Les outils d’investigation de nouvelles générations

2.2.1 Panorama des technologies d’investigations

La démocratisation des ordinateurs personnels dans les années 1980 a été accompagnée par la nécessité d’utiliser des technologies nouvelles pour combattre la criminalité informatique.

A l’époque, il n’existait pas d’outils spécialisés pour la recherche de preuves.

Les méthodes d’investigation étaient assez basiques et des programmes comme la suite « Norton », « PC Tools » ou « Mace Utilities» étaient utilisés.

Les premières analyses de preuves sur les ordinateurs se faisaient également sans recours à un dispositif de blocage en écriture.

Une copie logique du support original était réalisée et l'exploitation se faisait manuellement à l’aide de gestionnaires de fichiers sous DOS comme les programmes "XTree Gold" et "Norton Commander".

Or, s’agissant seulement de copies logiques, les recherches excluaient la récupération des données au niveau des fichiers effacés, des espaces non-alloués ou des « file slacks» du support examiné.

C’est la raison pour laquelle les experts privilégiaient d'examiner directement les supports originaux plutôt que de travailler sur des copies partielles. C'est également l'époque de l'apparition des premiers dispositifs de blocage en écriture.

Ce n’est qu’à la fin des années 1980 que les méthodes d’analyse ont changé en permettant la réalisation des copies intégrales de supports originaux.

Le premier logiciel d’expertise « IMDUMP » a été crée en 1989 par Michael WHITE32.

Le programme « SafeBack » connu comme référence en tant que logiciel de copie d’images physiques est sorti l'année suivante.

D’autres utilitaires d’analyse de disquettes comme « Anadisk », « Teledisk » et « CopyQM » ont également été distribués.

Depuis cette période, beaucoup de recherches ont été menées et de nombreux outils ont été développés à travers le monde.

Aujourd’hui, l’émergence des technologies nouvelles et l’utilisation massive de Smartphones, ordinateurs ou tablettes créé le besoin de recourir à des outils sophistiqués capables d’extraire et de récupérer de plus en plus de données et preuves numériques.

Depuis ces dernières années, de nombreux logiciels de nouvelle génération ont fait leur apparition et proposent une multitude de fonctionnalités pour l’analyse des supports numériques.

Aujourd’hui, ces technologies d’investigations sont classées en plusieurs catégories : • Bloqueurs en écriture (logicielles et matérielles),

• Duplicateurs de copies bit-à-bit pour disques durs et supports amovibles (logiciels et matériels),

• Outils d’analyse de preuves multi-supports (Encase® Forensic, FTK®…), • Logiciels de cassage et récupération de mots de passe,

• Recherche de traces sur internet (Netanalysis), Analyse et récupération de courriels et archives de messagerie (IEF),

• Outils d’analyse de téléphones portables, tablettes, GPS…(UFED, MPE+, XRY…),

• Logiciel d'analyse réseaux (Encase® Enterprise, AD Enterprise, …), • Outils de collectes des données volatiles (Encase® portable),

32 _{« Computer and intrusion forensics »}

Les logiciels propriétaires représentent un investissement financier important.

Ainsi, une licence de logiciel coûte en moyenne trois mille euros auxquels s’ajoutent les frais de renouvellement annuel, estimés à environ mille euros chaque année. Par leur complexité, la majorité de ces programmes nécessitent également le suivi des formations techniques très onéreuses.

Certains experts se retournent alors vers des logiciels à code source libres fonctionnant sous Linux qui ne sont pas toujours à la pointe de la technologie.

2.2.2 Principaux logiciels à code source libre

A l’opposé des logiciels de licence propriétaires, les logiciels libres dits « Open Sources » permettent aux utilisateurs d’accéder au code source du programme. La liste suivante recense les logiciels plus couramment utilisés par les spécialistes:

• The Sleuthkit Kit (TSK): Il s’agit d’une version modifiée de Coroner’s Toolkit lequel ne gérait pas les systèmes NTFS, FAT ou EXT3. 33

C’est un ensemble d’outils open source développé par Brian CARRIER fonctionnant en ligne de commande Unix.

"Sleuth Kit" contient un ensemble d’outils fonctionnant en ligne de commande sous Linux permettant d’examiner différents systèmes de fichiers NTFS, FAT, EXT2/3, HFS, etc.

L’outil "Autopsy" utilisé en complément constitue l’interface graphique Web de SleuthKit.

• HELIX 3 Pro: Outil développé par la société e-fence, il regroupe plusieurs logiciels spécialisés dans le domaine d’expertise en Informatique.

• DFF (Digital Forensic Framework), logiciel open source français, multiplateforme développé par la société Arxsys34, écrit en langages Python et C++. Il combine une interface utilisateur avec une architecture modulaire et multiplateforme pour linux et Windows.

La problématique identifiée par l’utilisation de ces logiciels dans un carde judiciaire concerne principalement la question de l’admissibilité de la preuve devant les tribunaux et l’application des critères énoncés par la jurisprudence américaine "DAUBERT".

Aux Etats-Unis, ce sont les logiciels commerciaux qui sont surtout reconnus devant les juridictions.

Les experts qui ont recours à l’ensemble des outils open source dans le cadre leurs analyses s’interrogent alors sur leur recevabilité devant les tribunaux.

Brian Carrier, un des spécialistes prônant le recours aux logiciels « open source», met en évidence dans un article35 qu’un logiciel libre peut également satisfaire les conditions définies par le « standard DAUBERT ».

Or, la démonstration de la fiabilité et de la reconnaissance de ces outils doivent se manifester à travers différentes publications dans les revues spécialisées et des tests de validation organisés par des organismes officiels.

2.2.3 Principaux outils de licences propriétaires

Aujourd’hui, de nombreux outils proposent d'analyser et de rechercher la preuve sur les supports informatiques.

Parmi les programmes le plus couramment utilisés peuvent être cités « X-Ways Forensics » ou les logiciels complémentaires aux outils d'investigation comme « Internet Evidence Finder® » (IEF) et « Belkasoft Evidence Center Ultimate ».

Mais deux logiciels constituent la référence à travers le monde.

Le programme « Encase® » de la société Guidance Software et le logiciel « FTK® » (Forensic Toolkit®) sont les outils le plus largement utilisés par la communauté de l’investigation numérique.

34 _{Il a remporté le prix de l’innovation des assises de la sécurité 2010, décerné pour la première fois à un logiciel} libre.

• EnCase® Forenisc

Le programme EnCase® Forenisc, a été originairement développé sur les spécifications des Services de Police américains.

L’ancêtre du logiciel Encase® est le programme « Expert Witness», première plateforme d’analyse et de recherches de preuves pour Macintosh qui a été conçu par la société ASR DATA en 1992.36

En 1997, Guidance Software a développé Encase® et l’a commercialisé sous le nom « Expert Witness for windows».

Jusqu’en 1998, cette première version du programme fonctionnait sur Windows 95/NT37.

A la suite d’une procédure d’arbitrage entre les deux sociétés en 1999, la société Guidance Software a abandonné le programme « Expert Witness for

windows » et l'a remplacé par Encase®.

Aujourd’hui, le logiciel Encase® propose une gamme de produits destinée aux différents domaines de la cyber-sécurité, l'E-discovery, l'Entreprise, l'investigation numérique et la récupération des données sur le réseau.

La version six du programme Encase® Forensic qui disponible depuis 2007 est encore utilisée par les experts.

Le logiciel propose de nombreuses fonctionnalités de recherches et d’analyses de données et a souvent été critiqué pour la complexité de sa plateforme.

Le langage du script intégré au programme permet de rajouter des modules complémentaires personnalisables.

Il utilise les langages Java et C++ qui requièrent une connaissance de la programmation.

Une bonne compréhension de l’ensemble de ces fonctionnalités nécessite également des formations de prises en mains du logiciel.

36 _{« Computer Evidence, Collection and Preservation », page 230.} 37 _{« Auditing information systems », page 274}

Depuis 2011, la commercialisation de la version sept a complètement remodelé le programme et son interface utilisateur qui propose de nouvelles fonctionnalités.

Contrairement au programme Encase®, le logiciel FTK est présenté comme un outil intuitif et plus facile d’utilisation par rapport à son concurrent.

• Forensic Toolkit® (FTK)

A l’instar du logiciel Encase®, le programme FTK®, représente un standard en matière d’analyses de preuves numériques.

C’est un outil d’investigation global qui permet de réaliser une analyse complète sur un support informatique.

Il dispose notamment des modules de récupérations de mots de passe et déchiffrement de fichiers cryptés.

En cas de bogues au niveau de l’interface du programme, les recherches pourront continuer et le travail d’analyse ne sera pas perdu.