Les « webshells » sont couramment utilisés dans les cyber-attaques et peuvent servir à diverses fins malveillantes. Ils peuvent également être difficiles à détecter. Hors, la plupart des cabinets de conseil privés qui effectuent des analyses forensiques utilisent toujours les mêmes outils. Et le monde de  l’investigation numérique utilise et se fie depuis des décennies à certains de ces outils. 

Parce qu’ils travaillent pour des clients entreprises, les analystes forensiques ont tendance à toujours rencontrer le même type de données, généralement sur des systèmes Windows.  Les consultants se familiarisent avec l’emplacement où sont stockées les données, le format auquel elles sont stockées et la manière de les extraire pour une utilisation dans le cadre de litiges.  L’utilisation de protocoles et de procédures spécifiques pour identifier les données, avec leur ou leurs outils forensiques de prédilection, fonctionne bien – jusqu’à ce qu’un jour, ce ne soit plus le cas.

Prenons l’exemple d’un avocat d’entreprise qui a embauché Contact Discovery Services, un cabinet de conseil privé, leur demandant d’accéder à des emails stockés sur un MacBook. L’entreprise avait besoin d’accéder aux emails stockés sur le MacBook utilisé par un employé ayant quitté l’entreprise, emails qui devaient être récupérés de toute urgence.

Premier obstacle à franchir, réaliser une image du Mac. Il n’y avait tout simplement pas de solution facile pour retirer la mémoire interne du MacBook et la dupliquer. Alors le cabinet s’est orienté vers  un outil dont il disposait déjà, à savoir Cellebrite MacQuisition. Cellebrite MacQuisition, conçu pour imager les ordinateurs Apple, a donc été utilisé pour créer une image complète du disque de ce MacBook.  L’image a été créée de manière forensique et aucune donnée n’a été modifiée.

L’affaire

L’analyste forensique affecté à l’affaire était qualifié, il avait environ 10 ans d’expérience en investigation numérique. Sachant que la priorité était de localiser les emails le plus rapidement possible, l’analyste a chargé l’image forensique du MacBook dans des outils traditionnels et a lancé la recherche des fichiers. Les filtres types conçus pour localiser les emails et les archives de messagerie n’ont pas réussi à localiser les données demandées ; aucun email n’a été trouvé.

Ce qui aurait dû être une extraction rapide et facile des données s’est rapidement transformé en une recherche pouvant être longue et complexe. L’analyste s’est mis à chercher et a découvert que les fichiers de messagerie étaient stockés dans un format créé par Outlook pour Mac 2011. 

Il ne connaissait pas bien ce format, ni les extensions de fichiers et les emplacements des dossiers. Pire encore, les outils de renseignement numérique utilisés étaient incapables d’interpréter les données. L’analyste était indécis pour la suite car les outils forensiques standard qu’il utilisait depuis des années s’avéraient inutiles et il ne voyait aucune solution à l’horizon pour trouver le contenu des messages.

C’est alors que l’analyste s’est tourné vers Cellebrite BlackLight. L’image du MacBook a été traitée et Cellebrite BlackLight en a extrait les données. Les fichiers de messagerie, analysés lors du processing ont été affichés dans l’onglet Communications. Bien que l’analyste n’ait aucune expérience de l’utilisation de Cellebrite BlackLight ou de l’exécution d’analyses sur des systèmes MacOS, l’interface intuitive a facilité la localisation des messages.

L’analyste a dès lors pu exporter les messages dans un format que le client pouvait lire facilement. Il a utilisé le statut Export de Cellebrite BlackLight pour fournir au client un calendrier réaliste et précis de clôture du dossier.

Globalement, Cellebrite MacQuisition a pu capturer de manière forensique l’image des données du  MacBook, et Cellebrite BlackLight a automatiquement localisé les emails demandés par le client.  L’interface conviviale de Cellebrite BlackLight a permis à l’analyste de rapidement trouver et exporter les emails sans avoir à effectuer de recherches approfondies. Les attentes du client d’une extraction rapide des emails stockés sur l’appareil ont été satisfaites.

L’analyse

Bien qu’il existe de nombreux outils d’investigation numérique, Cellebrite BlackLight a été sélectionné pour cette analyse, car il permet le traitement de gros volumes de données.

Le résultat

Cellebrite BlackLight a facilité l’ensemble du processus. Toutes les activités d’enquête sont tracées et Cellebrite BlackLight a automatiquement localisé les emails dont le client avait besoin. L’interface est intuitive, rendant les fonctions de recherche, de filtrage et le passage d’une évidence à une autre  extrêmement faciles pour l’utilisateur. Les attentes du client d’une extraction rapide des emails stockés sur l’appareil ont été satisfaites.

« Un client a identifié un ensemble d’emails importants qui avaient disparu sur un compte de messagerie du cloud, compte qui ne faisait pas partie de ce qui était ciblé au départ. Au cours de l’analyse de l’image MacBook acquise avec Cellebrite MacQuisition, nous avons pu facilement identifier les emails manquants avec Cellebrite BlackLight, emails qui étaient stockés localement sur l’ordinateur portable. » – Balal Abouelenein, Analyste forensique, Contact Discovery Services

Fonctionnalités de Cellebrite BlackLight

Le logiciel d’investigation numérique Cellebrite BlackLight permet aux analystes forensiques d’analyser rapidement des volumes informatiques et des appareils mobiles pour mettre en lumière les actions des utilisateurs. Cette solution permet aux enquêteurs de rechercher, filtrer et parcourir facilement des volumes de données importants pour effectuer une analyse intelligente et complète des artefacts Mac ou Windows.

Prise en charge Mac

  • Une interface unique et facile à utiliser
  • Prend en charge les systèmes les plus récents, notamment la puce T2
  • Disques Fusion et cryptés
  • Examiner l’historique à partir de sauvegardes Time Machine et des Snapshots APFS
  • Afficher et rechercher les métadonnées Spotlight
  • Examiner les connexions réseau, les documents récents et l’activité de l’utilisateur

Prise en charge Windows

  • L’outil de confiance pour une analyse plus intelligente
  • Examiner l’historique de l’appareil à partir de Microsoft Volume
  • Shadow copies
  • Analyse intégrée de la mémoire Windows et du registre Windows
  • Analyse automatique des informations de compte, documents récents, téléchargements, la corbeille, et les connexions USB

Cellebrite BlackLight fait désormais partie de la famille Cellebrite

Cellebrite a récemment fait l’acquisition de BlackBag, la société mère de Cellebrite BlackLight, afin d’augmenter la gamme de sources numériques prises en charge et permettre d’inclure les données informatiques dans le flux d’enquête.

Cette complémentarité naturelle renforce l’engagement de Cellebrite à fournir une plateforme d’intelligence numérique inégalée dans le secteur pour accéder, gérer et analyser des données numériques à partir de sources multiples et orchestrer l’ensemble des opérations d’intelligence numérique.

En tirant parti des solutions combinées de l’entreprise, les responsables de services peuvent désormais :

  • Prendre en charge l’accès aux données sur les plateformes Mac et Windows
  • Simplifier l’acquisition de données live
  • Trier des appareils avant extraction
  • Effectuer des extractions de données sélectives

L’ajout de Cellebrite BlackLight à sa solide gamme de solutions de renseignement numérique permet à Cellebrite d’atteindre son objectif de fournir aux clients les meilleurs outils pour répondre à leurs besoins actuels et futurs.

Principaux points à retenir :

  • Cellebrite MacQuisition a été conçu pour créer une image du MacBook.
  • Les outils et méthodes traditionnels, utilisés par un analyste forensique expérimenté, n’ont pas été capables de localiser les emails recherchés.
  • Cellebrite BlackLight a traité automatiquement les fichiers de messagerie stockés dans l’image du MacBook et les a affichés dans l’onglet Communications.
  • Alors que l’analyste n’avait aucune expérience préalable dans l’examen de macOS ou de l’utilisation de Cellebrite BlackLight, l’interface conviviale a facilité la localisation et l’extraction des emails demandés.

Pour en savoir plus sur la façon dont les solutions d’accès et d’analyse informatique de Cellebrite peuvent aider votre organisme, veuillez cliquer ici.

Share this post