Défi de l'analyse forensique des ordiphones

Magazine
Marque
MISC
Numéro
51
Mois de parution
septembre 2010
Domaines


Résumé

La notion de « convergence des technologies » est devenue une expression à la mode, souvent employée pour vanter les mérites et les capacités des derniers téléphones ou autres équipements mobiles. Ces derniers téléphones, appelés maintenant « ordiphones » (et non plus « smartphones ») dans la langue de Molière, allient à la fois les fonctionnalités d'un PDA , « Personal Data Assistant », (voire d'un ordinateur portable) et celles d'un téléphone portable. Si ces équipements constituent une véritable révolution technologique, les schémas et méthodes d'analyse criminalistique doivent-ils aussi connaître leur propre révolution ?Après avoir abordé dans un premier temps quelques généralités sur ces appareils, nous verrons en quoi ces ordiphones constituent un vrai défi lors de leur analyse forensique. Nous aborderons ensuite les méthodes mises en place par le département informatique et électronique de l'Institut de Recherche Criminelle de la Gendarmerie Nationale pour relever ce défi. Nous précisons que cet article ne s'intéressera pas à l'analyse de la mémoire vive d'un ordiphone, de type « Live forensics », ni de sa carte SIM.


1. Généralités

Malgré la convergence entre la téléphonie et les fonctionnalités d'un PDA, c'est en réalité la partie applicative, autrement dit la partie « PDA » et les systèmes d'exploitation qui ont connu les évolutions les plus rapides et les plus remarquables : du psion organiser (de marque Psion), ancêtre du PDA, aux tous derniers ordiphones, la bataille est toujours ouverte entre les concepteurs de systèmes embarqués : Microsoft, avec Windows CE (cœur de Windows Mobile), Palm, Inc. et son WebOS sous licence GPL, Apple et iPhone OS, Nokia et Symbian OS, sans oublier Google avec Android. Ainsi, les ordiphones d'aujourd'hui se caractérisent principalement par leurs systèmes embarqués. La figure 1 illustre la répartition des parts de marché des différents systèmes d'exploitation embarqués.

Figure1

Fig. 1 : Vente des ordiphones dans le monde au 1er quadrimestre 2010 [Gartner]

Avec plus de 50 millions d'unités vendues dans le monde au 1er...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Antivirus, PowerShell et ORC pour le Live-Forensics

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise en œuvre peut s’avérer complexe sur des systèmes d’information modernes et des zones géographiques étendues. Cet article aborde les capacités de déploiement d’outils de live-forensics au travers des antivirus pour permettre la mise en œuvre des outils de référence, comme DFIR-ORC, lorsque c’est nécessaire.

Traitement de courriels d’hameçonnage avec TheHive & Cortex

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Face au nombre toujours plus important d'alertes de sécurité à qualifier et d'incidents à traiter, il devient primordial pour un SOC ou une équipe CSIRT de mettre en œuvre des solutions permettant d’identifier les sujets prioritaires. L’actualité de ces derniers mois et l’accroissement du nombre de victimes de rançongiciels met en évidence le besoin de détecter et de réagir au plus vite. Cet article propose de montrer comment intégrer TheHive et Cortex au processus de détection et de réponse pour automatiser un certain nombre de tâches, et donc gagner du temps, toujours précieux dans ces situations.

DFIR et CTI, une complémentarité idéale

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Lorsqu’une entreprise constate que son système d’information a été compromis par une attaque d’envergure et persistante, sa préoccupation première consiste à vouloir déloger les attaquants du système, et le sécuriser afin que l’attaquant ne puisse plus revenir. Cependant, pour mener à bien cette noble mission, il est nécessaire à la fois de procéder à des actions de réponse à incident, de confinement (c’est dans l’air du temps), de remédiation, mais aussi de procéder à des investigations plus poussées sur les attaquants et leur mode opératoire. Cette dernière phase n’est pas systématiquement mise en œuvre lors d’une réponse à incident, soit par manque de maturité ou méconnaissance des responsables de la sécurité de l’entreprise, soit par manque de budget, tout simplement. Pourtant, cette connaissance approfondie de l’attaque et de ses auteurs permet de remédier à l’incident beaucoup plus efficacement et souvent d’anticiper de prochaines attaques.

Doper votre SIEM pour la réponse sur incident

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.