Les téléphones portables endommagés sont encore remplis de nombreuses données utiles, selon les chercheurs du National Institute of Standards and Technology (NIST), qui fait partie du ministère américain du commerce. Le NIST a publié les résultats d'une récente étude sur les méthodes scientifiques permettant d'obtenir des données à partir de téléphones mobiles endommagés. Il a testé les outils utilisés par les forces de l'ordre pour pirater les téléphones et a constaté que même si les criminels tentent de détruire les preuves en brûlant, en coulant ou cassant leurs téléphones, les outils techniques peuvent toujours extraire avec succès des données des composants électroniques du téléphone.
"Si le téléphone présente des dommages structurels ou thermiques, ou encore des dommages causés par un liquide, il est encore possible de les contourner parfois", explique Rick Ayers, l'expert en médecine légale numérique du NIST qui a dirigé l'étude. Il a déclaré au ZDNet que les techniques modernes de police scientifique sont efficaces, bien que cela n'ait pas toujours été le cas.
L'évolution de la criminalistique mobile
Ayers travaille sur la criminalistique mobile pour le gouvernement des États-Unis depuis 17 ans. Pendant cette période, il a été témoin de l'évolution des téléphones mobiles et des outils informatiques utilisés pour les enquêtes. Il a commencé en 2003 avec les PDA (assistants numériques personnels) tels que les Palm Pilot et le PDA mobile Windows, puis les téléphones de fonctionnalités de base et les premiers iPhones.
Si les premiers appareils mobiles étaient alors révolutionnaires, ils avaient des capacités limitées et ne contenaient donc pas beaucoup de preuves utiles pour les forces de l'ordre. Ils avaient des journaux de téléphonie, quelques messages et peut-être quelques photos. De plus, il n'y avait pas beaucoup d'outils informatiques fiables pour extraire des données. Les outils qui existaient n'étaient pas standardisés, de sorte qu'ils ne pouvaient être utilisés que sur certaines marques et certains modèles, comme un outil qui ne pouvait pirater qu'un téléphone Nokia.
Maintenant, dit Ayers, il y a une pléthore de preuves sur les téléphones portables et des outils meilleurs et plus universels pour extraire ces données.
"En fait, tout le monde a un ordinateur miniature dans sa poche", dit Ayers.
Les capacités dont bénéficient les consommateurs sur les smartphones modernes sont également utiles pour les enquêtes criminelles. Nous laissons tous derrière nous une trace numérique de nos déplacements, des personnes avec lesquelles nous communiquons, de ce que nous achetons, et bien plus encore. Toutes les applications, les vidéos et la navigation sur Internet que nous effectuons sur nos téléphones sont accompagnées de métadonnées qui peuvent être extraites par des méthodes techniques modernes de police scientifique.
Comment le NIST a testé les méthodes de police scientifique
Les chercheurs ont mis des données sur des téléphones et ont ensuite tenté de les extraire à l'aide d'outils médico-légaux.
Ayers explique : "Nous disposons d'un banc d'essai de 40 ou 50 appareils Android et iOS et de téléphones à fonctionnalités diverses et nous remplissons chacun de ces téléphones pour savoir exactement ce qu'il y a sur le téléphone. Nous utilisons chacun de ces téléphones comme le ferait un utilisateur normal".
L'informaticienne du NIST Jenise Reyes-Rodriguez utilise la méthode JTAG pour acquérir des données à partir d'un téléphone portable endommagé.
Ils ont ajouté des contacts, des applications de médias sociaux avec de faux comptes, et ont créé de multiples comptes pour se parler. Ils se sont déplacés avec les téléphones pour que les données GPS soient ajoutées. Ils ont ajouté des données et les ont supprimées afin de pouvoir tester si les outils pouvaient extraire à la fois les données actives et les données supprimées.
Ensuite, ils ont utilisé deux techniques de police scientifique pour pénétrer dans les téléphones afin de voir si les données pouvaient être récupérées.
Comment pirater un téléphone endommagé
"Le JTAG et la méthode du chip-off sont deux techniques qui permettent d'obtenir un vidage de la mémoire octet pour octet des données contenues dans un appareil mobile", explique M. Ayers.
L'informaticienne du NIST Jenise Reyes-Rodriguez a effectué la procédure JTAG sur place.
JTAG signifie Joint Task Action Group, l'association industrielle qui s'est formée pour créer une norme pour la fabrication de circuits intégrés. L'étude du NIST ne portait que sur les appareils Android, car la plupart des appareils Android sont "J-taggable", alors que les appareils iOS ne le sont pas. La technique scientifique tire profit des prises, abréviation de "test access ports", qui sont généralement utilisées par les fabricants pour tester leurs circuits imprimés. En soudant des fils sur les prises, les enquêteurs peuvent accéder aux données des puces.
Pour effectuer une extraction JTAG, Reyes-Rodriguez a d'abord cassé le téléphone pour accéder à la carte de circuit imprimé (PCB). Elle a soigneusement soudé de fins fils de la taille d'un cheveu humain sur de petits composants métalliques appelés taps, qui ont à peu près la taille de la pointe d'une punaise.
"Le JTAG est très fastidieux et vous avez besoin de beaucoup de formation", déclare Ayers. "Vous devez avoir de bons yeux et une main très stable."
Les chercheurs ont comparé le JTAG à la méthode du chip-off, qui est une autre technique médico-légale. Alors que le travail du JTAG a été effectué au NIST, l'extraction de la puce a été réalisée par le laboratoire d'analyse numérique de la police de Fort Worth et une société privée d'analyse du Colorado appelée VTO Labs.
De délicates broches métalliques relient les puces à la carte de circuit imprimé d'un téléphone. Une ancienne version de la méthode du "chip-off" consistait pour les experts à retirer doucement les puces d'un circuit imprimé, mais cela risquait d'endommager les minuscules broches, ce qui rendait impossible l'obtention des données. Avec la nouvelle technique, les experts en informatique légale broient le circuit imprimé jusqu'aux broches situées sous la puce, puis placent la puce dans un lecteur.
Ayers explique : "Cela va vous donner plus de données qu'avec une extraction logique de fichier par logiciel".
Résultats de l'étude
Après l'extraction des données, Ayers et Reyes-Rodriguez ont utilisé un logiciel médico-légal pour interpréter les données. Ils ont récupéré les contacts, les lieux, les données des médias sociaux, etc. et les ont comparés aux données originales qu'ils avaient chargées sur les téléphones. Ils en ont conclu que les méthodes JTAG et chip-off permettaient d'extraire efficacement les données des téléphones.
Cette étude s'est concentrée sur les outils médico-légaux utilisés pour extraire les données, mais elle ne s'est pas intéressée à la manière de passer outre les données chiffrées. Cependant, les chercheurs notent que les agents des forces de l'ordre sont souvent capables de récupérer les mots de passe des criminels pendant l'enquête.
source :
https://www.zdnet.com/article/burn-drown-or-smash-your-phone-forensics-can-extract-data-anyway/