L’analyse forensique correspond à un ensemble de techniques utilisées par les experts pour collecter, analyser et interpréter des traces numériques pour présenter des faits tangibles à la justice. Pour cela, la forensique s’appuie sur plusieurs outils dans le cadre d’une poursuite civile ou criminelle, notamment des logiciels commerciaux ou open source. On fait le point sur les plus connus.

BlueBear Lace Forensic Carver

Si vous avez de gros volumes de supports visuels à traiter, à catégoriser et à gérer, vous pouvez compter sur le Lace Carver de BlueBear. Concrètement, cet impressionnant outil est capable de traiter pas moins d’un million d’images en moins de 2 heures, sans jamais planter ! En outre, il ne nécessite aucun dongle et aide les enquêteurs à catégoriser de grandes quantités de données (images et vidéos) rapidement et efficacement. Dans les faits, cette solution est dotée d’une fonction d’analyse biométrique avancée qui permet de détecter les visages automatiquement, de les extraire et de les compiler en une liste de suspects ou de victimes, pour enfin les comparer aux bases de données faciles existantes dans les fichiers de la police. Cerise sur le gâteau : BlueBear Lace Forensic Carver dispose d’une fonctionnalité qui permet à l’enquêteur de rechercher un seul visage dans la base de données de faciès accumulée à partir de n’importe quel fichier image. Utilisé à travers le monde par de nombreux services de polices judiciaires pour l’extraction de preuves numériques.

BlueBear Lace Forensic Carver

https://bb-les.ca/notre-solution/forensic-carver/

Digital Forensic Framework

Digital Forensic Framework, ou DFF, est une solution d’analyse et de présentation de données qui permet d’extraire et de relier différentes traces suspectes et des données provenant de divers fichiers. L’autre caractéristique de l’outil est qu’il est également capable de récupérer des données supprimées par l’utilisateur, fonctionnalité essentielle dans le domaine d’application de l’analyse forensique.
Développé par ArxSys il est disponible sous licence Open Source sur le GitHub de l’auteur, et est écrit en Python et C++ et peut se déployer sur toutes les plateformes prenant en charge ces langages.
Son principal atout est sa structure organisée en modules dont certains peuvent être définis par l’utilisateur et qui permet de travailler avec un grand nombre de systèmes de fichiers ou de formats de fichiers différents. DFF est un outil indispensable de tout expert forensic.

https://github.com/arxsys/dff

Forensic Toolkit

L’analyse des emails et la recherche par mots clés n’ont aucun secret pour Forensic Toolkit. Sans surprise, cet outil est l’un des favoris dans les rangs des forces de police, qui l’apprécient notamment pour sa stabilité, mais aussi pour ses autres fonctions fort utiles. Par exemple FTK a une fonction intégrée d’OCR qui permet de gagner du temps en recherches et en traitements de fichiers images. Forensic Toolkit est particulièrement bon pour déchiffrer des fichiers et casser des mots de passe et un autre atout indéniable est sa technologie de visualisation qui permet, via des graphiques (timeline, clusters, camemberts, cartes de geolocalisation…) d’avoir une vue d’ensemble des événements et de se représenter les données d’une manière lisible.

https://www.exterro.com/forensic-toolkit

Disk Drill

Comme son nom le laisse entendre, Disk Drill permet de récupérer des données (images, documents, fichiers vidéo…) de divers dispositifs de stockage sur Mac et sur Windows. Développé par Cleverfiles.

https://www.cleverfiles.com/

Magnet Forensics

Cette solution est capable de récupérer et d’analyser un grand nombre de données physiques pour ensuite les charger dans des outils spécifiques tels que Cellebrite. Téléphones, véhicules Tesla, Cloud, … La suite d’outils est utilisée par de nombreuses agences de renseignement dans le monde entier.

Magnet Forensics 

https://www.magnetforensics.com/

EnCase Forensic Software

Acquisition, restauration de disques durs, rapports complets… EnCase Forensic Software est un outil qui permet de faire une enquête complète d’un disque, téléphone, etc…

https://e-forensic.ca/products/encase-forensic-suite/

Outil OpenSource de l’ANSSI DFIR-ORC

Après avoir été utilisé sur plus de 8 ans et plus de 150 000 postes, l’agence française de l’ANSSI a publié sur son github ses outils d’analyse forensique de recherche de compromission. La suite d’outils est baptisée DFIR ORC (DFIR – Outil de Recherche de Compromission), ces outils sont utilisés dans le cadre des réponses à incidents et sert seulement à effectuer des snapshots de l’environnement Windows afin de rassembler des preuves numériques sans impacter aucunement l’environnement de production.

https://dfir-orc.github.io/

Livre “Les outils d’analyse forensique sous Windows” d’Harlan Carvey

Ces outils ont fait l’objet d’un livre éponyme de l’américain Harlan Carvey, paru aux éditions Pearsons dans sa deuxième édition augmentée. Harlan Carvey est consultant en analyse forensique et réponse aux incidents, qui a travaillé comme ingénieur sécurité et consultant en évaluation des risques pour plusieurs agences du gouvernement américain. Il est donc bien placé pour connaître les meilleurs outils d’analyse forensique sous windows, ce qui l’a d’ailleurs poussé à consacrer un livre au sujet. Dans cet ouvrage, l’auteur fait appel à son expérience pour livrer au lecteur une sorte de boîte à outils qui permet d’analyser les systèmes Windows. Du fait de leur popularité, ces derniers constituent une cible de choix pour les cybercriminels. Notez que le livre inclut un DVD-ROM qui contient des outils personnalisés d’analyse forensique, des vidéos et des fichiers d’exemple.

Livre “Les outils d’analyse forensique sous Windows” d’Harlan Carvey

https://www.eyrolles.com/Informatique/Livre/outils-d-analyse-forensique-sous-windows-9782744024306/