Categories
Inforensique Logiciel

Imager un support

Plusieurs solutions s’offrent à nous afin “d’imager” un support.

Une image, ça va être tout simplement une copie conforme du support d’origine.
Afin d’en contrôler la conformité, il sera possible (et surtout plus que fortement conseillé) d’en calculer le hash (plus d’explications dans un autre article à venir (Les Hashs)

De nombreux logiciels permettent donc de procéder à l’acquisition de données. Je ne vais parler que de logiciels et omettre volontairement les copieurs matériels, puisque pas forcément accessibles à toutes les bourses (bien que je les conseille si c’est dans vos cordes!)

Les logiciels

  • FTK Imager
  • X-Ways
  • Encase
  • Magnet Acquire

Etc etc… 😉 Vous constaterez qu’il en existe beaucoup, je n’ai cité ici que les plus connus, dont ceux que j’utilise personnellement.

FTK et Magnet Acquire seront parfaits pour la plupart d’entre vous puisque gratuits!

Je ne vais pas rentrer dans les détails dans cet article puisque je le ferai justement avec FTK plus tard, et avec d’autres solutions forensiques (distributions Linux bootables); je vous prévois donc de simples tutos pour ceux qui n’ont encore jamais testé ni FTK ni des solutions telles que Paladin ou Caine…

A retenir

Sachez que ces logiciels, bien que très pratiques, nécessitent quelques précautions : tant que faire se peut, il va vous falloir utiliser des appareils dits “bloqueurs en écriture”. Tout est dans le titre, ces machines permettent d’accéder aux données d’un support numérique, sans rien modifier dessus.
Indispensable donc avant d’opérer des recherches en inforensique, puisqu’il est IMPERATIF que vous puissiez défendre le fait qu’aucune modification n’a été effectuée sur le support.

Ce serait dommage qu’on vienne vous reprocher bêtement quelquechose comme “mais? On vous a apporté l’ordinateur le 30 juin, un 2ème expert qui a fait d’autres recherches a constaté des accés le 8 juillet” 😉 Vous comprenez l’intérêt, et que ce soit dans un cadre judiciaire ou un cadre privé, la TRACABILITE de vos actions reste primordiale (et en l’occurence, de votre non-modification des supports!)

A suivre

  • Un tutoriel sur la création d’images avec FTK et/ou Magnet Acquire (prochain article = FTK Imager)
  • Un tutoriel sur quelques distributions forensiques Linux (Paladin, Caine, Tsurugi)
  • D’autres précisions sur l’acquisition de données, car comme je ne l’ai pas précisé en début de billet, toute copie de support ne résulte pas en une “copie conforme”

Leave a Reply

Your email address will not be published. Required fields are marked *