Typologie des traces - Cours 9
Document Details
Uploaded by SpiritualAntigorite1320
Tags
Related
- 2002 PDF: Coordinated Reactivation of Distributed Memory Traces in Primate Neocortex
- Real-Life Traces of an Ancient Myth PDF
- Typologie des Traces - Cours 2
- Cours 1: Typologie des traces - Science Forensique
- Cours 4 Typologie des traces PDF
- Cours 5 - Focus sur les Traces Biologiques et le Matériel Génétique - PDF
Summary
Ce document présente la typologie des traces numériques. Il décrit les données numériques, la numérisation des usages et la manière dont les traces sont liées aux fonctions élémentaires. L'idée principale est l'analyse des traces numériques sous différents aspects. Le document a pour but d'étudier le sujet.
Full Transcript
# Typologie des traces ## 18.11.2024 - Cours 9 ### Les traces numériques 1. **Qu'est-ce qu'une technologie numérique ? : Données numériques** Ce sont des données représentées sous forme numérique : enregistrées sous la forme de nombres pouvant prendre un nombre fini de valeurs (valeurs discrètes)...
# Typologie des traces ## 18.11.2024 - Cours 9 ### Les traces numériques 1. **Qu'est-ce qu'une technologie numérique ? : Données numériques** Ce sont des données représentées sous forme numérique : enregistrées sous la forme de nombres pouvant prendre un nombre fini de valeurs (valeurs discrètes) par opposition aux données analogiques qui sont des représentation continue de données ou d'informations, souvent en forme d'onde, qui peut varier sans interruption sur une amplitude infinie. Il existe beaucoup de supports de données numériques. L'avancée des technologies fait qu'on doit être à la page à chaque instant car on risque de se trouver face à quelque chose qu'on ne connaît pas et donc une information cruciale peut se trouver dedans. 2. **Numérisation des usages** Au sein des foyers en 1900 septante il n'y avait pas de support de données numériques. En 1980 il commençait à en avoir(ordis). En 1900 nonante il y a une connexion interne du foyer. En 2000 il y a de plus en plus d'omniprésence du numérique grâce à la connexion avec l'extérieur qui demande tout de même de chercher des informations(internet). En 2010 c'est le virage de la connectivité, les informations sont disponibles directement en interne soit dans les appareils. Il est possible d'y accéder à distance et de stocker à distance aussi(ICloud). En 2024 il y a une sur numérisation du foyer. Dans les années nonante, quand les enquêteurs arrivaient au sein d'un foyer ils ne prenez que les ordis en compte et pas forcément le reste. Auparavant on y pensait pas. De nos jours on se focalise sur les équipements mobiles. Cependant, tout type de traces ne sont pas forcément exploités 3. **Et les traces alors ?** La trace on le rappelle est : « Marque, signal ou objet, la trace est un signe apparent (pas toujours visible à l'œil nu). Elle est le vestige d'une présence ou d'une action à l'endroit de cette dernière » Le signal numérique soit en transit ou stocké. #### 3.1 Exemple de support numérique Par exemple si on poste sur insta une image⇒transit dans le insta via l'opérateur(Sunrise)→internet→serveur d'insta #### 3.2 Exemple de support physique #### 3.3 Quelles traces ? ##### 3.3.1 Diversité des traces présentes sur un smartphone Entrée base de données «Appel». Entrée base de données «SMS». Entrée dans application de messagerie instantanée. Fichiers photo ou vidéo. Entrée dans une base statistique de localisation ##### 3.3.2 Diversité des traces présentes sur un serveur distant Entrées dans fichiers journaux du serveur(log). Entrées dans une application serveur (ex. message instagram). Fichier lié à une application serveur (ex. photo instagram) ##### 3.3.3 Diversité des traces présentes sur un ordinateur Entrées de journaux d'événement→se retrouve lié à notre wifi(log démarrage, arrêt, connexion, changement d'heure d'ordinateur). Entrées de bases de registre(fichier utilisé). Entrées d'historique de navigation Web. Fichier de cache de navigateur Web. Fichiers «utilisateur» d'une application ### 4. Lien avec les fonctions élémentaires #### 4.1 Entrée base de données «SMS» Contient un émetteur, destinataire, date/Heure, contenu... Il est en lien avec les fonctions élémentaires suivantes - Déterminer la source des traces→Quel était l'appareil. - Relier des affaires entre elles (détecter des répétitions criminelles). - Trouver des relations entre des personnes et des objets (les relations entre des entités)→contenu d'utilisation. - Désigner des lieux d'intérêt➔trace de la localisation, message. - Reconstruire la structure temporelle des événements. - Renseigner sur d'autres aspects de l'activité productrice de la trace #### 4.2 Entrée dans une base statistique de localisation Latitude/Longitude et Date/Heure...→auro datage→trace avec heure de l'envoi d'un message Il est en lien avec les fonctions élémentaires suivantes : - Désigner des lieux d'intérêt trace de la localisation, message. - Reconstruire la structure temporelle des événements. - Renseigner sur d'autres aspects de l'activité productrice de la trace #### 4.3 Traces numériques liées à une brosse à dent connectée Information sur l'utilisation ou non de la brosse possible hypothèse sur le temps cela peut nous aider lorsqu'on retrouve une personne décédée chez elle et qu'on ne sait pas depuis combien de temps elle est morte ou qu'une personne a disparu. Si on est au courant de sa fréquence le brossage de dents par rapport aux avis de ses proches cela peut nous aider. Le profil de de brossage peut être aussi utile. Il est en lien avec les fonctions élémentaires suivantes : - Désigner des lieux d'intérêt trace de la localisation, message. - Reconstruire la structure temporelle des événements. - Renseigner sur d'autres aspects de l'activité productrice de la trace #### 4.4 Traces numériques liées à un véhicule connecté Utilisation / (Non) utilisation. Localisation. Profil de conduite Il est en lien avec les fonctions élémentaires suivantes : - Trouver des relations entre des personnes et des objets (les relations entre des entités). - Désigner des lieux d'intérêt trace de la localisation. - Reconstruire la structure temporelle des événements. - Renseigner sur d'autres aspects de l'activité productrice de la trace ### 5. **Activité traduction de la science forenscique** | **Phase du processus** | **Forensic Technologies** | **Forensic Activities** | **Core Forensic Processes** | **Scientific Reasoning** | |---|---|---|---|---| | **Forensic operational techniques** | Recovery techniques Enhancement techniques Preservation techniques | Survey Preservation Examination Documentation Analysis Integration Interpretation | Reconstruction Classification Authentication Identification | Formulate hypotheses Test hypotheses Establish principles | ### Processus forensiques numériques Il existe de multiples processus #### 5.1 Prélèvement de la trace numérique Lorsqu'on prélève un système informatique « vivant » (en fonctionnement) on doit imiter les contaminations (postérieures à l'événement). En effet, il est possible d'effacer des données à distance ou tout simplement un appareil peut garder plusieurs heures, semaine ou mois des données puis les effacent pour faire de l'espace par la suite. Pour ce faire on peut utiliser un système d'enregistrement numérique, Mettre en mode avion les appareils ou les mettre dans des poches de faraday. C'est poches coupent les objets numériques de l'environnement en les isolant du réseau. Il faut aussi limiter les pollutions en minimisant les traces liées aux actions nécessaires au prélèvement (ex. acquisition de mémoire vive) #### 5.2 Acquisition des données numériques Extraire les données du support en prévision de leur analyse. Nous pouvons les préserver via des bloqueur en écriture / box de faraday. La poche de faraday est utilisée uniquement pour le transport. Par la suite les objets sont mis dans des boxes de faraday. Grâce à ceux-ci nous pouvons faire croire à l'appareil qu'il est connecté à un certain endroit et à un certain réseau afin de voir quel était son opération où son action dédiée( par ex détonateur à distance). Il est très important de faire des copies pour garder une traçabilité et une intégrité des objets numériques. On peut faire une lecture de toutes les données (image forensique) en garantissant leur traçabilité et intégrité (empreinte numérique – NB : ≠ empreinte physique) Il faut savoir que les données numériques sont structurées par rapport à des fichiers. Nous pouvons voir les traces de fichiers présents ou effacés. Le système de fichiers permettent de structurer les données (eg. Fichiers) présentes sur un support de données (ex. FAT32, NTFS, APFS, ext2/4). Les fichiers permettent de rassembler des données liées entre elles dans un même container logique. (Exemple (extension) : JPEG, MP4, DOCX) il est hyper important de comprendre comment fonctionnent les différents formats. Il se peut parfois qu'on rencontre des problématiques dues au format de fichier/codage du propriétaire qui a mis les objets numériques sous forme protégée(vidéoprotection→format propriétaire) #### 5.3 Problématique des codages propriétaires Induction basée sur le Triangle de Peirce (rétro-ingénierie) On a besoin de comprendre le mécanisme de création des traces. II dépend du syst mis en place. La vitesse de la technologie pose problème #### 6. Combinaison de différentes traces numériques Connaissances générales Règles ↑ Activité Résultat, traces D'un même support de données : données liées à l'utilisation de l'ordinateur + données d'applications + Entre plusieurs supports de données : données d'un disque dur + données d'une clé USB + données d'un téléphone mobile + données d'un opérateur télécom + Visualisation : Explorer les données. Produire de la connaissance. Communiquer
