Chez Cellebrite, nous souhaitons que vous validiez vos données et que vous connaissiez la source de l’artefact. Nous tentons de rester honnêtes et transparents quant à ce que les résultats signifient. En tant qu’examinateur, vous pouvez utiliser Cellebrite Physical Analyzer pour examiner des applications installées et identifier celles qui présentent un intérêt.

Une fois une application identifiée, vous devez en vérifier la source. Rendez vous directement sur ce répertoire ou base de données intéressante et assurez-vous que Cellebrite Physical Analyzer analyse bien tout ce qui est disponible pour l’application concernée. Veillez à vérifier tout ce que vous trouvez dans la base de données, chats, appels et contacts analysés, etc.

Transcription vidéo :

Lorsque vous souhaitez découvrir des artéfacts grâce à Cellebrite Physical Analyzer (PA) (ou si vous souhaitez juste vous assurer que l’outil analyse les données correctement), la première chose que je vous recommande de faire est d’aller directement dans le dossier « Applications installées ».

Dans la capture d’écran ci-dessous, si vous allez dans « Apps Informations » et que vous regardez les « Applications installées », vous voyez qu’il y a 398 applications listées, dont sept ont été effacées.

Comme indiqué ci-dessous, lorsque j’ouvre « Applications installées », je trie généralement par nom et je regarde le total en cours d’analyse.

Comme vous pouvez le constater, on a tout sur Amazon mobile. L’écran montre également qu’il y a quelques petits logiciels malveillants et quelques applications spécifiques de calendrier qui pourraient présenter un intérêt. 

Les applications de chat de Facebook sont une autre source d’artefacts dans laquelle il est bon de creuser.

Maintenant que vous avez trouvé une application intéressante (Viber), l’étape suivante est de vous assurer que votre outil l’analyse correctement. Pour ce faire, je vous conseille de regarder les fichiers source. Nous évoquons souvent ces fichiers source car il est extrêmement important que vous sachiez d’où cet artefact provient.

Dans l’exemple ci-dessous, je vais dans Viber. Ce que je veux faire c’est vérifier la source, afin de savoir d’où elle vient.

Sur le panneau de droite, on peut constater sous la base de données que les données Viber analysent les appels.

Si l’on clique sur « Messages Viber » on constate (ci-dessous) que Viber analyse la table des participants depuis la base de données des messages Viber.

Si vous m’avez déjà entendu parler, vous savez que je dis toujours « allez valider votre outil. » Sur l’écran ci-dessous, je regarde dans les données Viber. Ici je peux voir les appels, et ils ont l’air légitimes donc je suis satisfait de cela.

Maintenant si je reviens en arrière et que je clique sur « viber_messages », on m’indique que les participants ont été analysés. Dans l’exemple ci-dessous je vois qu’il y a deux participants. Or on constate aussi qu’il y a 32 messages.

La plupart des gens vont se dire que PA ne les analyse pas. Ce serait mentir que de vous dire que je ne suis pas coupable de faire la même chose et de vous montrer du doigt. Mais avant de faire cela, remontons aux « Chats » et regardons rapidement pour vérifier si notre outil les a vraiment analysés ou s’il est tout simplement passé à côté ? Nous pouvons constater ici que PA a bien analysé 29 messages, donc on est bon.

Dans la deuxième partie de cette série, nous allons regarder d’un peu plus près les applications de chat.

Et cela nous emmènera à ladeuxième partie de cette sérieoù nous évoquerons la question : « votre outil recueille-t-il toutes les données liées aux applications de chat ? »

Share this post