Les Journées francophones de l'investigation numérique ou JFIN 2008 organisée par l'association AFSIN à laquelle Lexfo a adhéré se déroule du 03 au 05 Septembre 2008 à Vandoeuvre Les Nancy.

Lire la suite

Nouvellement nommé expert judiciaire près la Cour d'appel de Paris pour une période probatoire de 2 ans, je commence sérieusement à me préparer à ma première expertise.

Lire la suite

Lexfo vous souhaite une excellente année 2008 !

CIL signifie Correspondant Informatique et Libertés. Il est chargé d'assurer, d'une manière indépendante, le respect des obligations dans la loi Informatique et Libertés. Il veille ainsi à l'application de cette loi aux traitements pour lesquels il a été désigné.

Lire la suite

La présentation faite à l'OSSIR le 8 Octobre 2007 sur le thème "Retour d'expérience de missions de forensics" est désormais en ligne (disponible sur la page Ressources du site).

Cette présentation détaille les différentes problématiques rencontrées lors de missions de forensics et les solutions adoptées. Y est décrit aussi l'outil Forensics Live Tool de Lexfo utilisé dans un contexte réel de détection de compromission.

Lors d'une affaire de harcèlement sexuel, la Cour de Cassation a retenu le SMS comme preuve valide [1] et a condamné un employeur à des dommages et intérêts.

Lire la suite

L'édition 2007 du SSTIC est terminée, et à nouveau nous avons pu assister à des conférences de qualité. Terminant une investigation informatique pour un client le mardi, je n'ai pu m'y rendre que le mercredi vers midi...

Lire la suite

Dans l'article sur l'acquisition de données sur les mobiles publié dans MISC, il est décrit à la fin comment décoder un SMS.

Un SMS récupéré avec Chipit par exemple est sous cette forme:

0007913386094000F0040B913326345678F100007030323022304012C16030180C0
683C16030180C0683C120FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

Le premier octet ici 00 signifie que le SMS est inutilisé. Le TPDU est en fait encodé en ASCII 7 bits avec un en-tête.

J'ai utilisé l'API pduconv développé par Nerdlabs Consulting pour créer rapidement un petit décodeur de SMS :

$ ./decodesms /tmp/sms
SMS decoder (c) Lexfo 2007

Status: unused (0x00)
Service number: +33689004000
Sender number: +33614365871
Message length: 18
Message: AAAAAAAAAAAAAAAAAA

J'ai simplement extrait les données les plus utiles pour les expertises forensiques.

Lexfo a publié dans MISC 31 un article intitulé "Acquisition de données sur les mobiles". Différentes techniques pour récupérer les données sur un terminal GSM ou une carte SIM (y compris les données effacées) sont détaillées et peuvent être reprises lors d'une expertise judiciaire :

Lire la suite

Dans le précédent billet, nous avons évoqué la commande jfs_logdump et la manière d'avoir d'obtenir un historique des modifications des fichiers sur JFS. Un autre outil dont dispose Lexfo permet cette fois-ci de récupérer les fichiers effacés sur JFS, ce que j'appelle plus spécifiquement: Root D-Tree recovery.

Pour le développement, Lexfo s'est appuyé sur les documents suivants:

• JFS Overview
• JFS Layout
• JFS Log
• Forensics for Advanced UNIX File Systems

En étudiant ces documents, on commence à deviner les techniques pour cacher des données (à la manière de thegrugq sur ext2/ext3 ?) dans un système de fichiers JFS. Je pensais notamment au fsck working space ou bien entre 2 xad...