Outils informatiques d’analyse judiciaire : comment choisir celui qui convient à chaque incident

De temps à autre, les experts médico-légaux tout comme les personnes curieuses devront étudier les technologies à l'aide d'outils qui ne sont pas toujours facilement accessibles. Pour cette raison, cet article explore des moyens simples qui vous aideront à trouver les bons outils pour chaque occasion.

Bien sûr, vous pouvez toujours faire une recherche sur Internet pour trouver ce dont vous avez besoin. Néanmoins. tellement d'informations est disponibles en ligne que le défi est souvent de savoir comment les filtrer.

Nous vous proposons donc ci-dessous quelques options très utiles qui vous aideront à trouver des outils logiciels spécifiques dans leurs répertoires officiels.

Catalogue d'outils de criminalistique informatique du NIST

En utilisant le portail du National Institute of Standards and Technology (NIST) des États-Unis, vous trouverez des classifications claires, qui facilitent les recherches dans les différents outils judiciaires filtrés par fonctionnalité.

Répertoire d’outils d'analyse juridiciaire du NIST (Institut national des normes et de la technologie des États-Unis)

Comme vous pouvez le voir dans l'image, le catalogue peut être recherché par des paramètres techniques basés sur des fonctions judiciaires numériques spécifiques, telles que l'imagerie disque ou la récupération de fichiers supprimés. Dans chaque catégorie, vous trouverez tout, depuis les outils d'analyse pour les services cloud jusqu'à l'analyse des drones et des véhicules, en passant par des catégories telles que l'analyse des données, l'analyse des bases de données, la récupération des fichiers supprimés, l'imagerie disque, l'analyse des courriers électroniques, l'analyse de hachage, l'analyse des images (fichiers vidéo et graphiques), la messagerie instantanée, la capture et analyse de mémoire, les appareils mobiles, les enquêtes de VoIP et Wifi Forensics, et plus encore.

Ce catalogue a été développé conjointement par plusieurs agences américaines, dont le Department of Homeland Security, l'Office of Science and Technology Policy, la National Cyber Security Division et le Computer Forensics Tool Testing Program, du National Institute of Standards and Technology.

Le portail est divisé en trois sections : une fonction de recherche pour trouver des outils, une page permettant aux fournisseurs d'entrer des informations sur leurs outils, et une description des fonctions et des paramètres techniques.

Résultat de la recherche d'outils d'analyse judiciaire pour les services en nuage

Dans l'image ci-dessus, vous pouvez voir le résultat de la recherche d'outils d'analyse judiciaire pour les services dans le nuage, et dans l'image ci-dessous, un résultat lié au Registre Microsoft Windows.

Résultat de recherche pour les outils d'analyse pour le répertoire Windows - 11 outils trouvés

Il est à noter que les fournisseurs saisissent l'information pour chaque outil. Le portail précise que toute mention d'un produit, qu'elle soit commerciale ou non, n'est faite qu'à titre d'information et n'implique pas qu'un produit a été testé.

Ce recueil d'outils donne également un aperçu général des outils d'analyse médico-légale numérique et montre les lacunes qui existent, c'est-à-dire les fonctions pour lesquelles aucun outil n'a été élaboré, de sorte que l'analyse peut s’avérer plus complexe, ou requérir une exécution purement manuelle.

Catalogue de formation sur les outils de l'informatique judiciaire du DFIR

Une autre option très intéressante est offerte par la communauté DFIR, qui offre un portail très complet avec une grande quantité de ressources pour répondre aux incidents médico-légaux. En plus d'une option de recherche avec une interface graphique très conviviale, il permet aux utilisateurs de laisser des commentaires sur les outils disponibles.

Option de recherche de formation du DFIR

Il dispose également d'un utilitaire pour visualiser les applications les plus populaires, les plus téléchargées, les plus à jour, etc.

Informations sur les applications les plus populaires, les plus téléchargées, les plus récemment mises à jour, etc.

De plus, il inclut de nombreuses ressources pour tester les outils, ainsi que des guides rapides et des infographies.

Et il ne faut pas oublier de mentionner que beaucoup de distributions de Linux destinées au pentesting incluent les outils les plus utilisés, comme vous pouvez le voir dans les images ci-dessous.

Volatility: un classique pour l'analyse de la mémoire RAM. Il s'exécute à partir d'une fenêtre de terminal

Autopsy: un autre classique disponible dans plusieurs versions de Linux telles que Kali

Enfin, il est important de se rappeler que dans de nombreux cas, les outils dont vous avez besoin sont déjà configurés et préinstallés sur des distributions plus spécifiquement destinées à l'analyse légale, comme DEFT. Avant de les utiliser, je vous recommande de lire un peu comment les utiliser, les meilleures pratiques et de les mettre à jour avec la dernière version disponible.

Ainsi, vous n'avez plus d'excuses. Tout au long de ce billet, nous vous avons montré où trouver les outils et les ressources dont vous avez besoin pour commencer à pratiquer ou à perfectionner vos compétences dans ce monde passionnant de l'analyse judiciaire.