Prelevement - Acquisition Flashcards
A qquoi correspond la partie prelevement dans le processus ?
repondre a survey: search find detect et a preservation: protect trace from alteration, including isolating them from surrounding environnement
Quel est l’objectif alors du prelevement?
identifier les éléments susceptibles de contenir des données nécessaires à l’analyse et les prélever tout en préservant leur intégrité et en garantissant une traçabilité
Pourquoi est il important de bien prelever ces traces?
-eviter que les traces (numeriques) ne disparaissent et permettre quelles soient analysees
–> evolution du champs d’investigation avec le tps qui passe, les diff contamination, la pollution qui pourrait donner des confusions des traces
Donner des exemples de confusion des traces?
-traces anterieures a l’action (bruits de fond=activite que l’on fait tout les jours)
-traces lies a l’action
-traces posterieues a l’action (contaminations)
-Traces postérieurs à la prise en compte de la
scène (pollutions)
–> toujours documenter et maitriser (lorsqu’on manipule une piece
Quelle est une des qualites des traces numeriques lors de la confusion des traces?
sont moins sujettes a la confusion des traces
car nouvelle visite de navigateur ne va pas effacer l’ancienne visite
–> exploitable
–> nouvelle trace qui sera date pour chaque visite
etapes pour prelevement?
Décision d’intervention
- Etude de différentes dimensions
Protocole d’intervention
- Gel des lieux (+ difficile en num, pour eviter la pollution)
- Figer la scène telle qu’elle est au moment où l’on intervient
- Démarche de prise en compte de la scène
Quelles sont les 3 etapes du prelevement?Dites ce que ca veut dire
-identifer: Démarche à définir (généralement du général au particulier)
-prelever: eviter toute alteration immediate ou future des donnees (pollution)
-dumentation: tracabilite/non repudiation –> mise ous scele judiciaire
Que cherche t-on a faire lorsqu’on identifie? Que doit-on savoir?
Démarche générale de prise en compte :
- Du général au particulier
- Cheminement
- Recherche des traces de toutes natures
-on doit connaitre pour reconnaitre –> neccesite de connaitre les supports pouvant contenir des donnees numeriques
-prelever que ce qui sera neccesaire (il faut etudier la mission et son contexte et anticiper la suite –> rechercher pin et/ou mdp
Que doit on faire lors de l’etape de prevelevement du prelevementm? donner des ex?
-eviter toute alteration immediaire ou future des donnes et faire:
-des manipulations adaptee
ex: pollution immediate –> ne pas degrader les traces d’autre nature
ex: pollution future –> se premunir de nouvelles traces ou la disparition des traces prelevee
-des conditionnement adapte –> se premunir des risques de modication (pollution), manipulation (volontaire ou non)
ex: mettre dans des papier kraft un tel plutot que un sac a scelle pour eviter de l’utiliser a travers
ex: decharge electrostatique (conditonnement esd)
ex: bloquer les ondes –> mettre en mode avion ou dans des sac de faraday pour eviter l’effacement des donnes a distance par exemple
ex: aluminium?
Que doit on faire lors de l’etape de documentation du prelevementm? quel est l’objectif ? les moyens?
initier et maintenir une chaine de confiance dans les elements preleve
objectif: non repudiation (ne pas dire quon a menti)
moyens:
-tracabilite (actions realises)
-mise sous scelle judiciaire
-empreintes numeriques
Donner les principaux info quils faut retenir lors du prelevement dun telephone?
-documenter manipulaiton et verifier l’heure du tel
-maintenir le tel allume
-isole le tel du reseau (avion, sac de feraday, alu)
-maintenir le tel alimente (powerbank)
-maintenir le processus jusqu’a son terme (utiliser la machine qui bloque les ondes)
Quel est l’objectif de l’acquisition de donnes?
acquérir les données nécessaires à l’analyse, tout en préservant leur intégrité et en garantissant une traçabilité (continuité de la preuve)
Que comprend l’aquisition des donnes ?
-les donnes volatiles (donnes en memoire vive)
-les donnees non volatiles (donnes presentes su un support de stockage)
Quelle est la premiere etape d’acquisition de donnees?
identifier les supports de donnees lies au smartphone
acquerir lheure du systeme (tres important pour ne pas decaler toute les exploitations dheure ensuite)
ou reccupere t’on els donnes dites non volatiles?
support de stockage (micro sd)
-image: Copie de l’intégralité des données du support d’origine dans un ou plusieurs fichiers, souvent appelé(s) image disque ou image forensique
Carte SIM + reseau qui ont ete rencontre avec la carte sim
-sans pin –> ICCID
-avec pin –> IMSI, Reperoitre, journeaux d’appel, etc)
Donner les differents niveaux d’acquisition?
logique: donnees interpretees, accesibles sous forme de valeurs
systeme de fichiers: donnees (partiellement) interpretees, accessibles sous forme de fichiers
physique: donnees non interpretees –> IMAGE FORENSIQUE
Donner les differentes methodes d’acquisition? et leurs difficulte et donnees disponibles?
> Manuellement (verification)
Sauvegarde
Agent
Recovery
Bootloader
JTAG, SPI, etc. (protocoles d’accès aux composants)
Débrasage
manuel –> debrassage = difficulte augmente et donnes disponibles aussi
Comparer les techiques vs les niveaux d’acquisition?
logique = manuellement et sauvegarde et agent
syst de fichier = un peu sauvegarde et agent et recovery
physique tout = agent, recovery et le reste
De quoi depend le choix de la methode d’extraction ?
du modele/de la mission (donnees recherchees)
Donner les caracteristique de l’acquisition manuelle?
avant : seule solution
maintenant : lorsqu’il n’y a pas dautre solution, ou pour verifier dautre acquisition
inconveniant:
> Très chronophage
> Ne permet qu’un accès limité aux informations présentes dans le téléphone
> Traçabilité requiert enregistrement
Avantages :
> Vérification de données
> Accès à des informations non décodées (ex. application non supportée)
Donner les caracteristique de l’acquisition par sauvegarde?
Consiste à demander au téléphone de faire une
sauvegarde/synchronisation
> Solutions propriétaires : backup iPhone, Android Backup
Inconvénients :
> Nécessite un accès au téléphone
> De moins en moins de données
Avantages :
> Fonctionne le plus souvent avec les données standards
(photos, appels, messages, etc.)
Donner les caracteristique de l’acquisition par agent?
Consiste à injecter/utiliser un agent dans le téléphone afin qu’il
transmette des données
> Solutions communautaires : adb (outil Android), applications de
backup
> Solutions propriétaires : agent Cellebrite (dont certaines basées
sur des solutions communautaires)
Inconvénients :
> Nécessite un accès au téléphone
Avantages :
> Fonctionne le plus souvent avec les données standards (photos,
appels, messages, etc.)
Donner les caracteristique de l’acquisition par recovery?
Consiste à détourner le démarrage du téléphone vers un système
de réparation (« recovery ») contrôlé
> Solutions communautaires : TWRP, ClockWorkMod (CWM)
> Solutions propriétaires : recovery Cellebrite (dont certaines basées
sur des solutions communautaires)
Inconvénients :
> Modification (mineure) des données du
téléphone
> Peu adapté aux téléphones chiffrés
Avantages :
> Solution simple et complète en l’absence de chiffrement
Donner les caracteristique de l’acquisition par bootloader?
Consiste à contourner le démarrage du téléphone vers un
système contrôlé
> Solutions communautaires : checkm8 (contournement)
> Solutions propriétaires : Odin (Samsung), Cellebrite (dont certaines
basées sur des solutions communautaires/ commerciales)
Inconvénients :
> Nécessite initialement d’importants
moyens de rétro-ingénierie
Avantages :
> Peut contourner les mécanismes de chiffrement (présence de mot de
passe ou d’un hack de l’enclave de sécurité)
A quoi correspondent les dernieres methodes d’acquisiiton? lesquelles? caracteristiques?
a des acquisitions materielle
> Communication par protocoles de débogage (JTAG)
> Lecture via connexion directe à la mémoire (SPI)
> Débrasage / lecture
Inconvénients :
> Peu utile si les données sont chiffrées
Avantages :
> Permet d’avoir accès à l’ensemble des données
> Utile pour les téléphones endommagés (réparation)
> Utile pour contourner certaines sécurités
que faut-il faire lors de l’acquisition des donnes? pq?
preserver leur integrite?
-phase durant laquelle le risque d’alterer les donnes originales est le plus eleve
-il faut utiliser ds moyens de blocage en ecriture
quelles sont les methodes pour preserver l’integrite?
micro sd - dispositif de blocation en ecriture
–> bloqueurs materiel (Boîtiers agissant comme une barrière physique entre le support de stockage
et l’ordinateur sur lequel il est connecté)
donner les problematique lie a la preservation de l’integrite sur un smartphone?
- Modification quasiment obligatoire des données du téléphone
- Quelques fois peu de maîtrise/connaissance des opérations
effectuées (à éviter) - Choix nécessaire être risque et accès aux données (ex.
débrasage)
Que faut il avoir aussi lors de l’acquisition des donnes?
Garantir une tracabilite
Chain of custody
* Empreinte numérique des supports/fichiers
- Calcul du hash du support original pendant la copie
- Vérification du hash du support de destination/fichier(s) image
- Vérification des hash tout au long du processus
* Documenter les opérations effectuées
- Matériels et logiciels utilisés
- Journal / cahier de laboratoire
