La criminalistique numérique est un processus de préservation, d’identification, d’extraction et de documentation des preuves informatiques qui peuvent être utilisées par la cour de justice. Il existe de nombreux outils qui vous aident à rendre ce processus simple et facile. Ces applications fournissent des rapports complets qui peuvent être utilisés pour les procédures judiciaires.
Voici une liste triée sur le volet de boîtes à outils de criminalistique numérique, avec leurs caractéristiques populaires et les liens vers les sites Web. La liste contient à la fois des logiciels open source(gratuits) et commerciaux(payants).
1) ProDiscover Forensic
ProDiscover Forensic est une application de sécurité informatique qui vous permet de localiser toutes les données sur un disque d’ordinateur. Elle peut protéger les preuves et créer des rapports de qualité pour l’utilisation des procédures légales. Cet outil vous permet d’extraire les informations EXIF(Exchangeable Image File Format) des fichiers JPEG.
Caractéristiques :
- Ce produit prend en charge les systèmes de fichiers Windows, Mac et Linux.
- Vous pouvez prévisualiser et rechercher des fichiers suspects rapidement.
- Il crée une copie de l’ensemble du disque suspect pour garder les preuves originales en sécurité.
- Cet outil vous aide à voir l’historique internet.
- Vous pouvez importer ou exporter des images au format .dd.
- Il vous permet d’ajouter des commentaires aux preuves qui vous intéressent.
- ProDiscover Forensic prend en charge VMware pour exécuter une image capturée.
Lien : https://www.prodiscover.com
2) Kit Sleuth (+Autopsie)
Sleuth Kit (+Autopsy) est un outil utilitaire basé sur Windows qui facilite l’analyse médico-légale des systèmes informatiques. Cet outil vous permet d’examiner votre disque dur et votre smartphone.
Caractéristiques :
- Vous pouvez identifier l’activité à l’aide d’une interface graphique de manière efficace.
- Cette application fournit une analyse pour les emails.
- Vous pouvez regrouper les fichiers par leur type pour trouver tous les documents ou les images.
- Il affiche une vignette des images pour visualiser rapidement les images.
- Vous pouvez marquer les fichiers avec les noms de balises arbitraires.
- Le kit Sleuth vous permet d’extraire des données des journaux d’appels, des SMS, des contacts, etc.
- Il vous aide à marquer les fichiers et les dossiers en fonction du chemin et du nom.
Lien : https://www.sleuthkit.org
3) CAINE
CAINE est une application basée sur Ubuntu qui offre un environnement médico-légal complet proposant une interface graphique. Cet outil peut être intégré aux outils logiciels existants en tant que module. Il extrait automatiquement une ligne de temps de la mémoire vive.
Caractéristiques :
- Il aide l’enquêteur numérique pendant les quatre phases de l’enquête numérique.
- Il offre une interface conviviale.
- Vous pouvez personnaliser les caractéristiques de CAINE.
- Ce logiciel offre de nombreux outils conviviaux.
Lien : https://www.caine-live.net
4) PALADIN
PALADIN est un outil basé sur Ubuntu qui vous permet de simplifier une série de tâches médico-légales. Il fournit plus de 100 outils utiles pour enquêter sur tout matériel malveillant. Cet outil vous aide à simplifier votre tâche forensique rapidement et efficacement.
Caractéristiques :
- Il fournit des versions 64 bits et 32 bits.
- Cet outil est disponible sur une clé USB.
- Cette boîte à outils dispose d’outils open-source qui vous aident à rechercher les informations requises sans effort.
- Cet outil possède plus de 33 catégories qui vous aident à accomplir une tâche cybernétique.
Lien : https://sumuri.com/software/paladin/
5) EnCase
Encase est une application qui vous aide à récupérer des preuves sur les disques durs. Elle vous permet d’effectuer une analyse approfondie des fichiers pour recueillir des preuves comme des documents, des photos, etc.
Caractéristiques :
- Vous pouvez acquérir des données à partir de nombreux appareils, notamment des téléphones portables, des tablettes, etc.
- Il vous permet de produire des rapports complets pour maintenir l’intégrité des preuves.
- Vous pouvez rapidement rechercher, identifier, ainsi que hiérarchiser les preuves.
- Encase-forensic vous aide à déverrouiller les preuves cryptées.
- Il automatise la préparation des preuves.
- Vous pouvez effectuer des analyses profondes et de triage (gravité et priorité des défauts).
Lien : https://www.guidancesoftware.com/encase-forensic
6) SANS SIFT
SANS SIFT est une distribution de criminalistique informatique basée sur Ubuntu. Elle fournit un dispositif d’examen médico-légal numérique et de réponse aux incidents.
Caractéristiques :
- Il peut fonctionner sur un système d’exploitation 64 bits.
- Cet outil aide les utilisateurs à mieux utiliser la mémoire.
- Il met automatiquement à jour le paquet DFIR (Digital Forensics and Incident Response).
- Vous pouvez l’installer via l’installateur SIFT-CLI (Command-Line Interface).
- Cet outil contient de nombreux outils et techniques médico-légales de pointe.
Lien : https://digital-forensics.sans.org/community/downloads/
7) FTK Imager
FTK Imager est une boîte à outils médico-légale i développée par AccessData qui peut être utilisée pour obtenir des preuves. Il peut créer des copies de données sans apporter de modifications aux preuves originales. Cet outil vous permet de spécifier des critères, comme la taille du fichier, la taille du pixel et le type de données, afin de réduire la quantité de données non pertinentes.
Caractéristiques :
- Il fournit une approche guidée par un assistant pour détecter la cybercriminalité.
- Ce programme offre une meilleure visualisation des données à l’aide d’un graphique.
- Vous pouvez récupérer les mots de passe de plus de 100 applications.
- Il dispose d’une facilité d’analyse des données avancée et automatisée.
- FTK Imager vous aide à gérer des profils réutilisables pour différents besoins d’investigation.
- Il prend en charge le raffinement avant et après traitement.
Lien : https://accessdata.com/products-services/forensic-toolkit-ftk
8) Capture magnétique de la RAM
La capture magnétique de la RAM enregistre la mémoire d’un ordinateur suspect. Elle permet aux enquêteurs de récupérer et d’analyser les éléments de valeur qui se trouvent dans la mémoire.
Caractéristiques :
- Vous pouvez exécuter cette application tout en minimisant les données écrasées en mémoire.
- Elle vous permet d’exporter les données de mémoire capturées et de les télécharger dans des outils d’analyse comme magnet AXIOM et magnet IEF.
- Cette application prend en charge une vaste gamme de systèmes d’exploitation Windows.
- La capture de RAM magnet prend en charge l’acquisition de RAM.
Lien : https://www.magnetforensics.com/resources/magnet-ram-capture/
9) X-Ways Forensics
X-Ways est un logiciel qui fournit un environnement de travail aux examinateurs judiciaires d’ordinateurs. Ce programme est prend en charge le clonage de disque et l’imagerie. Il vous permet de collaborer avec d’autres personnes qui disposent de cet outil.
Caractéristiques :
- Il a la capacité de lire les structures de partitionnement et de système de fichiers à l’intérieur des fichiers image .dd.
- Vous pouvez accéder aux disques, aux RAID (Redundant array of independent disk), et plus encore.
- Il identifie automatiquement les partitions perdues ou supprimées.
- Cet outil peut facilement détecter NTFS (New Technology File System) et ADS (Alternate Data Streams).
- X-Ways Forensics prend en charge les signets ou les annotations.
- Il a la capacité d’analyser des ordinateurs distants.
- Vous pouvez visualiser et modifier des données binaires en utilisant des modèles.
- Il fournit une protection en écriture pour maintenir l’authenticité des données.
Lien : http://www.x-ways.net/forensics/
10) Wireshark
Wireshark est un outil qui analyse un paquet réseau. Il peut être utilisé pour pour les tests et le dépannage du réseau. Cet outil vous aide à vérifier les différents trafics qui passent par votre système informatique.
Caractéristiques :
- Il fournit une analyse VoIP (Voice over Internet Protocol) riche.
- Les fichiers de capture compressés avec gzip peuvent être décompressés facilement.
- Les données de sortie peuvent être exportées vers un fichier XML (langage de balisage extensible), CSV (Comma Separated Values) ou du texte brut.
- Les données en direct peuvent être lues depuis le réseau, blue-tooth, ATM, USB, etc.
- Support de décryptage pour de nombreux protocoles qui incluent IPsec (Internet Protocol Security), SSL (Secure Sockets Layer), et WEP (Wired Equivalent Privacy).
- Vous pouvez appliquer une analyse intuitive, des règles de coloration au paquet.
- Vous permet de lire ou d’écrire un fichier dans n’importe quel format.
Lien : https://www.wireshark.org
11) Registry Recon
Registry Recon est un outil d’expertise informatique utilisé pour extraire, récupérer et analyser les données de registre du système d’exploitation Windows. Ce programme peut être utilisé pour déterminer efficacement les périphériques externes qui ont été connectés à n’importe quel PC.
Caractéristiques:
- Il prend en charge Windows XP, Vista, 7, 8, 10 et d’autres systèmes d’exploitation.
- Cet outil récupère automatiquement les précieuses données NTFS.
- Vous pouvez l’intégrer à l’outil utilitaire Microsoft Disk Manager.
- Montez rapidement toutes les VSC (Volume Shadow Copies) d’un disque.
- Ce programme reconstruit la base de données du registre actif.
Lien : https://arsenalrecon.com/products/
12) Volatility Framework
Volatility Framework est un logiciel d’analyse et d’expertise de la mémoire. Il vous aide à tester l’état d’exécution d’un système à l’aide des données trouvées dans la mémoire vive. Cette application vous permet de collaborer avec vos coéquipiers.
Caractéristiques :
- Elle possède une API qui vous permet de consulter rapidement les drapeaux PTE (Page Table Entry).
- Volatility Framework prend en charge KASLR (Kernel Address Space Layout Randomization).
- Cet outil fournit de nombreux plugins pour vérifier le fonctionnement des fichiers Mac.
- Il exécute automatiquement la commande Failure lorsqu’un service ne parvient pas à démarrer plusieurs fois.
Lien : https://www.volatilityfoundation.org
13) Xplico
Xplico est une application open-source d’analyse forensique. Elle prend en charge les protocoles HTTP( Hypertext Transfer Protocol), IMAP (Internet Message Access Protocol), et plus encore.
Caractéristiques :
- Vous pouvez obtenir vos données de sortie dans la base de données SQLite ou MySQL.
- Cet outil vous donne une collaboration en temps réel.
- Aucune limite de taille sur l’entrée de données ou le nombre de fichiers.
- Vous pouvez facilement créer n’importe quel type de répartiteur pour organiser les données extraites d’une manière utile.
- Il prend en charge à la fois IPv4 et IPv6.
- Vous pouvez effectuer une recherche DNS de réserve à partir de paquets DNS ayant des fichiers d’entrée.
- Xplico fournit la fonctionnalité PIPI (Port Independent Protocol Identification) pour soutenir la criminalistique numérique.
Lien : https://www.xplico.org
14) e-fense
E-fense est un outil qui vous aide à répondre à vos besoins en matière de criminalistique informatique et de cybersécurité. Il vous permet de découvrir des fichiers à partir de n’importe quel appareil dans une interface simple à utiliser.
Caractéristiques :
- Il offre une protection contre les comportements malveillants, le piratage et les violations de politiques.
- Vous pouvez acquérir l’historique internet, la mémoire et la capture d’écran d’un système sur une clé USB.
- Cet outil a une interface simple à utiliser qui vous permet d’atteindre votre objectif d’investigation.
- E-fense prend en charge le multithreading, ce qui signifie que vous pouvez exécuter plus d’un thread simultanément.
Lien : http://www.e-fense.com/products.php
15) Crowdstrike
Crowdstrike est un logiciel de criminalistique numérique qui fournit des renseignements sur les menaces, la sécurité des points de terminaison, etc. Il peut détecter et récupérer rapidement les incidents de cybersécurité. Vous pouvez utiliser cet outil pour trouver et bloquer les attaquants en temps réel.
Caractéristiques :
- Cet outil vous aide à gérer les vulnérabilités du système.
- Il peut analyser automatiquement les logiciels malveillants.
- Vous pouvez sécuriser votre centre de données virtuel, physique et basé sur le cloud.
Lien : https://www.crowdstrike.com/endpoint-security-products/falcon-endpoint-protection-pro/
.