Live forensics – mais qu’est-ce que c’est ?

Voilà une semaine, je racontais brièvement que nous avions passé quelques jours à former des enquêteurs de toute l’Europe aux techniques des “Live forensics” ou “Analyses sur systèmes vivants” ou “allumés”.

Il s’agit de deux évolutions parallèles :

  • Les enquêteurs (du monde entier) qui fonctionnent selon le paradigme qui leur a été inculqué de la nécessité d’éteindre brutalement un ordinateur en fonctionnement au moment de la perquisition pour limiter les modifications au système (surtout aux données se trouvant sur le disque dur), et qui se rendent compte que l’on perd ainsi des données potentiellement importantes dans la mémoire vive (2 gigaoctets au moins dans les systèmes modernes) ou se couper l’accès à des données protégées quand l’ordinateur est éteint,
  • Le développement de nouvelles techniques autour de l’exploitation criminalistique de la mémoire vive des ordinateurs.

C’est aussi une problématique plus générale, car très souvent il n’est pas intéressant, nécessaire ou souhaitable d’éteindre le système que l’on souhaite analyser : le serveur d’une entreprise ou un téléphone portable en marche (protégé par un code), etc.

Quelles sont les techniques à mettre en œuvre ? Elles sont de deux catégories principales :

  • La capture de la mémoire vive,
  • La capture de données issues des processus en fonctionnement, notamment ceux liés au système d’exploitation ou aux logiciels les plus pertinents au regard de l’enquête ou de la configuration (outils de chiffrement).

Corollairement il faut évidemment des techniques nouvelles pour exploiter ces données, notamment en ce qui concerne l’exploitation des captures de mémoire vive.

Enfin, comme toute action criminalistique, il s’agit de correctement documenter ses actes et de faire des choix judicieux au regard de l’impact des outils utilisés sur le système examiné, qui devront être minimaux – trouver l’équilibre entre la nécessité de collecter l’ensemble des éléments de preuve accessibles et l’impact sur chacune des sources de preuve.

En vrac, quelques idées et sources sur les outils et méthodes utilisées dans l’univers Windows :

Mais attention, c’est outils sont à utiliser avec précaution ! Et une formation et la lecture d’ouvrages (comme Windows Forensic Analaysis, deuxième édition, de Harlan Carvey) seront utiles.