Analyse forensique sous Android
Introduction
Dans ce chapitre, nous allons étudier les bases de l’analyse forensique, en partant du principe que nous utilisons notre propre smartphone ; nous ne couvrirons donc pas le contournement du code PIN. Cet ouvrage n’a pas pour vocation de couvrir l’analyse forensique, car nous parlons avant tout de hacking éthique et le domaine forensique est un domaine très vaste qu’il nous serait impossible de couvrir en totalité. Cependant, en hacking éthique, il est tout de même bien d’en savoir un peu sur tous les domaines, alors il semble important d’en parler un peu. C’est pour cette raison que ce chapitre couvre uniquement les bases fondamentales afin de comprendre le principe de fonctionnement et de pouvoir extraire quelques données de notre smartphone Android. Une fois que le périphérique sera accessible, la tâche consistera à extraire des informations présentes sur celui-ci. Cela peut être réalisé en appliquant diverses techniques d’extraction de données au périphérique Android. Ce chapitre vous aidera à identifier les emplacements sensibles présents sur un appareil Android et vous expliquera diverses techniques logiques et physiques pouvant être appliquées à l’appareil afin d’extraire les informations nécessaires.
Les méthodes d’extraction de données
Il faut savoir qu’il existe plusieurs méthodes pour extraire les données d’un smartphone Android. Les données résidant sur un appareil Android peuvent être utilisées dans le cadre d’enquêtes civiles, criminelles ou dans le cadre d’enquêtes internes au sein d’une entreprise. Lorsqu’il s’agit d’enquêtes impliquant des appareils Android, l’examinateur judiciaire doit être attentif aux problèmes à régler au cours du processus judiciaire ; cela comprend la détermination de l’accès autorisé à la racine (via consentement ou autorité légale) et des données pouvant être extraites et analysées au cours de l’enquête. Par exemple, dans une affaire pénale impliquant du harcèlement criminel, le tribunal peut autoriser uniquement l’extraction et l’analyse de SMS, de journaux d’appels et de photos sur le périphérique Android appartenant au suspect. Dans ce cas, il peut sembler judicieux de ne capturer logiquement que ces éléments spécifiques. Cependant, il est préférable d’obtenir une extraction complète des données physiques de l’appareil et d’examiner uniquement les zones autorisées par le tribunal....
Le système de fichiers
Encore une fois, nous n’allons pas tout couvrir dans les moindres détails, il est cependant essentiel de voir certaines choses importantes à savoir. Avant de plonger profondément dans la criminalistique et d’extraire les données du périphérique, nous devons avoir une compréhension claire des types de systèmes de fichiers et de leurs différences. L’une des principales raisons pour lesquelles les acquisitions physiques sont un peu plus délicates sous Android est due aux systèmes de fichiers différents. La partition principale du système de fichiers Android est souvent partitionnée en YAFFS2. La raison pour laquelle YAFFS2 est utilisé dans Android tient aux avantages qu’il offre à l’appareil, notamment une efficacité et des performances accrues. Il y a quelques années, quand Android a été introduit, la criminalistique rencontrait de gros problèmes sur la plateforme, car il y avait très peu d’outils de criminalistique supportant le format de système de fichiers YAFFS2. Une carte SD est du type FAT32, qui est également un format bien connu des utilisateurs système normaux. L’un des outils les plus connus pour effectuer une copie ou créer une image d’un système de données existant est l’outil dd, qui effectue...
L’extraction des données
Dans cette section, nous allons utiliser la deuxième méthode, c’est-à-dire l’extraction logique. Comme nous avons de bonnes connaissances et que nous savons déjà nous servir des outils principaux tels qu’ADB, nous commençons par connecter notre appareil Android avec le câble USB et nous activons le mode développeur de la même manière que nous l’avons déjà fait dans cet ouvrage. De même, nous utilisons ensuite l’outil ADB pour nous connecter à notre service. Pour des raisons de sécurité, nous n’avons bien sûr pas inscrit notre adresse IP, d’autant plus que nous travaillons avec notre propre smartphone. Quand nous avons activé le mode développeur sur notre smartphone, nous devons nous connecter avec l’outil ADB comme nous l’avons fait précédemment dans cet ouvrage.
1. Les SMS/MMS
Lors d’une investigation forensique, un examinateur a souvent besoin de pouvoir examiner les messages envoyés, et même envoyés à un appareil mobile particulier. Par conséquent, il est important de comprendre où les détails tels que les SMS/MMS sont stockés et comment accéder aux données. Le fichier contenant nos SMS est présent à l’emplacement mentionné ci-dessous et contient...
Conclusion
Nous avons vu dans ce petit chapitre qu’il était possible de récupérer certaines informations pouvant s’avérer importantes pour un examinateur durant une analyse forensique, et ce de manière très simple. Cette étape est nécessaire pour récolter un maximum d’informations et de preuves irréfutables pour la justice. Nous aurions pu aller plus loin en créant une image disque, ce qui est long à faire, mais il est très rare de vouloir, en tant que particuliers, récupérer des données.