Il est huit heures du matin. Les policiers frappent à la porte d’un pavillon. Je les accompagne.
J’ai prêté serment d’apporter mon concours à la Justice. Mais je suis dans mes petits souliers: je participe à une perquisition chez un particulier, et je dois dire que je n’aime pas ça.
Une femme nous ouvre la porte en peignoir. Un policier lui explique la procédure pendant que ses collègues entrent en silence. L’action est calme et nous sommes loin des clichés des séries TV. Une fois la maison explorée, les policiers m’invitent à entrer pour effectuer ma mission: le juge m’a demandé d’analyser les différents appareils informatiques présents dans la maison.
Il s’agit d’une affaire de trafic portant sur plusieurs centaines de milliers d’euros.
Depuis une semaine, je me prépare tous les soirs en essayant d’imaginer tous les cas techniques devant lesquels je peux tomber. J’ai un sac contenant un boot cd DEFT, des tournevis de toutes tailles et de toutes formes, stylos et bloc notes, un dictaphone numérique, un ordinateur portable avec carte réseau gigabit et disque de grosse capacité pour la prise d’image en direct, une lampe électrique, un bouchon 50 ohms et un connecteur en T, le live CD d’Ophcrack, un câble réseau, un prolongateur et un câble croisé, une boite de DVD à graver (et quelques disquettes formatées, cela sert encore…), une bouteille d’eau et un paquet de biscuits. Grâce aux lecteurs de ce blog, j’ai ajouté un appareil photo, un GPS, du ruban adhésif toilé et résistant, des élastiques de toutes tailles, des trombones, un clavier souple ne craignant pas l’humidité avec la connectique qui va bien, un tabouret en toile, des vis, patafix et colliers, une tour sur roulette avec carte SATA et quelques disques vierges de rechange, un ventilateur pour les disques, une petite imprimante, toute la connectique pour les organiseurs (Palms, Blackberry, iphone, etc.), des étiquettes/pastilles de couleur, des stylos et des feutres, un petit switch 10/100/1000, un câble série, un câble USB, une nappe IDE, une nappe SATA et des adaptateurs USB, SATA, IDE…
Pour l’instant, je tiens à la main une petite mallette avec mes principaux outils: bloc note, stylo et boot cd. Le reste est dans ma voiture. La maitresse de maison nous explique que son mari est en voyage d’affaire et ses enfants chez leur grand-mère. Elle est seule chez elle. J’ai un sentiment de malaise face au viol de sa vie privée. Décidément, je ne suis pas fait pour ce type d’intervention. L’OPJ sent mon désarroi et le met sur le compte de l’inexpérience. Il m’emmène au bureau de la maison où trône un ordinateur au milieu d’un paquet de disques durs extractibles. Mon travail commence.
J’explique à l’OPJ ma procédure de prise d’images. Il tique un peu quand je lui annonce mon estimation des durées. Bien sur, si j’avais été invité au briefing de la veille, j’aurais pu expliquer tout cela…
J’installe tout mon petit matériel dans un coin de la pièce, à même le sol. Je démonte les différents disques durs et les place dans ma « tour infernale » (mon PC d’investigation). J’ai l’impression que les policiers me regardent en pensant au professeur Tournesol.
Pendant les deux heures qui vont suivre, je vais étudier tous les papiers découverts par les policiers pour voir s’ils peuvent contenir des éléments de nature à me faciliter l’analyse inforensique des disques durs. Mais je ne trouve rien. La corbeille à papier est également vide IRL. Le monde moderne.
Les policiers s’ennuient un peu, quand finalement j’arrive à booter la première image dans une machine virtuelle VMware. L’un d’entre eux me dit en souriant: « finalement, deux heures pour démarrer un PC, c’est un peu comme chez moi ». Je ne me laisse pas déconcentrer et pars à la recherche de tous les indices possibles.
Les mots de passe Windows sont vite découverts avec Ophcrack. L’historique internet me fournit une liste de sites visités, ainsi que plusieurs pseudos (en clair dans les url). Les historiques MSN me donnent plusieurs emails et identités numériques. J’explore les différents outils de messagerie installés: Outlook Express, Thunderbird, surtout les emails de création de comptes avec envoi de mots de passe. Je conserve tout cela précieusement car tout ceci me donne l’impression que le propriétaire du PC change régulièrement de pseudo.
La liste des mots de passe utilisés me donne une petite idée de la stratégie de choix de l’utilisateur: un mélange avec les prénoms de ses enfants et des dates qui s’avèreront être les dates du jour de création des comptes.
J’effectue une petite recherche des fichiers de grosses tailles qui met en évidence trois fichiers de 4 Go sans extension. Je tente le coup avec l’application TrueCrypt contenue dans ma clef USB « LiberKey« . J’essaye les différents mots de passe trouvés précédemment et l’un d’entre eux marche sur un fichier, deux autres sur l’un des fichiers restants. Cela signifie donc qu’un utilisateur du PC connait TrueCrypt et l’utilise pour chiffrer des données dans un fichier protégé par le système à double détente de TrueCrypt. Mais il me manque encore quelques mots de passe.
Parmi les outils de mémorisation des mots de passe, le navigateur est le plus utilisé. Je lance le navigateur installé et vérifie dans les options appropriées la liste des mots de passe mémorisés en association avec différents comptes internet.
Je note tous les login/mot de passe des comptes. Je vérifie avec l’OPJ que mon ordre de mission m’autorise à me connecter sur les comptes internets. Un coup de fil au magistrat lève les doutes. Je fais consigner la démarche sur le PV. Je choisis en premier lieu le webmail le plus fréquemment utilisé. J’y découvre une quantité d’emails que je récupère avec le Thunderbird de ma clef USB. Et bien entendu, parmi ces emails, un certain nombre d’emails contenant des mots de passe.
Ce travail s’effectue en parallèle de la prise d’image des autres disques qui sont montés au fur et à mesure sous forme de machines virtuelles. Mais le travail initial permet d’accéder plus rapidement aux espaces DATA intéressant les OPJ. Une fois franchis l’obstacle du chiffrage et des mots de passe, l’outil essentiel est une recherche Windows avec les mots clefs fournis par les OPJ. J’ai une certaine préférence pour SearchMyFiles de chez NirSoft.
La perquisition se termine en fin d’après-midi. J’imprime tous les documents découverts. Je range mon matériel. Je rappelle à l’OPJ que ma mission se poursuivra le week-end suivant avec des analyses plus longues, en particulier des zones non allouées des disques durs. Suivra ensuite la rédaction du rapport et l’impression des annexes. Comme pour une fois, ce dossier ne contient pas d’images pédopornographiques, je vais pouvoir externaliser l’impression pour faire baisser les coûts.
En sortant de la maison, je présente mes excuses à la propriétaire.
Elle est en colère et me répond durement.
Je revois encore aujourd’hui la rage de son regard.
Je la comprend.
Question bête, mais: vous l'avez remonté leurs ordinateurs ?
Vous n'en parlez pas ici, mais j'ignore s'il est gardé par la police, si il est remis "en état", ou quoi que ce soit d'autre.
@ArthurRainbow: Je remonte toujours les ordinateurs pour qu'ils soient fonctionnels. Dans ce dossier, les ordinateurs ont été laissés sur place. Seules les copies numériques ont été mises sous scellés (j'ai des bons prix sur les disques durs;).
Bonjour, si pendant l'investigation vous tombez sur des codes d'accès (ssh, par exemple) vers une machine physiquement distante, un serveur en location, voire un simple pc à une autre adresse. Est ce qu'un coup de fil au magistrat vous permettrait de vous y connecter, ou est ce qu'un travail de vérification (qui est le propriétaire, par exemple) est nécessaire avant d'aller plus loin ?
Il faut bien quelqu'un pour faire ce sale boulot, savoir qu'une personne de morale (me semble-t-il à la lecture de ce blog) comme vous me rassure.
Puis-je me permettre une question annexe: d'où est tirée l'illustration de votre article? Un char d'assaut à ce qui me semble un péage, j'avoue être décontenancé et serais ravi d'avoir des informations sur cela!
@Un passant: A mon avis, accéder à un ordinateur distant par ssh, par ftp ou par http relève du même principe légal. Ce qui intéresse la Justice, ce sont les données où qu'elles soient. N'étant pas juriste, je préfère toujours passer un coup de fil au magistrat. Dans le cas que vous citez, les OPJ mèneront certainement une enquête pour savoir qui est propriétaire de l'ordinateur distant.
C'est quand même bizarre d'utiliser truecrypt pour protéger ses données, mais de ne pas utiliser la fonction pour crypter l'ensemble du système de l'ordinateur.
Là, pas d'accès aux données de façon physique, et donc pas de moyen de trouver les mots de passe.
@ook? ook! Lorsque je surfe sur internet et que je tombe sur des images qui m'amusent, je n'ai pas encore le réflexe professionnel qui va avec la sauvegarde de l'image: la sauvegarde de son origine. J'y travaille, mais je n'ai pas encore trouvé le bon outil. En général, j'utilise a posteriori le site TinEye.com pour essayer de retrouver l'original et en faire crédit au propriétaire de l'image. Sinon, la plupart des images de mon blog proviennent du site darkroastedblend.com
Je travaille en ce moment sur l'utilisation systématique de Flickr et des licences CC.
C'est clairement un point faible de mon blog.
@ancilevien74: Je ne peux pas répondre à la place de l'utilisateur, mais il est souvent délicat de chiffrer l'ensemble du disque dur (y compris le système d'exploitation). Il s'agit de toute façon toujours d'un compromis entre connaissances de l'utilisateur et simplicité d'usage.
@Zythom: 2 choses en fait :
– Truecrypt propose très simplement de crypter l'ensemble du disque système avec demande de mot de passe au démarrage. Comme le perquisitionné connaissait ce logiciel, c'est étonnant qu'il ne se soit pas servi de cette fonctionnalité (maintenant, tant mieux pour les besoins de l'enquête)
– vous dites: "Bingo, TrueCrypt me demande un mot de passe pour monter chaque fichier" mais en fait, truecrypt demandera toujours un mot de passe, même si ce n'est pas un fichier crypté. Le décryptage échouera ensuite si le mot de passe est incorrect ou si ce n'est pas un fichier/partition/volume truecrypt
@ancilevien74: Vous omettez le fait que souvent dans les familles, l'ordinateur est partagé. Rien n'est moins bon qu'un mot de passe partagé qui ouvre ensuite l'accès à toutes les données.
Concernant le comportement de TrueCrypt, vous avez raison, je corrige le billet en ce sens (je supprime la phrase qui était un effet de style inutile et incorrect).
@Zythom: en effet, je n'ai pas pensé au partage ; je suis d'une famille très ordi où chacun a au moins 1 ordi si ce n'est plus.
Etes-vous déjà tombés sur des machines protégées par de vrais connaisseurs, et dont en l'état des connaissances et des ressources actuelles il vous est impossible d'accéder sans demander au propriétaire? Que se passe-t-il dans ces cas là?
@Serianox: Cela ne m'est jamais arrivé. Mais n'oubliez pas "à l'impossible nul n'est tenu". Je n'ai ni obligation de moyens, ni obligations de résultats. Par contre, si j'y arrive et avec peu de moyen tout le monde est content…
ne serait-il pas plus simple et moins intrusif d'effectuer une image de chaque disque sur place, éventuellement avec un dispositif de copie double en parallèle, puis d'effectuer les analyses hors de chez les perquisitionnés ?
Il n'y aurait pas tant de pertes de temps que cela, et j'imagine un gain d'efficacité et de sérénité (d'autant plus si les policiers gardent les matériels comme pièces à conviction) ???
@Anonyme: C'est ce que je décris dans ce billet: copie sur place, analyse pendant qu'une autre copie se déroule et analyse complète hors site. Je suis désolé si le billet n'est pas assez clair sur ce point.
N'oubliez pas que le cout des appareils de copie sont à ma charge et que le budget de la Justice est particulièrement peu élevé. Je copie donc avec un PC de ma composition.
Ensuite, l'analyse sur place me permet de travailler en direct avec les OPJ en charge de l'affaire ce qui représente un gain de temps colossal (quelques heures au lieu de plusieurs jours).
Enfin, l'analyse hors site sert à peaufiner les résultats, ou à en extraire de nouveaux bien cachés qui demandent du temps.
Superbe billet, merci.
Dites, juste une question. A partir de quel moment pensez-vous qu'un outil tel que href="": devient utile pour un expert judiciaire tel que vous ?
Toto
@0xacdc: Je vais vous faire une réponse de jésuite: si vous étiez responsable d'un hôpital, à partir de quel moment pensez-vous acheter ce scanner dernier cri que vous venez de voir en démonstration?
Je ne connais pas grand chose à ces techniques informatiques, mais tout simplement merci pour votre travail…Il faut des personnes compétentes comme vous, capables de "démasquer" ces preuves. J'ai découvert votre blog récemment et je vais le suivre plus régulièrement à présent car je trouve vos récits intéressants.