nous faire croire que vous bossez 50h par semaine ? :D
    ah non ... vous faite acte de présence pendant 50h ..nuance.. alala le propre des ventilos..ca me rappelle un ancien RSSI avec qui j'ai bossé.. :D
    surtout dans une école et encore plus dans l'informatique quand on a bien fait son job on a rien faire.

    RépondreSupprimer
    Réponses
    1. J'aime beaucoup mon métier et je me donne à fond.
      Je ne partage pas votre expérience et je pense que vous avez une vision réductrice des écoles, et une méconnaissance des entreprises privées d'enseignement.
      Quand j'étais chercheur (dans le public), je travaillais beaucoup plus que 50h par semaine, et j'aimais ça (autant qu'aujourd'hui).
      Si j'ajoute que les gens autour de moi aiment aussi leur travail, je vais sans doute vous étonner encore plus.

      Supprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.