Archives de catégorie : Expertises

Constat via Internet

Le constat via internet, analyse technique & recommandations.

Le constat via internet est l’une des activités d’un Huissier ; pour effectuer le constat, l’Huissier suit la norme AFNOR NF Z67-147, norme rédigée par la commission « actes authentiques d’huissiers de Justice « , basée sur du bon sens, du pragmatisme et l’addition des jurisprudences passées.

Respecter cette norme permettra à l’Huissier de produire un constat depuis internet plus difficilement remis en cause par une tierce partie puisque les conditions techniques de constat sont précisément définies et explicitées.

Compte tenu de la technicité de certaines opérations, l’Huissier de Justice pourra se faire accompagner d’un expert informatique.

Si ce n’est pas suivi par l’Huissier, le constat est considéré comme nul.

Recommandations pour un constat internet

Enfin, le  12 janvier 2016, la Cour d’Appel de Paris a rendu un arrêt décrivant précisément les actions et informations  indispensables de l’huissier avant d’effectuer un constat internet. Ces éléments sont repris, et largement complétés de retour d’expérience d’une douzaine de constats internet analysés.

  • citer la norme utilisée pour réaliser le constat Internet
  • décrire ordinateur utilisé (marque, modèle, numéro de série)
  • décrire le système d’exploitation (version  précise de l’OS + date des derniers correctifs),
  • décrire le navigateur Internet (version précise), et démontrer l’absence de plugins/composants tiers
  • assurer qu’il n’y a pas de proxy indiqué au niveau de l’OS, comme au niveau de navigateur.
  • l’architecture du réseau local (absence de connexion à un serveur Proxy, adresses des serveurs DNS utilisés, adresses IP locales, pare-feu)
  • joindre le résultat d’un tracert vers le site visé.
  • assurer que l’ip du site web est bien liée au nom FQDN (https://whois.icann.org/fr)
  • montrer qu’un moteur antivirus est présent, actif, à jour et ne mentionne aucune alarme.
  • décrire le mode  de connexion à Internet (+FAI)
  • préciser le paramétrage de définition de l’écran qui servira à la capture,
  • synchroniser la date et l’horloge de l’ordinateur avec une source de temps fiable (NTP),
  • supprimer les fichiers temporaires stockés sur celui-ci, les mémoires caches, l’historique de navigation et les cookies,
  • paramétrer les fichiers temporaires à 0 pour que le navigateur n’exploite pas le cache local  (cookies, mots de passe, cache, formulaire,…) et qu’il affiche la page directement du site web
  • décrire, répertorier et enregistrer le contenu de ses constatations et, à la fin de son constat, procéder à la capture des informations sur la cible (en mentionnant la date /heure de chaque capture, l’url , et le séquencement)

Mêmes si points semblent nombreux, ils peuvent être pris comme du bon sens (d’un point de vue technique) mais ne doivent pas obscurcir quelques difficultés complémentaires :

  • est-ce qu’il n’y a pas dans le réseau de sortie internet un proxy transparent au niveau du firewall, au niveau de la box d’accès internet ou au niveau de l’opérateur ?
  • est-ce que les flux (type http voire https) ne sont pas modifiés ou altérés par des équipements réseaux ou même via l’opérateur ?

Dans certains cas de figure, quelques points complémentaires sont alors à ajouter dans le constat :

  • vérifier la neutralité  avec ce site web par exemple https://ip.lafibre.info/neutralite.php qui permet d’identifier les textes et/ou images sont modifiés entre l’origine et la version du navigateur.
  • vérifier la détection d’un proxy web via ce lien http://monip.org/ ou  http://fr.infobyip.com/detectproxy.php
  • vérifier l’état du fichier hosts local au poste
  • privilégier un serveur DNS ouvert et libre (pour éviter les DNS menteurs)
  • un Wireshark prêt à capturer tout le trafic le temps de la navigation web depuis le début jusqu’à la fin de la saisie (capture vers une second disque), capture qui sera haschée (SHA256 min)
  • Une capture vidéo de la séquence de constat internet (également haschée)
  • sauvegarder chaque page page capturée au format HTML (texte) afin de renforcer la valeur de la capture « visuelle »
  • Idéalement compléter le constat par une 2 opération depuis un autre PC (ou VM ou Live USB) avec un autre OS/Navigateur pour confirmer la similitude des résultats.
  • Prêter attention si le site web est accessible par un CDN (type AWS, Akamai, Cloudfare), qui joue le rôle de cache….

Il arrive que les éléments à constater disparaissent du web avec le temps, plutôt que réaliser le constat depuis le site web en live, le constat peut être réalisé à partir de l’un des outils en ligne  qui archivent/sauvegardes des versions antérieures de sites webs avec notamment : archive.org , archive-it.org , google.com et screenshots.com

En 2014, archive.org a été intégré dans un arrêt de la cour de Cassation, et en le 04/10/2019 la Cour d’Appel de Paris a confirmé une évolution vers la reconnaissance de la valeur probante des extraits de la Wayback Machine (archive.org). Cette position s’aligne avec certaines juridictions européennes (OEB – Office Européen des Brevets) et internationales (OMPI – Office Mondial de la Propriété Intellectuelle) qui ont précédemment consacré ce mode de preuve. 

PS : il existe des outils d’acquisition de site web accessible depuis internet comme FAW, i-constat, Fastone Capture,… Ces outils peuvent faire gagner du temps par l’automatisme de certains points mais ne répondent pas à l’intégralité des exigences qui devront être abordées manuellement.

Outils d’analyse post-mortem …

… principalement pour les experts de justice.

1 – Boot sur USB avec plusieurs ISO

On jongle souvent avec nombre parfois important de distributions type Linux (Cain, Kali, Paladium, …) ou Windows sur des clés USB différentes qu’il faut mettre à jour régulièrement. Selon les distributions, il faudra utiliser son outil préféré (Rufus, ou Etcher, ou « Outils de téléchargement USB », ou Ubootin ou…).

Pour éviter de jongler avec toutes les clés USB, une première solution est matérielle en achetant un disque USB type Zalman ZM-VE-350 (environ 60€ pour le boitier nu) qui stockera tous vos ISO sur disque et seront sélectionnables via un menu affiché sur le disque dur.

La seconde solution, utiliser un outil open source.

Soit Easy2boot très bien expliqué ici https://www.cachem.fr/easy-2-boot-creez-cle-usb-multi-iso/

Soit Ventoy, ultra simple, rapide à mettre en place aussi bien pour une clé USB qu’un disque dur USB !!

https://www.ventoy.net/en/index.html

Il suffit d’exécuter le fichier Ventoy2disk.Exe,

Choisir le support USB qui sera formaté et go via Install

Il faut copier ensuite ses ISO préférées dans le lecteur (partition) du support USB créé par Ventoy et c’est tout !

Plus de 215 ISO sont validées avec Ventoy : https://www.ventoy.net/en/isolist.html

Création de l’image physique d’un disque dur

Un mode opératoire pour capturer l’image physique d’un disque dur à des fins d’analyse de contenu.

Deux modes de copie de contenu d’un disque dur :

– la logique => identique à celle retrouvée dans une copie de fichiers Windows ou Linux. Inconvénient : modification de la propriétés des fichiers copiés (horodatage, canaux cachés, etc… et copie seule des fichiers connus/indexés par le système source.

– la physique => on prend une partition ou un disque entier puis on transfère octet par octet l’intégralité du contenu (incluant les zones ayant contenu des fichiers effacés, contenant aussi les conteneurs cachés ou cryptés) sans toucher aux propriétés des fichiers.

Les différentes informations ont été pompées depuis ces 2 sites (par ailleurs passionnants)  : http://zythom.blogspot.fr et http://www.brunovalentin.com

1 – Création du Live USB.

L’objectif : pouvoir démarrer l’ordinateur visé sur un périphérique externe sans intervenir sur le contenu du disque dur.

Deux outils open source sont utilisés :  l’ISO de DEFT 8   (ou à peu près n’importe quel LiveCD Linux) et  LinuxLive USB Creator

Une clé USB (> 4Go)

Un partage réseau (CIFS) sur un NAS ou PC ou un autre PC pouvant exécuter Netcat, avec suffisamment d’espace disque pour accueillir l’image du disque capturé.

– Installez LinuxLive USB Creator sur votre propre PC : il va vous permettre de générer une clé USB bootable contenant Deft 8.

  • Choisissez la lettre de votre clé USB
  • Sélectionnez l’ISO => un test de compatibilité sera fait pour s’assurer que le boot soit possible.
  • (à mon avis), décochez la première case et la 3ème, cochez la seconde.
  • cliquez sur l’éclair.

Capture2

Si la capture de l’image disque doit se faire depuis un PC ancien (qui ne supporterait pas un OS 64bits), préférez DEFt 7.2.

 2 – Préparation de la capture et prise d’empreinte

– Assurez-vous d’avoir désactivé les fonctions SMART dans le bios (soit du PC, soit de la carte Controleur).

– Si votre transfert se fait via un partage CIFS (ou Samba), regroupez les informations nécessaires à la connexion au partage (@IP, nom d’utilisateur, voire de domaine AD,  password, et nom du partage).

– Bootez sur Deft, lancez l’interface graphique (deft-gui) passez en clavier FR, puis sous terminal montez votre partage Windows sous Deft :

mount -t cifs //10.0.0.10/capture  -o username=utilisateur   /root/capture1

 

Prenez l’empreinte du disque à capturer. Cette empreinte, réalisée avant toute intervention, vous donnera une valeur ou une clé (un hash)  qui correspond à un calcul sur la totalité des données du disque. Si vous refaites l’opération X fois et que vous obtenez toujours la même clé : cela signifie que le contenu du disque n’a pas été altéré ou modifié.

– Utilisez pour cela Dhash 2 :

Capture1

 

– Cochez les cases MD5 et SHA1 afin de générer les Hash selon ces deux modes de calcul puis cliquez juste sur Acquire

– Sauvegardez le résultat en cliquant sur SaveLog et en spécifiant le chemin CIFS monté plus haut.

 

 3 – Réalisation de la Capture

Juste un :

dd_rescue  -l /root/capture1/journal.log /dev/sda  /root/capture1/sda-xxxx.hdd

où  :

/dev/sda désigne le disque physique à capturer

le -l /root/capture1/journal.log sert à journaliser les erreurs qui seraient rencontrées lors de la lecture des secteurs .

 

Si le disque comporte des erreurs physiques, l’utilisation de ddrescue (sans le _) peut s’avérer plus efficace en terme de délai de capture.

ddrescue -B -r 1 /dev/sda  /root/capture1/sda-xxxx.hdd

 

4 – Exploitation du disque capturé

Le fichier généré ci-dessus est exploitable de plusieurs manières :

– montage sous VMWare du disque comme secondaire d’un OS existant (attention si c’est Windows , le simple fait de monter une nouveau lecteur en écriture suffit à ce qu’il modifie le contenu , entre autres choses à cause de l’indexation automatique…)

– lancement de PhotoRec avec le fichier hdd en ligne de commande

– exploitation avec AutoPsy 3.x

 

Quelques liens utiles :

http://www.garloff.de/kurt/linux/ddrescue/

http://forum.hardware.fr/hfr/OSAlternatifs/Hardware-2/recuperation-donnees-illisible-sujet_58662_1.htm

http://major.io/2010/12/14/mounting-a-raw-partition-file-made-with-dd-or-dd_rescue-in-linux/