SFC1040-04 - Expertise Ordinateur

#04 – Expertise d’ordinateur
SFC1040 – Cybersécurité et forensique numérique

1
©Maxime Bérubé
• Principaux systèmes et périphériques de
stockage
• Enjeux actuels sur l’expertise d’ordinateur
• Logiciels d’expertise et rôle de l’enquêteur

2 ©Maxime Bérubé
Principaux systèmes d'exploitation
Microsoft Windows
Origine
Bill Gates (1985) Windows 11
Part de marché (bureau)

75%
Clientèle principale
Bureautique / Gaming
Particularités
Cortana
Chiffrement
BitLocker
3
©Maxime Bérubé
Microsoft Windows
Bitlocker
Windows Ultimate / Entreprise / Pro / Education
Détection

4
©Maxime Bérubé
Apple MacOS
Origine
Steve Jobs (1984)

15%
Graphisme / Multimédia
Particularités
Siri
Chiffrement
FileVault
5
©Maxime Bérubé
Apple MacOS
FileVault
Mac OS X 10.3 (Panther) et suivants
System Preferences > Security & Privacy > FileVault

6
©Maxime Bérubé
Unix / Linux
Origine
Linus Torvalds (1991)

3%
Développeurs / Serveurs
Particularités:
Open source / Nombreuses
déclinaisons
Chiffrement
LUKS SFC1040 – Cybersécurité et forensique numérique
7
©Maxime Bérubé
Unix / Linux
Linux Unified Key Setup (LUKS)

Disponible depuis 2014
$ lsblk –fs
$ cryptsetup luksDump /dev/sda1

8
©Maxime Bérubé
Identifier les composantes de l'espace de travail
Bureau
Applications
Icônes
Fenêtre
d’application
Menu
Démarrer
Barre de
tâches
Zone de
Cortana notifications

9
©Maxime Bérubé
Périphériques de stockage
Disque dur / Hard disk Drive (HDD)
Commercialisation
1983
Axe de rotation Plateaux
des plateaux superposés
Avantages / inconvénients
Très abordables
Mécanique / fragilité
Durée de vie
Tête de 3-5 ans
lecture/écriture
Coût par To
30$
10
©Maxime Bérubé
Disque électronique / Solid-state Drive (SSD)
Commercialisation
1991
Résistant aux chocs et vibrations
Grande performance
Compatible SATA
Durée de vie
5-10 ans
Coût par To
65$
11
©Maxime Bérubé
Disque électronique NVMe / Non-Volatile Memory Solid-state Drive (NVMe SSD)
Commercialisation
2013
Résistant aux chocs et vibrations
Très grande performance
Compact
Durée de vie
5-10 ans
Coût par To
80$
12
©Maxime Bérubé
stockage
• Enjeux actuels sur l’expertise

d’ordinateur
• Logiciels d’expertise et rôle de l’enquêteur

13 ©Maxime Bérubé
Enjeux actuels sur l’expertise d’ordinateur
Volume de données
❑ Le système judiciaire exige que les résultats

d’analyses soient produits dans un délai 1 Mo = 4 cm de papier, format lettre
« raisonnable » qu’il est de plus en plus difficile,
8 Go = 320 m (Tour Eiffel, 324 m)
voire parfois impossible, de respecter compte
tenu des réalités technologiques d’aujourd’hui. 14 Go = 560 m (Tour du CN, 553 m)
4 To = 160 km (Distance Montréal-Ottawa)

❑ L’ampleur de la tâche d’analyse informatique
augmente de manière exponentielle.
Source: https://ici.radio-canada.ca/nouvelle/1939393/enquete-delais-upac-frederick-gaudreau
14
©Maxime Bérubé
Volatilité des données
Données volatiles
Mémoire vive, cache, virtuelle, etc.
Disques durs
Autres dispositifs de stockage
Données non-volatiles
15
©Maxime Bérubé
Données infonuagiques (cloud)
❑ Délocalisation des données
❑ Divers appareils peuvent y

accéder
❑ Multiples utilisateurs
simultanés

16
©Maxime Bérubé
Chiffrement des données
❑ Le chiffrement de plus en plus fréquent

complique l’accès aux données.
❑ Divers techniques peuvent toutefois en
permettre l’accès :
➢ Système d’origine avec code d'utilisateur
➢ Clé sauvegardée (périphérique ou en ligne

(p. ex: OneDrive)
➢ Techniques avancées (bruteforce,

dictionnary attack, etc.)

17
©Maxime Bérubé
Virtualisation
❑ La plupart des logiciels spécialisés d’informatique judiciaire

ne sont pas conçus pour l’analyse de machines virtuelles.
❑ Les machines virtuelles « jetables » posent d’autant plus
de défis:
➢ Elles sont éphémères
➢ Leur reconstruction est impossible
➢ Récupération partielle de
certains fichiers

18
©Maxime Bérubé
Techniques anti-forensics

19
©Maxime Bérubé
stockage
• Enjeux actuels sur l’expertise d’ordinateur
• Logiciels d’expertise et rôle de

l’enquêteur

20 ©Maxime Bérubé
Logiciels d’expertise et rôle de l’enquêteur
Magnet Axiom
❑ À la suite d’une demande, le module technologique peut procéder à

l’extraction et la récupération de données numériques sur un support
informatique
❑ Pour ce faire, il doit avoir
recours à différents logiciels
d’expertise permettant
l’extraction, la récupération,
le traitement et l’analyse
des données.
❑ En raison des coûts importants
pour l’accès à une licence complète
des logiciels d’expertise, ceux-ci
permettent l’exportation
d’un sous-ensemble de données https://www.magnetforensics.com/products/magnet-axiom/
dans un format « portable ».
21
©Maxime Bérubé
Magnet Axiom Portable Case
❑ Le format portable permet aux données d’être partagées et

examinées par d'autres intervenants que ceux du module
technologique pourraient avoir des détails supplémentaires sur
l’enquête (tels que des noms,
des numéros de téléphone, des
personnes d'intérêt ou tout autre
contexte entourant l’enquête).
❑ L’enquêteur principal au dossier
peut donc effectuer le triage et
l’analyse des données en fonction
des besoins de l’enquête
https://www.magnetforensics.com/products/magnet-axiom/

22
©Maxime Bérubé
❑ Ajustement du fuseau horaire

23
©Maxime Bérubé
❑ Ajustement des différents filtres
o Evidence – Pour choisir les différents items à examiner o Keyword lists – Pour ajouter des mots-clés pré-déterminés
o Artifacts – Catégories de données décodées (voir panneau de o Skin tone – Filtrer selon un % de couleur de peau
gauche) ▪ Mettre Skin Tone 75-100%
o Content types – Différentes familles de données ▪ Catégorie “Media”
o Date and time – Pour cibler une plage de données ▪ Affichage “Thumbnail view”
o Tags and comments – Toutes les étiquettes définies pour les ▪ Constater tous les faux positifs
éléments pertinents sélectionnés, de même que les étiquettes ▪ “Clear filters” + Revenir à “Column view”
créées automatiquement par le logiciel avec la reconnaissance
d’images
24
©Maxime Bérubé
❑ Principaux modes d’affichage
o Column view ATTENTION

o Pour le triage des informations
o Historique internet, documents, etc.
Les catégories affichées dépendent du mode
o Conversation view
o Pour les conversations écrites seulement d’affichage et pourraient donc ne pas toutes
o Thumbnail view apparaitre selon les paramètres choisis.
o Pour le triage des images
o Ajuster la taille des vignettes
Sur un ordinateur moins performant, le mode
o Worldmap view Worldmap peut être TRÈS long à afficher.
o Pour les données de géolocalisation
25
©Maxime Bérubé
❑ Fonction de recherche par mots-clés
o Recherche “Town”
o En mode “Column view” => 89 résultats dispersés
ATTENTION
dans différentes familles de données
o En mode “Thumbnail view” => 20 résultats dans L’identification de mots dans les images est possible grâce
MÉDIA à une fonction de reconnaissance de caractères (OCR), à
condition qu’elle ait été préalablement activée lors de la
o Rechercher “Hall” préparation du logiciel de triage.
o En mode “Thumbnail view => 10 résultats dans MÉDIA
o Les résultats correspondent à la combinaison des
Si vous prévoyez que cette fonction pourrait vous être utile,
mots-clés “Town” et “Hall”, puisque vous n’avez pas
effacé le filtre précédent (les mots-clés mieux vaut en aviser le module technologique lors de la
s’additionnent (logique “AND”)) SFC1040 – Cybersécurité et forensique numérique demande d’assistance
26
©Maxime Bérubé
❑ Triage par date
o Faire “Clear Filters” / “Column view”

o 191,799 résultats à analyser / 51,800 médias
o Filtre de date (Date range between : 2018-04-01 à 2018-04-07
o 45402 résultats à analyser/ 1420 médias
o Mot clé : “town”
o 19 résultats à analyser / 2 médias
o Constater la superposition des filtres rendant les résultats
plus restrictifs (logique “AND”)
o Examiner les images
o Cliquer sur le « preview » de l’onglet DETAILS à droite
pour agrandir

27
©Maxime Bérubé
❑ Fonction d’étiquetage
o Sélection multiple
o Avec “CTRL” (sélection ou désélection un à un)
o Avec “SHIFT” (sélection ou désélection multiple)
ATTENTION
o Ajouter un signet pour une image
o Clic droit + Add / remove tag La classification intelligente des images est possible grâce
à une fonction d’intelligence artificielle, à condition qu’elle
o Ajouter un signet pour les 2 images ait été préalablement activée lors de la préparation du
logiciel de triage.
o Constater l’étiquette “Possible screen capture”
Si vous prévoyez que cette fonction pourrait vous être utile,
mieux vaut en aviser le module technologique lors de la
28
SFC1040 – Cybersécurité et forensique numérique demande d’assistance
©Maxime Bérubé
❑ Triage par étiquettes
o Faire “Clear Filters”

o Il est TRÈS important de s’assurer que les filtres
sont effacés avant chaque recherche, sinon on
pourrait croire par erreur que la recherche ne
donne aucun résultat, puisqu’elle était limitée
par la combinaison trop serrée de filtres
o Constater les différentes étiquettes (image

categorization) pouvant être filtrées
o Dans ce cas, les sélections multiples s’additionnent

(logique “OR”)

29
©Maxime Bérubé
Exercice #1 – Expertise d’ordinateur
Après avoir pris connaissance du dossier

« Cas pratique – Expertise d’ordinateur »
sur le Moodle du cours :
1. Identifiez les démarches d’enquête à prévoir
2. Effectuez les analyses nécessaires sur le sous-ensemble de

données en format AXIOM Portable Case, disponible au lien
suivant :
https://tinyurl.com/y7acnues
Les données et le scénario fictif utilisés dans le cadre de cet exercice sont une gracieuseté de Digital Corpora, soutenu par
le AWS Open Data Sponsorship Program : https://digitalcorpora.org/corpora/scenarios/2018-lone-wolf-scenario/
30
©Maxime Bérubé
Prochain cours …
Expertise d’appareil mobile
• Fukami, A., Stoykova, R. et Geradts, Z. (2021). A new model for forensic
data extraction from encrypted mobile devices. Forensic Science
International: Digital Investigation, 38.

31
©Maxime Bérubé

SFC1040-04 - Expertise Ordinateur

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

SFC1040-04 - Expertise Ordinateur

Transféré par

Droits d'auteur :

Formats disponibles

#04 – Expertise d’ordinateur

SFC1040 – Cybersécurité et forensique numérique

• Enjeux actuels sur l’expertise d’ordinateur

• Logiciels d’expertise et rôle de l’enquêteur

SFC1040 – Cybersécurité et forensique numérique

Part de marché (bureau)

SFC1040 – Cybersécurité et forensique numérique

Part de marché (bureau)

System Preferences > Security & Privacy > FileVault

Part de marché (bureau)

Linux Unified Key Setup (LUKS)

SFC1040 – Cybersécurité et forensique numérique

SFC1040 – Cybersécurité et forensique numérique

• Enjeux actuels sur l’expertise

• Logiciels d’expertise et rôle de l’enquêteur

SFC1040 – Cybersécurité et forensique numérique

❑ Le système judiciaire exige que les résultats

4 To = 160 km (Distance Montréal-Ottawa)

Autres dispositifs de stockage

❑ Délocalisation des données

❑ Divers appareils peuvent y

SFC1040 – Cybersécurité et forensique numérique

❑ Le chiffrement de plus en plus fréquent

➢ Système d’origine avec code d'utilisateur

➢ Clé sauvegardée (périphérique ou en ligne

➢ Techniques avancées (bruteforce,

SFC1040 – Cybersécurité et forensique numérique

❑ La plupart des logiciels spécialisés d’informatique judiciaire

SFC1040 – Cybersécurité et forensique numérique

SFC1040 – Cybersécurité et forensique numérique

• Enjeux actuels sur l’expertise d’ordinateur

• Logiciels d’expertise et rôle de

SFC1040 – Cybersécurité et forensique numérique

❑ À la suite d’une demande, le module technologique peut procéder à

❑ Le format portable permet aux données d’être partagées et

SFC1040 – Cybersécurité et forensique numérique

❑ Ajustement du fuseau horaire

SFC1040 – Cybersécurité et forensique numérique

❑ Ajustement des différents filtres

❑ Principaux modes d’affichage

o Column view ATTENTION

❑ Fonction de recherche par mots-clés

❑ Triage par date

o Faire “Clear Filters” / “Column view”

SFC1040 – Cybersécurité et forensique numérique

❑ Triage par étiquettes

o Faire “Clear Filters”

o Constater les différentes étiquettes (image

o Dans ce cas, les sélections multiples s’additionnent

SFC1040 – Cybersécurité et forensique numérique

Après avoir pris connaissance du dossier

1. Identifiez les démarches d’enquête à prévoir

2. Effectuez les analyses nécessaires sur le sous-ensemble de

SFC1040 – Cybersécurité et forensique numérique

Vous aimerez peut-être aussi