Live forensics

Avec ou sans caféine ?

Je ne peux m’empêcher de commenter aujourd’hui les développements autour de COFEE et DECAF.

COFEE est un outil logiciel développé par Microsoft permettant de construire sur une clé USB une compilation d’outils de collecte de données lors d’une intervention par un enquêteur sur un ordinateur allumé. Il est diffusé exclusivement auprès des services policiers dans le monde entier, notamment au travers d’Interpol.

Il a fait l’actualité lors de sa diffusion (finalement assez inévitable) sur Internet et plus récemment suite à la diffusion d’un outil sensé contrer son usage “DECAF”.

Fonctionnalités de COFEE

J’ai personnellement assuré des formations qui évoquaient ce logiciel (entre autres solutions), lors d’une formation sur les live forensics à Vienne au mois de Juin et lors d’une récente rencontre des enquêteurs spécialisés français à Montluçon qu’organisait la gendarmerie. Que fait donc réellement ce logiciel ?

  • COFEE génère grâce à une interface conviviale une clé USB de collecte de données ;
  • Le script ainsi fabriqué est adapté par l’enquêteur à chaque situation ;
  • Le script vérifie les outils utilisés, pour s’assurer qu’il s’agit bien de ceux qui ont été configurés par l’enquêteur (il est en effet particulièrement important d’utiliser des outils contrôlés, par exemple il serait incorrect d’utiliser les outils présents sur l’ordinateur examiné qui peuvent être contaminés par un virus) ;
  • Il est possible d’interrompre un processus qui serait trop long (il arrive que des outils prennent trop de temps par rapport aux contraintes de la perquisition par exemple) ;
  • Enfin, les résultats sont rassemblés dans un rapport qui sera transformé en pages Web une fois revenu sur l’ordinateur de l’enquêteur pour les exploiter plus facilement.

Pourquoi COFEE a-t-il une diffusion limitée ?

Microsoft a décidé de limiter la diffusion de son outil COFEE. La raison première est tout simplement qu’il s’agit pour une fois d’un développement gratuit au profit des services de police, et pas au profit d’autres: Microsoft n’a pas choisi de le commercialiser au profit des professionnels de la sécurité, c’est parfaitement son droit. Ce n’est pas le seul outil criminalistique réservé aux services d’investigation officiels.

Mais, l’image de Microsoft a conduit certains à critiquer cette démarche, voire à suspecter l’exploitation de fonctions non documentées de Windows. Dès que COFEE a été diffusé sur Internet, il a été décortiqué et critiqué. C’est d’ailleurs intéressant de voir combien certaines critiques sont injustes ou de mauvaise foi. Peut-être la communication de Microsoft a-t-elle été maladroite (oui, il s’agit aussi pour une entreprise commerciale telle que celle-là de se faire de la publicité), mais il reste que c’est une contribution parfaitement valable au travail de la justice dans le monde, tout comme le sont tous les outils reconnus par la communauté (article sur Praetorian, ou sur ForensicsWiki).

La courte (?) saga DECAF

Mi-décembre, deux “hackers” américains ont diffusé sur Internet un outil permettant de contrer l’utilisation de COFEE. DECAF (originalement sur http://www.decafme.org/) permet, une fois installé sur un ordinateur, détecterait le lancement de COFEE sur cet ordinateur et lancerait un certain nombre de contre-mesures, comme l’éjection des périphériques USB.

Depuis, ses développeurs ont désactivé l’outil… En effet, il avait besoin d’une connexion Internet à son lancement et vérifiait la présence d’informations sur le site des développeurs. Il est évidemment possible de faire croire au logiciel qu’il est encore autorisé à fonctionner. Ces derniers avaient donc très certainement une idée derrière la tête depuis le départ: se faire de la publicité ? créer du buzz autour de COFEE ? faire passer un message ? Ce qu’ils affichent sur leur page web n’est pas très clair:

Peut-être comprendrez-vous un peu de leurs motivations initiales en écoutant cette interview donnée sur CyberSpeak ou cette vidéo diffusée sur le net:

[youtube=http://www.youtube.com/watch?v=lF-g1Pb1tGM]

Qu’est-ce que j’en pense au bout du compte ?

Au bout du compte, pour nos enquêteurs c’est un exemple concret d’un outil anti-criminalistique (ou anti-forensic). On en rencontre finalement assez peu.

Deuxièmement, il ne faut pas qu’une telle mésaventure détourne les sociétés informatiques, petites ou grandes, de l’intérêt de participer au développement de solutions pour les services d’enquête.

Enfin, je ne connais pas de services spécialisés dans le monde qui envisagent ou envisageaient de n’utiliser qu’un seul outil comme COFEE. Lorsqu’on enseigne l’analyse des systèmes vivants (live forensics), on apprend justement aux enquêteurs à utiliser une multitude de solutions complémentaires, à faire les bons choix, à maîtriser leurs outils. Et il est important que puissent subsister et se concurrencer (au sens le plus positif de ce terme) des outils libres, des outils commerciaux, des outils ouverts, payants ou gratuits: on a besoin de cette variété et du foisonnement des idées.

A suivre donc…

Live forensics – mais qu’est-ce que c’est ?

Voilà une semaine, je racontais brièvement que nous avions passé quelques jours à former des enquêteurs de toute l’Europe aux techniques des “Live forensics” ou “Analyses sur systèmes vivants” ou “allumés”.

Il s’agit de deux évolutions parallèles :

  • Les enquêteurs (du monde entier) qui fonctionnent selon le paradigme qui leur a été inculqué de la nécessité d’éteindre brutalement un ordinateur en fonctionnement au moment de la perquisition pour limiter les modifications au système (surtout aux données se trouvant sur le disque dur), et qui se rendent compte que l’on perd ainsi des données potentiellement importantes dans la mémoire vive (2 gigaoctets au moins dans les systèmes modernes) ou se couper l’accès à des données protégées quand l’ordinateur est éteint,
  • Le développement de nouvelles techniques autour de l’exploitation criminalistique de la mémoire vive des ordinateurs.

C’est aussi une problématique plus générale, car très souvent il n’est pas intéressant, nécessaire ou souhaitable d’éteindre le système que l’on souhaite analyser : le serveur d’une entreprise ou un téléphone portable en marche (protégé par un code), etc.

Quelles sont les techniques à mettre en œuvre ? Elles sont de deux catégories principales :

  • La capture de la mémoire vive,
  • La capture de données issues des processus en fonctionnement, notamment ceux liés au système d’exploitation ou aux logiciels les plus pertinents au regard de l’enquête ou de la configuration (outils de chiffrement).

Corollairement il faut évidemment des techniques nouvelles pour exploiter ces données, notamment en ce qui concerne l’exploitation des captures de mémoire vive.

Enfin, comme toute action criminalistique, il s’agit de correctement documenter ses actes et de faire des choix judicieux au regard de l’impact des outils utilisés sur le système examiné, qui devront être minimaux – trouver l’équilibre entre la nécessité de collecter l’ensemble des éléments de preuve accessibles et l’impact sur chacune des sources de preuve.

En vrac, quelques idées et sources sur les outils et méthodes utilisées dans l’univers Windows :

Mais attention, c’est outils sont à utiliser avec précaution ! Et une formation et la lecture d’ouvrages (comme Windows Forensic Analaysis, deuxième édition, de Harlan Carvey) seront utiles.

Stage européen sur les “live forensics”

UNODC

UNODC

Cette semaine s’est passée pour moi à Vienne, dans les locaux de l’UNODC où j’ai eu le plaisir d’animer un stage, organisé avec le soutien financier de la commission européenne (programme ISEC 2008),  sur le sujet des “live forensics”. Il s’agit de l’ensemble des techniques qui sont utilisées pour collecter des preuves sur des systèmes informatiques “vivants”, c’est-à-dire allumés au moment où les personnes chargées de collecter des preuves interviennent.

Il s’agit d’une évolution qui s’est imposée progressivement, avec l’avènement d’ordinateurs aux capacités de mémoire vive toujours plus importantes et afin de lutter plus efficacement contre les techniques de chiffrement. Cette semaine nous a donc permis de tester cette formation sur un public d’une vingtaine d’enquêteurs spécialisés de toute l’Europe. Après quelques améliorations, le contenu de formation sera mis à disposition de l’ensemble des services de police.