De nos jours, l’informatique ou la criminalistique numérique est très importante en raison des crimes liés aux ordinateurs, à l’Internet et aux mobiles. Les pièces à conviction telles que les appareils informatiques et numériques contiennent ou stockent des informations sensibles qui peuvent être utiles à l’enquêteur judiciaire dans un crime ou un incident particulier.
L’enquête judiciaire numérique a nécessité des outils pour extraire les informations souhaitées des appareils. Plusieurs outils commerciaux existent pour l’enquête médico-légale cependant une énorme quantité est nécessaire pour acheter. La communauté open source a également contribué dans ce domaine et il existe plusieurs outils open source pour le domaine de la criminalistique numérique. Dans cet article, les meilleurs outils liés à la criminalistique numérique seront explorés.
Avant d’explorer les outils bien connus pour la criminalistique numérique, les distributions Linux suivantes contenaient de nombreux outils de criminalistique gratuits.
1) SIFT (SANS Investigative Forensic Toolkit)
Une équipe internationale d’experts en criminalistique, ainsi que des instructeurs du SANS, ont créé la station SANS Incident Forensic Toolkit (SIFT) pour la réponse aux incidents et l’utilisation de la criminalistique numérique. La suite médico-légale SIFT est librement accessible à l’ensemble de la communauté. La boîte à outils gratuite SIFT, qui peut correspondre à n’importe quelle suite d’outils modernes de réponse aux incidents et de criminalistique, est utilisée dans les cours du SANS. Elle démontre que les enquêtes avancées et la réponse aux intrusions peuvent être réalisées à l’aide d’outils open-source de pointe, librement disponibles et fréquemment mis à jour.
Les caractéristiques de la distribution SIFT sont les suivantes :
- Ubuntu LTS 14.04 Base
- Système de base 32/64 bits
- Derniers outils et techniques de médecine légale
- Appliance VMware prête à s’attaquer à la médecine légale
- Cross compatibility between Linux and Windows
- Option d’installation autonome via (.iso) ou d’utiliser via VMware Player/Workstation/
2) CAINE (Computer Aided Investigative Environment)
CAINE est une distribution live Linux créée en tant que projet Digital Forensics. CAINE offre un environnement médico-légal complet qui est organisé pour intégrer les outils logiciels existants sous forme de modules logiciels et pour fournir une interface graphique conviviale.
Les principaux objectifs que la distribution CAINE vise à garantir sont les suivants :
- un environnement interopérable qui soutient l’enquêteur numérique au cours des quatre phases de l’enquête numérique
- une interface graphique conviviale
- contient des outils open source
3) KALI (anciennement Backtrack)
Kali Linux est un projet open source qui est maintenu et financé par Offensive Security, un fournisseur de services de formation en sécurité de l’information et de tests de pénétration de classe mondiale. Kali Linux est le premier choix des testeurs de pénétration et des professionnels de la sécurité. Il dispose d’outils de sécurité pour différents objectifs. Des outils open source pour l’analyse des mobiles,des réseaux et de la mémoire vive sont disponibles dans le Kali Linux.
4) DEFT linux ( Digital Evidence & Forensics Toolkit )
DEFT est une distribution faite pour Computer Forensics, dans le but de fonctionner en direct sur les systèmes sans altérer ou corrompre les périphériques (disques durs, pendrives). Elle est basée sur GNU Linux et peut fonctionner en direct (via CD/DVD ou pendrive USB), être installée ou fonctionner comme une machine virtuelle sur VMware/Virtualbox. DEFT est couplé avec DART ( connu sous le nom de Digital Advanced Response Toolkit), un système Forensics qui peut être exécuté sur Windows et qui contient les meilleurs outils pour Forensics et Incident Response.
5) Martiux
Il s’agit d’une distribution de sécurité complète basée sur Debian composée d’un puissant bouquet de plus de 300 outils libres et gratuits qui peuvent être utilisés à des fins diverses, y compris, mais sans s’y limiter, les tests de pénétration, le piratage éthique, l’administration de systèmes et de réseaux, les enquêtes cybernétiques, les tests de sécurité, l’analyse de vulnérabilité, et bien plus encore. C’est une distribution conçue pour les passionnés et les professionnels de la sécurité, bien qu’elle puisse être utilisée normalement comme votre système de bureau par défaut.
Matriux est conçu pour fonctionner à partir d’un environnement Live comme un CD / DVD ou une clé USB ou il peut facilement être installé sur votre disque dur en quelques étapes. Matriux comprend également un ensemble d’outils de criminalistique informatique et de récupération de données qui peuvent être utilisés pour l’analyse et les enquêtes médico-légales et la récupération de données.
6) Santoku
Santoku est dédié à la criminalistique mobile, l’analyse et la sécurité, et emballé dans une plate-forme Open Source facile à utiliser. Il est sponsorisé par la société de sécurité mobile « nowsecure ».
Outils forensiques gratuits pour Linux
Il existe plusieurs catégories d’outils forensiques informatiques cependant, les catégories suivantes sont bien connues :
- Analyse médico-légale de la mémoire
- Analyse médico-légale du disque dur
- Imagerie médico-légale
- Justice réseau
7) Volatility
8) Utilitaire Linux « dd »
L’utilitaire « dd » est livré par défaut sur la majorité des distributions Linux disponibles aujourd’hui (par exemple Ubuntu, Fedora). Cet outil peut être utilisé pour diverses tâches de criminalistique numérique telles que l’effacement judiciaire d’un disque (mise à zéro d’un disque) et la création d’une image brute d’un disque. Il s’agit d’un outil très puissant qui peut avoir des effets dévastateurs s’il n’est pas utilisé avec précaution. Il est recommandé d’expérimenter dans un environnement sûr avant d’utiliser cet outil dans le monde réel.
9) Sleuth kit (Autopsy)
Sleuth Kit est une boîte à outils de criminalistique numérique open source qui peut être utilisée pour effectuer une analyse approfondie de divers systèmes de fichiers (FAT,NTFS, EXT2/3 etc et images brutes). Autopsy est une interface graphique qui pour Sleuth Kit (outil en ligne de commande). Il est livré avec des fonctionnalités telles que l’analyse de la ligne de temps, le filtrage des hachages, l’analyse du système de fichiers et la recherche par mots-clés, avec la possibilité d’ajouter d’autres modules pour des fonctionnalités étendues.
Lorsque vous lancez Autopsy, vous pouvez choisir de créer un nouveau cas ou de charger un cas existant. Pour créer un nouveau cas, vous devrez charger une image forensique pour commencer l’analyse et une fois le processus d’analyse terminé, utilisez les nœuds du volet de gauche pour choisir les résultats à afficher.
10) Xplico
