Les activités de navigation jouent un rôle dans la plupart des enquêtes. Néanmoins, avant de plonger dans des données de navigation, il y a  quelques questions importantes à se poser.

  • Savez-vous par où commencer ?
  • Savez-vous comment les données pourraient exister sous leur format natif ?
  • Quid des navigateurs par défaut ou cachés ?

L’historique de navigation, les favoris, les données synchronisées et en cache peuvent exister à plusieurs endroits. Vérifier la source des artéfacts de navigation vous garantira de ne pas passer à côté d’éléments d’intérêt.

Une fois que vous avez trouvé la base de données contenant les informations relatives à la navigation, assurez-vous de bien chercher les entrées supprimées qui pourraient ne pas avoir été analysées. Le moyen le plus simple pour cela est d’effectuer une recherche par mots-clés dans Hex si les données n’ont pas été carvées avec le DB Viewer dans Cellebrite Physical Analyzer (PA).

N’ayez pas peur de l’inconnu pour les données d’applications. Entraînez-vous avec PA sur une image que vous connaissez déjà. Créez des données d’essai, supprimez des éléments, puis partez à la chasse pour les retrouver. L’entraînement et la vérification feront de vous un bien meilleur examinateur, et vous aurez l’esprit plus tranquille en sachant que toute l’équipe ici chez Cellebrite est à vos côtés.

Transcription vidéo :

Jusqu’ici dans cette série, nous avons évoqué la découverte de chats et d’artéfacts générauxen utilisant Cellebrite Physical Analyzer. Dans ce blog, j’aimerais que nous nous concentrions sur les données de navigation.

Il y a très peu d’enquêtes dans lesquelles les données de navigation ne jouent pas un rôle essentiel, il est donc important que vous compreniez où chercher ces informations.

Voici quelques trucs et astuces qui vous permettront de trouver les bonnes informations plus rapidement lorsque vous analysez les données.

Vérifiez l’historique Web

L’une des premières choses que je fais lorsque j’active PA est de descendre jusqu’à « historique Web », juste pour voir ce qui est analysé au total.

Dans la capture d’écran ci-dessous, on voit « favoris web » puis « Navigateur Android ». Certains peuvent se poser la question, « mais qu’est-ce qu’un navigateur Android ? » Il s’agit du navigateur qui est préconfiguré par défaut sur tous les appareils Samsung.

La capture d’écran ci-dessous est un bon exemple dans lequel, sous « favoris web », l’outil est en fait en train d’analyser les données. J’ai constaté que dans de nombreux outils commerciaux, le navigateur Samsung n’est pas analysé en terme de favoris. Il est important que vous ayez une vue complète. Par exemple, si je passe maintenant sur mon iPhone, et que je fais exactement la même la chose à savoir défiler jusqu’à « historique web », on voit s’afficher « Safari ».

Assurez-vous de bien comprendre quel navigateur par défaut est configuré sur l’appareil que vous examinez. Dans cet exemple, très clairement, Safari a du sens pour un iPhone tandis que « Ask Browser » conviendrait pour un Samsung.Là où vous devez être vigilant sur des appareils Android, en revanche, c’est que l’utilisateur a la possibilité de modifier son navigateur par défaut. Chaque fois que vous ouvrez un nouvel appareil, il vous faut donc aller dans le dossier des applications et regarder les « applications installées » pour voir si vous y trouvez d’autres navigateurs intéressants.

Il s’agit là d’une étape très importante lorsque vous examinez des appareils Android car si vous passez à côté, comment vous rendrez-vous compte si quelque chose est dissimulé ?

Vérifiez l’hexadécimal

Les outils sont très puissants. Cellebrite Physical Analyzer fera un excellent travail d’analyse de l’historique de navigation. Mais le fait que la solution saisisse toutes les informations ou non ne dépend que de vous. N’oubliez pas par ailleurs que des « données supprimées » peuvent être contenues dans ces bases de données. Lorsque vous allez dans le dossier de la base de données qui vous intéresse, veillez à bien regarder l’hexadécimal.

Lorsque vous êtes en hexa, effectuez une recherche par mots-clés. Utilisez toutes les compétences que vous avez acquises pour vous assurer de ne pas passer à côté d’informations importantes relatives au navigateur.

Share this post