Le tri

Me voilà encore une fois devant un ordinateur que je dois analyser. Les informations transmises par l’Officier de Police Judiciaire me disent qu’une lointaine autorité a signalé à Interpol que l’ordinateur aurait servi à télécharger des images pédopornographiques.

Moi, je ne suis qu’un tout petit maillon de la chaîne: je n’ai pas saisi l’ordinateur, je ne connais pas son contexte de connexion à internet, j’ai simplement une unité centrale saisie pas loin de chez moi et posée sur mon bureau, avec pour mission de dire si elle contient des images pédopornographiques et si possible comment elles sont arrivées là…

Bien, bien, bien.

Je prends des photos du scellé, comme j’ai vu faire dans les séries américaines. J’ouvre le scellé, je dépose l’unité centrale sur mon bureau. Elle sent la cigarette. Je prends des photos, puis j’ouvre l’unité centrale avec un tournevis, proprement pour ne pas laisser de marques. Je prends des photos de l’intérieur, puis j’enlève le disque dur. Enfin, je prends en photo le disque dur, je note ses caractéristiques, son modèle, son numéro de série. J’en fais une copie numérique bit à bit en priant pour qu’il ne rende pas l’âme à ce moment là… Je dormirai mal cette nuit-là.

Le lendemain, je m’assure que la copie s’est bien passée, je remonte le disque dur dans l’unité centrale, je prends des photos, je range le scellé. Le vrai travail d’investigation peut commencer.

Les données du disque dur se présentent de plusieurs façons:

– bien rangées dans des ensembles qu’on appelle “des fichiers”

– en vrac partout ailleurs sur le disque dur.

Les fichiers non effacés sont accessibles via les tables d’allocation des fichiers.

Les fichiers effacés sont, pour certains, encore accessibles via ces mêmes tables (qui se comportent comme des index de livres). La majorité de ces fichiers proviennent des mécanismes de mise en cache des navigateurs. Quelques uns viennent de la suppression de fichiers choisis par l’utilisateur.

Puis il y a les “paquets de données” éparpillés sur le disque dur, référencés nulle part (la référence a été définitivement effacée). Ces paquets contiennent des traces de fichiers ayant un jour été “cohérents”. On trouve de tout dans ces paquets, des bouts d’images, des bouts de téléchargements, des bouts de conversations, des bouts de fichiers systèmes, etc.

Une fois récupéré l’ensemble de toutes ces données (effacées, pas effacées, en fichiers ou en bout de fichiers), je me retrouve face à un Everest de données qu’il me faut trier. Je vous parle ici d’un tas de cinq cents mille fichiers.

Cinq cents mille.

Première étape: éliminer les fichiers “communs”, ceux qui appartiennent de façon certaine au système d’exploitation ou aux applications connues. Pour cela, je vous recommande la “National Software Reference Library” qui contient plusieurs bases de données intéressantes.

Mais ensuite, il faut tout regarder.

Je commence par les plus gros fichiers: je tombe alors sur des films qu’il faut que je visionne. Je me tape en accéléré et par morceaux tous les grands blockbusters des cinq dernières années…

Je regarde toutes les bases de données présentent sur le disque dur,
et en particulier la base de registres, les fichiers logs du système et
les bases de données des différentes applications. La plupart de ces bases sont codées en binaire de manière propriétaire par les éditeurs concernés. J’analyse chaque base: applications de messagerie, logiciel d’échange de données, chat, etc. J’obtiens la liste des connexions effectuées, les fichiers téléchargés, les données échangées…

Je continue mon tri.

Viennent ensuite les archives ZIP, 7Z et autres dont j’extrais les fichiers. 15 archives résistent et me demandent un mot de passe… que je cracke pour tomber sur du porno banal. Internet, c’est pour le porno.

Je continue mon tri.

Je regroupe toutes les images dans un ensemble de répertoires (Windows n’aime pas les répertoires contenant trop de fichiers). Je passe des soirées entières, pendant plusieurs semaines, à les regarder: mariages, soirées, vacances d’un côté, et tout le contenu porno des caches des navigateurs utilisés…

Je continue mon tri.

Il me reste quelques fichiers qui résistent à mon classement. Chacun représente un défi qu’il me faut relever. Surtout que pour l’instant, je n’ai rien trouvé de pédopornographique. J’ouvre les fichiers avec un éditeur hexadécimal. Je regarde leurs empreintes numériques, leur contenu. Je pense aux différents défis lancés par les conférences sur la sécurité informatique. Je me sens nul. Ici les fichiers illisibles sont simplement des images ou des fichiers word avec des entêtes corrompus.

Tout cela pour rien. Enfin, pas vraiment. Cela prouve l’innocence de l’utilisateur du PC, ce qui n’est pas rien. Pour moi, cet ordinateur est clean du point de vue de mes missions. Sur mon rapport j’indique que je n’ai trouvé aucune donnée pédopornographique. Je n’écris pas qu’il n’y en a pas. J’écris que je n’en ai pas trouvées. Ni trace d’un téléchargement qui pourrait laisser supposer la présence de telles données.

Et encore une fois, la fin de ce long tri ennuyeux me rend heureux: ma mission est terminée, et elle se termine bien. Il ne reste plus qu’à expliquer ma note de frais et honoraires, maintenant. Mais ça, c’est une autre histoire…

14 réflexions sur « Le tri »

  1. Encore un gars qui devait se répétait "moi je m'en moque, je n'ai rien à cacher" et qui n'a donc pas cru bon de chiffrer son disque… Dommage, le contraire aurait rendu tout ça beaucoup plus intéressant. Techniquement et juridiquement parlant 🙂

    • J'ai rencontré très peu de disques chiffrés. Et encore, l'un d'entre eux avait un dump de mise en veille non chiffré qui contenait une superbe image pédopornographique…
      Techniquement, un disque dur chiffré, si c'est fait correctement, n'est pas très intéressant puisqu'on ne peut rien en faire. Et juridiquement, je ne sais pas trop.

    • Enfin, je pense que l'immense majorité des gens n'imagine simplement pas qu'on puisse venir saisir leur ordinateur. Du coup, je ne suis pas sur qu'ils pensent "je n'ai rien à cacher", mais plutôt, "je ne fais rien de mal", ou "je passerai entre les gouttes" (pour ceux qui font qqchose de mal)…

    • Hoper => Finalement du point de vue de l'intérêt du propriétaire du disque, il est préférable qu'il n'ait pas chiffré son disque dur ou certains dossiers dans celui-ci. Il me semble préférable dans l'intérêt de son dossier que Zythom n'est rien trouvé alors qu'il n'y avait rien laissant supposée des données chiffrées plutôt que la conclusion de Zythom soit "le disque était chiffré, je ne peux dire ce qu'il y avait dessus". Après si on a un disque chiffré et que l'on a rien à se reprocher on doit sûrement pouvoir fournir volontairement son mot de passe.
      Zythom => Lorsque l'on accepte les cookies mais interdit tous les cookies tiers y compris depuis le site visité (conf firefox), on ne peut pas poster de commentaires. Si jamais ce n'est pas possible facilement de l'éviter, il serait intéressant d'afficher un message d'erreur particulier pour expliquer quel est le problème.

    • "Après si on a un disque chiffré et que l'on a rien à se reprocher on doit sûrement pouvoir fournir volontairement son mot de passe"

      Tout le monde à forcément "quelque chose" à se "reprocher". Un mp3 qui traîne ou autre. Et même si ce n'est pas le cas, il y a des photos que tu n'a pas forcément envi que tout le monde voit (au pif, ta copine à poil etc). Bref, je ne vois pas trop l’intérêt de chiffrer son disque si c'est pour donner la clef à la première personne qui te la demande. Dans ce genre de cas, tu répond "Désolé monsieur le juge, mais c'est ma vie privé qu'il y a sur ce disque". Et la ça devient intéressant. Droit à la vie privée et présomption d’innocence d'un coté, pouvoir judiciaire de l'autre…

    • Dans ce cas là ce n'est pas la première personne venue ^^.
      Tu peux chiffrer ton disque dur par peur qu'on te le vol et faire pour autant confiance à la justice. Tu veux sans doute éviter que l'on voit des photos de ta femme à poil sur internet ou garder des secret professionnel, mais peux pour autant tolérer qu'une personne puisse les regarder si cela permet de t'exclure de la liste des suspects d'une chose que tu n'a pas commise. Puisque être présumé innocent n'empêche pas de subir des interrogatoires, faire de la garde à vue, et pire cela n'empêche pas les rumeurs de se répandre.
      Et Zythom est mandaté pour une raison, je pense qu'il ne doit relever que ce qui relève de cette raison et garder le reste pour lui.
      Il y a des clauses de confidentialité. Quand ils trouvent des films ou des mp3, ce n'est pas son rôle de savoir si tu les acheter ou non.
      Après c'est vrai que ça serait intéressant de savoir à quel point cela s'applique. Par exemple s'il est mandaté pour de la pornographie et découvre une correspondance où l'on voit que le mec est un terroriste ?

  2. En gros, il suffirait de faire un formatage bas niveau du disque dur pour que tu ne puisses rien récupérer ?
    Je suppose que la plupart des machines ont été saisies à des utilisateurs qui ne s'y attendaient pas vraiment ?

    • Un formatage bas niveau prend du temps. Qui est prêt à le lancer quand il entend la sonnette de la porte d'entrée? Et sur tous les supports en sa possession… Très peu de personnes (probablement encore moins que de personnes qui chiffrent leurs disques).

    • En cours de sécurité à l'école nous avons appris qu'un disque dur n'était jamais effacé, même après des passes d'écritures aléatoires.
      Cela dit, je suppose que ça nécessite des moyens de récupération de données très lourds ?
      Sais-tu dans quel genre de cas il pourrait être fait appel à des sociétés de récupération de données ? Menace pour la sécurité nationale ?

  3. bonjour zythom,
    petite question juridique : j'ai un disque chiffré, mon disque est saisi, un juge peut-il m'ordonner de le déchiffrer ou pas?
    je crois me souvenir d'une histoire de volumes chiffrés avec truecrypt il y a quelques années au Brésil et où les enquêteurs n'avaient pu déchiffrer le disque et le mis en cause n'avait rien eu.
    cordialement,
    (et une pensée pour sid et sa famille ainsi que ses amis en ce triste jour)

  4. Bonjour,
    Je repense souvent à ce billet où vous parlez de la stéganographie ? Comment savoir si les images que vous avez triées n'ont pas été modifiée de la sorte.
    Cordialement

    • Séchez vos larmes 😉 La première chose à faire dans une analyse de disque dur est de relever la liste complète des logiciels installés et d'en analyser la fonction. Si vous tombez sur un logiciel servant à la stéganographie, il ne reste plus qu'à l'utiliser sur les images présentes sur le disque dur, au besoin en demandant le mot de passe au propriétaire de l'ordinateur.
      Cela ne m'est arrivé qu'une seule fois, et j'ai pu découvrir les données cachées par ce moyen.

  5. Ne pas donner sa clé de déchiffrement c'est considéré comme de l'entrave à la manifestation de la vérité dans le cadre d’une enquête judiciaire, ça doit faire quoi ça cinq ans ferme et une amende à 5 chiffres (voir 6?).

    et ça me semble logique, autant tu peux vouloir échapper à une surveillance de l'état, autant la justice (indépendante) doit avoir ce droit.

    Du reste il y a le plausible deniability (mis en avant entre autre par truecrypt) qui permet d'avoir plusieurs jeux de clés (la clé A déchiffre le contenu normal, la clé B déchiffre le contenu illicite, tu donnes la clé A à la justice et tu nie toute existence de la clé B car il n'es techniquement pas possible de démontrer son existence, ont peut faire pareille aussi avec des masques jetables ou en fonction de la clé tu peux avoir en résultat une distribution debian ou un dvd porno).

Les commentaires sont fermés.