Acquisition physique des données

Les duplicateurs de supports informatiques permettent de réaliser une copie exacte des supports de stockages afin d’éviter tout risque d’altération ou d’erreurs de manipulation des données.

Cette fonctionnalité de copie physique ou logique du support examiné est également prévue par les outils muti-suppports d’analyses de preuves numériques.

La réalisation d'une image physique permet de copier la totalité du contenu d'un support, secteur par secteur, sur un autre support cible tandis qu'une copie logique permet seulement de copier les informations présentes sur les support de stockage. Les fichiers effacés et les espaces non alloués seront ainsi exclus de la copie.

3.1.1 Copie physique de disques durs

Avant de rechercher et d'analyser la preuve informatique, un certain nombre de règles de bonnes pratiques doivent être observée parmi lesquelles figurent la copie bit-à-bit du support original et l’utilisation d’un dispositif de blocage en écriture.

Un système de protection en écriture logiciel ou matériel permet de préserver les données et garantir leur intégrité.

Aujourd’hui, des solutions complètes de blocage en écritures existent sur le marché de l’investigation numérique.

Des protections matérielles du type « Tableau Forensic» ou logicielles comme le « FastBloc », directement intégré dans la version sept du logiciel Encase® Forensic, sont largement utilisées par les professionnels de l'investigation.

Par ailleurs, si le support original est copié sur un autre support identique, celui-ci doit être « stérilisé ».

Dans l'hypothèse de la copie physique d'un disque dur original sur un second disque dur, l’utilisation d’un support neuf est fortement préconisée.

Afin d’éviter la présence accidentelle des données antérieures, il est recommandé de procéder au préalable à un effacement permanent du support.

Plusieurs normes d’effacements et de réecritures des données informatiques sont prévues au niveau international.

De nombreuses d’interrogations subsistent sur le type d’outils et le nombre de passages nécessaires pour garantir un effacement complet des sonnées.

En 1996 Peter Gutmann, chercheur à l’université d’Auckland, a publié une étude suggérant une méthode de réécriture jusqu'à trente-cinq passages sur les secteurs d’un disque dur.

Parmi différentes normes d’effacement permanent d'un support informatique, la norme DoD 5220.22-M est celle recommandée par le Département de la Défense Américain prévoyant trois cycles de réecrituresdes données43.

3.1.1.1 Copies physiques sous MS-DOS :

Il arrive encore que dans certaines situations, les copies physiques soient réalisées dans l’environnement MS-DOS.

Cela consiste à créer une disquette de démarrage « inforensique » comme « Encase®

pour DOS » et à redémarrer l’ordinateur pour cloner un disque dur source vers un

autre disque dur cible sans apporter de modifications au support original.

La réalisation d’une copie sous DOS nécessite une bonne connaissance du processus de démarrage du système d’exploitation pour empêcher de manipuler par inadvertance le support original.

Cette technique est notamment efficace pour détecter les zones cachées « HPA » et « DCO » sur un disque dur.

Un autre cas de figure consiste à retirer le disque dur original de l’ordinateur et le connecter à la machine de l’expert pour faire une copie sur un disque dur cible. Cette méthode classique a longtemps été utilisée pour éviter de redémarrer directement sur la machine saisie.

Aujourd’hui, d’autres méthodes d’acquisitions plus adaptées aux technologies actuelles, sont proposées par les outils d’analyse de preuves numériques.

3.1.1.2 Copie avec la mise en réseau de deux ordinateurs :

Une autre technique consiste à connecter deux ordinateurs à l’aide d’un câble Ethernet croisé à travers le réseau et à réaliser une copie bit-à-bit du support de stockage avec une distribution linux tel que "LinEn" pour Encase®.

Les machines communiqueront entre elles par une adresse IP qui leur sera attribuée. Cette méthode peut notamment être utilisée dans le cas de copies de disques assemblés selon la technologie RAID.

3.1.1.3 Copie du disque dur en mode maître/esclave :

Cette procédure consiste à retirer le disque dur original d'un ordinateur pour le placer dans une machine destinée aux investigations en déterminant le mode d’accès aux disques par le BIOS en maître ou en esclave.

Généralement, ce type de copies était réalisé dans l’environnement MS-DOS mais aujourd’hui avec l’évolution constante de la capacité de stockage des disques durs, cette méthode s’avère très lente.

Les praticiens recommandent plutôt l'utilisation d'un CD-ROM de démarrage sous Linux.

Cette technique comporte tout de même ses faiblesses avec un risque de confusion entre les deux supports de stockage.

C’est la raison pour laquelle il est important de bien différencier le disque original de celui qui sert de copie.

Une dernière méthode consiste à retirer le disque dur original et le connecter à la machine de l’expert à l'aide d'un dispositif de blocage en écriture qui s’intercale entre l’ordinateur et le support examiné.

Cette démarche permettra de préserver l’intégrité des données et de réaliser une duplication sur un support de même taille ou de capacité supérieure.

3.1.2 Différents formats d’acquisition d’images

Pour créer une copie exacte d’un support informatique, les logiciels d’analyses de preuves numériques utilisent différents formats de fichiers .

Les copies physiques des données étaient généralement réalisées au format RAW (image DD), compatible avec la plupart des outils d’investigation.

L'inconvénients de ce type de format était principalement lié à la taille des fichiers non compressés et au fait qu’ils ne contenaient aucune métadonnée ou d'informations relatives à la copie.

Afin de pallier à ces carences, les spécialistes ont préféré de privilégier l’utilisation d’un « fichier image».

En 2006, Simon Garfinkel présente un fichier conteneur au format AFF (format avancé d’analyse numérique), format de fichier Open Source constituant ainsi une alternative aux formats propriétaires de copies d’images.

Le format le plus populaire étant celui du logiciel ENCASE® qui est reconnu par la plupart des technologies d’investigations comme FTK®, X-Ways Forensic ou SMART.

Figure10. Format Encase « E01»- source44

Il est basé sur le format initialement utilisé par le programme « Expert Witness » de la société ASR Data.

Dans la version six et les versions antérieures du logiciel Encase®, les copies sont réalisées aux formats E01/L01 (Encase® six et versions antérieures).

Les nouveaux formats de fichiers Ex01/Lx01 sont activés par défaut dans la version sept du programme45.

44_{«Advanced forensic format: An open, extensible format for disk imaging»,GARFINKEL.}

Une compression BZIP est utilisée dans cette dernière version qui permet de réduire la taille du « fichier image » et offre la possibilité d’utiliser un chiffrement AES-256 bits.

Les « fichiers images » crées par Encase® représentent une copie fidèle respectant l’intégrité du support original et contiennent également des informations complémentaires relatives à l’opération de la copie.

Un fichier Encase® est constitué de trois éléments :

1. Entête de fichier : elle peut contenir différentes informations comme le numéro de

dossier, la date de la copie, la version du logiciel... Le contrôle de redondance cyclique intervient sur l’entête de fichier,

2. Blocs de données : le « fichier image » est divisé par défaut en plusieurs segments de 640 Mo dont la taille reste configurable.

3. Intégrité des fichiers : il s’agit de vérifier l’intégrité des données en faisant un contrôle de redondance cyclique pour chaque bloc de 64 secteurs et en calculant la valeur HASH.

Certaines critiques contestent la validation MD5 en invoquant l’existence d’un risque de collisions. Cette double vérification réalisée par Encase® permet d’éviter un éventuel risque de « collisions», c’est-à-dire des données qui posséderaient la même valeur MD5.

Par ailleurs, les deux fonctions de hachage MD5 et SHA-1 sont prises en charge par le programme Encase®.

La totalité des blocs de données est vérifiée par le MD5 (128 bits) qui exige plus de calculs et de ressources qu’un contrôle de redondance cyclique.

Depuis la version six, le SHA-1 produisant des résultats de 160 bits a été également introduit dans le logiciel.

Les erreurs de calcul ou les fichiers corrompus sont automatiquement signalés par le logiciel:

Figure11- Illustration d’un fichier de preuve contenant des erreurs, les valeurs HAH ne correspondent pas- "Encase version 6.18.1"

Le processus de vérification généré par Encase® à la suite de la copie d’une image, contrôle l’intégrité de la copie et non celle du support original.

Le résultat produisant des algorithmes MD5 et SHA-1 concerne le fichier image.