Outillages de l`expert lors de saisies

Outillages de l’expert lors de saisies
Michel Villard
[email protected]
Formation Technique
12/12/06
Outillages de l’expert lors des saisies
par Michel Villard
1
Plan de l’exposé
• Outils pour utiliser le système suspect :
– Boot sur le système suspect
– Ou boot sur un CD Linux
• Kit de duplication physique de disque dur
• Ordinateur d'investigation
• Exemples de missions réalisées sur requêtes en
procédure civile
Formation Technique
12/12/06
Outillages de l’expert lors des saisies
par Michel Villard
2
Outils pour utiliser le système
suspect
• CD Linux bootable
• Le système suspect est utilisé (après, le cas échéant,
récupération d'un utilisateur / mot de passe)
• Ou, Linux est utilisé :
–
–
–
–
–
–
Recherches sur les noms de répertoires et fichiers
Recherches sur les contenus des fichiers
Copies de fichiers
OpenOffice
Viewers
etc.
• Prévoir des disques USB externes de sauvegarde
(capacité à estimer avant la saisie)
Formation Technique
12/12/06
Outillages de l’expert lors des saisies
par Michel Villard
3
Kit de duplication
• Outillage pour démonter le disque dur
• Logicube « Forensic MD5 », avec bloqueur en écriture
intégré et calcul de hash
• Imprimante Canon Jet Printer
• Types de disques source : IDE 3"1/2, IDE 2"1/2, SATA
• Vitesse de transfert réelle de 1,5 à 3 GB / mn
Formation Technique
12/12/06
Outillages de l’expert lors des saisies
par Michel Villard
4
Machine d'investigation
• Tour transportable équipée de racks amovibles :
– Un rack IDE avec bloqueur en écriture (Drivelock ICS)
– Des racks IDE, SATA, SCSI standard, SCSI Wide
• Boot sur Dos, W2K ou Linux :
– Sous Dos : Ghost
– Sous W2K : EnCase
– Sous Linux : Acquisition réseau (exploitation avec EnCase)
• Adaptateur multi-cartes MF qui se connecte en USB
• Lecteur de carte SIM / carte à puce
• Lecteur/graveur CD/DVD
Formation Technique
12/12/06
Outillages de l’expert lors des saisies
par Michel Villard
5
Exemple de mission réalisée sur
requête civile (1)
•
•
•
•
•
•
Contexte : Concurrence déloyale
Requérant : Employeur c/ Dirigeant en exercice
Saisie au domicile du Dirigeant, en son absence
Système suspect : Un ordinateur fixe arrêté (Windows)
Solution utilisée sur site : Boot Linux à partir du CD
Résultat : Saisie de documents prouvant une activité
commerciale au nom d'une autre société :
– Échanges de mail, propositions, commandes, factures
– Mots clés : noms de produits vendus, noms de clients
Formation Technique
12/12/06
Outillages de l’expert lors des saisies
par Michel Villard
6
Exemple de mission réalisée sur
requête civile (2)
•
•
•
•
•
Contexte : Présence de fichiers illicites
Requérant : Ex-employeur c/ ex-salarié licencié
Saisie dans les bureaux du requérant
Systèmes suspects : 3 ordinateurs fixes
Solution utilisée sur site : Duplication physique et EnCase
– Duplication physique de 2 disques (en 3 copies) mis sous scellés
– En parallèle, acquisition EnCase du 3° disque (car présence de
données personnelles ne pouvant pas être copiées)
• Solution utilisée après saisie : EnCase
– Analyses EnCase des 3 disques
– Rapport de mission annexé au constat
– CD contenant les fichiers extraits du 3° disque
• Résultat : Présence de documents, images et vidéo
d'incitation au terrorisme et à la haine raciale
Formation Technique
12/12/06
Outillages de l’expert lors des saisies
par Michel Villard
7
Exemple de mission réalisée sur
requête civile (3)
• Contexte : Propriété intellectuelle
• Requérant : Ex-employeur c/ ex-salarié démissionnaire
• Préparation :
– Examen d'une sauvegarde du requérant (plans et éléments de
bibliothèque Autocad)
• Saisie au Bureau d'études créé par l'ex-salarié, en sa
présence et avec sa collaboration
• Systèmes suspects : 2 ordinateurs fixes
• Solution utilisée sur site : EnCase
– Analyses EnCase en mode pré-visualisation + extractions
• Résultat : Saisie d'éléments dans le périmètre identifié au
préalable avec le requérant.
Formation Technique
12/12/06
Outillages de l’expert lors des saisies
par Michel Villard
8