Week 3 Acquisition et Intégrité

Question 1

Quels sont les objectifs d’apprentissage de cette session ?

Answer 1

Mémoriser les types et techniques d’acquisition, différencier les stockages volatiles et non-volatiles, et résumer les mécanismes de traçabilité.

Question 2

Pourquoi est-il important de récupérer l’heure du système lors d’une acquisition ?

Answer 2

Pour interpréter correctement les horodatages (timestamps) ultérieurement, surtout si l’appareil est encore en marche (récupérer la timezone).

Question 3

Qu’est-ce que l’acquisition de données en forensique numérique ?

Answer 3

C’est le fait d’accéder aux données et d’en faire une copie pour une future analyse, en évitant les modifications des données originales.

Question 4

Quel est le principe fondamental de la forensique numérique concernant l’analyse des supports ?

Answer 4

Ne jamais analyser directement le support original, mais toujours travailler sur des copies forensiques (sauf situations extraordinaires).

Question 5

Quelles informations sur un disque ne sont pas toujours visibles directement ?

Answer 5

Structure logique (MBR, GPT), système de fichiers (FAT, ext4), espace non alloué, espace inter-partitions, etc.

Question 6

Quels sont les différents types d’acquisition de données ?

Answer 6

Acquisition hardware vs. numérique, physique vs. logique, et selon la complexité du support (simple, RAID, environnement, etc.).

Question 7

Quels sont les trois types d’acquisition ?

IMPORTANT (Slide 10-11)

Answer 7

• Logique(accès que aux fichiers persos en utilisant explorateur Windows)
• Système de fichiers (accès root, donc tous les fichiers et dossiers mais pas les données éffacés/non-alloués. En utilisant Explorateur Windows)
• Physique (Tout mais ne contourne pas le chiffrement des données. Si système de fichiers crypté alors alors cette acquisition est inutile )

Question 8

Quelle est la différence entre stockage volatile et non-volatile ?

Answer 8

• Volatile : données perdues sans courant (RAM)
• Non-volatile : données persistantes (disques durs, SSD, clés USB, CD/DVD).

Question 9

Quelles données peuvent être trouvées dans la mémoire vive (RAM) ?

Answer 9

Mots de passe en clair, processus en cours, caches, registres CPU.

Outils : DumpIT, WINpmem, FTK Imager, etc.

Question 10

Quelles sont les trois familles de supports de stockage non volatiles ?

Answer 10

Magnétiques (HDD),
Flash (NAND), et
optiques (CD/DVD).

Les supports magnétiques sont quasi disparus pour l’usage personnel.

Question 11

Quels sont les connecteurs courants pour les appareils de stockage ?

Answer 11

IDE, SATA, USB, ATA, SCSI, Thunderbolt, Firewire, et connecteurs spécifiques aux smartphones.

Question 12

Quels sont les types de copies forensiques ?

Answer 12

• Clone : copie complète sur un support de capacité égale.
• Image : copie dans un fichier (formats RAW, E01, AFF4).

Question 13

Qu’est-ce qu’une image forensique au format RAW ?

Answer 13

Une copie bit-à-bit sans modification, ni checksum, ni compression. Exemple : fichiers .raw, .dd, .img.

Question 14

Quelles sont les caractéristiques du format E01 pour les images forensiques ?

Answer 14

Inclut un header (infos sur le cas), des CRCs entre blocs de 64 secteurs, un footer avec hash MD5, et est compressible/indexable.

Question 15

Quels sont les mécanismes pour préserver l’intégrité pendant l’acquisition ?

Answer 15

Bloqueurs d’écriture (logiciels, matériels), traçabilité via empreintes numériques (hashing), et documentation des actions.

Question 16

Comment fonctionne un bloqueur d’écriture intégré au support ?

Answer 16

Protection physique (clapet sur disquettes, loquet sur cartes mémoire) ou supports non réinscriptibles (CD-R, DVD-R).

Question 17

Qu’est-ce qu’un bloqueur d’écriture logiciel et quelles sont ses limites ?

Answer 17

Il monte les supports en lecture seule mais est inefficace contre les accès directs au disque (éditeurs hexadécimaux).

Question 18

Comment monter un disque en lecture seule sous Linux ?

Answer 18

Commande : sudo mount -o ro /dev/sdX /mnt/point_de_montage`.

Sous Windows, utiliser des outils comme OSFmount.

Question 19

Quels sont les OS forensiques bootables mentionnés ?

Answer 19

Linux : Paladin, Caine, Tsurugi. Windows : WinFE. macOS : MacQuisition. Ils incluent des outils d’investigation.

Question 20

Qu’est-ce qu’un bloqueur d’écriture matériel et comment le valider ?

Answer 20

Boîtier physique empêchant l’écriture sur le support. À valider régulièrement pour s’assurer de son efficacité.

Question 21

Qu’est-ce qu’un duplicateur forensique et ses avantages ?

Answer 21

Boîtier autonome pour cloner des supports, souvent plus rapide qu’un ordinateur. Attention à ne pas inverser source/destination.

Question 22

Quels sont les risques des appareils malveillants ressemblant à des clés USB ?

Answer 22

Ils peuvent endommager le matériel (USB Killer) ou exfiltrer des données (Rubber Ducky).

Question 23

Quel est le but de la traçabilité en forensique numérique ?

Answer 23

Assurer la continuité de la preuve en suivant le mouvement des supports via empreintes numériques et documentation.

Question 24

Qu’est-ce qu’une fonction de hash et quelles sont ses propriétés ?

Answer 24

Fonction produisant une empreinte unique.

Propriétés : résistance à la pré-image, seconde pré-image, et collisions.

Question 25

Quels sont des exemples de fonctions de hachage cryptographiques ?

Answer 25

MD5 (32 caractères), SHA1 (40 caractères), SHA256 (64 caractères). Utilisées pour vérifier l'intégrité des données.

Question 26

Comment les fonctions de hash sont-elles utilisées en forensique ?

Answer 26

Pour les copies forensiques, vérification d'intégrité, traçabilité, et exclusion/inclusion de fichiers dans l'analyse.

Question 27

Quels sont les trois types d'acquisition pour les appareils mobiles ?

Answer 27

Logique (demande au téléphone), système de fichiers (accès admin), et physique (accès direct à la mémoire).

Question 28

Quelles méthodes permettent une acquisition physique sur mobile ?

Answer 28

Exploit (mode spécial), JTAG (débogage), connexion filaire directe, ou chip-off (retrait du composant mémoire).

Question 29

Quels sont les avantages et inconvénients des méthodes d'acquisition sur mobile ?

Answer 29

Logique : simple mais données limitées. Système de fichiers : accès complet mais besoin de root. Physique : complet mais complexe/risqué.

Question 30

Quels sont les types de stockage dans le cloud ?

Answer 30

Stockage pur (données uniquement dans le cloud) et synchronisation (copie locale + cloud).

Question 31

Quels sont les défis de l'acquisition dans le cloud ?

Answer 31

Accès physique impossible, chiffrement zero knowledge, difficulté à détecter l'utilisation du cloud.

Question 32

Quels sont les défis des appareils endommagés ou immergés ?

Answer 32

Récupération complexe après destruction physique ou immersion. Traitement : nettoyage, séchage, etc.

Question 33

Quels sont les défis non physiques en forensique numérique ?

Answer 33

Multitude de supports, chiffrement, RAID, cloud, IoT, HPA (Hidden Protected Area), DCO (Device Configuration Overlay).

Question 34

Quels sont les points clés à retenir sur l'acquisition et l'intégrité ?

Answer 34

Variété des supports, importance des bloqueurs d'écriture et du hashing, complexité des mobiles, et documentation essentielle.