Exploitation des traces numériques PDF
Document Details
Uploaded by Deleted User
Tags
Related
- Certified Cybersecurity Technician Computer Forensics PDF Exam 212-82
- Computer Forensics - Certified Cybersecurity Technician - Exam 212-82 PDF
- Computer Forensics Exam 212-82 PDF
- Fundamentals of Digital Forensics - Theory, Methods, and Applications PDF
- The Basics of Digital Forensics PDF
- Informática Forense (UCJC) PDF
Summary
This document provides an overview of digital forensics and the handling of digital traces in various contexts. It discusses different methods of acquisition and analysis, focusing on digital evidence from telephones and databases. The content is designed for professional audiences.
Full Transcript
Exploitation des traces numériques Table des matières TRACES NUMÉRIQUES............................................................................................................................................... 5 PROCESSUS DE PRISE EN COMPTE DES TRACES NUMÉRIQUES................................
Exploitation des traces numériques Table des matières TRACES NUMÉRIQUES............................................................................................................................................... 5 PROCESSUS DE PRISE EN COMPTE DES TRACES NUMÉRIQUES.........................................................................................................5 Prélèvements dans le processus..................................................................................................................................5 Acquisition de données dans le processus...................................................................................................................6 Recherche de traces dans le processus.......................................................................................................................7 Analyse de traces dans le processus...........................................................................................................................7 Interprétation dans le processus.................................................................................................................................8 BASES DE DONNÉES.................................................................................................................................................. 8 GÉNÉRALITÉS......................................................................................................................................................................8 REQUÊTES..........................................................................................................................................................................9 LE TÉLÉPHONE ET SES TECHNOLOGIES..................................................................................................................... 10 QU’EST-CE QU’UN TÉLÉPHONE MOBILE ? QUELLES UTILISATIONS ?..............................................................................................10 QUELS ÉQUIPEMENTS ?.......................................................................................................................................................10 EN QUOI CONSISTE UN SMARTPHONE ?..................................................................................................................................10 LE SMARTPHONE ET L’ENQUÊTE.............................................................................................................................. 10 QUELS TYPES D’INVESTIGATION ?..........................................................................................................................................10 QUELS IDENTIFIANTS UTILISER POUR RECHERCHER LES TRACES LIÉES À UTILISATION DE TÉLÉPHONIE MOBILE ?.......................................11 Éléments importants.................................................................................................................................................11 Investigations techniques.........................................................................................................................................11 Comment exploiter identifiants dans une enquête ? – investigation technique......................................................12 LIENS PRATIQUES POUR L’INVESTIGATION DES IDENTIFIANTS................................................................................. 12 PRÉLÈVEMENT........................................................................................................................................................ 13 PRÉLÈVEMENT – DANS LE PROCESSUS.....................................................................................................................................13 PRÉLÈVEMENTS – POURQUOI ?............................................................................................................................................13 PRÉLÈVEMENTS – COMMENT ?............................................................................................................................................13 PRÉLÈVEMENTS – IDENTIFIER................................................................................................................................................14 PRÉLÈVEMENTS – PRÉLEVER.................................................................................................................................................14 PRÉLÈVEMENTS – DOCUMENTER...........................................................................................................................................14 PRÉLÈVEMENTS – SMARTPHONE...........................................................................................................................................14 ACQUISITION.......................................................................................................................................................... 15 ACQUISITION DE DONNÉES – DANS LE PROCESSUS.....................................................................................................................15 ACQUISITION DES DONNÉES – DATE ET HEURE DU SYSTÈME........................................................................................................15 ACQUISITION DES DONNÉES – NON VOLATILES.........................................................................................................................15 ACQUISITION DE DONNÉES TÉLÉPHONIQUES............................................................................................................................15 ACQUISITION MANUELLE.....................................................................................................................................................16 ACQUISITION PAR SAUVEGARDE............................................................................................................................................16 ACQUISITION PAR AGENT.....................................................................................................................................................16 ACQUISITION PAR RECOVERY................................................................................................................................................16 ACQUISITION PAR BOOTLOADER............................................................................................................................................17 ACQUISITION MATÉRIELLE....................................................................................................................................................17 PRÉSERVATION DE L’INTÉGRITÉ.............................................................................................................................................17 TRAÇABILITÉ.....................................................................................................................................................................17 EXAMEN DES TRACES NUMÉRIQUES DANS LE PROCESSUS....................................................................................... 18 EXAMEN ET ANALYSE DE SMARTPHONE.................................................................................................................. 18 MÉTHODOLOGIE................................................................................................................................................................18 OUTILS............................................................................................................................................................................19 ENVIRONNEMENT..............................................................................................................................................................19 ANALYSE D’UN SMARTPHONE...............................................................................................................................................19 1 Exploitation des traces numériques LOCALISATION........................................................................................................................................................ 20 TRACES LIÉES À LA LOCALISATION DANS LES SMARTPHONES.................................................................................. 20 LOCALISATION DES TRACES DE LOCALISATION...........................................................................................................................20 SOURCES DE LA LOCALISATION PRÉSENTE DANS LES TRACES.........................................................................................................20 COUVERTURE DES RÉSEAUX DE TÉLÉPHONIE MOBILE.............................................................................................. 22 RÉSEAUX MOBILES..............................................................................................................................................................22 Types de cellules........................................................................................................................................................22 Réseaux maillés.........................................................................................................................................................22 Échanges Stations – terminaux.................................................................................................................................23 Évolution du réseaux / du signal...............................................................................................................................23 Sélection d’antennes.................................................................................................................................................23 Champs d’antennes...................................................................................................................................................23 MESURES DE CHAMPS D’ANTENNES........................................................................................................................ 24 QUOI ?............................................................................................................................................................................24 POURQUOI ?....................................................................................................................................................................24 COMMENT ?.....................................................................................................................................................................24 COMBIEN – COÛT ?............................................................................................................................................................24 CHIFFRES – USAGE CH........................................................................................................................................................24 LES ENTITÉS DE LA TÉLÉPHONIE............................................................................................................................... 26 LES ENTITÉS DE LA TÉLÉPHONIE : ANTENNE............................................................................................................. 26 LES TYPES D’ANTENNES........................................................................................................................................... 26 PRÉCISION DE LA LOCALISATION GÉOGRAPHIQUE......................................................................................................................27 VALIDITÉ DE LA LOCALISATION GÉOGRAPHIQUE........................................................................................................................27 ATTRIBUT : ADRESSE DE LA LOCALISATION / COORDONNÉES.................................................................................. 27 ATTRIBUT : AZIMUT (BEAM).................................................................................................................................... 27 RELATION FONDAMENTALE : COMMUNICATION..................................................................................................... 28 IMPACTS SUR L’ANAYSE.......................................................................................................................................................28 COMPLÉTUDE DES DONNÉES.................................................................................................................................................29 ÉVALUER LES DONNÉES........................................................................................................................................... 29 SENSIBILITÉ : MÉTHODE DE COLLECTE.....................................................................................................................................29 QUALITÉ – PRODUCTION DES DONNÉES..................................................................................................................................29 RENSEIGNEMENT ET ANALYSE CRIMINELLE............................................................................................................. 30 DIFFÉRENTES FONCTIONS........................................................................................................................................ 30 ANALYSE CRIMINELLE.............................................................................................................................................. 30 LA MÉTHODOLOGIE DE L’ANALYSE CRIMINELLE.........................................................................................................................30 POURQUOI LA VISUALISATION ?............................................................................................................................. 31 LES DIMENSIONS D’ANALYSE................................................................................................................................... 31 EXEMPLES DE SITUATIONS RÉCURRENTES ET FORMES CLASSIQUES DE VISUALISATION........................................... 31 ENJEUX DE MODÉLISATION...................................................................................................................................................32 INTRODUCTION AU CONCEPT DE DATATION EN SF.................................................................................................. 33 DATATION........................................................................................................................................................................33 COMMENT SITUER UNE TRACES DANS LE TEMPS ?.....................................................................................................................33 Marqueurs temporels...............................................................................................................................................33 Changements temporels...........................................................................................................................................33 Changements séquentiels.........................................................................................................................................33 Stratigraphie.............................................................................................................................................................33 2 Exploitation des traces numériques DONNÉES DISTANTES.............................................................................................................................................. 35 IDENTIFICATION DES SERVICES – DONNÉES DISTANTES........................................................................................... 35 MÉTHODES D’ACCÈS – DONNÉES DISTANTES........................................................................................................... 35 EXPLOITATION – DONNÉES DISTANTES.................................................................................................................... 35 INTRODUCTION – OBJETS CONNECTÉS.................................................................................................................... 36 UTILITÉ DANS L’ENQUÊTE – OBJETS CONNECTÉS..................................................................................................... 36 LOCALISATION DES DONNÉES D’INTÉRÊT – OBJETS CONNECTÉS.............................................................................. 36 PROCESSUS D’INVESTIGATION EN LIGNE................................................................................................................. 37 FONCTIONNEMENT D’INTERNET............................................................................................................................. 37 EFFET DE LA COMMUNICATION SUR LES TRACES..................................................................................................... 37 TRACES ET INFORMATIONS IDENTIFIANTES............................................................................................................. 38 SE PROTÉGER SUR INTERNET................................................................................................................................... 38 S’ÉQUIPER........................................................................................................................................................................38 SAUVEGARDE MANUELLE DES PAGES WEB + EXTRACTION DU CONTENU................................................................ 39 COPIE DU CODE HTML D’UNE PAGE WEB...............................................................................................................................39 CAPTURE D’ÉCRAN – OUTILS INTÉGRÉS AU NAVIGATEUR.............................................................................................................39 EXTRACTION DU CONTENU D’UNE PAGE HTML........................................................................................................................40 TYPES DE RECHERCHE..........................................................................................................................................................40 COMBINAISON DES TRACES – DANS LE PROCESSUS................................................................................................. 41 INTÉGRATION DANS LE PROCESSUS.........................................................................................................................................41 Objectifs : - Mesurer la diversité des traces numériques - Appréhender le potentiel des traces numériques - Être en mesure d’exploiter des traces numériques de différentes natures - Être en mesure de combiner des traces numériques - Être en mesure de présenter ses résultats - Se familiariser à l’exploitation de smartphones - Appréhender la notion de localisation - Comprendre comment les smartphones se localisent - Étudier quelques traces de localisation et localisantes d’un smartphone - Rechercher les traces de localisation et localisante sur un smartphone - Rappeler les enjeux de prélèvement d’objets numériques et les smartphones en particulier - Rappeler quelques méthodes dâcquisition d’objets numériques et des smartphones en particulier - Être en mesure : d’acquérir les données d’une carte SIM, d’initier l’acquisition d’un smartphone - Rappeler les étapes « examen » et « analyse » du processus forensique numérique - Réaliser l’environnement d’un smartphone - Appréhender les différences entre iOS et Android - Présenter la structure des réseaux de téléphonie mobile - Comprendre le principe de mesure de champs d’antennes - Entrevoir les possibilités d’enquête liées aux mesures de champs d’antennes - Confronter traces et mesures de champs d’antennes - Comprendre la nature des entités d’un réseau de téléphonie mobile et leurs relations - Comprendre les modes de production des traces sur le réseau - Évaluer les incertitudes, la complétude et les imprécisions - Exploiter les données pour produire des analyses spatiotemporelles - Situer l’analyse criminelle opérationnelle - Appréhender la méthode du traitement de l’info dans l’enquête 3 Exploitation des traces numériques - Appréhender les rôles de la visualisation lors de l’étape d’exploitation - Appliquer des formes d’analyse relationnelle pour répondre à des problèmes d’enquête - Comprendre le double sens du terme « analyser » - Introduire le concept de datation en SF - Approcher la notion de datation de traces numériques - Découvrir la notion de stratigraphie - Mettre en application ces notions - Appréhender la notion de données distantes - Mesurer la quantité + diversité des traces liées aux services distants - Introduire quelques notions d’exploitation de données distantes - Mettre en application le traitement de données distantes - Appréhender le concept d’objets connectés IoT - Mesurer le potentiel indiciaire des objets connectés - Introduire quelques notions d’exploitation d’objets connectés - Mettre en application le traitement de traces d’objets connectés - Comprendre la nature des traces internétiques - Se protéger : adopter une démarche d’observation adéquate - Sauvegarder manuellement des pages web - Extraire du contenu structuré des pages web - Appréhender la recherche des infos sur le web - Revoir le concept de combinaison de traces 4 Exploitation des traces numériques TRACES NUMÉRIQUES – BASES DE DONNÉES TRACES NUMÉRIQUES Trace = marque, signal ou objet, la trace est un signe apparent (pas toujours visible à l’œil nu), le vestige d’une présence ou d’une action à l’endroit de cette dernière Principe de Locard étendu au virtuel Grands principes qui restent vrais : - Échange de Locard - Confusion des traces (pollution, contamination) - Trace / empreinte (empreinte SF ≠ empreinte numérique) PROCESSUS DE PRISE EN COMPTE DES TRACES NUMÉRIQUES Différents modèles de prise en compte / processus des traces numériques PRÉLÈVEMENTS DANS LE PROCESSUS 5 Exploitation des traces numériques Survey = search, find, detect, recognize traces Preservation = protect traces from alteration, including isolating them from surrounding environment Éviter altération du support immédiate ou future des données o Manipulation adaptés = sans dégradation des traces o Papier kraft, risque ESD o Sac de Faraday, mode avion = risque de modification des données/d’effacement à distance o Enveloppe cartonnée = éviter manipulations à travers le conditionnement Traçabilité / non répudiation o Mise sous scellé judiciaire Objectif : identifier éléments susceptibles de contenir des données nécessaires à l’analyse et les prélever tout en préservant leur intégrité et en garantissant une traçabilité (continuité de la preuve) Identifier => démarche à définir Du général au particulier Outils (conditionnement) : sac à scellé, conditionnement ESD, sac de Faraday ACQUISITION DE DONNÉES DANS LE PROCESSUS Preservation = protect traces from alteration, including isolating them from surrounding environment Examination = observe traces and their characteristics, and make the findings available for analysis Objectif : acquérir les données nécessaires à l’analyse, tout en préservant leur intégrité et en garantissant une traçabilité (continuité de la preuve) Différentes données à acquérir : Données présentes sur des supports standards Données présentes sur des supports complexes Données d’environnement : heure du système, mots de passe, réglages, … Différents niveaux d’acquisition : Matériel vs numérique Physique (numérique) vs logique Outils utilisés : Pour la préservation : bloqueur matériel, bloqueur logiciel, copie intégrale (image = copie de l’intégralité des données dans un fichier ; clone = copie de l’intégralité des données dans un autre support de taille égale ou supérieure) Pour la traçabilité : empreinte numérique des fichiers (lors de la copie, vérification, pendant le processus) Moyens d’acquisition : Lecture de la puce de silicium, outils de synchronisation 6 Exploitation des traces numériques RECHERCHE DE TRACES DANS LE PROCESSUS Examination = observe traces and their characteristics, and make the finding available for analysis Documentation = record traces, along with their associated context, characteristics, and forensic activities Objectif : rechercher, sur les éléments prélevés, et relever les traces d’intérêts Tout doit être reproductible => bien documenter le rapport Rechercher : Les traces d’intérêt = en général, en lien avec la mission (étudier la mission) Relever : Extraire les éléments d’intérêt en vue de leur analyse : relever valeur, copier fichiers bruts Traçabilité / non répudiation : empreinte numérique si pertinent, traçabilité manuelle / automatique Activités : étude de la mission (fond et forme, préciser si besoin), recherche traces générales (OS), recherche traces liées à la mission, relever éléments d’intérêts, extraire les fichiers nécessaires à l’analyse, consigner opérations effectuées (formulaires de traçabilité, journaux des logiciels forensiques, scripts) Outils utilisés : Outils logiciels : pour systèmes de fichiers (The Sleuth Kit, X-Ways Forensic, UFED Physical Analyzer), pour fichiers systèmes / logiciels (Magnet AXIOM, outils spécialisés, développements) ANALYSE DE TRACES DANS LE PROCESSUS Analysis = process traces to obtain more information about their characteristics, and make the results available for integration, reconstruction, classification, evaluation or interpretation Integration = combine results of multiple analysis processes to obtain a more comprehensive understanding of traces, typically to support the forensic reconstruction process, as well as the interpretation 7 Exploitation des traces numériques Objectif : analyser les traces relevées et les combiner afin de les replacer dans leur contexte Analyser : Les valeurs relevées Les fichiers bruts extraits À partir d’une base de connaissance À partir d’une trace de référence : créer empreinte et inférer Combiner : Définir contexte des traces Mettre en valeur les traces d’intérêts Différents types d’analyse : Relationnelles Quantitatives Temporelles Questions importantes : étude de la mission, déterminer nature du système d’exploitation, déterminer utilisateurs du système (qui, quoi, quand), traces liées à la mission (logiciel, matériel) Outils utilisés : Analyst’s Notebook, Cellebrite Analytics, Tableau Software, log2timeline INTERPRÉTATION DANS LE PROCESSUS Interpretation = explain the meaning of forensic findings to help reach decisions in forensic investigations and to help establish general theories in forensic research. In courtroom contexts, forensic scientists performe valuations to help decision-makers understand and interpret the implications of the evaluation in the broader context of the case Objectif : présenter les résultats en les vulgarisant et expliquer leur signification, conclure en répondant à la demande Rapport : ® Fond = rapport technique, rapport investigatif, rapport évaluatif ® Forme = identity or the reporting agency, case identifier or submission number, case investigator, identity of the submitter, date of receipt, date of report, descriptive list of items submitted for examination, including serial number, make, and model, identity and signature of the examiner, brief description of steps taken during examination, such as string searches, graphics image searches, and recovering erased files, results / conclusions BASES DE DONNÉES GÉNÉRALITÉS Collection d’infos structurées, impliquant généralement des relations entre les données qui y sont stockées Données = organisées en tables, composées de champs + enregistrements Possibles relations spécifiques entre les tables (lier 2 tables) Permettent de gérer des données et poser des questions sur les données 8 Exploitation des traces numériques REQUÊTES Langage SQL (Structured Query Language) = conçu pour définir + manipuler les données contenues dans un système de gestion de base de données relationnelle Définition de données = création d’une table : CREATE TABLE (« champs » valeur du champ) Manipulation de données = insertion enregistrement dans une table : INSERT INTO Recherche de données : SELECT / SELECT DISTINCT (suppression doublon) Joindre issues de plusieurs tables : JOIN ON SQLite = conçu comme format de base de données open source gratuit, format de base de données le plus déployé au monde, très populaire, trouvé sur la plupart des appareils/systèmes (IOS, Android, Windows 10, macOS, navigateurs internet, messagerie instantanée, télévisions, Box TV, systèmes multimédia automobiles Fichiers de journalisation (wal, shm) => vont dégrader la base de données 9 Exploitation des traces numériques LE TÉLÉPHONE ET SES TECHNOLOGIES LE TÉLÉPHONE ET SES TECHNOLOGIES QU’EST-CE QU’UN TÉLÉPHONE MOBILE ? QUELLES UTILISATIONS ? Initialement équipement permettant de téléphoner (communication commutée) en mobilité (sans fil) Importante évolution en 30 ans grâce à l’évolution des technologies (xème Génération) ® Années 80 : 1G (réseau analogiques émetteur grande puissance) Pour appels ® Années 90 : 2G (GSM, réseau cellulaire) N’existe plus en CH aujourd’hui Pour appels + SMS ® Années 2000 : 2,5G (GPRS) 1ère connectivité data Pour appels + SMS + MMS + sites légers ® Années 2005 : 3G (UMTS) Pour appels + SMS + MMS + sites web + mails + messageries instantanées + réseaux sociaux ® Années 2010 : 4G (LTE) Pour appels + SMS + MMS + sites web + mails + messageries instantanées + réseaux sociaux + vidéo ® Années 2020 : 5G Plus utilisée aujourd’hui comme 4G améliorée, pas encore vraiment la vraie 5G utilisée Pour objets connectés QUELS ÉQUIPEMENTS ? Marques en constante évolution (sur une période de 20 ans) 2000 = plutôt Nokia qui dominait le marché Avant 2007 = Apple pas encore sur le marché Traces = évoluent aussi rapidement EN QUOI CONSISTE UN SMARTPHONE ? « Ordinateur » communiquant avec des capteurs + actionneurs (faire des actions) LE SMARTPHONE ET L’ENQUÊTE QUELS TYPES D’INVESTIGATION ? En présence de téléphone : ® Exploitation interne : besoin de savoir modèle pour analyser ® Connaître utilisation sur les différents réseaux mobiles : demande opérateurs, SIM Même sans avoir le téléphone, on peut demander à l’opérateur si le téléphone était présent En l’absence de téléphone : ® Savoir si suspect a un/plusieurs téléphones ® À partir d’un numéro de téléphone, tirer pleins d’autres infos 10 Exploitation des traces numériques QUELS IDENTIFIANTS UTILISER POUR RECHERCHER LES TRACES LIÉES À UTILISATION DE TÉLÉPHONIE MOBILE ? ÉLÉMENTS IMPORTANTS CARTE SIM : IMSI : identifiant de l’abonné (International Mobile Subscriber Identity), numéro de client interne de l’opérateur 14 – 15 chiffres ICCID : identifiant de la carte SIM (Integrated Circuit Card Identifier) 19 – 20 chiffres ® « Numéro de série » de la carte SIM ® Unique à une carte SIM MSISDN : numéro de téléphone (Mobile Station ISDN Number) 15 chiffres max ® Dans la carte SIM ® Protégé par code PIN ® Terme plus technique pour parler du numéro de téléphone ® Pas forcément unique à une carte SIM Dans le cas ou plusieurs téléphones pour une carte SIM TELEPHONE : IMEI : identifiant de l’équipement mobile (International Mobile Equipment Identity) 14 – 15 chiffres ® Pour chaque module de communication ® Véhiculé sur le réseau Modèle : série commerciale proposant les mêmes caractéristiques techniques INVESTIGATIONS TECHNIQUES MSISDN : numéro de téléphone ® Déterminer opérateur Avec demandes policières ou sources ouvertes 79/75 = Swisscom ; 76 = Sunrise + fournisseurs Aldie Suisse Mobile, ERA, Lebara Mobile, Ortel Mobile, QUickline Mobile, TakeEasy Mobile, TalkTalk Mobile + Yallo ; 77 = Lycamobile, M-Budget Mobile, Mucho, ok -mobile + Wingo ; 78 = Salt Mobile (Orange) + fournisseurs CoopMobile, UPC ; 79 = Swisscom ICCID : identifiant carte SIM ® Déterminer opérateur ® Accessible en lisant la carte SIM (sans PIN) ou support (dans les acquisitions de smartphone) IMSI : identifiant de l’abonné ® Déterminer opérateur ® Accessible en lisant carte SIM (avec PIN) ou dans acquisitions de smartphone 11 Exploitation des traces numériques Numéro de modèle de téléphone : ® Accessible sur le téléphone ou à partir de IMSI ® Pour connaitre les caractéristiques du téléphone : 1 ou 2 SIM ?, autres particulières ® À l’intérieur du téléphone (dans les paramètres) = retrouver numéros de FCC ID (case de données en USA, fiches techniques à disposition des téléphones avant qu’ils soient mis sur le marché, intéressant pour savoir à quoi ressemble le téléphone recherché, à quoi ressemble l’intérieur du téléphone avant de l’avoir en main) IMEI : identifiant de l’équipement mobile ® Accessible sur une étiquette, gravé, propriété, appeler *#06# ® 15 chiffres : 8 chiffres TAC (=> retrouver le modèle du téléphone), 6 chiffres de numéro de série, 1 chiffre de contrôle ® Normé, vendeur qui attribue les numéros ® Circule dans le réseau (données publiques ou semi-publiques) ® ! Donnée sensible => ne jamais entrer le chiffre complet pour faire la recherche COMMENT EXPLOITER IDENTIFIANTS DANS UNE ENQUÊTE ? – INVESTIGATION TECHNIQUE Nombreux éléments à exploiter avec ou sans téléphone directement en possession Requêtes possibles aux opérateurs pour avoir plus d’informations Organismes centraliseurs, Service Surveillance de la correspondance par poste et télécommunication Croisements de données Infos possibles à investiguer : - Tous les SIMs (IMSI) associées à un équipement (IMEI) - Historique des communications d’une ligne (IMSI ou MSISDN) - Historique de localisation d’une ligne (IMSI ou MSISDN) - Portabilité d’un numéro (MSISDN) - Surveillance active d’une ligne d’un abonné en itinérance (IMSI ou MSISDN) LIENS PRATIQUES POUR L’INVESTIGATION DES IDENTIFIANTS https://www.alao.ch/fr/blogs/indicatif-regional-suisse/ Ø Chercher la liste des NDC (opérateur qui correspondent au numéro de téléphone) https://www.gsmarena.com/samsung_galaxy_s9+-8967.php Ø Nombreux infos (numéro de modèle, combien de carte SIM) 12 Exploitation des traces numériques PRÉLÈVEMENT ET ACQUISITION PRÉLÈVEMENT PRÉLÈVEMENT – DANS LE PROCESSUS PRÉLÈVEMENTS – POURQUOI ? Éviter que les traces numériques ne disparaissent + permettre que les traces puissent être analysées Évolution du champ d’investigation : Confusion des traces : Bruit de fond = traces antérieures à l’action Traces liées à l’action Contaminations = traces postérieures à l’action Pollutions = traces postérieures à la prise en compte de la scène Faites par les investigateurs qui interviennent sur les lieux ® Les seules qu’on peut tenter de limiter ð Traces numériques moins sujettes à la confusion que les traces traditionnelles PRÉLÈVEMENTS – COMMENT ? Décision d’intervention => nécessite de prendre en compte différentes dimensions Savoir comment faire avec le support : laisser sur place, emporter, analyser sur place ® Décider d’un protocole d’intervention Protocole d’intervention comprend : § Gel des lieux : figer la scène telle qu’elle est au moment de l’intervention des experts Gel physique pas simple => gel numérique encore beaucoup moins évident § Démarche de prise en compte de la scène : du général au particulier ? numérique avant ? Dépend du cas d’usage Identifier : démarche à définir ® Généralement du général au particulier 13 Exploitation des traces numériques Prélèvement : éviter altération immédiate ou future des données ® D’une fois qu’on a identifié les objets numériques sur les lieux ® Pertinence du prélèvement ? ® Endommagement du support peut entrainer des dégradations Documentation : traçabilité + non répudiation ® Mise sous scellé ® Pouvoir prouver ce qui a été fait, bien fait, nommer correctement les fichiers prélevés PRÉLÈVEMENTS – IDENTIFIER Démarche générale de prise en compte : - Du général au particulier - Cheminement - Recherche des traces de toute nature Nécessite de connaitre supports pouvant contenir des données numériques Pertinence du support ? - Voir le potentiel des objets connectés pour ne pas rater un grand nombre de supports possible - Étude de la mission / contexte - Anticipation de la suite des investigation / analyse (recherche PIN / mot de passe) PRÉLÈVEMENTS – PRÉLEVER Éviter altération immédiate ou future des données Manipulation adaptée : ® Éviter pollution immédiate : ne pas dégrader les traces d’autres natures ® Éviter pollution future : se prémunir contre de nouvelles traces ou disparition des traces prélevées Conditionnement adapté : ® Éviter pollution : se prémunir des risques de modification Manipulation volontaire ou non (consulter le téléphone dans le sac de scellé => mettre dans un sac en papier kraft pour empêcher l’accès) Protéger des décharges électrostatiques (peuvent endommager les appareils électronique) => dans conditionnement ESD Modification à distance => sac de Faraday ou feuilles alu (isoler l’appareil du réseau, effacement, localisation, nouvelles données), mode avion (plus si facile qu’avant, le mode avion n’est plus toujours accessible, il faut déverrouiller le téléphone pour l’activer), s’assurer que l’appareil ne s’éteigne pas (brancher à une batterie) PRÉLÈVEMENTS – DOCUMENTER Initier + maintenir une chaine de confiance dans les éléments prélevés ð Non répudiation Moyens : Traçabilité : des actions réalisées Mise sous scellé judiciaire : en fonction du cadre légal Empreintes numériques : lors de l’acquisition des données PRÉLÈVEMENTS – SMARTPHONE Prélèvement d’un smartphone dépend de : Modèle Mission État du téléphone : allumé – éteint, verrouillé, batterie Principes applicables : ® Documenter manipulations + vérification de l’heure du téléphone Savoir si système a décalage ou fuseau horaire différent pour ne pas fausser les analyses ® Procédure : 1. Maintenir téléphone allumé 2. Isoler téléphone du réseau 3. Maintenant téléphone alimenté 14 Exploitation des traces numériques ® Maintenir le processus jusqu’à son terme : précautions à maintenir jusqu’au bout ACQUISITION ACQUISITION DE DONNÉES – DANS LE PROCESSUS Nécessaire pour analyse ® En préservant intégrité + garantir traçabilité = continuité de la preuve ® Identifier supports de données liés au smartphone Acquisitions sur : § Données volatiles = données en mémoire vive § Données non volatiles = données présentes sur un support de stockage ACQUISITION DES DONNÉES – DATE ET HEURE DU SYSTÈME Documenter + acquérir heure du système ® Vérifier décalage possible du téléphone ® Vérifier fuseau horaire différent du téléphone ð Ne pas fausser les analyses ACQUISITION DES DONNÉES – NON VOLATILES Sur support de stockage, ex. Micro SD Faire image forensique/disque = copie de l’intégralité des données du support d’origine dans un ou plusieurs fichiers ® Principaux formats de fichiers : Raw files (.raw,.001,.002,.dd,.img,.dmg), Expert Witness Format ou Encase Evidence File (E01, E02), AFF4 Données accessibles sur carte SIM : ® Sans PIN => ICCID ® Avec PIN => IMSI, répertoire (souvent vide), journaux d’appels (souvent vides) ACQUISITION DE DONNÉES TÉLÉPHONIQUES Différentes méthodes en fonction du modèle + outils à disposition + compétences de l’opérateur + connaissance mot de passe des appareils Données disponibles ® Manuellement ® Sauvegarde Difficulté ® Agent ® Recovery ® Bootlader ® JTAG, SPI = protocoles d’accès aux composants ® Débrasage Différents niveaux d’acquisition : 15 Exploitation des traces numériques Choix type d’extraction en fonction du modèle / mission (données recherchées) / contraintes opérationnelles : ACQUISITION MANUELLE Seule solution avant, mais mtn en dernier recours quand plus d’autres solutions ou pour vérifier d’autres acquisitions Inconvénients : Très chronophage Seulement accès limité aux infos présentes dans téléphone Traçabilité requiert enregistrement Avantages : Vérification de données Accès à des infos non décodées (application non supportée) ACQUISITION PAR SAUVEGARDE Demander au téléphone de faire une sauvegarde / synchronisation Solutions propriétaires : backup Iphone, Android Backup Inconvénients : Nécessite accès au téléphone De moins en moins de données disponibles avec cette technique Avantages : Fonctionne le plus souvent avec les données standards : photos, appels, messages ACQUISITION PAR AGENT Injecter / utiliser un agent dans le téléphone afin qu’il transmette des données Solutions communautaires : adb (outil Android), applications de backup Solutions propriétaires : agent Cellebrite (certaines basées sur solutions communautaires) Inconvénients : Nécessite accès au téléphone Avantages : Fonctionne le plus souvent avec données standards : photos, appels, messages ACQUISITION PAR RECOVERY Détourner le démarrage du téléphone vers un système de réparation (recovery) contrôlé Solutions communautaires : TWRP, ClockWorkMod CWM Solutions propriétaires : recovery Cellebrite (certaines basées sur solutions communautaires) Inconvénients : Modification (mineure) des données du téléphone Peu adapté aux téléphones chiffrés 16 Exploitation des traces numériques Avantages : Solution simple + complète en l’absence de chiffrement ACQUISITION PAR BOOTLOADER Contourner démarrage du téléphone vers un système contrôlé Solutions communautaires : checksum8 (contournement) Solutions propriétaires : Odin (Samsung), Cellebrite (certaines basées sur solutions communautaires / commerciales) Inconvénients : Nécessite initialement d’importants moyens de rétro-ingénierie Avantages : Possible de contourner les mécanismes de chiffrement (présence de mot de passe ou hack de l’enclave de sécurité) ACQUISITION MATÉRIELLE Lecture matérielle Communication par protocole de débordage (JTAG) Lecture via connexion directe à la mémoire (SPI) Débrasage / lecture Inconvénients : Peu utile si les données sont chiffrées Avantages : Permet d’avoir accès à l’ensemble des données Utile pour les téléphones endommagés (réparation) Utile pour contourner certaines sécurités Pas de solution comme les bloqueurs en écriture pour les smartphones, les activités faites avec un téléphone vont modifier quand même le téléphone PRÉSERVATION DE L’INTÉGRITÉ Acquérir les données nécessaires à l’analyse, tout en préservant leur intégrité et en garantissant une traçabilité = continuité de la preuve Acquisition des données = phase durant laquelle le risque d’altérer les données originales plus élevé Utilisation de moyens de blocage en écriture (quand possible) Micro SD = dispositif de blocage en écriture ® Bloqueurs matériels : boitiers agissant comme une barrière physique entre le support de stockage et l’ordi sur lequel il est connecté Problématiques lors de l’extraction des données d’un smartphone : § Modification quasiment obligatoire des données du téléphone § Quelques fois peu de maitrise /connaissance des opérations effectuées (à éviter) § Choix nécessaire entre risque et accès aux données (ex. débrasage) TRAÇABILITÉ Acquérir les données nécessaires à l’analyse, tout en préservant leur intégrité et en garantissant une traçabilité = continuité de la preuve Chain of custody Empreinte numérique des supports/fichiers ® Calcul du hash du support original pendant la copie ® Vérification du hash du support de destination/fichier image + tout au long du processus ® Pas de standard sur l’utilisation d’empreintes numériques en acquisition de téléphonie Documenter opérations effectuées ® Matériels et logiciels utilisés ® Journal – cahier de laboratoire 17 Exploitation des traces numériques DONNÉES DE SMARTPHONES EXAMEN DES TRACES NUMÉRIQUES DANS LE PROCESSUS Examination = observe traces and their characteristics, and make the findinfs available for analysis Documentation = record traces, along with their associated context, characteristics, and forensic activities Objectif : rechercher sur les éléments prélevés + relever traces d’intérêts ® Rechercher => traces d’intérêts (générales + celles en lien avec la mission, nécessite d’étudier la mission) ® Relever => extraire éléments d’intérêts pour analyse (valeurs, copier les fichiers bruts), traçabilité et non répudiation (empreinte numérique si pertinent, traçabilité manuelle ou automatique Activités de l’examen : ® Étude de la mission : fond + forme, préciser si nécessaire ® Vérification de l’intégrité du support numérique ® Recherche des traces générales (OS, système d’exploitation, …) ® Recherche des traces liées à la mission ® Relever les éléments d’intérêt ® Extraire les fichiers nécessaires à l’analyse ® Consigner opérations effectuées : formulaire de traçabilité, journaux des logiciels forensiques, scripts Stratégie analytique : Étude de la demande Prise en compte des supports à analyser Analyse des supports : générale, en lien avec la demande EXAMEN ET ANALYSE DE SMARTPHONE MÉTHODOLOGIE ® Étude de la demande ® Déterminer la nature des systèmes d’exploitation ® Déterminer les utilisateurs du système / des applications : qui ? quoi ? quand ? ® Traces liées à la demande : logiciel ? matériel ? Analyser : Les valeurs relevées Les fichiers bruts extraits À partir d’une base de connaissance (cheat sheet) À partir d’une trace de référence : créer empreinte et inférer Combiner : Définir un contexte des traces Mettre en valeur les traces d’intérêt 18 Exploitation des traces numériques OUTILS Traitement automatisé : utilisation d’outils réalisant un examen automatisé du support ENVIRONNEMENT Modèle OS Version Date d’installation IMEI, ICCID, … TimeZone Utilisateurs Applications installées ANALYSE D’UN SMARTPHONE Étude de la demande : identification des fichiers/applications en lien avec la demande ® Recherche des fichiers présents sur le support de stockage : par location connue (données d’applications), par type (extension/signature), par taille Données communes à l’analyse d’ordinateurs : ® Applications, historique d’activité, journaux d’activité, répertoire « Téléchargement », … Données spécifiques à l’analyse de smartphone : ® SMS/MMS, appels, logs, ligne de temps (timeline), localisation, … Timeline = utilisé pour filtrer les traces dans le temps Recherches d’éléments : Ø SMS/MMS : communications – images Android : USERDATA:/Root/data/com.android.providers.telephony/databases/mmssms.db iOS : …/var/mobile/Library/SMS/sms.db Cellebrite : Analyzed data / Messages / Chats / Native messages Ø Appels : traces d’activité, pas de données de contenu Android : USERDATA:/Root/data/com.android.providers.contacts/databases/contact2.db – USERDATA:/Root/data/com.samsung.com.android.providers.contacts/databases/callog.db iOS : /var/mobile/Library/CallHistoryDB/CallHistory.storedata Cellabrite : Analyzed data / Calls / Call log Ø Logs : traces d’activité pouvant également contenur du contenu => au cas par cas Android : USERDATA:/Root/log/ iOS : logs unifiés Ø Timeline Ø Applications : traces d’activité liées à l’installation et l’utilisation d’applications Android : USERDATA:/Root/data/… nom du package (installé à partir d’un APK) iOS : /private/var/mobile/Containers/Data/Application/ – /private/var/mobile/Containers/Shared/AppGroup/ Cellebrite : décodage plus ou moins intégré 19 Exploitation des traces numériques SMARTPHONES ET TRACES DE LOCALISATION LOCALISATION Définition : ® Action de déterminer précisément la position d’une personne ou d’une chose ® Action de localiser, de situer ; fait d’être localisé ou d’être situé dans l’espace ou le temps Différents référentiels / adressages possibles : différents degrés de précision Référentiel local Ex. UNIL, salle Génopode C Référentiel adressage bâtiments Ex. rez-de-chaussée du bâtiment situé « route du Blévallaire 1015 Ecublens, CH » Référentiel « what3words » : utilisation de 3 mots pour décrire une position précise Ex. décalons.aligoté.antivol Référentiel « Plus Codes » Ex. GH9F+RPQ Ecublens, CH Référentiel WGS84 : utilisation des coordonnées latitude + longitude Ex. 46.51957, 6.57429 – 46°31’10.444’’N 6°34’27.449’’E Référentiel MN/LV95 : mesuration nationale, Landesvermessung 1995 (référentiel CH militaire) Ex. 2'533'673.1, 1'152'395.9 Référentiel visuel commun, multi-référentiels : utilisation d’outils visuels (QR-code) Référentiel personnel : propre à la personne qui émet sa position Autres : Postal ð Nécessaire de reconnaitre et savoir utiliser les différents référentiels pour interprétation d’une position Autres localisations : ® Localisation géographique avec info temporelle TRACES LIÉES À LA LOCALISATION DANS LES SMARTPHONES LOCALISATION DES TRACES DE LOCALISATION Exploitation des traces par la combinaison des traces entre elles Différentes natures de traces liées à la localisation : Ø Traces de localisation Objectif = localiser § Où : traces système (réponse à des services de localisation, liées au fonctionnement du système), applications (maps, messages), log, … (traces liées au systèmes de positionnement du smartphone) Détectées par Cellebrite pour la plupart (suivant fonctionnement du téléphone) Ø Traces ayant un potentiel localisant : autres traces véhiculant une info géographique Objectif premier ≠ localiser § Où : photos (métadonnées), conversation, … (à peu près partout) SOURCES DE LA LOCALISATION PRÉSENTE DANS LES TRACES Différentes localisations du smartphone possibles, avec différents degrés de précision : Ø GNSS : basée sur signaux satellite ® Localisation précise ® Utilisation de satellite pas géostationnaire => envoi de signaux avec position + temps avec lequel message est envoyé => calcul du temps de réception par le téléphone 20 Exploitation des traces numériques ® Réception d’au moins 4 satellites ® 4 technologies différentes : GPS (USA), GLONASS (R), Galileo (EU), BeiDou-2 (CH) Ø WiFi : assez précise mais pas parfaite ® Interrogation d’une banque de données, améliorée par les utilisateurs eux-mêmes Ø Antenne mobile : basée sur des signaux des réseaux mobiles = téléphone mobile ® Localisation plus large, mais précision dépend du type d’antenne (couverture plus ou moins grande) ð Précision aussi en fonction de la densité des réseaux mobiles : campagne moins précis (parce que moins d’antenne, les antennes ont des plus grande couvertures), ville plus précis (parce que plus d’antenne, moins besoin d’avoir chacune une grande couverture) ® Système Android => système de localisation de Google ® Système Apple => ses propres services de localisation ® Téléphone capte cellule du réseau => interroge base de données pour savoir où il se situe en captant telle antenne ® Mise à jour des BD => infos qui remontent des téléphones (généralement la nuit) ® Possible systèmes temporaires ® Identification des cellules de téléphonie mobiles => fonctionnement en nid d’abeille Ø Bluetooth : portée plus faible que WiFi 21 Exploitation des traces numériques COUVERTURE DES RÉSEAUX MOBILES DE TÉLÉPHONIE MOBILE ET TRACES DE LOCALISATION COUVERTURE DES RÉSEAUX DE TÉLÉPHONIE MOBILE RÉSEAUX MOBILES TYPES DE CELLULES Cellule = antenne physique orientée sur un système (souvent pas à 360°) En fonction de densité de population => mettre plus ou moins d’antennes pour pouvoir avec plus d’abonnés Différents types de cellules dans le réseau mobile : Antennes liées au terrain : autoroute Antennes bidirectionnelles (orientées dans les 2 sens de la route) Femtocell : à l’intérieur d’un ménage/bâtiment si mauvais accès internet avec réseau du fournisseur Accès que pour les personnes du ménage Couverture limitée Même idée qu’un home spot wifi mais pour la téléphonie mobile Macrocell : antenne ou cellule parapluie, couverture large + redondante Relais repris par une grosse antenne Pas beaucoup de clients Pour éviter les zones blanches où très peu de couverture Microcell : souvent utilisées dans les centres ville Endroit avec volume de trafic dense et grande densité de construction qui complique la réalisation de la couverture du réseau Fréquent changement de connexion aux différentes antennes pour le téléphone (mouvement ou statique) Couverture d’une antenne plus ou moins grande = portée de l’antenne plus ou moins grande ® Précision de la localisation dépend de la couverture Petite couverture permet de mieux localiser (plus précisément) le téléphone RÉSEAUX MAILLÉS Réseaux en nid d’abeille ® Téléphone rarement sous la portée s’une seule antenne, toujours d’autres cellules voisines à proximité ® Avec grande densité de population => cellules nombreuses et de petites dimensions Capacité d’accueillir des connexions de téléphones par cellule limitée 22 Exploitation des traces numériques ÉCHANGES STATIONS – TERMINAUX Échanges importants entre téléphone et antennes Création de traces chez l’opérateur du seul fait d’être connecté à l’antenne ® Traces pouvant être exploitées à des fins de localisations ÉVOLUTION DU RÉSEAUX / DU SIGNAL Possibilité de connexion entre plusieurs antennes pour un téléphone (la plupart du temps) ® Pas toujours la même connexion à la même antenne ® Différents jours, différentes heures Réseaux pas figé => évolution selon les conditions : Cell breathing : possible changement de la portée de l’antenne (couverture) Antenne avec portée limitée réduite sur une zone particulière lors d’évènements où forte densité de téléphones au même endroit ð Beaucoup de trafic = portée limitée ð Peu de trafic = augmentation de la portée/couverture Réseau temporaire : création d’antennes temporaires lors de certains évènements avec forte densité de téléphone pour éviter de surcharger les réseaux ordinaires Problème de localisation réelle de l’antenne => antenne avec un même identifiant change de localisation (antenne saisonnière qui change de place selon la saison et la forte demande) Conditions météorologiques : diffusion différente des signaux électrostatiques selon le temps Influence de la formation du paysage Surcharge réseau : pénalité sur une antenne si l’antenne a trop de téléphones connectés Téléphones choisissent antenne avec meilleure qualité Demande virtuelle de l’antenne pour avoir une puissance virtuelle moins grande (tromper les téléphones pour les envoyer chercher une autre antenne) SÉLECTION D’ANTENNES Téléphones choisissent antennes avec meilleure qualité ð Cellules avec la plus basse fréquence (plus petit chiffre) CHAMPS D’ANTENNES Les ondes émises par antennes ne sont pas planes et constantes => elles diminuent plus on s’éloigne de l’antenne 23 Exploitation des traces numériques MESURES DE CHAMPS D’ANTENNES QUOI ? Mesurer couverture réseaux (cellules / puissance) en un / plusieurs points ð Liste des cellules couvrant les lieux de mesure au moment de la mesure ® Donner toutes les cellules qui couvrent une certaine zone ou savoir quelle zone couvre une cellule POURQUOI ? ð Savoir quels sont les téléphones connectés à un certain endroit Recherche des suspects ® Rechercher des équipements mobiles sous couverture : demande de tous les équipements sous couverture, recherche d’équipements présents sur les différents sites o Risque souvent de donner beaucoup de données parce que beaucoup de monde sous couverture o Possible de croiser les équipements qui se retrouvaient à tous les endroits d’intérêts o Risque de FP ou FN parce que grande criminalité sait qu’elle ne doit pas laisser téléphone allumé Vérifier alibi de suspects ® Croisement CTR (contrôle téléphoniques rétroactif) + mesures de champs d’antennes (sur les lieux) o CTR = données fournies par l’opérateur qui indique sous quelle couverture était le client à moment t COMMENT ? Avec scannes, modems ou téléphones à l’écoute des réseaux COMBIEN – COÛT ? Vérification d’alibi : Recherche d’équipements : ® Beaucoup moins cher + très utilisé en EU CHIFFRES – USAGE CH 2019 : 24 Exploitation des traces numériques 2020 : 2021 : 2022 : 25 Exploitation des traces numériques RÉSEAUX DE TÉLÉPHONIE MOBILE ET VISUALISATION SPATIOTEMPORELLE Traces issues du fonctionnement du réseau, prises par les opérateurs et non par la police LES ENTITÉS DE LA TÉLÉPHONIE Chaque dispositif a un identifiant ICCID = pas visible dans les traces fournies par les opérateurs IMEI = visible dans les traces fournies par les opérateurs Possible dissociation entre SIM et MSISDN Numéros qui permettent d’extraire de l’info supplémentaire LES ENTITÉS DE LA TÉLÉPHONIE : ANTENNE Antenne relais = sur laquelle sont placées les cellules ® Identifiants pour chacune des cellules sur les relais, contrôlé par un gros serveur Cell ID = possible d’extraire des infos utiles, pour la localisation ou infos localisantes ® Identifiant d’une cellule = un par cellule Niveau assez élevé d’incertitude => couvrent des régions plus ou moins grandes Field test = permet de pouvoir récupérer l’info sur quelle antenne le téléphone est connecté en temps réel LES TYPES D’ANTENNES Opérateur enregistre seulement la position de la cellule et pas du téléphone ® Problème de savoir où était le téléphone par rapport à la cellule ® Trace qui donne la position ≠ jamais position exacte du téléphone 26 Exploitation des traces numériques Femto cell : antenne transportable avec petite couverture ® Aucune idée de la position réelle de l’antenne = localisation incertaine (adresse de l’abonné) Micro cell : 50 – 100 m de portée ® En principe fixe ® Couverture relativement faible Antenne à secteurs ou directionnelles : de quelques kilomètres à 20 – 40 km de portée ® Max 200 km vers les plans d’eau (surfaces qui conduisent mieux les ondes) ® Fixe PRÉCISION DE LA LOCALISATION GÉOGRAPHIQUE Assez précis dans l’ensemble Mais possible imprécisions relativement grandes ® Téléphone peut capter une antenne qui se trouve très loin (ex. de l’autre côté du lac) VALIDITÉ DE LA LOCALISATION GÉOGRAPHIQUE Cellules particulières utilisées dans les tunnels ou métro ® Toute la longueur du tunnel = long câble (obtention d’une localisation pas du tout précise, ex. Lausanne-Flon) ® Antennes directionnelles aux entrées des tunnels Important de savoir en termes d’interprétation de la trace ATTRIBUT : ADRESSE DE LA LOCALISATION / COORDONNÉES Possible d’avoir cell ID mais on ne peut pas localiser la cellule sans l’opérateur ® Aucune indication de la localisation réelle de la cellule dans les traces Bases de données référençant toutes les antennes => mais données privées ® Opérateur peut communiquer l’info Banques de données publiques = relativement peu fiables ATTRIBUT : AZIMUT (BEAM) Azimut = angle dans le plan horizontal entre la direction d’un objet et une direction de référence ® Référence = nord géographique ou magnétique ® Mesuré depuis le nord en degré de 0° à 360° dans le sens des aiguilles de la montre Important pour la recherche de personnes disparues pour orienter les recherches 27 Exploitation des traces numériques RELATION FONDAMENTALE : COMMUNICATION Entités liées par des transactions dirigées ® Avant => réseau analogique (Circuit Switching) ® Mtn = Packet Switching Communications de 2 types (modèles relationnels) : TEL : données de communications standards (téléphonie, SMS ; MMS) ® Toutes infos qui proviennent des traces générées par différents dispositifs NA (network access) : données issues de l’accès au réseau internet (data) IMPACTS SUR L’ANAYSE Beaucoup plus de traces avec systèmes NA => parce que plus d’enregistrements 28 Exploitation des traces numériques COMPLÉTUDE DES DONNÉES Nouveau type de trace = trace de signalisation ® À chaque fois que l’opérateur veut savoir où se trouve le téléphone, interroge téléphone ® À chaque fois que le téléphone veut savoir où se trouve la cellule ð Des milliers de traces générées en lien avec le comportement du téléphone (plus ou moins actif) ð Problème = on ne sait pas si la trace est réellement liée à une activité du téléphone Ex. si le téléphone est coupé, le réseau continue de chercher ÉVALUER LES DONNÉES SENSIBILITÉ : MÉTHODE DE COLLECTE Écoute téléphonique = données en temps réel CTR = données conservées de facturation 6 mois en CH QUALITÉ – PRODUCTION DES DONNÉES Traces générées par un système ultra complexe => pleins de services différents ® Liés à l’historique temporelle de l’infrastructure du système énorme ® Tout génère de l’infrastructure différentes : serveur et logiciel Infrastructures qui peuvent crasher, avoir des erreurs liées à des problèmes réels techniques => enjeux pas maitrisés qui doivent être gardés à l’esprit ® 1ère hypothèse à considérer : problèmes dans les données (s’assurer que les données soient correctes avant de travailler dessus) 29 Exploitation des traces numériques RECONSTRUCTION D’ACTIVITÉ PAR LA VISUALISATION RELATIONNELLE RENSEIGNEMENT ET ANALYSE CRIMINELLE Distinction complexe entre renseignement + analyse criminelle Renseignement => modèle qui repose sur pleins de formulation différentes, décomposition plus ou moins en détails, pas d’accord plus ou moins universel pour essayer de décomposer les étapes 4 – 5 sous-systèmes au renseignement : Planning and direction Collection Processing Production => optionnel Dissemination Cycle du renseignement = veille opérationnelle => pour planifier le traitement du problème + collecter les traces Intention = processer/traiter les données pour produire du renseignement qui va être utile dans un objectif d’action ® Distinction entre renseignement + connaissance DIFFÉRENTES FONCTIONS Décideur = planification + direction Collecteur = collecte ® Policier, criminologue qui fait des sondages, gendarmes qui font des contrôles de surveillance, toutes les personnes qui collectent de l’info/des données Analyste = traitement + production ® Exploiter les infos extraites des données pour fournir du renseignement opportun = en temps utile ® Ex. policier Europol pour traiter les données qui lui sont transmises, pratiquement jamais sur le terrain ANALYSE CRIMINELLE Travail analyste criminel = orienter l’action de sécurité par une approche dont la responsabilité générale consiste à intégrer les données et à exploiter les infos pour élaborer des renseignements opportuns sur des menaces et incidents pesant sur la sécurité LA MÉTHODOLOGIE DE L’ANALYSE CRIMINELLE 1. Préparer l’analyse ® Spécifier le problème et les connaissances ® Formaliser les tâches d’analyse ® Choisir les technologies adéquates 2. Organiser le recueil ® Authentifier et reconnaitre l’origine des données ® Évaluer les données ® Sécuriser les données 3. Intégrer les données ® Modéliser le domaine ® Traiter les données ® Transformer les modèles d’analyse 4. Exploiter les infos ® Décomposer les questions ® Détecter les relations ® Détecter les anomalies ð Tirer parti de l’info pour reconstruire le problème 30 Exploitation des traces numériques 5. Élaborer le renseignement ® Analyse de cas ® Analyse de répétitions criminelles ® Analyse de systèmes de délinquance 6. Synthétiser une conclusion ® Répondre aux questions ® Proposer des recommandations ® Réviser les résultats et réexploiter les solutions Application du modèle tout en continuant à communiquer => renseignement fait en permanence, boucle, communication en continu POURQUOI LA VISUALISATION ? But : obtenir une représentation adéquate/un modèle des infos parfois plus importante que la quantité d’infos pour prendre des décisions ® Visualiser l’info pour faciliter la prise de décision ® Évaluer plus efficacement les options en fonction des dimensions essentielles du problème Détecter facilement les relations + anomalies Exploitation de la visualisation => prendre des décisions, évaluer des choix + hypothèses Gros enjeux => choisir quelle est la méthode de visualisation utile + efficace pour régler le problème LES DIMENSIONS D’ANALYSE Décomposer la question pour choisir un modèle pour d’analyser les variabilités et de détecter des relations + anomalies ® Vers quel type de méthode se tourner en fonction du type de la question => chronologie ? cycle dans les données ? temporalité selon différentes perspectives ? Notion de déplacement => combinaison de temporalité + spatialité EXEMPLES DE SITUATIONS RÉCURRENTES ET FORMES CLASSIQUES DE VISUALISATION Entités principales de l’analyse = les personnes Schéma de réseaux criminels ® Pour chercher à reconstruire des séries ® Reconstruction des réseaux criminels ® Pour la délinquance sérielle ® Pour rechercher une entité fondamentale (avec les relations entre les gens) ® Représenter la nature des relations de manière plus qualitative ® Mieux visualiser les personnes centrales avec des rôles importants ® Mettre en évidence les problèmes récurrents + modes opératoires récurrents ® Chercher à reconstruire => personnes + relations entre les personnes Schéma de séries Schéma de cas 31 Exploitation des traces numériques Schéma chronologique de cas ® Pour reconstruire le déroulé des faits ® Avec des lignes de temps ® Chercher des anachronismes + incohérences Schéma de transactions ® Pour transactions financières ou appels téléphoniques Faire attention à l’interprétation des données => anomalies, données normales ENJEUX DE MODÉLISATION Traces permettant d’établir des associations entre des infos identifiantes Démultiplication des moyens de communication Méta-entités Liens bidirectionnels + multiples Enjeux d’intégration des dimensions d’analyse Comment gérer les identités 32 Exploitation des traces numériques DATATION ET TRACES NUMÉRIQUES INTRODUCTION AU CONCEPT DE DATATION EN SF DATATION Démarche pour estimer : ® Intervalle de temps séparant l’élément à dater du temps présent => datation absolue Mesurer l’intervalle de temps entre 2 éléments ® Ordre chronologique de plusieurs éléments => datation relative COMMENT SITUER UNE TRACES DANS LE TEMPS ? Ø Marqueurs temporels Ø Changements temporels Ø Changements séquentiels MARQUEURS TEMPORELS Moment Intervalle => idée de bornes Durée => dans le temps écoulé Ex. métadonnées (horodatage), date sur un document, date de naissance, code latent sur un document ® Synchronisation des marqueurs => calibration ® Traduction de l’info ® Variabilité du transfert + persistance => concept de la trace ® Risque de falsification CHANGEMENTS TEMPORELS Altération des caractéristiques des traces en fonction du temps ® Ex. pulsation du caedium (temps atomique), température rectale (moment de la mort), décoloration d’une encre (moment d’écriture), vidéo (nombre d’images par seconde) Altération des traces dans le temps => proportionnelle à une durée Facteurs influençant le changement : avant – pendant – après le transfert Supports numériques => moins sujets à l’altération dans le temps ® Mais processus pouvant dégrader les traces numériques => technique ou réglementaire CHANGEMENTS SÉQUENTIELS Reconstruction de la séquence de transfert / création des traces ® Séquence des marqueurs temporels ® Séquence des changements => stratigraphie STRATIGRAPHIE Écritures numériques => suivent des règles plus ou moins connues Ex. MySQL Création d’un enregistrement : ® Si pas d’enregistrement effacé => écriture en fin de fichier ® Enregistrement effacé => recherche dans le 1er enregistrement effacé en partant du bas du fichier Si rentre => écriture de l’enregistrement Si rentre pas => écriture du début dans la place disponible et fin à la fin du fichier 33 Exploitation des traces numériques Possible de faire des hypothèses sur les activités + temporalité (à partir d’un raisonnement abductif) Observation de strate incompatible : 34 Exploitation des traces numériques TRACES NUMÉRIQUES ET SERVICES DISTANTS DONNÉES DISTANTES Données distantes = données qui ne sont pas stockées localement / sur l’objet d’étude ou son environnement direct ® Ex. données cloud, logs sur serveurs, sauvegardes en ligne, données sites internet, … À analyser parce que = traces (signes apparents, pas toujours visibles à l’œil nu, vestiges d’une présence ou d’une action) Comment les analyser ? ® Identifier les services disposant de données distantes ® Accéder aux données ® Exploiter les données distantes IDENTIFICATION DES SERVICES – DONNÉES DISTANTES Par un individu ® Déclarations : identité (données administratives), services souscrits, … ® Objets en sa possession : carte de fidélité, carte de paiement, objets connectés, … Sur un équipement numérique ® Liées à l’équipement (compte Apple, Google), applications installées, consultations internet (historique, cookies) Par analyse des interactions avec les services ® Manuellement : recherche des contrats papier/numérique d’un individu, observations des interactions, observations des traces d’interaction d’un individu (courriels) ® Automatiquement : parsing de l’activité web/mail et extraction services MÉTHODES D’ACCÈS – DONNÉES DISTANTES Accès judiciaires ® Niveau nationale : demande policière, réquisition judiciaire ® Niveau international : demande de remise spontanée (Convention sur la cybercriminalité Budapest – article 26 – information spontanée), coopération internationale (commissions rogatoires internationales (pénal), demande d’entraide judiciaire internationale (civil)) Techniques ® Connexion par interface web (login / mot de passe) ® Accès via API (log / mot de passe ou clé API) ® Accès via jeton d’authentification (token applicatif, cookie) Demandes d’accès aux données personnelles ® Loi fédérale sur la protection des données (LPD) ® Loi cantonale sur la protection des données (LPrD) ® Règlement général sur la protection des données (RGPD) ® Ex. Google Take out, données Apple EXPLOITATION – DONNÉES DISTANTES Ø Pré-traitement de données Ø Parsing Ø Traitement de données Ø Visualisation (par Tableau) Formats de données : texte, CSV, XLS, JSON, KLM, fichiers audio, … Ex. assistants vocaux (possible chez les services Google et Amazon, mais impossible chez Apple), cookies publicitaires, historique de localisation 35 Exploitation des traces numériques TRACES NUMÉRIQUES ET OBJETS CONNECTÉS IOT INTRODUCTION – OBJETS CONNECTÉS = internet des objets ® Objets qui peuvent générer + stocker des données « Infrastructure mondiale pour la société de l’information, qui permet de disposer de services évolués en interconnectant des objets (physiques ou virtuels) grâce aux technologies de l’information et de la communication interopérables existantes ou en évolution » Identification des objets connectés par : ® Reconnaissance physique => difficile parfois, mais facilement reconnaissable généralement ® Applications mobiles présentes ou retrouvées sur des téléphones saisis (souvent objets connectés avec les smartphones) ® Propriétaires / témoins (déclarations, paiements, abonnements) ð Problème > on ne peut pas toujours le détecter directement si on ne sait pas qu’ll s’agit d’un objet connecté Tous domaines concernés : industrie, sport (smartwatch), santé (battements par minutes, respiration, contrôle des constantes d’un pacemaker), particulier (détecteurs de fumée, capteurs de température, station météo personnelle), … Où chercher les traces d’intérêt : ® Locales => directement sur l’objet-même Espace-mémoire, applications présentes sur le téléphone connecté, extraire les bases de données Sensors et galeway devices, hubs, companion devices ® À distance = données distantes => Google Take out Faire demande au constructeur d’envoyer toutes les données sur l’appareil Cloud Provider Acquisition => stockées dans des bases de données pour la plupart des données (facilement exploitables), ou acquisition physique de la mémoire (débrasage de la puce-mémoire, lecture des infos brutes en hexadécimal) UTILITÉ DANS L’ENQUÊTE – OBJETS CONNECTÉS Utilité en lien avec les dimensions d’analyse Cibles directes => accès à des données sensibles ® Exploiter les données qui sont sur l’objet directement = objet de l’investigation Cibles secondaires => système d’alarme, botnets, « trojan horses » ® Attaque DDoS => IoT peuvent contenir des traces des attaques Témoins => abondance de senseurs, enregistrements des interactions ® Pas seulement dans les types de délits en lien avec le numérique ® Présence IoT dans tous les crimes possibles => utilisation de certaines données qui découlent directement du crime LOCALISATION DES DONNÉES D’INTÉRÊT – OBJETS CONNECTÉS Chercher des applications dans les smartphones connectés Données distantes Prise connectée Exploitation des données brutes Visualisation de l’exploitation des données brutes 36 Exploitation des traces numériques INVESTIGATION SUR INTERNET ET TRACES INTERNÉTIQUES PROCESSUS D’INVESTIGATION EN LIGNE Point clé de l’investigation en ligne = documentation Traces internétiques => avec caractéristiques propres, nature fondamentale importante Recherche Google => pas vraiment une recherche en ligne, mais dans une base de données que Google pense nous correspondre Copie de la trace internétique => copie de la trace générée au moment t FONCTIONNEMENT D’INTERNET Site internet = abus de langage => site web ou page html Protocole IP => identification des entités qui communiquent sur le réseau Protocoles de communication => définissent protocoles pour les communications entre les entités Investigation sur internet => en réalité investigation par internet sur tout en ensemble de trucs virtuels (applications) EFFET DE LA COMMUNICATION SUR LES TRACES 37 Exploitation des traces numériques Sur toutes les couches + tous les éléments de fonctionnalité d’internet => on va retrouver des traces Trace numérique produite par une communication via internet = trace internétique Trace = matériau de base exploité lors de l’investigation en ligne ® Extraire pleins d’infos pertinentes pour répondre aux questions d’intérêts TRACES ET INFORMATIONS IDENTIFIANTES Distinction importante traces – infos identifiantes Infos identifiantes = issues/extraites des traces Trace ≠ pas forcément une info identifiante Ex. trace = e-mail avec entête + infos structurées + corps du message ® Infos identifiantes = adresse e-mail de l’expéditeur, adresse IP SE PROTÉGER SUR INTERNET ð Se protéger => adopter une démarche d’observation adéquate Investigation internet = investigation dans le monde réel => beaucoup d’enjeux, risque de dévoiler son identité + autres infos personnelles Danger de se faire infecter ou subir des malveillances S’équiper + se protéger sur 4 niveaux S’ÉQUIPER 38 Exploitation des traces numériques Utilisation d’une ligne physique dédiée = connexion spécifique (utilisation d’un VPN possible) Utilisation internet des téléphones => plus sécure Utilisation d’environnement dédié => machines virtuelles 2 parties obligatoires : Utilisation d’un navigateur dédié => jamais utiliser un navigateur utilisé quotidiennement, séparation de l’investigation en ligne de la sphère personnelle, influence de la sphère personnelle sur l’investigation en ligne Utilisation des comptes en ligne dédiés => destruction des comptes des plateformes qui sont utilisés que pour l’investigation en ligne = pas de compte avec usage fréquent, nécessite de faire vivre les comptes, challenge de garder les comptes sans que les plateformes ne les suppriment SAUVEGARDE MANUELLE DES PAGES WEB + EXTRACTION DU CONTENU COPIE DU CODE HTML D’UNE PAGE WEB Format MHTML => enregistrement de la page au plus près de ce qu’elle était affichée chez les client, réafficher la page le mieux possible ® Fonctionnement difficile pour Facebook Fichier unique => contenant le code de la page affichée dans le navigateur + images + contenu additionnel Visualisation du code via les outils de développement => CTRL + MAJ + I Enregistrer sous => enregistrer au format MHTML CAPTURE D’ÉCRAN – OUTILS INTÉGRÉS AU NAVIGATEUR Capture d’écran possible si enregistrement de la page web client pas possible => screenshot complet pour prendre toute la page chargée dans le navigateur ® Pour Facebook => ne fonctionne pas entièrement, nécessite d’être fait en plusieurs fois Copie pour préserver les traces Info fondamentale à documenter qui ne se retrouve pas dans l’enregistrement ou dans les captures d’écran (dans le code client ou capture d’écran) => localisation de la trace = URL ® Pour permettre de pouvoir récupérer l’info si investigation dans l’enquête auprès des administrateurs d’un site web 39 Exploitation des traces numériques EXTRACTION DU CONTENU D’UNE PAGE HTML À la main ou automatisé sur page HTML Instant Data Scraper => recherche automatiquement les contenus structurés des pages web et va extraire quand il arrive => extraction automatisée ® Capacité à détecter les boutons suivants et parcourir les pages tout seul TYPES DE RECHERCHE Recherche liée au contenu ® Recherche par mot-clé ® Recherche par image ® Recherche par info identifiante (ex. e-mail) Recherche liée au contenant ® Recherche par nom de compte ® Recherche sur Facebook ® Recherche sur TikTok ® Recherche sur Instagram ® Recherche sur Twitter ® Recherche sur application mobile Recherche spatiotemporelle Recherche par ressemblance À quel moment on décide d’arrêter les recherches, à quel moment on considère avoir assez recherché ? Recherche d’une femme sur internet plus difficile que de trouver un homme (les photos sont passablement différentes pour les femmes entre les différentes sources de profil) => recherche par image 40 Exploitation des traces numériques COMBINAISON DES TRACES COMBINAISON DES TRACES – DANS LE PROCESSUS Répondre à : ® Analyse : traiter les traces pour obtenir plus d’informations sur leurs caractéristiques et rendre les résultats disponibles pour l’intégration, la reconstruction, la classification, l’évaluation ou l’interprétation ® Intégration : combiner les résultats de plusieurs processus d’analyse pour obtenir une compréhension plus complète des traces, généralement pour soutenir le processus de reconstitution médico-légale, ainsi que l’interprétation des résultats de l’analyse Objectif = analyser les traces relevées et les combiner afin de les replacer dans leur contexte INTÉGRATION DANS LE PROCESSUS Répondre à : ® Interprétation : expliquer la signification des résultats médico-légaux pour aider à prendre des décisions dans le cadre des enquêtes médico-légales et pour aider à établir des théories générales dans le cadre de la recherche médico-légale. Dans les salles d’audience, les experts en criminalistique effectuant des évaluations pour aider les décideurs à comprendre et à interpréter les implications de l’évaluation dans le contexte plus large de l’affaire Objectif = présenter les résultats en les vulgarisant et expliquer leur signification, conclure en répondant à la demande 41