Introduction
Les ordinateurs sont une source essentielle de preuves médico-légales pour un nombre croissant de crimes. Si la cybercriminalité n’a cessé de croître ces dernières années, même les criminels traditionnels utilisent des ordinateurs dans le cadre de leurs opérations. La capacité à extraire de manière fiable des informations médico-légales de ces machines peut être vitale pour attraper et poursuivre ces criminels.
Les outils d’informatique légale sont conçus pour garantir que les informations extraites des ordinateurs sont précises et fiables. En raison de la grande variété de différents types de preuves informatiques, il existe un certain nombre de types d’outils de criminalistique informatique, notamment :
- Les outils de capture de disques et de données
- Les visionneurs de fichiers
- Outils d’analyse de fichiers
- Outils d’analyse de registres
- Outils d’analyse Internet Internet
- Outils d’analyse du courrier électronique
- Outils d’analyse des appareils mobiles
- Outils d’analyse judiciaire des réseaux
- Outils d’analyse judiciaire des bases de données
Dans chaque catégorie, il existe un certain nombre d’outils différents. Cette liste présente certains des outils d’informatique légale les plus utilisés.
Outils de capture de disque et de données
Les outils d’informatique légale de capture de disque et de données se concentrent sur l’analyse d’un système et l’extraction d’artefacts médico-légaux potentiels, tels que des fichiers, des courriels, etc. Il s’agit d’une partie essentielle du processus d’expertise informatique et de l’objectif de nombreux outils d’expertise.
Autopsy/The Sleuth Kit
Autopsy et The Sleuth Kit sont probablement les outils d’expertise les plus connus et les plus populaires qui existent. Ces outils sont conçus pour analyser les images de disque, effectuer une analyse approfondie des systèmes de fichiers et inclure une grande variété d’autres fonctionnalités. Par conséquent, ils incluent des fonctionnalités de nombreuses catégories d’outils forensiques mentionnées ci-dessus et constituent un bon point de départ pour une enquête forensique informatique.
Autopsy et The Sleuth Kit sont disponibles pour Unix et Windows et peuvent être téléchargés ici.
X-Ways Forensics
X-Ways Forensics est une plateforme forensique numérique commerciale pour Windows. La société propose également une version plus dépouillée de la plateforme appelée X-Ways Investigator.
L’un des principaux arguments de vente de la plateforme est qu’elle est conçue pour être économe en ressources et capable de fonctionner à partir d’une clé USB. Malgré cela, elle se targue d’un éventail impressionnant de fonctionnalités, qui sont énumérées sur son site Web ici.
AccessData FTK
AccessData Forensics Toolkit (FTK) est une plateforme commerciale de criminalistique numérique qui se vante de sa vitesse d’analyse. Elle prétend être la seule plateforme forensique qui exploite pleinement les ordinateurs multi-cœurs. En outre, FTK effectue une indexation en amont, ce qui accélère l’analyse ultérieure des artefacts médico-légaux collectés.
Lire la suite ici.
EnCase
EnCase est une plateforme médico-légale commerciale. Elle offre un support pour la collecte de preuves à partir de plus de vingt-cinq types d’appareils différents, y compris les ordinateurs de bureau, les appareils mobiles et les GPS. Au sein de l’outil, un enquêteur judiciaire peut inspecter les données collectées et générer un large éventail de rapports basés sur des modèles prédéfinis.
Lire plus sur EnCase ici.
Mandiant RedLine
Mandiant RedLine est un outil populaire pour l’analyse de la mémoire et des fichiers. Il recueille des informations sur les processus en cours d’exécution sur un hôte, les pilotes de la mémoire et rassemble d’autres données comme les métadonnées, les données de registre, les tâches, les services, les informations réseau et l’historique Internet pour construire un rapport approprié.
Lire la suite ici.
Suite Paraben
La société Paraben propose un certain nombre d’outils forensiques avec une gamme de différentes options de licence. Paraben dispose de capacités en matière de :
- Desktop forensics
- Email forensics
- Smartphone analysis
- Smartphone analysis
- .
- Analyse du cloud
- IoT forensics
- Triage et visualisation
L’offre E3 :Universal offre un accès tout-en-un, l’E3:DS se concentre sur les appareils mobiles et d’autres options de licence éclatent les fonctionnalités de computer forensics, d’email forensics et de visualisation.
Lire la suite ici.
Bulk Extractor
Bulk Extractor est également un outil d’investigation numérique important et populaire. Il analyse les images de disque, le fichier ou le répertoire de fichiers pour en extraire des informations utiles. Dans ce processus, il ignore la structure du système de fichiers, il est donc plus rapide que les autres types d’outils similaires disponibles. Il est essentiellement utilisé par les services de renseignement et les forces de l’ordre pour résoudre les cybercrimes.
Actuellement, la dernière version du logiciel, disponible ici, n’a pas été mise à jour depuis 2014. Cependant, une version 2.0 est en cours de développement avec une date de sortie inconnue. Elle peut être trouvée ici.
Analyse du registre
Le registre de Windows sert de base de données d’informations de configuration pour le système d’exploitation et les applications qui s’exécutent dessus. Pour cette raison, il peut contenir un grand nombre d’informations utiles utilisées dans l’analyse médico-légale.
Registry Recon
Registry Recon est un outil commercial populaire d’analyse du registre. Il extrait les informations du registre à partir des preuves, puis reconstruit la représentation du registre. Il peut reconstruire les registres à partir des installations Windows actuelles et antérieures.
Lisez-en plus ici.
Memory forensics
L’analyse du système de fichiers manque la mémoire volatile du système (c’est-à-dire la RAM). Certains outils forensiques se concentrent sur la capture des informations stockées ici.
Volatility
Volatility est le cadre forensique de la mémoire. Il est utilisé pour la réponse aux incidents et l’analyse des logiciels malveillants. Avec cet outil, vous pouvez extraire des informations des processus en cours, des sockets réseau, de la connexion réseau, des DLL et des ruches de registre. Il permet également d’extraire des informations des fichiers de vidage de Windows et des fichiers d’hibernation. Cet outil est disponible gratuitement sous licence GPL.
Lisez-en plus sur l’outil ici.
WindowsSCOPE
WindowsSCOPE est un outil commercial d’analyse judiciaire de la mémoire et de rétroingénierie utilisé pour analyser la mémoire volatile. Il est essentiellement utilisé pour la rétro-ingénierie des logiciels malveillants. Il offre la possibilité d’analyser le noyau Windows, les pilotes, les DLL et la mémoire virtuelle et physique.
Lire la suite ici.
Analyse du réseau
La plupart des cyberattaques se produisent sur le réseau, et le réseau peut être une source utile de données médico-légales. Ces outils permettent à un enquêteur judiciaire d’analyser efficacement le trafic réseau.
Wireshark
Wireshark est l’outil d’analyse du trafic réseau le plus utilisé qui existe. Il a la capacité de capturer le trafic en direct ou d’ingérer un fichier de capture enregistré. Les nombreux dissecteurs de protocoles de Wireshark et son interface conviviale permettent d’inspecter facilement le contenu d’une capture de trafic et d’y rechercher des preuves médico-légales.
Lisez-en plus ici.
Network Miner
Network Miner est un outil d’analyse du trafic réseau doté d’options gratuites et commerciales. Bien que de nombreuses fonctionnalités premium soient disponibles gratuitement avec Wireshark, la version gratuite peut être un outil utile pour les enquêtes médico-légales. Elle organise les informations d’une manière différente de Wireshark et extrait automatiquement certains types de fichiers à partir d’une capture de trafic.
Lire la suite ici.
Xplico
Xplico est un outil d’analyse médico-légale réseau open-source. Il est utilisé pour extraire des données utiles à partir d’applications qui utilisent des protocoles Internet et réseau. Il prend en charge la plupart des protocoles populaires, notamment HTTP, IMAP, POP, SMTP, SIP, TCP, UDP, TCP et autres. Les données de sortie de l’outil sont stockées dans une base de données SQLite ou MySQL. Il prend également en charge IPv4 et IPv6.
Lisez plus sur cet outil ici.
La criminalistique des appareils mobiles
Les appareils mobiles deviennent la principale méthode par laquelle de nombreuses personnes accèdent à Internet. Certains outils médico-légaux se concentrent particulièrement sur l’analyse des appareils mobiles.
Oxygen Forensic Detective
Oxygen Forensic Detective se concentre sur les appareils mobiles, mais est capable d’extraire des données à partir d’un certain nombre de plateformes différentes, notamment les mobiles, l’IoT, les services de cloud, les drones, les cartes médias, les sauvegardes et les plateformes de bureau. Il utilise des méthodes physiques pour contourner la sécurité des appareils (comme le verrouillage de l’écran) et collecte des données d’authentification pour un certain nombre d’applications mobiles différentes. Oxygen est un produit commercial distribué sous forme de dongle USB.
Plus d’informations ici.
Cellebrite UFED
Cellebrite propose un certain nombre d’outils commerciaux de criminalistique numérique, mais son Cellebrite UFED prétend être la norme de l’industrie pour accéder aux données numériques. L’offre principale d’UFED se concentre sur les appareils mobiles, mais la gamme générale de produits UFED cible une série d’appareils, notamment les drones, les cartes SIM et SD, les GPS, le cloud et plus encore. La plateforme UFED prétend utiliser des méthodes exclusives pour maximiser l’extraction de données à partir des appareils mobiles.
Plus d’informations ici.
XRY
XRY est une collection de différents outils commerciaux pour la criminalistique des appareils mobiles. XRY Logical est une suite d’outils conçus pour s’interfacer avec le système d’exploitation de l’appareil mobile et extraire les données souhaitées. XRY Physical, quant à lui, utilise des techniques de récupération physique pour contourner le système d’exploitation, ce qui permet d’analyser les appareils verrouillés.
Lisez-en plus sur XRY ici.
Linux distros
Plusieurs des outils décrits ici sont gratuits et open-source. Plusieurs distributions Linux ont été créées qui agrègent ces outils gratuits pour fournir une boîte à outils tout-en-un pour les enquêteurs en criminalistique.
CAINE
CAINE (Computer Aided Investigative Environment) est la distro Linux créée pour la criminalistique numérique. Elle offre un environnement permettant d’intégrer des outils logiciels existants sous forme de modules logiciels de manière conviviale. Cet outil est open-source.
Lisez plus à son sujet ici.
SANS SIFT
SIFT est une autre machine virtuelle Linux open-source qui agrège des outils gratuits de criminalistique numérique. Cette plateforme a été développée par le SANS Institute et son utilisation est enseignée dans un certain nombre de leurs cours.
Lisez-en plus ici.
HELIX3
HELIX3 est une suite de criminalistique numérique sur CD live créée pour être utilisée dans la réponse aux incidents. Elle est livrée avec de nombreux outils de criminalistique numérique open-source, notamment des éditeurs hexadécimaux, des outils de sculpture de données et de craquage de mots de passe. Si vous voulez la version gratuite, vous pouvez opter pour Helix3 2009R1. Après cette version, ce projet a été repris par un fournisseur commercial. Vous devez donc payer pour obtenir la version la plus récente de l’outil.
Cet outil peut collecter des données à partir de la mémoire physique, des connexions réseau, des comptes d’utilisateurs, des processus et services en cours d’exécution, des tâches planifiées, du registre Windows, des journaux de chat, des captures d’écran, des fichiers SAM, des applications, des pilotes, des variables d’environnement et de l’historique Internet. Ensuite, il analyse et examine les données pour générer les résultats compilés en fonction des rapports.
Helix3 2008R1 peut être téléchargé ici.
La version entreprise est disponible ici.
Conclusion
La criminalistique numérique est une spécialisation qui est en demande constante. Alors que le nombre de cyberattaques et de violations de données augmente et que les exigences réglementaires deviennent plus strictes, les organisations doivent pouvoir déterminer la portée et l’impact d’un incident potentiel.
Les outils inclus dans cette liste sont parmi les outils et les plateformes les plus populaires utilisés pour l’analyse forensique. Dans de nombreux cas, ces outils ont des fonctionnalités similaires, de sorte que le choix entre eux dépend principalement du coût et de la préférence personnelle. En outre, une grande variété d’autres outils sont également disponibles.
Un bon point de départ pour essayer les outils de criminalistique numérique consiste à explorer l’une des plateformes Linux mentionnées à la fin de cet article. Ces plates-formes disposent d’une gamme d’outils gratuits installés et configurés, ce qui permet d’essayer les différentes options sans un investissement important de frais de licence ou de temps de configuration.
Les outils de criminalistique numérique peuvent être utilisés pour la recherche d’informations.