Making network protocols go crazy

Aller au contenu | Aller au menu | Aller à la recherche

SSTIC 2012, après midi du deuxième jour

Expert judiciaire en informatique

Mem Zythom - Expert judiciaire et blogueur

Expert judiciaire n'est pas un métier, c'est une activité exercée en parallèle de son métier. Il intervient à la demande des magistrats pour donner des éclaircissements. Il est désigné. Il faut être inscrit sur une liste. Pour celà, il est nécessaire d'en faire la demande par le dépot d'un dossier auprès du procureur de la République. Un certain nombre de conditions sont à remplir (longue liste).

Une suite d'exemples d'expertise (instruction, commerce, civil, privée).

Zoom sur la partie inforensique de l'expertise. Utilisation d'outils gratuits et commerciaux.

Le rôle de l'expert judiciaire doit comprendre techniquement les problèmes afin de pouvoir les expliquer au magistrat. Son rôle n'est pas de prendre des décisions. Ensuite, il évoque les problèmes rencontrés au cours de son activité :

  • missions mal rédigées
  • la confrontation avec les experts des parties concernées

Ce dernier point est très formateur sur le management de réunions de crises.

Forensics iOS

Jean Sigwald - SOGETI Jean-Baptiste Bédrune - SOGETI

Comment obtenir une image sur disque d'un terminal iOS et la déchiffrer. Extraction :

  • logique (outils de backup du device)
  • physique (image des partitions)

Pour l'extraction physique, il est nécessaire d'avoir un accès root (jailbreak). Inconvénient : ca laisse des traces, pas terrible dans le cadre de l'inforensique. Avec certaines protections, le fichier est même chiffré (versions récentes de iOS).

iOS utilise un secure boot. L'interface USB utilise un protocole Apple (USBMUX : USB/TCP). Elle permet le backup, par exemple. Si il n'y a pas de Jailbreak, il faut passer par des vulnérabilités dans la BootROM (secure boot). Dans ce cas, le code PIN n'est pas nécessaire. La flash est chiffrée en AES-256 avec une clé stockée en hardware (Apple a communiqué sur le fait que ces clés sont générées de manière aléatoire en usine et que personne n'y a accès).

Historique des améliorations au niveau protection cryptographique de iOS.

Une démo.

Comme j'ai un peu déccroché, je passe la main à @g4l4drim : http://www.n0secure.org/2012/06/sstic-2012-analyse-forensic-de.html

Suite

J'ai malheureusement dû rater les rump sessions :(