Vous êtes sur la page 1sur 52

Introduction à l’Investigation

Numérique
1. Objectifsdu chapitre
Après avoir lu ce chapitre et terminé les exercices, vous pourrez effectuer les
opérations suivantes :

 Comprendre les principes de base de l’Investigation Numérique


 Faire une copie légale d'un lecteur
 Utiliser des outils d’investigation numérique de base

2. Introduction
Dans ce chapitre, nous allons couvrir les bases de l’investigation numérique.
Il s'agit d'un sujet très important pour toute personne impliquée dans la sécurité
informatique ou l'administration de réseau. Il arrive fréquemment que le premier
répondant à un délit informatique soit l’administrateur du réseau, et non un agent
des forces de l’ordre. Et si vous ne gérez pas correctement les preuves, vous pouvez
les rendre inutilisables devant un tribunal et ruiner toutes les chances de
condamner l'auteur.
L’investigation numérique est un domaine relativement nouveau.
L'utilisation généralisée des ordinateurs remonte aux années 1970 et la criminalité
informatique généralisée aux années 1990. Le domaine de l’investigation
numérique n'a évolué qu'au cours des 20 à 25 dernières années. Le domaine de
l’investigation numérique, maintenant souvent appelé cyber-criminalistique, tente
d'appliquer la science médico-légale aux appareils informatiques.
Le CERT (Computer Emergency Response Team) définit l’investigation
numérique de cette manière :
«Si vous gérez ou administrez des systèmes et réseaux
d'information, vous devez comprendre l’investigation numérique. La
criminalistique est le processus d'utilisation des connaissances
scientifiques pour recueillir, analyser et présenter des preuves aux
tribunaux. (Le mot criminalistique signifie «apporter au tribunal. ») La
criminalistique s'occupe principalement de la récupération et de l'analyse
des preuves latentes. Les preuves latentes peuvent prendre plusieurs
formes, des empreintes digitales laissées sur une fenêtre aux preuves ADN
récupérées des taches de sang sur les fichiers d'un disque dur. »1

Le but de la cyber-criminalistique est d'examiner les appareils informatiques


(ordinateurs portables, serveurs, téléphones portables, tablettes, etc.) à l'aide de
méthodes scientifiques pour extraire des preuves de manière à ce qu'elles puissent
être présentées devant un tribunal. Maintenant, il y a certainement des moments
où vous utiliserez la médecine légale dans des scénarios qui ne seront jamais soumis
aux tribunaux. Mais les techniques ont été conçues pour satisfaire aux exigences de
preuve des tribunaux.
Il est important de garder à l'esprit que quelques juridictions ont adopté des
lois exigeant que, pour extraire les preuves, l'enquêteur doit être un officier chargé
de l'application des lois ou un enquêteur privé agréé. Il s'agit d'une loi controversée,
étant donné que la formation et les licences des enquêteurs privés ne comprennent
généralement pas la formation en informatique légale. Vous devriez vérifier avec
des détails dans votre état. Cependant, bon nombre de ces États vous permettront
d'examiner légalement un ordinateur si vous avez l'autorisation du propriétaire ou si
une personne titulaire d'une licence a saisi les preuves. Cela ne vous interdirait donc
pas d'examiner légalement les ordinateurs de votre entreprise.
Le but de ce chapitre est de vous donner une introduction générale au
domaine de la médecine légale orientée Ordinateur. De toute évidence, chaque
sujet abordé dans ce chapitre pourrait être étudié plus en profondeur.

1
. CERT Forensics Definition : www.us-
cert.gov/sites/default/files/publications/forensics.pdf
3. Conditions générales d'Utilisation
Il y a quelques directives générales que vous devez toujours suivre dans tout
examen médico-légal. Vous voulez avoir le moins d'impact possible sur les preuves.
Cela signifie que vous souhaitez l'examiner et ne pas le modifier. Vous voulez avoir
une trace documentaire claire pour tout ce qui est fait. Et, bien sûr, vous voulez
sécuriser vos preuves.

3.1. Ne pas toucher le lecteur suspect


La première précaution, et peut-être la plus importante, consiste à toucher
le moins possible le système. Vous ne souhaitez pas apporter de modifications au
système lors de son examen. L’une des façons possibles de faire une copie
juridiquement valide d'un lecteur, dépend en partie de certaines commandes Linux.
Plus loin dans cette section, nous verrons comment créer des images de
lecteurs avec d'autres outils médico-légaux, mais d'abord, nous verrons comment
procéder sans outils spécialisés.
Vous aurez besoin d'une copie de démarrage de Linux. Tout CD live Linux
fera l'affaire. Vous aurez en fait besoin de deux copies : une sur la machine suspecte
et une sur la machine cible. Quelle que soit la version de Linux que vous utilisez, les
étapes seront les mêmes :
Vous devez effacer complètement le lecteur cible.

dd if=/dev/zero of=/dev/hdb1 bs=2048

Maintenant, vous devez configure r ce serveur de criminalistique cible pour


recevoir la copie du lecteur suspect que vous souhaitez examiner. La commande
Netcat aide à cela. La syntaxe spécifique est la suivante :

nc -l -p 8888> evidence.dd

Vous dites à la machine d'écouter sur le port 8888 et de mettre tout ce


qu'elle reçoit dansevidence.dd.
Sur la machine suspecte, vous devez commencer à envoyer les
informations du lecteur au serveur médico-légal :
dd if=/dev/hda1 | nc 192.168.0.2 8888 -w 3
Bien sûr, cela suppose que le lecteur suspect est hda1. Sinon, remplacez
cette partie de la commande par la partition que vous utilisez. Cela suppose
également que le serveur a une adresse IP de 192.168.0.2. Sinon, remplacez-le par
l'adresse IP de votre serveur médico-légal.
Vous souhaiterez également créer un hachage du lecteur suspect. Plus tard,
vous pouvez hacher le lecteur avec lequel vous avez travaillé et le comparer au
hachage du lecteur d'origine et confirmer que rien n'a été modifié. Vous pouvez
créer un hachage à l'aide des commandes du shell Linux :
md5sum/dev/hda1 | nc 192.168.0.2 8888 -w 3

Lorsque vous avez terminé, vous avez une copie du lecteur. C'est souvent
une bonne idée de faire deux copies : une avec laquelle vous travaillerez et une
autre sera simplement stockée. Mais en aucun cas ne faites-vous votre analyse
médico-légale sur le lecteur suspect.

3.2. Image d'un lecteur avec ForensicToolkit


AccessData est le créateur du ForensicToolkit et du FTK Imager. Le
ForensicToolkit est un produit commercial qui peut être un peu cher. Le FTK Imager
est une solution téléchargeable gratuitement qui peut être utilisé pour créer des
images de lecteurs et pour monter des images qui ont été faites. Vous commencez
par lancer FTK Imager, comme le montre la figure 1.
Figure 1 FTK Imager

Choisissez Fichier et sélectionnez Créer une image disque, comme vous le


voyez dans la figure 2.

Figure 2 FTK Imager : Créer une image disque

Ensuite, vous êtes invité à sélectionner le type de lecteur que vous souhaitez
imager, comme illustré à la figure 3.
Figure 3 FTK Imager : sélectionnez la source

Maintenant, en fonction du type de source que vous avez sélectionné, vous


devrez faire un autre choix. Par exemple, si vous avez sélectionné Lecteur logique,
vous devez maintenant choisir quel lecteur logique, comme illustré à la figure 4.

Figure 4FTK Imager : sélection du lecteur source

Enfin, sélectionnez une destination pour l'image, comme le montre la figure


5.
Figure 5FTK Imager : créer une image

Le processus de montage d'une image est encore plus facile. FTK Imager est
bien respecté dans la communauté médico-légale, facile à utiliser et gratuit.

3.3. Investiguer sur une machine en cours d’exécution ?


Nous avons souligné, et à juste titre, que dans la mesure du possible, vous
devez toujours créer une image du lecteur et effectuer l'analyse uniquement sur
cette image. Pendant longtemps, cela a été considéré comme le seul moyen de
procéder à l’investigation numérique. Cependant, les dernières années ont donné
lieu à des divergences sur cette pensée. Il y a des moments où la criminalistique en
direct est possible ou même souhaitable :

 Lorsque vous trouvez une machine en cours d'exécution, vous devez


effectuer une analyse des processus en cours, de la mémoire, etc. avant de
l'arrêter.
 Cela peut être nécessaire sur les nuages et les clusters.
 Lorsque la machine a déjà été imagée, préservant ainsi les preuves.
 Lorsqu'il n'y a pas une véritable enquête médico-légale, mais plutôt de poser
une seule question.
 Soyez prudent en arrêtant une machine ; si elle a un chiffrement de lecteur,
alors lorsque vous la redémarrez, vous ne pourrez pas récupérer de
données.
Il est toujours important de garder à l'esprit que l'imagerie est la méthode
préférée. La liste précédente n'est qu'une liste de moments suggérés où il peut être
possible de travailler avec le système en direct. Lorsque vous effectuez une
criminalistique en direct, votre rapport doit expliquer pourquoi vous l'avez fait,
exactement quelles étapes vous avez effectuées et vous assurer que les mesures que
vous prenez ont le moins d'impact possible sur le système.

3.4. Piste Documentaire


Au-delà de ne pas toucher le lecteur réel, le prochain problème est la
documentation. Si vous n'avez jamais travaillé à titre d'enquête, le niveau de
documentation peut vous sembler onéreux. Mais la règle est simple :tout
documenter.
Lorsque vous découvrez un crime informatique pour la première fois, vous
devez documenter exactement les événements survenus. Qui était présent et que
faisaient-ils ? Quels périphériques étaient connectés à l'ordinateur et quelles étaient
ses connexions sur le réseau/Internet ? Quel matériel était utilisé et quel système
d'exploitation ?
Ensuite, lorsque vous commencez votre véritable enquête médico-légale,
vous devez documenter chaque étape. Commencez par documenter le processus
que vous utilisez pour effectuer une copie médico-légale. Documentez ensuite
chaque outil que vous utilisez, chaque test que vous effectuez. Vous devez pouvoir
montrer dans votre documentation tout ce qui a été fait.

3.5. Sécurisez les preuves


D'abord et avant tout, l'ordinateur doit être mis hors ligne pour éviter toute
falsification supplémentaire. Maintenant, il existe des circonstances limitées où une
machine serait laissée en ligne pour retracer une attaque active et en cours. Mais la
règle générale est de le mettre immédiatement hors ligne.
L'étape suivante consiste à limiter l'accès à la machine. La personne qui n'a
pas absolument besoin d'avoir accès aux preuves ne devrait les avoir. Les disques
durs doivent être verrouillés dans une armoire sûre ou sécurisée. L'analyse doit être
effectuée dans une pièce à accès limité.
Vous devez également être en mesure de documenter qui a eu accès à la
preuve, comment ils ont interagi avec elle et où la preuve a été stockée. Il ne doit pas
y avoir de période pendant laquelle vous ne pouvez pas rendre compte de la
preuve. C'est ce qu'on appelle la chaîne de possessionouencore chaîne de traçabilité.

3.6. Chaîne de possession


Le concept de chaîne de possession est l'une des pierres angulaires de la
médecine légale, qu'il s'agisse de cyber-criminalistique ou d'une autre discipline
médico-légale. La chaîne de possession se réfère à une documentation détaillée
montrant l'état des preuves à tout moment, depuis le moment de la saisie jusqu'au
moment où les preuves sont présentées au tribunal. Toute rupture de cette chaîne
de garde rendra probablement ces preuves irrecevables au procès.
Selon le groupe de travail scientifique sur les procédures opérationnelles
standard du modèle de preuve numérique pour l’investigation numérique :
«La chaîne de possession doit comprendre une description des preuves
et un historique documenté de chaque transfert de preuves»
Cela signifie que chaque fois que des preuves sont transférées d'un endroit à
un autre ou d'une personne à une autre, ce transfert doit être documenté. Le
premier transfert est la saisie de preuves lorsque les preuves sont transférées à
l'enquêteur. Entre ce moment et tout essai, il peut y avoir un nombre illimité de
transferts.
N'oubliez pas qu'il est presque impossible de trop documenter. Détaillez ce que
vous faites, quels outils vous utilisez, qui est présent, qui effectue quels tests, etc. il
est utile de prendre des captures d'écran fréquentes lors d’une analyse médico-
légale et de les inclure dans le rapport.

3.7. Lignes directrices du FBI en matière de criminalistique


Au-delà des directives générales que nous venons de discuter, le FBI donne
quelques directives spécifiques. Dans la plupart des cas, ils chevaucheront ce dont
nous avons discuté, mais il est toujours utile de couvrir les recommandations du FBI.
Si un incident se produit, le FBI recommande que le premier intervenant
préserve l'état de l'ordinateur au moment de l'incident en effectuant une copie de
sauvegarde de tous les journaux, fichiers endommagés ou modifiés, et bien sûr tous
les fichiers laissés par l'intrus. Cette dernière partie est critique. Les pirates utilisent
fréquemment divers outils et peuvent laisser des traces de leur présence. De plus, le
FBI prévient que si l'incident est en cours, activez tout logiciel d'audit ou
d'enregistrement dont vous disposez. Collectez autant de données que possible sur
l'incident. En d'autres termes, il peut s'agir d'un cas où vous ne mettez pas la
machine hors ligne mais analysez plutôt l'attaque en cours.
Une autre étape importante consiste à documenter les pertes spécifiques
subies en raison de l'attaque. Les pertes comprennent généralement les éléments
suivants :

 Coût de la main-d'œuvre dépensé en réponse et récupération. (Multipliez le


nombre d'employés participants par leur taux horaire.)
 Le coût de l'équipement, si l'équipement a été endommagé.
 La valeur des données, le cas échéant, a été perdue ou volée. Combien a-t-il
fallu pour obtenir ces données et combien cela coûtera-t-il pour les
reconstruire ?
 Toute perte de revenus, y compris les pertes dues à des temps d'arrêt, le fait
de devoir créditer les clients en raison de désagréments ou toute autre
manière dont les revenus ont été perdus.

La documentation des dommages exacts dus à l'attaque est tout aussi


importante que la documentation de l'attaque elle-même.
Les directives médico-légales du FBI soulignent l'importance de sécuriser les
preuves. Le FBI souligne également que vous ne devez pas limiter votre concept de
preuve informatique aux PC et aux ordinateurs portables. Les preuves informatiques
peuvent comprendre les éléments suivants :

 Journaux (système, routeur, salle de chat, IDS, pare-feu)


 Périphériques de stockage portables (clés USB, disques externes)
 Emails
 Appareils capables de stocker des données, tels que : iPod, iPad et
tablettes
 Téléphones portables

Les directives du FBI mettent également l'accent sur la création d'une copie
médico-légale du lecteur/partition suspect à utiliser et la création d'un hachage de
ce lecteur.

3.8. Lignes directrices sur la criminalistique des services secrets


américains
Les services secrets américains sont une autre agence fédérale chargée de
lutter contre la cybercriminalité et l’investigation numérique. Il a un site Web
consacré à l’investigation numérique2qui comprend des cours de médecine légale.
Ces cours sont généralement destinés au personnel chargé de l'application des lois.
Les services secrets ont également publié un guide pour les premiers
intervenants en matière de criminalité informatique. Il a énuméré ses «règles d'or»
pour commencer l'enquête :

 Sécurisez la scène et rendez la sûre.


 Si vous croyez raisonnablement que l'ordinateur est impliqué dans le crime
que vous enquêtez, prenez immédiatement des mesures pour conserver les
preuves.
 Déterminez si vous avez une base légale pour saisir cet ordinateur (vue simple,
mandat de perquisition, consentement, etc.).
 Évitez d'accéder aux fichiers informatiques. Si l'ordinateur est éteint, laissez-le
éteint.
 Si l'ordinateur est allumé, ne commencez pas à le parcourir. Si l'ordinateur est
sous tension, consultez les sections appropriées de ce guide sur la façon
d'éteindre correctement l'ordinateur et de le préparer au transport comme
preuve.

2
. Secret Service Computer Forensics: www.ncfi.usss.gov/
 Si vous pensez raisonnablement que l'ordinateur détruit des preuves, arrêtez
immédiatement l'ordinateur en tirant sur le cordon d'alimentation à l'arrière
de l'ordinateur.
 Si un appareil photo est disponible et que l'ordinateur est allumé, prenez des
photos de l'écran de l'ordinateur. Si l'ordinateur est éteint, prenez des photos
de l'ordinateur, de l'emplacement de l'ordinateur et de tout support
électronique connecté.
 Déterminez si des considérations juridiques spéciales s'appliquent (médecin,
avocat, membre du clergé, psychiatre, journaux, éditeurs, etc.).

Ce sont toutes des premières étapes importantes pour à la fois préserver la


chaîne de contrôle et garantir l'intégrité de l'enquête.

3.9. Collecte de preuves dans l'UE


La Convention du Conseil de l'Europe sur la cybercriminalité, également
appelée Convention de Budapest sur la cybercriminalité ou simplement la
Convention de Budapest, fait référence aux preuves électroniques comme des
preuves qui peuvent être collectées sous forme électronique d'une infraction
pénale.
Le guide des preuves électroniques est un guide de base pour les policiers,
les procureurs et les juges.
L'UE a également cinq principes qui établissent une base pour toutes les
transactions avec des preuves électroniques :

 Principe 1 : Intégrité des données : vous devez vous assurer que les
données sont valides et n'ont pas été corrompues.
 Principe 2 : piste d'audit : similaire au concept de chaîne de
possession, vous devez être en mesure de rendre pleinement compte
des preuves. Cela inclut son emplacement ainsi que ce qui a été fait
avec.
 Principe 3 : Soutien spécialisé : Au besoin, faites appel à des
spécialistes. Par exemple, si vous êtes un expert légiste qualifié mais
avez une expérience limitée avec un ordinateur Macintosh,
demandez à un spécialiste Mac si vous avez besoin d'examiner un
Mac.
 Principe 4 : Formation appropriée : Tous les examinateurs et analystes
judiciaires devraient être pleinement formés et élargir en
permanence leur base de connaissances.
 Principe 5 : Légalité : Assurez-vous que toutes les preuves sont
collectées et traitées d'une manière compatible avec toutes les lois
applicables.
Même si vous ne travaillez pas au sein de l'Union européenne, ces directives
peuvent être très utiles. Oui, elles sont assez larges, mais elles fournissent des
indications sur la façon de mener correctement un examen médico-légal.

3.10. Groupe de travail scientifique sur les preuves numériques


Groupe de travail scientifique sur les preuves numériques, ou SWGDE
(www.swgde.org), crée un certain nombre de normes pour la criminalistique
numérique. Selon les procédures d'opération standard du modèle SWGDE pour
l’investigation numérique, il y a quatre étapes d'examen :
1. Inspection visuelle : Le but de cette inspection est simplement de vérifier
le type de preuve, son état et les informations pertinentes pour mener
l'examen. Cela se fait souvent lors de la saisie initiale des preuves. Par
exemple, si un ordinateur est saisi, vous souhaitez documenter si la
machine fonctionne, quelle est sa condition et quel est l'environnement
général.
2. Duplication médico-légale : Il s'agit du processus de duplication des
médias avant l'examen. Il est toujours préférable de travailler avec une
copie médico-légale et non l'original.
3. Examen des médias : il s'agit du véritable test médico-légal de
l'application. Parmédias, nous entendons disque dur, RAM, carte SIM —
un élément pouvant contenir des données numériques.
4. Retour des preuves : les pièces sont renvoyées à l'endroit approprié,
généralement une installation verrouillée ou sécurisée.
Ces étapes particulières donnent un aperçu de la manière dont un examen
médico-légal doit se dérouler. Ce SWGDE a un certain nombre de documents utiles
sur son site Web que vous devriez consulter pour approfondir les nuances d'un
véritable examen de cyber-criminalistique.

3.11. Principe de transfert de Locard


Le Dr Edmond Locard était un médecin légiste qui a formulé ce qui est
devenu connu sous le nom de principe d'échange de Locard ou principe de transfert
de Locard.3Ce principe a été appliqué pour la première fois à la criminalistique
physique, et il stipule essentiellement que vous ne pouvez pas interagir dans
n'importe quel environnement sans laisser quelque chose derrière. Par exemple,
quelqu'un ne peut pénétrer par effraction dans une maison et ne pas laisser
quelque chose. Ce quelque chose pourrait être une empreinte digitale, un cheveu,
une empreinte de pied, etc. Maintenant, un criminel prudent couvrira une partie de
cela, par exemple en utilisant des gants pour éviter de laisser des empreintes
digitales. Mais quelque chose restera.
Cela s'applique également aux preuves informatiques et c'est l'une des
raisons pour lesquelles nous préférons travailler avec une copie. Prenons l'exemple
de Windows. Chaque fois que vous vous connectez, ouvrez un fichier ou faites quoi
que ce soit, vous avez modifié les paramètres du registre, peut-être laissé des
fichiers temporaires et laissé des traces. Pour un examen médico-légal, c'est en fait
critique. Mais cela signifie également que l'enquêteur doit faire attention à ne
laisser aucune trace.

3.12. Outils
Nous avons précédemment discuté de l'imagerie d'un lecteur avec des
commandes Linux ou un imageur de disque FTK. Il existe une variété d'outils
disponibles pour effectuer l'analyse et l'examen médico-légaux. Dans cette section,
j'en examinerai quelques-unes pour vous. Il existe certainement d'autres outils,
mais ceux répertoriés ici sont très largement utilisés.

3
. http ://www.forensichandbook.com/locards-exchange-principle/
FTK
Nous avons mentionné FTK précédemment, une brève description est
également donnée ici. La société AccessData est le créateur du ForensicToolkit,
mieux connu sous le nom de simplement FTK. Il s'agit d'un outil d’investigation
numérique solide qui vous permet de récupérer des fichiers supprimés, d'examiner
les paramètres du registre et d'effectuer diverses tâches d'examen médico-légal. Le
logiciel lui-même peut coûter cher mais est très populaire auprès des forces de
l'ordre.
AccessData a ajouté des fonctionnalités supplémentaires telles que le
filtrage de fichiers connu pour trouver certains types de fichiers. FTK peut
également rechercher et détecter des fichiers impliqués dans la pornographie
enfantine. AccessData fait également un outil de criminalistique téléphonique. Vous
pouvez en savoir plus sur http ://accessdata.com/.
EnCase
Cet outil, fabriqué par Guidance Software, est très populaire auprès des
forces de l'ordre et est un concurrent direct de FTK. Il vous permet d'imager des
lecteurs, de récupérer des fichiers supprimés, d'examiner le registre et d'autres
tâches courantes. Cela peut également être prohibitif pour certaines organisations.
Vous pouvez en savoir plus
surhttps://www2.guidancesoftware.com/products/Pages/encase-
forensic/overview.aspx.

OSForensics
Il s'agit d'un outil plus récent, mais qui a été bien reçu dans la communauté
médico-légale. Il est très peu coûteux et facile à utiliser. Il est complet, vous
permettant de récupérer des fichiers supprimés, d'examiner le registre et de
rechercher le lecteur. Vous pouvez en savoir plus et même télécharger une version
d'essai pleinement fonctionnelle surwww.osforensics.com/.

Sleuth Kit (Kit de détective)


Il s'agit en fait d'une suite d'outils open source. La suite complète d'outils est
complète mais plus difficile à utiliser. Chaque outil peut vous obliger à apprendre un
ensemble de commandes de ligne de commande (ou shell) à exécuter. Vous pouvez
en savoir plus sur www.sleuthkit.org/.

Oxygen
Cet outil est spécifiquement destiné à la criminalistique des téléphones. Il
fait un très bon travail d'analyse des iPhones et un assez bon travail d'analyse
d'Android moderne. Il n'est pas (au moins actuellement) aussi efficace avec les
anciens téléphones Android ou Windows. Vous pouvez en savoir plus sur
www.oxygen-forensic.com/en/.

Cellebrite
C'est peut-être l'un des outils de criminalistique téléphonique les plus populaires, au
moins avec les forces de l'ordre. Il est très efficace avec un certain nombre de
téléphones différents. Le seul inconvénient est qu'il s'agit de l'un des outils de
criminalistique téléphonique les plus chers disponibles. Vous pouvez en savoir plus
sur www.cellebrite.com/.

4. Trouver des preuves sur le PC


Une fois que vous avez obtenu les machines pouvant contenir des preuves
et fait une copie médico-légale de ces dernières, il est temps de commencer à y
chercher des preuves. Ces preuves peuvent prendre plusieurs formes. Les outils
mentionnés dans la section précédente peuvent être utilisés pour extraire ces
preuves pour vous. Cependant, dans cette section, nous verrons ce que ces outils
recherchent. Il est important de ne pas simplement régurgiter ce que certains outils
automatisés vous disent, mais plutôt de comprendre ce que l'outil fait.

4.1. Recherche de preuves dans le navigateur


Le navigateur peut être à la fois une preuve directe et une preuve
circonstancielle ou à l'appui. De toute évidence, dans les cas de pornographie
enfantine, le navigateur peut contenir des preuves directes du crime spécifique.
Vous pouvez également trouver des preuves directes dans le cas du cyber
harcèlement. Cependant, si vous soupçonnez quelqu'un de créer un virus qui a
infecté un réseau, vous ne trouverez probablement que des preuves indirectes
telles que la personne ayant recherché des sujets liés à la création/programmation
de virus.
Même si la personne efface son histoire, il est toujours possible de la
retrouver. Windows stocke de nombreuses informations dans un fichier appelé
index.dat (informations telles que les adresses Web, les requêtes de recherche et les
fichiers récemment ouverts).

4.2. Recherche de preuves dans les journaux système


Quel que soit le système d'exploitation que vous utilisez, le système
d'exploitation possède des journaux. Ces journaux peuvent être critiques dans toute
enquête médico-légale, et vous devez les récupérer.

4.2.1. Journaux Windows


Commençons par Windows 7/8/10. Avec toutes ces versions de Windows,
vous trouverez les journaux en cliquant sur le bouton Démarrer dans le coin
inférieur gauche du bureau, puis en cliquant sur le Panneau de configuration. Vous
cliquez ensuite sur Outils d'administration et sur l'Observateur d'événements. Voici
les journaux à vérifier. (Notez que tous n'apparaissent pas dans toutes les versions
de Windows.)
Remarque : Avec tous ces éléments, vous devez activer la connexion à un
compte utilisateur ; sinon, il n'y aura rien dans ces journaux.

 Journal de sécurité : il s'agit probablement du journal le plus important du


point de vue de la criminalistique. Il contient des événements de connexion
réussis et infructueux.
 Journal d'application : ce journal contient divers événements enregistrés par
des applications ou des programmes. De nombreuses applications
enregistreront leurs erreurs ici dans le journal des applications.
 Journal système : le journal système contient les événements consignés par
les composants du système Windows. Cela inclut des événements tels que
les pannes de pilotes. Ce journal particulier n'est pas aussi intéressant du
point de vue de la criminalistique que les autres journaux.
 Journal ForwardedEvents : le journal ForwardedEvents est utilisé pour
stocker les événements collectés à partir d'ordinateurs distants. Cela ne
contiendra des données que si le transfert d'événements a été configuré.
 Journaux des applications et des services : ce journal est utilisé pour stocker
les événements d'une seule application ou d'un seul composant plutôt que
les événements susceptibles d'avoir un impact sur l'ensemble du système.
Les serveurs Windows auront des journaux similaires. Cependant, avec les
systèmes Windows, vous avez une préoccupation supplémentaire possible. Il est
possible que l'attaquant ait effacé les journaux avant de quitter le système. Il existe
des outils qui permettent d'effacer un journal. Il est également possible de
simplement désactiver la journalisation avant une attaque et de la réactiver lorsque
vous avez terminé. Un tel outil est auditpol.exe.
auditpol \\ipaddress/disable désactive la journalisation.
Ensuite, lorsque le criminel sort, il peut utiliser
auditpol \\ipaddress/enable pour le réactiver.
Il existe également des outils, comme WinZapper, qui vous permettent de
supprimer sélectivement certains éléments des journaux d'événements dans
Windows.
4.2.2. Journaux Linux
De toute évidence, Linux a également des journaux que vous pouvez vérifier.
Selon votre distribution Linux et les services que vous y exécutez (comme MySQL),
certains de ces journaux peuvent ne pas être présents sur une machine particulière
:

 var/log/faillog : ce fichier journal contient des échecs de connexion


/

utilisateur. Cela peut être très important lors du suivi des tentatives de
pénétration du système.
 /var/log/kern.log: ce fichier journal est utilisé pour les messages du noyau du
système d'exploitation. Il est peu probable que cela soit pertinent pour la
plupart des enquêtes sur les délits informatiques.
 /var/log/lpr.log : Ceci est le journal de l'imprimante et peut vous donner un

enregistrement de tous les éléments qui ont été imprimés à partir de cette
machine. Cela peut être utile dans les cas d'espionnage d'entreprise.
 /var/log/mail.* : Ceci est le journal du serveur de messagerie et peut être très

utile dans toute enquête sur les délits informatiques. Les e-mails peuvent
être une composante de tout délit informatique et même de certains délits
non informatiques tels que la fraude.
 /var/log/mysql.* : ce journal enregistre les activités liées au serveur de base

de données MySQL et sera généralement moins intéressant pour une


enquête sur un délit informatique.
 /var/log/apache2/* : si cette machine exécute le serveur Web Apache, ce

journal affichera l'activité associée. Cela peut être très utile pour suivre les
tentatives de piratage du serveur Web.
 /var/log/lighttpd/* : Si cette machine exécute le serveur Web Lighttpd, ce

journal affichera l'activité associée. Cela peut être très utile pour suivre les
tentatives de piratage du serveur Web.
 /var/log/apport.log : cela enregistre les plantages d'application. Parfois, ceux-

ci peuvent révéler des tentatives de compromettre le système ou la


présence d'un virus ou d'un logiciel espion.
 /var/log/user.log : ils contiennent des journaux d'activité des utilisateurs et

peuvent être très importants pour une enquête criminelle.

4.3. Récupérer les fichiers supprimés


C'est un fait que les criminels tentent fréquemment de détruire des preuves.
Cela est également vrai pour les délits informatiques. Les criminels peuvent
supprimer des fichiers. Cependant, il existe une variété d'outils que vous pouvez
utiliser pour récupérer de tels fichiers, en particulier sous Windows. DiskDigger est
un outil gratuit qui peut être utilisé pour récupérer des fichiers Windows. Il s'agit
d'un outil très facile à utiliser. Il existe des outils plus robustes, mais le fait qu'il soit
gratuit et facile à utiliser le rend parfait pour les étudiants qui apprennent la
médecine légale. Passons en revue son fonctionnement de base. Il convient de noter
que tous les outils judiciaires susmentionnés récupéreront les fichiers supprimés
pour vous. Il convient également de noter qu'il existe de nombreux outils de
récupération de fichiers disponibles sur Internet. DiskDigger est simplement
présenté comme un exemple de ce qui est disponible.
Sur le premier écran, illustré à la figure 6, vous sélectionnez le lecteur/la
partition dont vous souhaitez récupérer les fichiers.

FIGURE 14.6 Ajoutez une nouvelle analyse.

Sur l'écran suivant, vous sélectionnez le niveau de numérisation que vous


souhaitez effectuer. Ceci est illustré à la figure 7. De toute évidence, plus l'analyse
est approfondie, plus elle peut prendre du temps.
Ensuite, vous obtiendrez une liste des fichiers qui ont été récupérés. Vous
pouvez le voir dans la figure 8.
Vous pouvez voir le fichier et l'en-tête du fichier. Vous pouvez également
choisir de récupérer le fichier si vous le souhaitez. De toute évidence, il est possible
que DiskDigger ne récupère qu'un fragment de fichier. Mais cela peut suffire pour la
médecine légale.

FIGURE 14.7 Sélectionnez la profondeur de numérisation.


FIGURE 14.8 Fichiers récupérés.
Utilitaires du système d'exploitation

REMARQUE
En plus des fichiers supprimés, il est important de vérifier l'espace libre.
Lorsqu'un fichier est enregistré, l'ensemble du cluster est alloué, qu'il soit nécessaire
ou non. Considérez cet exemple : vous avez un ordinateur avec une taille de cluster
de 10 secteurs. Vous enregistrez un fichier qui ne prend que 3 secteurs. En ce qui
concerne le système d'exploitation et le système de fichiers, les 10 secteurs sont
utilisés. Cela laisse 7 secteurs disparus. Cet espace est un espace lâche. Il est
possible de masquer les données dans l'espace libre.

4.3. Utilitaires du système d'exploitation


Il existe un certain nombre d'utilitaires intégrés au système d'exploitation
qui peuvent être utiles pour collecter certaines données médico-légales. Étant
donné que Windows est le système d'exploitation le plus couramment utilisé, nous
nous concentrerons sur les utilitaires qui fonctionnent à partir de la ligne de
commande Windows. Cependant, l'un des principaux problèmes lors de la
réalisation de travaux médico-légaux est d'être très familier avec le système
d'exploitation cible. Vous devez également noter que bon nombre de ces
commandes sont plus utiles sur un système en cours d'exécution pour intercepter
les attaques en cours.

4.3.1 Net Sessions


Cette commande répertorie toutes les sessions actives connectées à
l'ordinateur sur lequel vous l'exécutez. Cela peut être très important si vous pensez
qu'une attaque est en cours et en cours. S'il n'y a pas de sessions actives, l'utilitaire
le signale, comme le montre la figure 9.
FIGURE 14.9 Sessions Internet.

4.3.2. Ouvrir des fichiers


Il s'agit d'une autre commande utile pour trouver des attaques en direct en
cours. Cette commande répertorie tous les fichiers partagés actuellement ouverts.
Vous pouvez voir cet utilitaire dans la figure 10.

FIGURE 14.10 Ouvrir des fichiers.


4.3.3. Fc
Fc est une commande que vous pouvez utiliser avec une copie judiciaire
d'une machine. Il compare deux fichiers et montre les différences. Si vous pensez
qu'un fichier de configuration a été modifié, vous pouvez le comparer à une bonne
sauvegarde connue. Vous pouvez voir cet utilitaire dans la figure 11.

FIGURE 14.11Fc.

4.3.4. Netstat
Cette commande est également utilisée pour détecter les attaques en cours.
Il répertorie toutes les connexions réseau actuelles, non seulement entrantes, mais
également sortantes. Vous pouvez voir cet utilitaire dans la figure 12.
FIGURE 14.12Netstat.

4.4. Le registre Windows


Le registre Windows est un incroyable référentiel d'informations médico-
légales potentiellement utiles. C'est le cœur de la machine Windows. Il existe un
certain nombre de données intéressantes que vous pouvez trouver ici. Il n'est pas
du ressort de ce chapitre de faire de vous un expert du Registre Windows, mais
nous espérons que vous continuerez et en apprendrez plus. Microsoft décrit le
Registre comme suit :

«Une base de données hiérarchique centrale utilisée dans la famille de


systèmes d'exploitation Microsoft Windows pour stocker les informations
nécessaires à la configuration du système pour un ou plusieurs utilisateurs,
applications et périphériques matériels.
Le registre contient des informations que Windows référence
continuellement pendant le fonctionnement, telles que les profils de chaque
utilisateur, les applications installées sur l'ordinateur et les types de
documents que chacun peut créer, les paramètres de la feuille de propriétés
des dossiers et des icônes d'application, le matériel existant sur le système et
les ports qui sont utilisés. » 4

Le registre est organisé en cinq sections appelées ruches. Chacune de ces


sections contient des informations spécifiques qui peuvent vous être utiles. Les cinq
ruches sont décrites ici :
1. HKEY_CLASSES_ROOT (HKCR) : cette ruche stocke des informations sur les règles de
glisser-déposer, les raccourcis de programme, l'interface utilisateur et les éléments associés.
2. HKEY_CURRENT_USER (HKCU) : Cela sera très important pour toute enquête médico-légale.
Il stocke des informations sur l'utilisateur actuellement connecté, y compris les paramètres du
bureau et les dossiers utilisateur.
3. HKEY_LOCAL_MACHINE (HKLM) : Cela peut également être important pour une enquête
médico-légale. Il contient les paramètres communs à l'ensemble de la machine, quel que soit
l'utilisateur individuel.

4
. Microsoft Computer Dictionary, Fifth Edition
4. HKEY_USERS (HKU) : Cette ruche est très critique pour les enquêtes médico-légales. Il a des
profils pour tous les utilisateurs, y compris leurs paramètres.
5. HKEY_CURRENT_CONFIG (HCU) : cette ruche contient la configuration actuelle du système.
Cela pourrait également s'avérer utile dans vos examens médico-légaux.

Vous pouvez voir le Registre et ces cinq ruches dans la figure 13.

FIGURE 14.13 Registre Windows.

La plupart des gens utilisent l'outil regedit pour interagir avec le registre.
Dans Windows 7 et Server 2008, vous sélectionnez Démarrer, Exécuter, puis tapez
regedit. Sous Windows 8 et 10, vous devrez accéder à la liste des applications,
sélectionner Toutes les applications, puis rechercher Regedit ou utiliser la touche
Windows + R et taper regedit. La plupart des outils de criminalistique offrent
également un moyen d'examiner le registre.
Toutes les clés de registre contiennent une valeur qui leur est associée
appelée LastWriteTime. Cette valeur indique la dernière modification de cette
valeur de Registre. Plutôt que d'être une date/heure standard, cette valeur est
stockée en tant que structure FILETIME. Une structure FILETIME représente le
nombre d'intervalles de 100 nanosecondes depuis le 1er janvier 1601. De toute
évidence, cela est important pour la médecine légale.
Il est également intéressant de noter que Microsoft utilise rarement un
cryptage fort pour masquer des éléments dans le Registre. Si un élément est crypté,
il est probablement crypté avec un algorithme simple tel que ROT 13.
La plupart des chaînes de texte internes sont stockées et traitées en tant que
caractères Unicode 16 bits. Unicode est une norme internationale de jeu de
caractères qui définit des valeurs uniques à 2 octets (maximum 65 536 caractères)
pour la plupart des jeux de caractères connus dans le monde.
Vous pouvez exporter une clé spécifique à partir de la ligne de commande
avec
exportation reg HKEY_LOCAL_MACHINE \ System \ ControlSet \ Enum \ UBSTOR

ou dans regedit, vous pouvez cliquer avec le bouton droit sur une clé et
sélectionner Exporter.

4.5. Entrées spécifiques du Registre Windows


Maintenant que vous avez une connaissance pratique de base du Registre, il
est important de consulter certaines informations spécifiques du Registre que vous
pouvez trouver.
4.5.1. Informations USB
L'une des premières choses que la plupart des analystes judiciaires
apprennent sur le registre Windows est qu'ils peuvent savoir quels périphériques
USB ont été connectés à la machine suspecte. La clé de Registre HKEY_LOCAL_
MACHINE \ System \ ControlSet \ Enum \ USBSTOR répertorie les périphériques USB
qui ont été connectés à la machine. Il arrive souvent qu'un criminel déplace des
preuves vers un appareil externe et les emporte avec lui. Cela pourrait vous indiquer
qu'il existe des appareils que vous devez rechercher et examiner. Ce paramètre de
registre vous indiquera les disques externes qui ont été connectés à ce système.
Vous pouvez le voir sur la figure 14.
FIGURE 14.14 Registre Windows — USBSTOR.

Cependant, cela ne donne pas l'image complète. Certaines clés associées


sont très utiles :
SYSTEM \ MountedDevices permet aux enquêteurs de faire correspondre le numéro
de série à une lettre de lecteur ou à un volume donné qui a été monté lors de
l'insertion du périphérique USB. Soit dit en passant, cette clé de registre
particulière n'est pas limitée aux périphériques USB.

Quel utilisateur utilisait le périphérique USB peut être trouvé ici :


\ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2

L'ID du fournisseur et du produit peut être trouvé ici :


SYSTEM \ CurrentControlSet \ Enum \ USB

Toutes ces clés de registre USB associées doivent être examinées afin
d'obtenir une image complète et précise de ce qui s'est passé concernant des
périphériques USB spécifiques.
4.5.2. Emplacements de démarrage automatique
Cette clé est fréquemment utilisée par les logiciels malveillants pour rester
persistante sur le système cible. Il montre les programmes configurés pour
démarrer automatiquement au démarrage de Windows.
Exemple : HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \
CurrentVersion \ Run
Évidemment, vous devez vous attendre à voir des programmes légitimes
dans cette clé de Registre. Cependant, s'il y a quelque chose que vous ne pouvez
pas expliquer, cela pourrait indiquer un malware.

4.5.3. Dernière visite


HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32 \
LastVisitedMRU

Cette clé affichera les sites récents qui ont été visités. Les données sont au
format hexadécimal, mais vous pouvez voir la traduction du texte lorsque vous
utilisez regedit, et vous pourrez probablement distinguer le site visité simplement
en regardant regedit.

4.5.4. Documents récents


Les documents récents peuvent être trouvés à la clé suivante :
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RecentDocs

Cela peut être très important du point de vue médico-légal, en particulier


dans les cas impliquant des données financières ou la propriété intellectuelle. Cette
clé vous permet de déterminer quels documents ont été consultés sur cet
ordinateur.
Comme vous pouvez le voir, cette clé est d'abord divisée en types de
documents, puis, une fois que vous avez sélectionné le type, vous pouvez voir les
documents récents de ce type auxquels vous avez accédé.

4.5.5. Logiciels désinstallés


HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall

Il s'agit d'une clé de registre très importante pour tout examen médico-légal.
Un intrus qui s'introduit par effraction dans un ordinateur peut installer des logiciels
sur cet ordinateur à diverses fins, telles que la récupération de fichiers supprimés ou
la création d'une porte dérobée. Il supprimera alors très probablement le logiciel
qu'il a utilisé. Il est également possible qu'un employé qui vole des données installe
un logiciel de stéganographie afin de pouvoir masquer les données. Il désinstallera
ensuite ce logiciel. Cette clé vous permet de voir tous les logiciels qui ont été
désinstallés de cette machine.
Il existe certainement d'autres clés d'intérêt. Et les outils médico-légaux
susmentionnés tireront ces informations (et plus) pour vous. Si vous allez travailler
avec la médecine légale, en particulier avec les machines Windows, il est essentiel
que vous appreniez le registre Windows.
5. Criminalistique Mobile:Les Concepts du Téléphone
Portable
Il y a quelques appareils et terminologie de base que vous devrez connaître
avant de nous plonger dans les téléphones portables. Certains d'entre eux, tels que
la carte SIM, vous sont probablement au moins quelque peu familiers.

5.1. Concepts liés aux téléphones portables


Les sections suivantes sont les parties d'un téléphone.

5.1.1. Module d'identité d'abonné


Un module d'identité d'abonné, ou SIM, est le cœur du téléphone. C'est un
circuit, généralement une puce amovible. La carte SIM est la façon dont vous
identifiez un téléphone. Il stocke l'identité internationale de l'abonné mobile (IMSI).
L'IMSI, dont nous discuterons en détail dans un instant, identifie de manière unique
un téléphone. Donc, si vous changez la SIM, vous changez effectivement l'IMSI et
changez donc l'identité du téléphone. Cette carte SIM aura également
généralement des informations sur le réseau, les services auxquels l'utilisateur a
accès et deux mots de passe. Ces mots de passe sont le numéro d'identification
personnel (PIN) et le code de déblocage personnel (PUK). Le PUK est un code utilisé
pour réinitialiser un code PIN oublié. Cependant, l'utilisation du code efface le
téléphone et le réinitialise à son état d'usine, détruisant ainsi toute preuve médico-
légale. Si le code est entré incorrectement 10 fois de suite,

5.1.2. Identité internationale des abonnés mobiles


L'identité internationale d'abonné mobile (IMSI) est généralement un
numéro à 15 chiffres mais peut être plus courte dans certains cas. (Certains pays
utilisent un numéro plus court.) Il est utilisé pour identifier de manière unique un
téléphone. Les trois premiers chiffres sont un code de pays mobile (MCC) et les
chiffres suivants représentent le code de réseau mobile. En Amérique du Nord, c'est
trois chiffres; en Europe, il s'agit de deux chiffres. Les chiffres restants sont le
numéro d'identification d'abonnement mobile (MSIN) qui identifie le téléphone au
sein d'un réseau donné. Pour empêcher le suivi et le clonage, l'IMSI n'est envoyé
que rarement. Au lieu de cela, une valeur temporaire ou TMSI est générée et
envoyée.

5.1.3. Identification de carte de circuit intégré


Alors que l'identification de carte de circuit intégré (IMSI) est utilisée pour
identifier le téléphone, la puce SIM elle-même est identifiée par l'ICCID. L'ICCID est
gravé sur la carte SIM lors de la fabrication, il ne peut donc pas être retiré. Les sept
premiers chiffres identifient le pays et l'émetteur et sont appelés le numéro
d'identification de l'émetteur (IIN). Après cela, un numéro de longueur variable
identifie cette puce/SIM, puis un chiffre de contrôle.

5.1.4. Identité internationale de l'équipement mobile


Le numéro IMEI (International Mobile Equipment Identity) est un identifiant
unique utilisé pour identifier les téléphones GSM, UMTS, LTE et satellite. Il est
imprimé sur le téléphone, souvent à l'intérieur du compartiment à piles. Vous
pouvez l'afficher sur la plupart des téléphones en entrant # 06 # sur le pavé
numérique. En utilisant ce numéro, un téléphone peut être mis sur liste noire ou
empêché de se connecter à un réseau. Cela fonctionne même si l'utilisateur change
de carte SIM.

5.2. Réseaux cellulaires


En plus de comprendre les téléphones portables eux-mêmes, il est
nécessaire de comprendre les réseaux. Tous les réseaux de téléphonie cellulaire
sont basés sur des tours radio. La force de ce signal radio est délibérément régulée
pour limiter sa portée. Chaque station de base de tour cellulaire se compose d'une
antenne et d'un équipement radio.
Voici une brève description des différents types de réseaux.

5.2.1. Système Global pour les Communications Mobiles


Le Système mondial de communications mobiles (GSM) est une technologie
plus ancienne, communément appelée 2G. Il s'agit d'une norme développée par
l'Institut européen des normes de télécommunications (ETSI). À l'origine, le GSM a
été développé uniquement pour la voix numérique, mais il a été étendu pour
inclure les données. Le GSM fonctionne à de nombreuses fréquences différentes,
mais les plus courantes sont 900 MHz et 1800 MHz. En Europe, la plupart des
réseaux 3G utilisent la fréquence 2100 MHz.

5.2.2. Débits de données améliorés pour GSM Evolution


Beaucoup considèrent les débits de données améliorés pour GSM Evolution
(EDGE) comme un niveau compris entre 2G et 3G. Il est techniquement considéré
comme pré-3G mais constituait une amélioration par rapport au GSM (2G). Il a été
spécialement conçu pour diffuser des médias tels que la télévision sur le réseau
cellulaire.

5.2.3. Systèmes de télécommunications mobiles universels


Les systèmes de télécommunications mobiles universels (UMTS) sont 3G et
sont essentiellement une mise à niveau vers GSM (2G). Il fournit du texte, de la voix,
de la vidéo et du multimédia à des débits de données pouvant aller jusqu'à 2
mégabits par seconde, voire plus.

5.2.4. Evolution à long terme


L'évolution à long terme (LTE) est ce que l'on appelle communément la 4G. Il
fournit Internet haut débit, multimédia et voix. LTE est basé sur la technologie
GSM/EDGE. Il peut théoriquement supporter des vitesses de 300 mégabits par
seconde (Mbps). Contrairement aux réseaux GSM et GSM, le LTE est basé sur IP,
tout comme un réseau informatique classique.

5.2.5. Réseau intégré amélioré numériquement


Le réseau intégré numériquement amélioré (iDEN) est une architecture
basée sur GSM qui combine téléphone portable, radio bidirectionnelle,
téléavertisseur et modem en un seul réseau. Il fonctionne sur des fréquences de
800 MHz, 900 MHz ou 1,5 GHz et a été conçu par Motorola.
Comprendre les réseaux sur lesquels les téléphones cellulaires fonctionnent
est important pour comprendre la médecine légale des téléphones cellulaires.
Aujourd'hui, vous rencontrez très probablement le LTE, bien que les
réseaux/téléphones 3G existent toujours.
N'oubliez pas qu'un téléphone portable ou une tablette moderne est en fait
un ordinateur. Il y a quelques années, ce n'était pas le cas. Cependant, les appareils
mobiles modernes sont, à tous égards, des ordinateurs à part entière. Cela signifie
qu'ils ont du matériel, des systèmes d'exploitation et des applications (souvent
appelés applications). Il est important d'avoir au moins une connaissance pratique
des systèmes d'exploitation utilisés sur les appareils mobiles pour réussir l'analyse
médico-légale.

5.3. iOS
Les iPhone, iPod et iPad d'Apple sont très courants et fonctionnent tous sur
le même système d'exploitation, iOS. Le système d'exploitation iOS a été
initialement publié pour l'iPhone et l'iPod en 2007 et a ensuite été étendu pour
inclure l'iPad. Il est basé sur une interface tactile, dans laquelle l'utilisateur
effectuera des gestes tels que glisser, faire glisser, pincer et toucher sur l'écran.
L'iOS est basé sur OS X pour Macintosh mais est fortement modifié.
L'iOS est divisé en quatre couches. Le premier est la couche Core OS, qui est
le cœur du système d'exploitation. Il s'agit d'une couche avec laquelle les
utilisateurs et les applications n'interagissent pas directement. Au lieu de cela, les
applications interagissent avec la couche Core Services, la deuxième couche. La
troisième couche, ou couche multimédia, est responsable de la musique, des
vidéos, etc. Enfin, il y a la couche CocoaTouch, qui répond aux gestes des
utilisateurs.
L'iOS utilise le système de fichiers HFS +. HFS + a été créé par Apple en
remplacement du système de fichiers hiérarchique (HFS) et est utilisé à la fois sur
iOS et OSX. iOS peut utiliser FAT32 lors de la communication avec des machines
Windows (comme lors de la synchronisation d'un iPhone avec un PC Windows).
L'iOS divise sa partition de données comme suit :
■ Entrées d'agenda
■ Entrées de contact
■ Entrées de notes
■ Répertoire iPod_control (ce répertoire est masqué)
■ Configuration iTunes
■ Musique iTunes

De toute évidence, le calendrier et les entrées de contact peuvent être


intéressants pour toute enquête médico-légale. Cependant, certaines des données
cachées dans le répertoire iPod_control sont également très importantes. Le
dossier iPod_control \ device \ sysinfo présente un intérêt particulier pour les
enquêtes médico-légales. Ce dossier contient deux informations très importantes :
■ Numéro de modèle de l'iPod
■ ipod Numéro de série

5.4. Android
L'Android est la plus grande alternative à iOS. Il est basé sur Linux - en fait, il
s'agit d'une distribution Linux modifiée et il est open source. Cela signifie que si vous
avez les connaissances en programmation et en système d'exploitation pour les
suivre, vous pouvez télécharger et lire le code source Android par vous-même
surhttp ://source.android.com/. Il convient de noter que les téléphones Android
propriétaires apportent souvent leurs propres modifications ou ajouts au code
source Android open source.
Le système d'exploitation Android est sorti pour la première fois en 2003 et
est la création de Rich Miner, Andy Rubin et Nick Sears; cependant, Google a acquis
Android en 2005. Les versions d'Android ont été nommées d'après les
déserts/sucreries :
■ Version 1.5 Cupcake sorti en avril 2009
■ Version 1.6 Donut sortie septembre 2009
■ Version 2.0–2.1 Éclair publiée en octobre 2009
■ Version 2.2 Froyo sortie en mai 2010
■ Version 2.3 Gingerbread sorti en décembre 2010
■ Version 3.1–3.2 Honeycomb publiée en février 2011
■ Version 4.0 Ice Cream Sandwich sorti en octobre 2011
■ Version 4.1–4.2 Jelly Bean publiée en juin 2012
■ Version 4.4 KitKat sortie septembre 2013
■ Version 5.0 Lollipop publiée en novembre 2014
■ Version 6.0 Marshmallow publiée en octobre 2015

Les différences d'une version à l'autre impliquent généralement l'ajout de


nouvelles fonctionnalités, et non un changement radical du système d'exploitation.
Ils sont tous basés sur Linux, et la fonctionnalité de base, même de Cupcake à
KitKat, est remarquablement similaire. Cela signifie que si vous êtes à l'aise avec
n'importe quelle version d'Android, vous devriez pouvoir effectuer une analyse
médico-légale avec toutes les versions d'Android.

5.4. Windows
Microsoft a produit plusieurs variantes de Windows destinées au marché
mobile. Windows CE est la première incursion de l'entreprise sur le marché des
systèmes d'exploitation mobiles. Ce système d'exploitation a également été publié
sous le nom de Pocket PC 2000, qui était basé sur Windows CE version 3. En 2008,
Windows Phone a été publié. Il présentait un inconvénient majeur en ce qu'il n'était
pas compatible avec la plupart des applications Windows Mobile précédentes. En
2010, Microsoft a sorti Windows Phone 7.
Avec l'avènement de Windows 8, Microsoft déplace tous ses appareils vers
le même système d'exploitation. Cela signifie que les PC, téléphones et tablettes
utiliseront le même Windows, à savoir Windows 8. Cela simplifie l'analyse médico-
légale. Windows 10 suit le même processus d'avoir le même système d'exploitation
sur le téléphone, la tablette et le PC.

5.5. Ce que vous devez rechercher


Quels sont les principes généraux qui vous aident à déterminer ce qu'il faut
rechercher dans un téléphone portable ou un autre appareil mobile ? Les éléments
que vous devez tenter de récupérer à partir d'un appareil mobile sont les suivants :
 Détails du téléphone lui-même
 Historique des appels
 Photos et vidéo
 Informations GPS
 Informations sur le réseau

Les informations sur le téléphone devraient être l'une des premières choses
que vous documentez dans votre enquête. Tout comme vous documenteriez les
spécificités d'un PC (modèle, système d'exploitation, etc.) que vous examiniez, vous
devez également documenter les spécificités du téléphone ou de la tablette. Cela
comprendra le numéro de modèle, le numéro de série de la carte SIM, le système
d'exploitation, etc. Plus vous pouvez documenter d'informations descriptives, mieux
c'est.
L'historique des appels vous permettra de savoir à qui l'utilisateur a parlé et
pendant combien de temps. De toute évidence, les enregistrements des appels ne
suffisent pas à eux seuls à prouver la plupart des délits. À l'exception du
harcèlement criminel ou de la rupture d'une ordonnance de ne pas faire, il ne suffit
pas de prouver qu'une personne a appelé une autre pour prouver un crime.
Cependant, il peut commencer à construire un dossier circonstanciel.
Les photos et les vidéos peuvent fournir des preuves directes d'un crime.
Dans le cas de la pornographie enfantine, la pertinence est évidente. Cependant,
cela peut vous surprendre de savoir qu'il n'est pas rare que certains criminels se
photographient ou enregistrent eux-mêmes des crimes graves. Cela est
particulièrement vrai des jeunes criminels qui commettent des délits non planifiés
ou des délits sous l'influence de drogues ou d'alcool. Il existe de nombreux cas
d'auteurs se filmant ou se photographiant en train de commettre des délits allant
du vandalisme au cambriolage et au viol.
Les informations GPS sont devenues de plus en plus importantes dans divers
cas. Tant de personnes ont des appareils avec GPS activé qu'il semblerait négligent
pour un analyste judiciaire de ne pas récupérer ces informations. Le GPS ne peut
pas confirmer qu'un suspect a commis un crime, mais il peut montrer que le suspect
était à un endroit où un crime a été commis. Bien sûr, le GPS peut également aider
à disculper quelqu'un. Si une personne est soupçonnée d'avoir commis un crime
mais que son véhicule et son GPS de téléphone portable se trouvent à plusieurs
kilomètres au moment du crime, cela peut aider à établir un alibi.
Les informations sur le réseau sont également importantes. Quels réseaux
Wi-Fi le téléphone reconnaît-il ? Cela pourrait indiquer où se trouvait le téléphone.
Si un téléphone est connecté à un café qui se trouve à proximité d'un lieu de crime,
cela indique au moins que l'agresseur se trouvait dans la région. Il est également
possible que les délits informatiques traditionnels, tels que le déni de service (DoS)
et l'injection SQL, remontent à un point Wi-Fi public, et l'agresseur était assez
intelligent pour masquer l'identité de son ordinateur. Si vous pouvez montrer que
son téléphone portable est connecté au GPS, cela aidera à établir qu'il a eu la
possibilité de commettre le crime.
6. Certification, Experts & Règles
6.1. Certifications médico-légales
Pourquoi des certifications ? Cette question est posée depuis des années
dans le domaine des technologies de l'information. Divers experts descendent sur
un extrême ou l'autre. Certaines certifications de réclamation sont inestimables, et
d'autres prétendent qu'elles sont sans valeur. En outre, certaines sous-industries de
l'informatique ont des attitudes différentes à l'égard des certifications. Dans le
monde Cisco, les certifications sont roi. Dans la communauté Linux, les certifications
ont une valeur négligeable. Alors, quelle est la valeur des certifications en médecine
légale ?
Tout d'abord, vous devez examiner l'objectif des certifications. Que signifie
être certifié ? Souvent, les gens qui ont une vision sombre des certifications ont
cette opinion parce qu'ils ont rencontré quelqu'un avec une certification qui n'était
pas très compétent. Cela dénote une mauvaise compréhension de ce qu'est une
certification. La certification est censée indiquer que le titulaire de cette
certification a satisfait à une norme minimale. Cela ne signifie pas que la personne
en question est le maître de ce sujet, mais plutôt qu'elle est compétente. De même,
un diplôme en médecine ne garantit pas que la personne est un grand médecin,
mais simplement qu'elle a obtenu une compétence minimale en médecine.
Cependant, il est possible de passer une certification et de ne pas être très
bon sur le sujet. Mais il en va de même pour tous les domaines et toutes les
activités éducatives. Il y a certainement des médecins (heureusement peu) qui sont
incompétents. Mais si vous avez soudainement des douleurs à la poitrine, je parie
que vous préféreriez que quelqu'un vous appelle un médecin plutôt qu'un plombier.
Les chances d'un médecin ayant les compétences requises sont beaucoup plus
élevées que celles d'un plombier. Il en va de même pour les certifications
informatiques. S'il est certainement possible qu'une personne soit certifiée et ne
soit pas compétente, les chances qu'une personne certifiée soit compétente sont
bien plus élevées. C'est pourquoi les employeurs exigent ou préfèrent fréquemment
des certifications. Cela facilite beaucoup le filtrage des candidats.
Toute certification informatique peut être un indicateur précieux des
compétences d'un demandeur d'emploi. Ce n'est pas le seul indicateur et ne devrait
certainement pas être la seule chose à considérer, mais c'est un facteur. Cela nous
amène à des certifications médico-légales. Y en a-t-il un autre besoin ? Examinez
d'abord les certifications de cyber criminalistique actuellement disponibles. Toutes
les certifications médico-légales sont de deux types. Le premier type est celui des
certifications des fournisseurs. Ceux-ci sont généralement axés uniquement sur le
produit (ou les produits) que le vendeur vend. Le deuxième type est celui des
certifications conceptuelles. Ces tests ne concernent pas un outil spécifique, mais
plutôt des concepts médico-légaux.
AccessData, les créateurs de ForensicToolkit, possède plusieurs certifications
pour son produit. Tout comme Guidance Software, les créateurs d'EnCase. Ces deux
certifications de fournisseur sont assez bonnes. Cependant, ce sont deux
certifications de fournisseur. L'accent est mis sur la suite d'outils propriétaires
particulière plutôt que sur une couverture générale de la cyber-criminalistique. Si
vous allez travailler avec l'un ou l'autre de ces outils, c'est une très bonne idée
d'obtenir la certification de fournisseur appropriée, mais ce n'est pas la même
chose qu'un cours/test de cyber-criminalistique à grande échelle.
L'EC-Council a son test Certified Hacking ForensicsInvestigator, et il a été
quelque peu populaire. Cependant, comme son nom l'indique, il met l'accent sur le
piratage et le contre-piratage. Le principal objectif du Conseil CE a toujours été le
piratage.
Cela nous amène au sujet de l'ISC2 Certified Cyber ForensicsInvestigator. Ce
test de certification vaut-il la peine d'être pris ? La première chose à réaliser est que
l'ISC2 a une longue histoire de certification bien respectée
19.4 / ethiCaL issues41

Témoins experts

cours/tests, à commencer par le CISSP, qui est la certification de sécurité


informatique la plus ancienne et la plus connue. Cela signifie que le CCFP est
soutenu par des organisations de soutien solides. Le contenu du cours/test est
également très bon. Les domaines couverts comprennent la médecine légale, la
criminalistique d'application, les procédures d'enquête, le droit et l'éthique. C'est
juste le genre de large couverture de cyber-criminalistique qui est nécessaire.
Le SANS Institute offre un certain nombre de certifications, y compris le
CertifiedForensicsAnalyst (GCFA)et examinateur certifié en médecine légale (GCFE).
Ces deux éléments sont bien respectés dans l'industrie. Le seul problème avec l'un
ou l'autre est le coût. Les cours SANS et leurs tests de certification sont parmi les
plus chers de l'industrie.

6.2. Témoins experts


À un moment donné, tout médecin légiste pourrait être appelé à témoigner
devant le tribunal. Être témoin expert est très différent d'être témoin de fait. Tout
d'abord, un témoin expert est autorisé à témoigner sur des choses qu'il n'a pas vues
ou entendues. Deuxièmement, un témoin expert est autorisé à faire des inférences
et à formuler des théories.

Cependant, il existe des limites et des exigences précises pour les témoignages
d'experts. Vous ne pouvez pas simplement vous lever et dire essentiellement : "Eh
bien, je suis un expert et c'est vrai parce que je le dis." Il y a des règles. Les sections
suivantes donnent un bref aperçu de certaines de ces règles.

P a g e 41 | 52
6.3. Règle fédérale 702
La règle fédérale 702 définit ce qu'est un témoin expert et les règles
concernant le moment où elle peut témoigner et ce à quoi elle peut témoigner.
Essentiellement, la règle 702 stipule ce qui suit5 :
■ Un témoin qualifié comme expert par ses connaissances, ses compétences, son
expérience, sa formation ou ses études peut témoigner sous forme d'opinion
ou autrement si :
a. les connaissances scientifiques, techniques ou spécialisées de l'expert
aideront le juge des faits à comprendre les éléments de preuve ou à
déterminer un fait en cause;
b. le témoignage est basé sur des faits ou des données suffisants;
c. le témoignage est le produit de principes et de méthodes fiables; et
d. l'expert a appliqué de manière fiable les principes et méthodes aux faits
de la cause.

Cela signifie que, avant tout, l'expert doit être un expert dans ce sujet ou
domaine spécifique. Le témoignage de cette personne doit être utile au juge ou au
jury pour comprendre les faits techniques ou spécialisés de l'affaire. Mais tout aussi
important, l'expert doit baser ses opinions sur des méthodes scientifiques fiables.

6.4. Daubert
La norme Daubert est utilisée par les tribunaux fédéraux américains pour
déterminer si le témoignage scientifique d'un expert est fondé ou non sur un
raisonnement ou une méthodologie scientifiquement valable et pouvant être
correctement appliqué aux faits en cause. Selon cette norme, les facteurs qui
peuvent être pris en compte pour déterminer si la méthodologie est valide sont : (1)
si la théorie ou la technique en question peut être et a été testée; (2) s'il a fait
l'objet d'un examen par des pairs et d'une publication; (3) son taux d'erreur connu

5
. https ://www.law.cornell.edu/rules/fre/rule_702
ou potentiel; (4) l'existence et le maintien de normes contrôlant son
fonctionnement; et (5) s'il a été largement accepté par une communauté
scientifique pertinente. La norme Daubert est le test actuellement utilisé par les
tribunaux fédéraux et certains tribunaux d'État. Ceci est très similaire à la règle
fédérale 702.

7. Types supplémentaires de criminalistique


La criminalistique numérique est un domaine en pleine croissance.
L’investigation numérique et téléphonique est le type de criminalistique numérique
le plus répandu, mais ce n'est pas le seul domaine de la criminalistique numérique.
Dans cette section, vous verrez un bref aperçu de quelques autres sous-disciplines
de la criminalistique numérique.

7.1. Forensics réseau


La première chose fondamentale à apprendre sur la criminalistique du
réseau est l'analyse des paquets. Avant de continuer, vous pouvez consulter le
contenu du chapitre 2, «Réseaux et Internet», et vous assurer que vous êtes à l'aise
avec les réseaux de base.
Essentiellement, la criminalistique du réseau implique de capturer les
paquets réseau traversant le réseau et de les examiner pour trouver des preuves.
Beaucoup de choses peuvent être déterminées à partir de la criminalistique du
réseau : d'où vient le paquet, quel protocole il utilise, quel port il utilise et s'il est
chiffré ou non.
Voici quelques autres outils populaires pour l'analyse de réseau :
■ Wireshark : Voir www.wireshark.org
■ CommView : Voir www.tamos.com/products/commview/

Analyseur de protocole réseau Softperfect : Voir www.softperfect.com
■ HTTP Sniffer : Voir www.effetech.com/sniffer/
■ ngrep : Voir http

://sourceforge.net/projects/ngrep/N'importe

lequel de ces outils peut fonctionner pour

l'analyse de réseau.

7.2. Virtual Forensics


Virtualisationest un terme large qui englobe de nombreuses technologies.
C'est un moyen de fournir diverses ressources informatiques indépendantes de la
machinerie physique de l'utilisateur. La virtualisation fait une ressource
informatique logique qui peut fonctionner indépendamment du système
d'exploitation de l'utilisateur final ainsi que du matériel. le
Types supplémentaires de criminalistique

le problème le plus fondamental pour la criminalistique est la situation où


une machine suspecte a une machine virtuelle en cours d'exécution. Il y a
également des problèmes avec l'obtention de données à partir de serveurs cloud.

7.2.1. Machines virtuelles


Une machine virtuelle est un concept intéressant et a été le précurseur de
systèmes virtuels plus larges dont nous parlerons plus loin dans ce chapitre. Une
machine virtuelle met essentiellement de côté une certaine partie du disque dur et
de la RAM d'un ordinateur (lors de son exécution) pour s'exécuter de manière
totalement isolée du reste du système d'exploitation. C'est un peu comme si vous
utilisiez un ordinateur entièrement séparé; il partage simplement les ressources de
l'ordinateur hôte. C'est, tout simplement, un ordinateur virtuel - ainsi, le nom de
machine virtuelle.
Chaque fournisseur stocke les données d'une manière légèrement
différente, mais les listes suivantes présentent les fichiers les plus intéressants
(légalement intéressants) pour trois des fournisseurs de machines virtuelles les plus
utilisés.
■ VMware Workstation :
■ Fichiers .log : il s'agit simplement d'un journal d'activité pour une machine
virtuelle.

■ .vmdk : il s'agit du disque dur virtuel réel pour le système d'exploitation invité virtuel. Les
disques durs virtuels peuvent être fixes ou dynamiques. Les disques durs virtuels fixes
restent de la même taille. Les disques durs virtuels dynamiques se développent au
besoin.

■ .vmem : il s'agit d'une sauvegarde du fichier d'échange/d'échange de la machine virtuelle.


Cela peut être très important pour une enquête médico-légale.

■ .vmsn : il s'agit de fichiers d'instantanés VMware, nommés par le nom de l'instantané. Un


fichier VMSN stocke l'état de la machine virtuelle lors de la création de l'instantané.

■ .vmsd : un fichier VMSD contient les métadonnées sur l'instantané.

■ Oracle Virtual Box :


■ .vdi : Ce sont des images de disque VirtualBox appelées images de disque
virtuel.

■/.config/VirtualBox : il s'agit d'un fichier caché qui contient des données de


configuration.

■ .vbox : il s'agit de l'extension du fichier des paramètres de la machine. Avant la


version 4.0, c'était .xml.

■ PC virtuel :
■ .vhx : Ce sont les disques durs virtuels réels. Ils sont évidemment très importants pour un
examen médico-légal.

■ Fichiers .bin : ils contiennent la mémoire de la machine virtuelle, il faut donc absolument
les examiner.

■ Fichiers .xml : ces fichiers contiennent les détails de configuration de la machine virtuelle.
Il y en a un pour chaque machine virtuelle et pour chaque instantané d'une machine
virtuelle. Ces fichiers sont toujours nommés avec le GUID utilisé pour identifier en interne
la machine virtuelle en question.
7.2.2. Nuage
Un cloud a été défini comme «un pool de ressources informatiques
virtualisées».6
Les gens parlent souvent du cloud comme s'il n'y avait qu'un seul cloud, ou
au moins un type de cloud. Cette impression est inexacte. Il existe plusieurs nuages
et plusieurs types de nuages. Toute organisation disposant des ressources
appropriées peut établir un cloud, et elle peut l'établir pour diverses raisons,
conduisant à différents types de clouds.
Les nuages publics sont définis par le NIST comme les nuages qui offrent leur
infrastructure ou leurs services au grand public ou au moins à un grand groupe
industriel.
Les clouds privés sont ceux utilisés spécifiquement par une seule
organisation sans offrir les services à un tiers.7Il existe bien sûr des clouds hybrides
qui combinent les éléments d'un cloud privé et public. Il s'agit essentiellement de
clouds privés dont l'accès public est limité.
Les clouds communautaires sont à mi-chemin entre le privé et le public. Il
s'agit de systèmes dans lesquels plusieurs organisations partagent un cloud pour
des besoins spécifiques de la communauté. Par exemple, plusieurs sociétés
informatiques pourraient s'associer pour créer un cloud dédié aux problèmes de
sécurité courants.
Un système cloud dépend de plusieurs parties. Chacun de ces éléments
pourrait être un lieu de preuve.
■ Stockage virtuel : les serveurs virtuels sont hébergés sur un ou plusieurs serveurs
réels/physiques. L'espace disque dur et la RAM de ces serveurs physiques sont partitionnés
pour l'utilisation des différents serveurs virtuels.
■ Moniteur d'audit : il existe généralement un moniteur d'audit qui surveille l'utilisation du pool de
ressources. Ce moniteur s'assurera également qu'un serveur virtuel n'a pas/ne peut pas
accéder aux données d'un autre serveur virtuel.

6
. http ://www.ijcit.com/archives/volume1/issue2/Paper010225.pdf
7
. http ://www.ijarcsse.com/docs/papers/Volume_3/3_March2013/V3I3-0320.pdf
■ Hyperviseur : Le mécanisme de l'hyperviseur est le processus qui fournit aux serveurs virtuels
un accès aux ressources.

■ Périmètre de réseau logique : le cloud étant constitué de serveurs virtuels et non de serveurs
physiques, il est nécessaire de disposer d'un réseau logique et d'un périmètre de réseau
logique. Ce périmètre isole les pools de ressources les uns des autres.

Les implémentations de cloud individuelles peuvent avoir des utilitaires


supplémentaires, tels que des consoles d'administration qui permettent à un
administrateur réseau de surveiller, configure r et administrer le cloud.
Il y a deux problèmes avec la criminalistique du cloud. Le premier est
juridictionnel. Les données cloud sont souvent répliquées sur des serveurs de
différents pays, chacun avec ses propres lois. Il y a ensuite le problème technique de
l'obtention des données. Il est très peu probable que vous puissiez visualiser
l'ensemble du cloud en question. Vous devrez donc probablement effectuer une
copie logique des données en question ou même une analyse en direct.

8. Ressources de Sécurité
8.1. CERT

8.2. Microsoft Security Advisor

8.3. F-Secure

8.4. SANS Institute

9. Résumé
Dans ce chapitre, vous avez vu les bases de l’investigation numérique. Les
choses les plus importantes que vous avez apprises sont de faire une copie médico-
légale avec laquelle travailler et de tout documenter. Vous ne pouvez tout
simplement pas trop documenter. Vous avez également appris à récupérer des
informations sur le navigateur et à récupérer des fichiers supprimés, et vous avez
appris certaines commandes qui peuvent être utiles pour la criminalistique. Vous
avez exploré la valeur médico-légale du registre Windows et même la
criminalistique du cloud.

Testez vos compétences


10. Questions à Choix Multiple
1. Dans une investigation numérique, qu'est-ce qui décrit la route que prennent
les preuves depuis le moment où vous les trouvez jusqu'à ce que l'affaire soit
classée ou portée devant les tribunaux ?
A. Règles de preuve
B. Loi de probabilité
C. Chaîne de traçabilité
D. Politique de séparation

2. Où Linux stocke-t-il les journaux du serveur de messagerie ?


A. /var/log/mail.* B./etc/log/mail.*
C. /mail/log/mail.*
D. /server/log/mail.*

3. Pourquoi devriez-vous noter toutes les connexions de câbles pour un


ordinateur que vous souhaitez saisir comme preuve ?
A. Pour savoir quelles connexions externes existaient
B. Dans le cas où d'autres appareils étaient connectés
C. Pour savoir quels périphériques existent
D. Pour savoir quel matériel existait

4. Que contient le fichier Index.dat ?


A. Informations sur Internet Explorer
B. Historique Internet général, historique de navigation dans les fichiers,
etc. pour une machine Windows
C. Tout l'historique Web pour Firefox
D. Historique Internet général, historique de navigation dans les fichiers,
etc. pour une machine Linux
5. Quel est le nom de la commande Linux standard qui est également disponible
en tant qu'application Windows pouvant être utilisée pour créer des images
bitstream et effectuer une copie légale ?
A. mcopy

B. image

C. MD5

D. dd

6. Lors du catalogage des preuves numériques, l'objectif principal est de faire quoi ?
A. Créez des images bitstream de tous les disques durs.
B. Préserver l'intégrité des preuves.
C. Évitez de retirer les preuves de la scène.
D. Empêchez l'ordinateur d'être éteint.

7. La commande Openfiles montre quoi ?


A. Tous les fichiers ouverts
B. Tous les fichiers partagés ouverts
C. Tous les fichiers système ouverts
D. Tous les fichiers ouverts avec ADS

8. «Données intéressantes», c'est quoi ?


A. Données pertinentes pour votre enquête
B. Pornographie
C. Documents, feuilles de calcul et bases de données
D. Schémas ou autres informations économiques

9. Lesquels des éléments suivants sont importants pour l'enquêteur en ce qui


concerne la journalisation ?
A. Les méthodes de journalisation
B. Conservation des journaux
C. Emplacement des journaux stockés
D. Tout ce qui précède
DES EXERCICES
EXERCICE 14.1 :DiskDigger

Téléchargez DiskDigger et recherchez sur votre ordinateur les fichiers


supprimés. Essayez de récupérer un fichier de votre choix.

EXERCICE 14.2 : Faire une copie légale

Cet exercice nécessite deux ordinateurs. Vous devez également télécharger


Backtrack ou Knoppix. (Les deux sont gratuits.) Essayez ensuite de faire une copie
légale de l'ordinateur A en envoyant ses données à l'ordinateur B.