Prelevement - Acquisition

Question 1

A qquoi correspond la partie prelevement dans le processus ?

Answer 1

repondre a survey: search find detect et a preservation: protect trace from alteration, including isolating them from surrounding environnement

Question 2

Quel est l’objectif alors du prelevement?

Answer 2

identifier les éléments susceptibles de contenir des données nécessaires à l’analyse et les prélever tout en préservant leur intégrité et en garantissant une traçabilité

Question 3

Pourquoi est il important de bien prelever ces traces?

Answer 3

-eviter que les traces (numeriques) ne disparaissent et permettre quelles soient analysees
–> evolution du champs d’investigation avec le tps qui passe, les diff contamination, la pollution qui pourrait donner des confusions des traces

Question 4

Donner des exemples de confusion des traces?

Answer 4

-traces anterieures a l’action (bruits de fond=activite que l’on fait tout les jours)
-traces lies a l’action
-traces posterieues a l’action (contaminations)
-Traces postérieurs à la prise en compte de la
scène (pollutions)

–> toujours documenter et maitriser (lorsqu’on manipule une piece

Question 5

Quelle est une des qualites des traces numeriques lors de la confusion des traces?

Answer 5

sont moins sujettes a la confusion des traces
car nouvelle visite de navigateur ne va pas effacer l’ancienne visite
–> exploitable
–> nouvelle trace qui sera date pour chaque visite

Question 6

etapes pour prelevement?

Answer 6

Décision d’intervention
- Etude de différentes dimensions
Protocole d’intervention
- Gel des lieux (+ difficile en num, pour eviter la pollution)
- Figer la scène telle qu’elle est au moment où l’on intervient
- Démarche de prise en compte de la scène

Question 7

Quelles sont les 3 etapes du prelevement?Dites ce que ca veut dire

Answer 7

-identifer: Démarche à définir (généralement du général au particulier)
-prelever: eviter toute alteration immediate ou future des donnees (pollution)
-dumentation: tracabilite/non repudiation –> mise ous scele judiciaire

Question 8

Que cherche t-on a faire lorsqu’on identifie? Que doit-on savoir?

Answer 8

Démarche générale de prise en compte :
- Du général au particulier
- Cheminement
- Recherche des traces de toutes natures
-on doit connaitre pour reconnaitre –> neccesite de connaitre les supports pouvant contenir des donnees numeriques
-prelever que ce qui sera neccesaire (il faut etudier la mission et son contexte et anticiper la suite –> rechercher pin et/ou mdp

Question 9

Que doit on faire lors de l’etape de prevelevement du prelevementm? donner des ex?

Answer 9

-eviter toute alteration immediaire ou future des donnes et faire:
-des manipulations adaptee
ex: pollution immediate –> ne pas degrader les traces d’autre nature
ex: pollution future –> se premunir de nouvelles traces ou la disparition des traces prelevee

-des conditionnement adapte –> se premunir des risques de modication (pollution), manipulation (volontaire ou non)
ex: mettre dans des papier kraft un tel plutot que un sac a scelle pour eviter de l’utiliser a travers
ex: decharge electrostatique (conditonnement esd)
ex: bloquer les ondes –> mettre en mode avion ou dans des sac de faraday pour eviter l’effacement des donnes a distance par exemple
ex: aluminium?

Question 10

Que doit on faire lors de l’etape de documentation du prelevementm? quel est l’objectif ? les moyens?

Answer 10

initier et maintenir une chaine de confiance dans les elements preleve
objectif: non repudiation (ne pas dire quon a menti)
moyens:
-tracabilite (actions realises)
-mise sous scelle judiciaire
-empreintes numeriques

Question 11

Donner les principaux info quils faut retenir lors du prelevement dun telephone?

Answer 11

-documenter manipulaiton et verifier l’heure du tel
-maintenir le tel allume
-isole le tel du reseau (avion, sac de feraday, alu)
-maintenir le tel alimente (powerbank)
-maintenir le processus jusqu’a son terme (utiliser la machine qui bloque les ondes)

Question 12

Quel est l’objectif de l’acquisition de donnes?

Answer 12

acquérir les données nécessaires à l’analyse, tout en préservant leur intégrité et en garantissant une traçabilité (continuité de la preuve)

Question 13

Que comprend l’aquisition des donnes ?

Answer 13

-les donnes volatiles (donnes en memoire vive)
-les donnees non volatiles (donnes presentes su un support de stockage)

Question 14

Quelle est la premiere etape d’acquisition de donnees?

Answer 14

identifier les supports de donnees lies au smartphone
acquerir lheure du systeme (tres important pour ne pas decaler toute les exploitations dheure ensuite)

Question 15

ou reccupere t’on els donnes dites non volatiles?

Answer 15

support de stockage (micro sd)
-image: Copie de l’intégralité des données du support d’origine dans un ou plusieurs fichiers, souvent appelé(s) image disque ou image forensique

Carte SIM + reseau qui ont ete rencontre avec la carte sim
-sans pin –> ICCID
-avec pin –> IMSI, Reperoitre, journeaux d’appel, etc)

Question 16

Donner les differents niveaux d’acquisition?

Answer 16

logique: donnees interpretees, accesibles sous forme de valeurs
systeme de fichiers: donnees (partiellement) interpretees, accessibles sous forme de fichiers
physique: donnees non interpretees –> IMAGE FORENSIQUE

Question 17

Donner les differentes methodes d’acquisition? et leurs difficulte et donnees disponibles?

Answer 17

> Manuellement (verification)
Sauvegarde
Agent
Recovery
Bootloader
JTAG, SPI, etc. (protocoles d’accès aux composants)
Débrasage
manuel –> debrassage = difficulte augmente et donnes disponibles aussi

Question 18

Comparer les techiques vs les niveaux d’acquisition?

Answer 18

logique = manuellement et sauvegarde et agent
syst de fichier = un peu sauvegarde et agent et recovery
physique tout = agent, recovery et le reste

Question 19

De quoi depend le choix de la methode d’extraction ?

Answer 19

du modele/de la mission (donnees recherchees)

Question 20

Donner les caracteristique de l’acquisition manuelle?

Answer 20

avant : seule solution
maintenant : lorsqu’il n’y a pas dautre solution, ou pour verifier dautre acquisition
inconveniant:
> Très chronophage
> Ne permet qu’un accès limité aux informations présentes dans le téléphone
> Traçabilité requiert enregistrement
Avantages :
> Vérification de données
> Accès à des informations non décodées (ex. application non supportée)

Question 21

Donner les caracteristique de l’acquisition par sauvegarde?

Answer 21

Consiste à demander au téléphone de faire une
sauvegarde/synchronisation
> Solutions propriétaires : backup iPhone, Android Backup
Inconvénients :
> Nécessite un accès au téléphone
> De moins en moins de données
Avantages :
> Fonctionne le plus souvent avec les données standards
(photos, appels, messages, etc.)

Question 22

Donner les caracteristique de l’acquisition par agent?

Answer 22

Consiste à injecter/utiliser un agent dans le téléphone afin qu’il
transmette des données
> Solutions communautaires : adb (outil Android), applications de
backup
> Solutions propriétaires : agent Cellebrite (dont certaines basées
sur des solutions communautaires)
Inconvénients :
> Nécessite un accès au téléphone
Avantages :
> Fonctionne le plus souvent avec les données standards (photos,
appels, messages, etc.)

Question 23

Donner les caracteristique de l’acquisition par recovery?

Answer 23

Consiste à détourner le démarrage du téléphone vers un système
de réparation (« recovery ») contrôlé
> Solutions communautaires : TWRP, ClockWorkMod (CWM)
> Solutions propriétaires : recovery Cellebrite (dont certaines basées
sur des solutions communautaires)
Inconvénients :
> Modification (mineure) des données du
téléphone
> Peu adapté aux téléphones chiffrés
Avantages :
> Solution simple et complète en l’absence de chiffrement

Question 24

Donner les caracteristique de l’acquisition par bootloader?

Answer 24

Consiste à contourner le démarrage du téléphone vers un
système contrôlé
> Solutions communautaires : checkm8 (contournement)
> Solutions propriétaires : Odin (Samsung), Cellebrite (dont certaines
basées sur des solutions communautaires/ commerciales)
Inconvénients :
> Nécessite initialement d’importants
moyens de rétro-ingénierie
Avantages :
> Peut contourner les mécanismes de chiffrement (présence de mot de
passe ou d’un hack de l’enclave de sécurité)

Question 25

A quoi correspondent les dernieres methodes d’acquisiiton? lesquelles? caracteristiques?

Answer 25

a des acquisitions materielle
> Communication par protocoles de débogage (JTAG)
> Lecture via connexion directe à la mémoire (SPI)
> Débrasage / lecture
Inconvénients :
> Peu utile si les données sont chiffrées
Avantages :
> Permet d’avoir accès à l’ensemble des données
> Utile pour les téléphones endommagés (réparation)
> Utile pour contourner certaines sécurités

Question 26

que faut-il faire lors de l’acquisition des donnes? pq?

Answer 26

preserver leur integrite?
-phase durant laquelle le risque d’alterer les donnes originales est le plus eleve
-il faut utiliser ds moyens de blocage en ecriture

Question 27

quelles sont les methodes pour preserver l’integrite?

Answer 27

micro sd - dispositif de blocation en ecriture
–> bloqueurs materiel (Boîtiers agissant comme une barrière physique entre le support de stockage
et l’ordinateur sur lequel il est connecté)

Question 28

donner les problematique lie a la preservation de l’integrite sur un smartphone?

Answer 28

• Modification quasiment obligatoire des données du téléphone
• Quelques fois peu de maîtrise/connaissance des opérations
  effectuées (à éviter)
• Choix nécessaire être risque et accès aux données (ex.
  débrasage)

Question 29

Que faut il avoir aussi lors de l’acquisition des donnes?

Answer 29

Garantir une tracabilite
Chain of custody
* Empreinte numérique des supports/fichiers
- Calcul du hash du support original pendant la copie
- Vérification du hash du support de destination/fichier(s) image
- Vérification des hash tout au long du processus
* Documenter les opérations effectuées
- Matériels et logiciels utilisés
- Journal / cahier de laboratoire