Les techniques de forensics sur téléphone verrouillé reposent sur l’exécution de code avant qu’Android ne démarre, c'est-à-dire au niveau du bootloader (composant logiciel constructeur). Les téléphones Android étant réalisés par de multiples constructeurs, il existe autant de méthodes de forensics. Cet article présente quelques techniques adaptables à une majorité de téléphones. Les travaux ont été réalisés sur les versions d'Android 2.x et concernent encore la majorité des terminaux. Ceci est adaptable par le lecteur sur les dernières versions…
1. Contexte
1.1. Forensics ordinateurs vs téléphones
Le forensics sur ordinateur revient souvent à monter le disque dur en secondaire, effectuer une copie bit à bit (commande dd) et enfin analyser le système de fichiers (FS). Réaliser le même genre d’opérations sur un téléphone est plus complexe puisqu’il est nécessaire de dessouder entièrement la mémoire flash. Nous allons voir qu’il est souvent possible de ne pas en arriver là en prenant en compte les différents composants logiciels qui s’exécutent sur un téléphone.
1.2. Acteurs de l’environnement Android
Plusieurs entreprises ayant des métiers complémentaires collaborent pour sortir les jolis terminaux que nous mettons dans nos poches. Nous les détaillons ici dans le contexte d’Android :
- Android est le système d’exploitation open source, partagé sous le nom AOSP (Android Open Source Project) [AOSP] réalisé par Google.
- Les OEM (Original Equipment Manufacturer) sont les...
