Défi de l'analyse forensique des ordiphones

Magazine
Marque
MISC
Numéro
51
Mois de parution
septembre 2010
Domaines


Résumé

La notion de « convergence des technologies » est devenue une expression à la mode, souvent employée pour vanter les mérites et les capacités des derniers téléphones ou autres équipements mobiles. Ces derniers téléphones, appelés maintenant « ordiphones » (et non plus « smartphones ») dans la langue de Molière, allient à la fois les fonctionnalités d'un PDA , « Personal Data Assistant », (voire d'un ordinateur portable) et celles d'un téléphone portable. Si ces équipements constituent une véritable révolution technologique, les schémas et méthodes d'analyse criminalistique doivent-ils aussi connaître leur propre révolution ?Après avoir abordé dans un premier temps quelques généralités sur ces appareils, nous verrons en quoi ces ordiphones constituent un vrai défi lors de leur analyse forensique. Nous aborderons ensuite les méthodes mises en place par le département informatique et électronique de l'Institut de Recherche Criminelle de la Gendarmerie Nationale pour relever ce défi. Nous précisons que cet article ne s'intéressera pas à l'analyse de la mémoire vive d'un ordiphone, de type « Live forensics », ni de sa carte SIM.


1. Généralités

Malgré la convergence entre la téléphonie et les fonctionnalités d'un PDA, c'est en réalité la partie applicative, autrement dit la partie « PDA » et les systèmes d'exploitation qui ont connu les évolutions les plus rapides et les plus remarquables : du psion organiser (de marque Psion), ancêtre du PDA, aux tous derniers ordiphones, la bataille est toujours ouverte entre les concepteurs de systèmes embarqués : Microsoft, avec Windows CE (cœur de Windows Mobile), Palm, Inc. et son WebOS sous licence GPL, Apple et iPhone OS, Nokia et Symbian OS, sans oublier Google avec Android. Ainsi, les ordiphones d'aujourd'hui se caractérisent principalement par leurs systèmes embarqués. La figure 1 illustre la répartition des parts de marché des différents systèmes d'exploitation embarqués.

Figure1

Fig. 1 : Vente des ordiphones dans le monde au 1er quadrimestre 2010 [Gartner]

Avec plus de 50 millions d'unités vendues dans le monde au 1er...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction aux TPM (Trusted Platform Modules)

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Les TPM (Trusted Platform Modules), brique de base du Trusted Computing, ont été imaginés il y a une vingtaine d’années, et pourtant ils ne sont pas très utilisés malgré leurs réelles qualités. Comment expliquer cela ? Cet article tend à fournir de premiers éléments de réponse.

Identification automatique de signaux grâce à la fonction d’autocorrélation

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Vous connaissiez la chasse au trésor… Initiez-vous maintenant à la chasse au signal (signal hunting en anglais). La chasse au signal consiste à rechercher les signaux qui nous entourent dans l’espace invisible du spectre électromagnétique. Mais plus besoin de rester l’oreille collée sur un haut-parleur à tourner le bouton pour régler la fréquence. La SDR (Software Defined Radio) a révolutionné tout cela : une radio numérique et un PC est vous voilà armé pour découvrir ce monde que les professionnels dénomment le SIGINT (SIGnal INTelligence).

Avec le Spanning Tree Protocol, suis-je en sécurité dans mon réseau ?

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Dans le cadre des hors-séries sur les retours aux fondamentaux, cet article aura comme sujet le protocole STP (Spanning Tree Protocol). Inventé en 1985 par Radia Perlman, il permet principalement d’assurer une liaison réseau redondante et sans boucle. Ce protocole étant primordial au sein d’un réseau de moyenne à grande envergure, s’il n’est pas correctement configuré, cela pourra alors permettre à des attaquants de compromettre le réseau.

Return oriented programming 101

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Le Returned Oriented Programming (ou ROP) est une technique permettant d'exploiter des programmes disposant de la protection NX (No eXecute) ou DEP (Data Execution Prevention). L'objectif de cet article est de vous présenter les bases du ROP, ainsi que l’exploitation pas-à-pas d’un programme d’entraînement via l'utilisation de la bibliothèque python pwntools [1]. Dans un souci de simplicité, la démonstration sera réalisée sur un programme s'exécutant sur un système Linux 64 bits. Bien entendu, cette démonstration reste applicable sur d'autres architectures (ARM, MIPS, etc.).

Use-After-Free dans le noyau Linux

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Pièce logicielle qui a accompagné les deux dernières décennies, le noyau Linux est un système relativement complet qui dispose d’un allocateur de mémoire dynamique. Comme tous les logiciels classiques, le noyau est ainsi régulièrement sujet à des vulnérabilités de type Use-After-Free via cet allocateur.