Outils de criminalistique numérique et de cybersécurité en vedette
Autopsy
Autopsy est une plateforme de criminalistique numérique et une interface graphique que les enquêteurs judiciaires utilisent pour comprendre ce qui s’est passé sur un téléphone ou un ordinateur. Elle vise à être une solution modulaire de bout en bout qui est intuitive dès le départ. Certains modules d’Autopsy peuvent effectuer une analyse chronologique, un filtrage par hachage et une recherche par mot-clé. Ils peuvent extraire des artefacts web, récupérer des fichiers supprimés à partir d’espaces non alloués et trouver des indicateurs de compromission. Tout cela peut être fait relativement rapidement.
Autopsy exécute des travaux en arrière-plan en parallèle, de sorte que même si une recherche complète prend des heures, un utilisateur saura en quelques minutes si des mots-clés ciblés ont été trouvés. Les enquêteurs travaillant avec plusieurs appareils peuvent créer un référentiel central par le biais d’Autopsy qui signalera les numéros de téléphone, les adresses électroniques ou d’autres points de données pertinents.
Développé par la même équipe qui a créé The Sleuth Kit, une bibliothèque d’outils en ligne de commande pour enquêter sur les images de disque, Autopsy est une solution open source, disponible gratuitement dans un souci d’éducation et de transparence. La dernière version est écrite en Java, et elle n’est actuellement disponible que pour Windows.
Bulk Extractor
Bulk Extractor scanne un fichier, un répertoire ou une image disque et extrait des informations sans analyser le système de fichiers ou ses structures, ce qui lui permet d’accéder à différentes parties du disque en parallèle, ce qui le rend plus rapide que l’outil moyen. Le deuxième avantage de Bulk Extractor est qu’il peut être utilisé pour traiter pratiquement toutes les formes de supports numériques : disques durs, cartes d’appareil photo, smartphones, SSD et lecteurs optiques. Les versions les plus récentes de Bulk Extractor peuvent effectuer des analyses légales des réseaux sociaux ainsi qu’extraire des adresses, des numéros de carte de crédit, des URL et d’autres types d’informations à partir de preuves numériques. D’autres capacités incluent la possibilité de créer des histogrammes basés sur les adresses électroniques fréquemment utilisées et de compiler des listes de mots qui peuvent être utiles pour le craquage de mots de passe.
Toutes les informations extraites peuvent être traitées soit manuellement, soit avec l’un des quatre outils automatisés, dont l’un intègre des listes d’arrêt spécifiques au contexte (c’est-à-dire des termes de recherche signalés par l’enquêteur) qui suppriment une partie de l’erreur humaine de l’investigation numérique légale. Le logiciel est disponible gratuitement pour les systèmes Windows et Linux.
COFEE
Le Computer Online Forensic Evidence Extractor (COFEE) de Microsoft est une boîte à outils médico-légale utilisée pour extraire des preuves des ordinateurs Windows. Développée en 2006 par un ancien policier de Hong Kong devenu cadre de Microsoft, la boîte à outils agit comme un outil de police scientifique automatisé lors d’une analyse en direct. Elle contient plus de 150 fonctionnalités et une interface utilisateur graphique qui guide l’enquêteur dans la collecte et l’examen des données et l’aide à générer des rapports après l’extraction. Le décryptage des mots de passe, la récupération de l’historique Internet et d’autres formes de collecte de données sont tous inclus dans la boîte à outils.
Au moment de sa sortie, Microsoft a affirmé que COFEE avait réduit des tâches de trois à quatre heures à moins de 20 minutes. Des milliers d’organismes chargés de l’application de la loi dans le monde (dont INTERPOL) utilisent COFEE et Microsoft leur fournit un support technique gratuit.
En novembre 2009, COFEE a fait l’objet d’une fuite sur de multiples sites torrents, et s’il est possible – bien qu’incroyablement délicat – pour les criminels de construire autour des fonctionnalités de COFEE, il est également possible pour le citoyen moyen de jeter maintenant un coup d’œil à ce qui était autrefois la norme industrielle à travers le monde en matière de criminalistique numérique.
Environnement d’investigation assisté par ordinateur
CAINE offre une plateforme d’investigation médico-légale à grande échelle conçue pour intégrer d’autres outils et modules dans une interface graphique conviviale. Son environnement interopérable est conçu pour aider les enquêteurs dans les quatre étapes d’une enquête : préservation, collecte, examen et analyse. Il est livré avec des dizaines de modules pré-packagés (Autopsy, cité plus haut, en fait partie). Développé sous Linux, l’outil est entièrement open source et disponible gratuitement.
Digital Forensics Framework
Digital Forensics Framework (DFF) est une plateforme open-source de criminalistique informatique construite sur une interface de programmation d’applications (API) dédiée. Doté d’une interface utilisateur graphique pour une utilisation simple et une automatisation, le DFF guide un utilisateur à travers les étapes critiques d’une enquête numérique et peut être utilisé aussi bien par les professionnels que par les amateurs.
L’outil peut être utilisé pour enquêter sur les disques durs et la mémoire volatile et créer des rapports sur l’activité du système et de l’utilisateur sur l’appareil en question. Le DFF a été développé avec les trois principaux objectifs de modularité (permettant des modifications du logiciel par les développeurs), de scriptabilité (permettant l’automatisation) et de généricité (gardant le système d’exploitation agnostique pour aider autant d’utilisateurs que possible). Le logiciel est disponible gratuitement sur GitHub.
DumpZilla
DumpZilla effectue des analyses de navigateurs, plus particulièrement des clients Firefox, Iceweasel et Seamonkey. Il permet de visualiser et de rechercher et d’extraire de manière personnalisée les cookies, les téléchargements, l’historique, les signets, le cache, les modules complémentaires, les mots de passe enregistrés et les données de session.
Développé en Python, il fonctionne sous les systèmes Linux et Windows 32/64 bits, et DumpZilla est disponible gratuitement sur le site du développeur. Bien qu’il ait été créé en tant qu’outil autonome, sa nature spécifique et son conditionnement allégé en font un composant solide des futures suites de criminalistique numérique.
EnCase
Récipiendaire du prix » Best Computer Forensic Solution » de SC Magazine pendant 10 années consécutives, EnCase est considéré comme la référence en matière d’enquêtes médico-légales sur la cybersécurité, y compris les acquisitions mobiles. Depuis 1998, EnCase propose des logiciels d’expertise judiciaire pour aider les professionnels à trouver des preuves pour témoigner dans des affaires d’enquêtes criminelles impliquant des violations de la cybersécurité, en récupérant des preuves et en analysant des fichiers sur des disques durs et des téléphones portables.
Offrant un ensemble complet de logiciels de cycle de vie, du triage aux rapports finaux, EnCase propose également des plateformes telles que OpenText Media Analyzer qui réduit la quantité de contenu que les enquêteurs doivent examiner manuellement pour clore les dossiers plus rapidement. Avec quatre options de licence de site pour les petites entreprises ; les forces de l’ordre fédérales, étatiques et locales ; les organisations de conseil ; et les collèges et universités, offre une analyse des preuves de justice pénale en quelques clics.
ExifTool
ExifTool est un système indépendant de la plateforme pour lire, écrire et modifier les métadonnées à travers un large éventail de types de fichiers. La lecture des métadonnées, qui peut être réalisée par des processus de ligne de commande ou une simple interface graphique, présente un intérêt particulier pour l’enquêteur numérique. Les enquêteurs peuvent faire glisser et déposer différents fichiers, comme un PDF, ou un JPEG, et apprendre quand et où le fichier a été créé – un élément crucial pour établir une chaîne de preuves.
Le logiciel lui-même est léger et rapide, ce qui en fait une inclusion idéale dans les futures suites de criminalistique numérique, et facile à utiliser. ExifTool est mis à jour régulièrement et est disponible pour Windows et OSx sur le site du développeur.
FTK Imager
Pour que des outils tels que The Sleuth Kit by Autopsy fonctionnent correctement, les copies numériques originales des disques durs doivent être préservées avant que les preuves puissent être extraites. Entrez dans FTK Imager ; un outil gratuit qui analyse les images d’un disque et préserve l’intégrité originale de la preuve sans affecter son état d’origine.
Cet outil peut lire tous les systèmes d’exploitation et permet aux utilisateurs de récupérer des fichiers qui ont été supprimés des poubelles numériques. Il peut analyser les fichiers XFS et créer des hachages de fichiers pour vérifier l’intégrité des données.
MAGNET RAM Capture
Analysant la mémoire vive (RAM) physique d’un ordinateur, MAGNET RAM Capture permet aux enquêteurs en cybersécurité de récupérer et d’analyser les artefacts numériques stockés dans la mémoire d’un ordinateur. En utilisant une petite empreinte mémoire, les enquêteurs en criminalistique numérique peuvent utiliser l’outil et minimiser la quantité de données de la mémoire qui sont écrasées.
Cet outil peut exporter des données de mémoire brutes dans des formats bruts (.DMP, .RAW, .BIN), qui peuvent être téléchargés vers d’autres outils d’analyse forensique tels que Magnet AXIOM et Magnet IEF. Cet outil gratuit prend en charge plusieurs versions des systèmes d’exploitation Windows.
Redline
Initialement un produit de Mandiant, mais repris ensuite par FireEye, une entreprise de cybersécurité, Redline est un outil gratuit qui fournit des capacités de sécurité et d’investigation des points de terminaison à ses utilisateurs. Il est principalement utilisé pour effectuer des analyses de la mémoire et rechercher des signes d’infection ou d’activité malveillante, mais il peut également être utilisé pour collecter et corréler des données autour des journaux d’événements, du registre, des processus en cours d’exécution, des métadonnées du système de fichiers, de l’historique web et de l’activité réseau.
Offrant des capacités beaucoup plus techniques et sous le capot que ce que nécessitent la plupart des enquêtes médico-légales numériques, Redline a plus d’applications dans la cybersécurité et d’autres comportements criminels axés sur la technologie où une analyse granulaire est critique. Redline ne fonctionne actuellement que sur les systèmes Windows, mais il est régulièrement mis à jour par FireEye pour des performances optimales et peut être téléchargé gratuitement sur le site Web de FireEye.
SIFT Workstation
La boîte à outils SANS Investigative Forensics Toolkit (SIFT) est une collection de technologies open source de réponse aux incidents et de criminalistique conçues pour effectuer des enquêtes numériques détaillées dans une variété de contextes. La boîte à outils peut examiner en toute sécurité des disques bruts et de multiples formats de fichiers et le fait de manière sécurisée, en lecture seule, sans altérer les preuves qu’elle découvre.
SIFT est flexible et compatible avec le format de témoin expert (E01), le format médico-légal avancé (AFF) et les formats de preuves brutes. Construit sur Ubuntu, il intègre de nombreux outils distincts (dont certains figurent sur cette liste, comme Autopsy et Volatility) et les met à la disposition d’un enquêteur. SIFT est disponible gratuitement et mis à jour régulièrement.
Volatility
La Volatility Foundation est une organisation à but non lucratif dont la mission est de promouvoir l’utilisation de l’analyse de la mémoire au sein de la communauté médico-légale. Son principal logiciel est un cadre open-source pour la réponse aux incidents et la détection de logiciels malveillants par le biais de l’analyse légale de la mémoire volatile (RAM). Cela permet de préserver des preuves en mémoire qui seraient autrement perdues lors d’un arrêt du système.
Écrit en Python et prenant en charge presque toutes les machines 32 bits et 64 bits, il peut passer au crible les secteurs mis en cache, les dumps de crash, les DLL, les connexions réseau, les ports, les listes de processus et les fichiers de registre. L’outil est disponible gratuitement, et le code est hébergé sur GitHub.
Wireshark
Wireshark est l’outil d’analyse de protocoles réseau le plus utilisé au monde, mis en œuvre par des gouvernements, des entreprises privées et des institutions universitaires à travers le monde. Suite d’un projet qui a débuté en 1998, Wireshark permet à un utilisateur de voir ce qui se passe sur un réseau au niveau microscopique. En capturant le trafic réseau, les utilisateurs peuvent ensuite rechercher des activités malveillantes.
Les données réseau capturées peuvent être visualisées sur une interface utilisateur graphique sous Windows, Linux, OSx et plusieurs autres systèmes d’exploitation. Les données peuvent être lues à partir d’Ethernet Bluetooth, USB, et plusieurs autres, tandis que la sortie peut être exportée vers XML, PostScript, CSV, ou du texte brut.
Les applications de Wireshark restent principalement dans le domaine de la cybersécurité, mais il existe également des applications d’investigation numérique légale. Moins sur le pistolet fumant que sur le fil d’Ariane, Wireshark peut indiquer à un enquêteur la direction d’une activité malveillante afin qu’il puisse la retrouver et enquêter.