Criminalistique numérique

Live forensics – mais qu’est-ce que c’est ?

Voilà une semaine, je racontais brièvement que nous avions passé quelques jours à former des enquêteurs de toute l’Europe aux techniques des « Live forensics » ou « Analyses sur systèmes vivants » ou « allumés ».

Il s’agit de deux évolutions parallèles :

  • Les enquêteurs (du monde entier) qui fonctionnent selon le paradigme qui leur a été inculqué de la nécessité d’éteindre brutalement un ordinateur en fonctionnement au moment de la perquisition pour limiter les modifications au système (surtout aux données se trouvant sur le disque dur), et qui se rendent compte que l’on perd ainsi des données potentiellement importantes dans la mémoire vive (2 gigaoctets au moins dans les systèmes modernes) ou se couper l’accès à des données protégées quand l’ordinateur est éteint,
  • Le développement de nouvelles techniques autour de l’exploitation criminalistique de la mémoire vive des ordinateurs.

C’est aussi une problématique plus générale, car très souvent il n’est pas intéressant, nécessaire ou souhaitable d’éteindre le système que l’on souhaite analyser : le serveur d’une entreprise ou un téléphone portable en marche (protégé par un code), etc.

Quelles sont les techniques à mettre en œuvre ? Elles sont de deux catégories principales :

  • La capture de la mémoire vive,
  • La capture de données issues des processus en fonctionnement, notamment ceux liés au système d’exploitation ou aux logiciels les plus pertinents au regard de l’enquête ou de la configuration (outils de chiffrement).

Corollairement il faut évidemment des techniques nouvelles pour exploiter ces données, notamment en ce qui concerne l’exploitation des captures de mémoire vive.

Enfin, comme toute action criminalistique, il s’agit de correctement documenter ses actes et de faire des choix judicieux au regard de l’impact des outils utilisés sur le système examiné, qui devront être minimaux – trouver l’équilibre entre la nécessité de collecter l’ensemble des éléments de preuve accessibles et l’impact sur chacune des sources de preuve.

En vrac, quelques idées et sources sur les outils et méthodes utilisées dans l’univers Windows :

Mais attention, c’est outils sont à utiliser avec précaution ! Et une formation et la lecture d’ouvrages (comme Windows Forensic Analaysis, deuxième édition, de Harlan Carvey) seront utiles.

Stage européen sur les « live forensics »

UNODC

UNODC

Cette semaine s’est passée pour moi à Vienne, dans les locaux de l’UNODC où j’ai eu le plaisir d’animer un stage, organisé avec le soutien financier de la commission européenne (programme ISEC 2008),  sur le sujet des « live forensics ». Il s’agit de l’ensemble des techniques qui sont utilisées pour collecter des preuves sur des systèmes informatiques « vivants », c’est-à-dire allumés au moment où les personnes chargées de collecter des preuves interviennent.

Il s’agit d’une évolution qui s’est imposée progressivement, avec l’avènement d’ordinateurs aux capacités de mémoire vive toujours plus importantes et afin de lutter plus efficacement contre les techniques de chiffrement. Cette semaine nous a donc permis de tester cette formation sur un public d’une vingtaine d’enquêteurs spécialisés de toute l’Europe. Après quelques améliorations, le contenu de formation sera mis à disposition de l’ensemble des services de police.

Des fantasmes sur le Nokia 1100

Nokia 1100

Nokia 1100

Une histoire assez délirante cette semaine… Des « chercheurs » appartenant à un réseau d’experts basé aux Pays-Bas auraient réussi à trouver la raison pour laquelle les prix des Nokia 1100 (plus particulièrement ceux fabriqués à Bochum en Allemagne) grimperaient dans les sommets sur le marché noir. L’explication qu’on lit dans cet article est intrigante : on y lit qu’il serait possible de reprogrammer les téléphones Nokia 1100 pour recevoir les SMS de la banque à la place de l’utilisateur légitime.

Notons au passage que les Nokia 1100 sont des téléphones GSM distribués en Europe, donc utilisant une carte SIM.

C’est dans les détails que l’annonce devient surnaturelle : il serait possible de reprogrammer l’IMEI et l’IMSI du téléphone (littéralement dans l’article: l’information qui permet de se connecter au réseau de l’opérateur). Le lecteur averti commence déjà à tiquer, étant donné que l’IMSI est le numéro qui identifie l’abonné sur le réseau, qu’il se trouve sur la carte SIM (et non particulièrement dans la mémoire du téléphone) et que de toutes façons c’est une clé confidentielle (la clé Ki) qui est utilisée pour authentifier la carte SIM.

Et ensuite au détour d’une phrase: « For the final step, the hacker must also clone a SIM (Subscriber Identity Module) card, which Becker said is technically trivial. » (page 2 de l’article). Oui, forcément… Si on est capable de copier la carte SIM, effectivement, on pourra recevoir les SMS de l’abonné. Mais là cela devient complètement indépendant du terminal GSM utilisé, Nokia 1100 ou dernier N95, ce sera la même chose.

Enfin, le fin mot de l’histoire serait une utilisation pour recevoir des codes « mTAN » uniques envoyés par SMS, utilisés par les banques en Allemagne pour renforcer l’authentification de leurs utilisateurs de services en ligne.

Dans ce qu’on lit des déclarations d’Ultrascan, dans cet article et dans bien d’autres (un article un peu plus fouillé sur PCWorld), rien donc qui ne justifierait la particularité des GSM Nokia 1100 fabriqués en Allemagne au début des années 2000… D’ailleurs on trouve de tels téléphones à moins de 30 euros sur des sites d’enchères !

Les fichiers plist (Property list) d’Apple

IMac

IMac

Je n’ai pas rédigé beaucoup d’articles dans la catégorie criminalistique de mon blog, et la lecture récente d’une petite publication très intéressante m’en donne l’occasion.

Dans son article, Dennis Browning du Champlain College (Burlington, VT), présente une approche intéressante des fichiers .plist du système MacOS X en pointant du doigt les similitudes avec l’analyse des bases de registres sous Windows.

Les « listes de propriétés » sont des fichiers de l’univers MacOS X, mais aussi NextStep et GNUStep, dont l’extension est « .plist » (fichier d’aide sur le site d’Apple) et qui sont utilisés le plus couramment pour stocker des données de configuration de l’utilisateur. Sous MacOS X, les fichiers plist ont adopté un format XML dont le fichier de description a été fixé par Apple, puis un format binaire, plus économe.

Apple fournit dans ses outils développement le « Property List Editor ». Il existe un utilitaire gratuit pour Windows permettant d’éditer ces fichiers plist. Attention, comme tout outil externe, il convient de le valider. Il est d’ailleurs recommandé – en général – de disposer d’un Mac pour analyser des machines sous MacOS…

L’auteur de l’article couvre plusieurs aspects de l’examen des fichiers .plist:

  • démarrages automatiques
  • éléments récents
  • configuration des réseaux sans fil
  • périphériques montés
  • iPods
  • historiques Internet (Safari, Firefox)
  • applications

Par exemple, Dennis Browning fait référence au fichier /user/Library/Preferences/com.apple.finder.plist qui contient des informations sur l’ensemble des périphériques et médias montés sur le système.

Pour ce qui est du Wifi, il est intéressant de regarder les fichiers /hd/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist et /hd/Library/Preferences/SystemConfiguration/com.apple.network.identification.plist . L’examen conjoint de ces deux fichiers permet de déterminer les réseaux auxquels l’utilisateur s’est connecté, la date de dernière connexion et la configuration.

On voit donc que c’est aussi riche que l’examen des bases de registres de Windows… Peut-être cela a-t-il l’inconvénient d’être éparpillé et manquons-nous encore d’outils pour les exploiter rapidement. A vos souris !

Quelques dates à retenir

Des événements à venir :

AccessData offre de racheter Guidance Software

Guidance Software

Guidance Software

AccessData et Guidance Software sont deux sociétés concurrentes sur le marché des logiciels d’analyse de supports de données numériques. La première conçoit le produit « FTK » ou « Forensic Toolkit », la seconde « Encase ».

L’offre porte sur un rachat des actions de Guidance Software au prix de $ 4.50, alors que le cours actuel de l’action est de $ 3.73. Un communiqué de presse du 31 octobre annonçait que les dirigeants de Guidance Software avaient refusé cette offre amicale. Dans le même document, AccessData déclare qu’ils envisageront toutes les options possibles pour permettre cette transaction.

Le marché des solutions logicielles d’analyse forensique de supports numériques est assez varié en apparence :

mais des craintes fortes existent dans la communauté des utilisateurs de ces produits que cela nuise à la concurrence ou à la qualité des produits.

Arrestation de trois bulgares soupçonnés de skimming dans des distributeurs de carburant

Suite à une plainte déposée auprès de la section de recherches de la gendarmerie nationale à Rennes, une enquête de plusieurs mois a conduit à l’identification de trois bulgares qui ont été interpellés dans leur pays, jeudi 06 novembre 2008.

Ils sont soupçonnés d’avoir abusé plusieurs centaines de clients ayant utilisé leur carte bancaire sur des distributeurs automatiques de carburant de la région Bretagne. Ils utilisaient la technique du « skimming », qui consiste à installer un dispositif permettant de copier la piste magnétique et d’enregistrer le code composé par la victime, permettant ensuite de fabriquer une fausse carte qui est utilisée ensuite pour faire des retraits d’argent liquide dans certains pays étrangers (en Afrique du Sud dans la présente affaire).

C’est une coopération exceptionnelle entre les autorités françaises et bulgares, avec le soutien d’Europol qui a permis cette interpellation qui devrait conduire à l’extradition des auteurs présumés vers la France et la transmission des différents objets saisis sur place pour exploitation par les enquêteurs de la gendarmerie nationale assistés éventuellement d’experts.