Je teste un outil utilisé par la POLICE [forensique]
Les amis, petit article « test produit » pour parler d’un sujet sérieux sous format décomplexé : je teste un véritable outil utilisé par la police (américaine) permettant de récupérer toutes les informations présentes dans un ordinateur. Cela fait partie de l’informatique légale ou de l’analyse forensique, dont j’ai fait un cours dédié sur Cyberini pour la petite pub.
Cette investigation numérique s’applique notamment dans le cadre d’une enquête, lorsque la police saisit du matériel informatique pour procéder à son analyse.
Voici la vidéo :
Récupérer l’historique d’un ordinateur
C’est l’un des axes majeurs de cet outil : il regroupe dans un seul onglet tout l’historique de l’ordinateur, cela permet de remonter dans le passé en observant notamment :
- Les fichiers ouverts/renommés/supprimés
- Les derniers programmes ou fichiers ouverts
- Les derniers événements systèmes (création de session, connexion réseau, etc)
- Les fichiers cookies non supprimés
- Les programmes installés
- et bien d’autres
Récupérer les mots de passe
Point très pratique pour investiguer beaucoup plus loin. L’outil récupère les mots de passe enregistrés dans le système (navigateurs internet) mais aussi les diverses clés de licence (Word, Windows, etc).
Faire des dump mémoire
Cela permet de copier tout l’état de la mémoire RAM dans un fichier dump pour investiguer ensuite son contenu, même si l’ordinateur est éteint.
Ce dump permet notamment de rechercher des mots de passe en mémoire mais aussi diverses informations sensibles (adresses IP, e-mail, etc) à travers un moteur de recherche intégré.
Chercher précisément des fichiers
L’outil permet également de faire des recherches de fichiers à travers divers filtres :
- extensions de fichiers
- taille de fichiers
- date de création/accès des fichiers
Mais au delà de cette recherche que l’on pourrait considérer comme « classique », l’outil fait surtout la différence sur sa recherche par intelligence artificielle.
Celle-ci propose deux modes à l’heure de ce test :
- La recherche de visages par Intelligence artificielle
- La recherche de contenu illicite par Intelligence artificielle.
La recherche de contenu illicite n’est pas documentée sur le site officiel. On peut imaginer qu’elle inclut plusieurs types d’images interdites.
Cet outil créé donc une nouvelle voie vers la recherche de documents par intelligence artificielle que l’on pourrait utiliser en dehors du cadre juridique.
Par exemple des recherches dont on pourrait appliquer des filtres pour récupérer des fichiers perdus plus rapidement :
- fichiers contenant du texte (type RIB/factures/documents administratifs)
- fichiers contenant des éléments de paysage
- fichiers contenant un objet
- etc…
Si l’analyse forensique vous intéresse, n’hésitez pas à jeter un œil aux articles suivants :
- Introduction à l’analyse de malwares
- Investigation numérique : Retrouver des traces d’un pirate
- Récupérer des photos supprimées [Windows, Facebook, Instagram, etc]
8 Commentaires
Cliquez ici pour ajouter un commentaire
salut michel sympas ton petit truc sûr forensique
salut michel je vient de lire ton petit sujet ainsi que de voir la vidéo sûr le forensique super intéressant.
toujours très bien expliquer avec un petit côté rôle dans les vidéo que tu fait. cela est très sympa
cela change de certain site où blog que j’ai vue où des gens se moque des déboutant.
en se faisant passer pour des super hacker avec de fausse réponse qui leur donne ?
où avec des connerie pas possible ? voir même avec des conseille dangereux pour eux !
quand tu parle avec c’est soit disant hacker de technique bien pousser tu te rend vite contre quand faite
il ne savent rien du tout ? pour n’a part j’ai du mal à comprendre leur façon de faire avec les déboutant
alors que le vrai hacher partage c’est connaissance de façon que tout le monde soit un jours capable de comprendre
voilà où se trouve le vrai partage des connaissance ne jamais. penser être plus fort que les autres
car tu à tout jours une personne qui en sait bien plus que nous.
c’est pour cela que ton blog et très bon michel avec de vrai réponse utile avec des gens qui ne ce font pas passer pour ce qui ne
sont pas. avec des personne simple cela fait plaisir de voir cela . je teint à dire merci pour tout les personne qui sont
souvent sûr ton blog car leur partage de connaissance sont une bonne chose pour beaucoup de gens
est ici en plus on ne se moque pas des déboutant. donc merci à toute les personne présente sûr le blog depuis pas
mal de temps.
Salut et merci pour ces gentils mots. J’ai créé à l’origine ce site précisément parce qu’il y avait un énorme clivage entre d’un côté les « sites de piratage » et de l’autre les « sites élitistes ». Soit on était hors là loi, soit on était rejeté à la moindre question dite « de noob ». Seulement, tout le monde est noob un jour dans n’importe quel domaine. Il n’y a aucune honte à débuter. Au contraire, celui qui débute aujourd’hui aura une longueur d’avance demain sur ceux qui ont préféré délaisser le sujet. Et pour conclure, nous sommes finalement tous des débutants à vie en cybersécurité, personne ne devrait se prétendre expert dans un domaine aussi vaste et évolutif. Au plaisir
PS: rien que tes participations prouvent qu’il y a tant à apprendre. Je gère le site mais j’apprends beaucoup des commentaires des visiteurs.
bonne soirée michel merci beaucoup pour ta réponse très juste. si tout apprendre beaucoup des commentaire des
visiteurs. j’ai moi même vu des chose que je ne savait pas grâce aussi a toi michel cela reste un plaisir pour
moi de partager des connaissance avec toi. car toi aussi tu partage beaucoup avec nous rien que part les
réponse que tu donne pour venir en aide au personnes merci pour eux . au plaisir d’un petit commentaire
à venir sûr le sujet des sandbox
« la connaissance ne vaut que si elle est partagée » comme on dit ! 🙂
bonjour michel ne revoilà enfin. déjà un grand merci pour ta réponse.
comme quoi j’ai un problème avec l’adresse mail. en tout cas super sympas
d’avoir prit le temps de la réponse. surtout si tu la fait en manuelle.
et bien sûr pour ta façon d’être toujours aussi sympathique.
donc juste une petite info pour les gens. pourquoi ne pas utiliser un bloqueur en
écriture. pour une investigation un peut plus pousser.
histoire d’avoir une image disque. afin de préserver le contenu.
bonjour michel la connaissance ne vaut comme tu le dit très
que si elle est partagée. parfaitement d’accord avec toi.
juste un petit truc vite fait au passage leur d’une analyse
pourquoi ne pas utiliser un bloqueur en écriture .
afin de faire une analyse plus pousser du disque dur.
salut michel très bien dit parfaitement d’accord avec toi