Elcomsoft iOS Forensic Toolkit

Accès médico-légal aux appareils iPhone/iPad/iPod sous Apple iOS

Effectuez l’acquisition médico-légale complète des données utilisateur stockées dans les appareils iPhone/iPad/iPod. Elcomsoft iOS Forensic Toolkit permet de visualiser les systèmes de fichiers des appareils, d’extraire les secrets des appareils (codes d’accès, mots de passe et clés de cryptage) et d’accéder aux appareils verrouillés via des enregistrements de verrouillage.

Voir Appareils et plates-formes compatibles pour plus de détails.

Acquisition physique d’appareils iOS

L’acquisition physique est la seule méthode d’acquisition permettant d’extraire les données d’application complètes, les éléments de porte-clés protégés, les messages téléchargés et l’historique des emplacements. L’acquisition physique renvoie plus d’informations par rapport à l’acquisition logique grâce à un accès direct de bas niveau aux données.

Elcomsoft iOS Forensic Toolkit prend en charge les appareils 64 bits jailbreakés (iPhone 5s et versions ultérieures) exécutant la plupart des versions d’iOS (sous réserve de la disponibilité du jailbreak). L’utilisation d’un jailbreak basé sur bootrom permet l’acquisition partielle de porte-clés du système de fichiers & pour les modèles d’iPhone BFU, verrouillés et désactivés allant de l’iPhone 5s à l’iPhone X (via le jailbreak checkra1n). Système de fichiers complet et acquisition complète de porte-clés pour les appareils déverrouillés de cette gamme d’appareils.

Extraction complète du système de fichiers et décryptage du trousseau Sans Jailbreak

Une méthode d’extraction sans jailbreak basée sur un accès direct au système de fichiers est disponible pour une gamme limitée d’appareils iOS. À l’aide d’un outil d’extraction développé en interne, ce procédé d’acquisition installe un agent d’extraction sur le dispositif à acquérir. L’agent communique avec l’ordinateur de l’expert, offrant des performances robustes et une vitesse d’extraction extrêmement élevée, atteignant 2,5 Go de données par minute.

Mieux encore, l’extraction basée sur un agent est totalement sûre car elle ne modifie ni la partition système ni ne remonte le système de fichiers tout en effectuant un hachage automatique à la volée des informations extraites. L’extraction basée sur un agent n’apporte aucune modification aux données utilisateur, offrant une extraction médico-légale.

L’image du système de fichiers et tous les enregistrements du trousseau sont extraits et déchiffrés. La méthode d’extraction basée sur un agent offre des performances solides et permet une extraction médico-légale. Le retrait de l’agent de l’appareil après l’extraction nécessite une simple pression sur un bouton.

Vous pouvez extraire le système de fichiers complet ou utiliser l’option d’extraction express, en n’acquérant que des fichiers à partir de la partition utilisateur. En ignorant les fichiers stockés dans la partition système de l’appareil, l’option d’extraction express permet de réduire le temps nécessaire pour effectuer le travail et de réduire l’espace de stockage de plusieurs gigaoctets de contenu statique.

L’installation et la signature de l’agent d’extraction nécessitent un identifiant Apple enregistré dans le programme de développement Apple. L’édition Mac supprime cette exigence, ce qui permet d’utiliser un identifiant Apple standard pour signer et charger l’agent d’extraction sur l’appareil iOS.

Déverrouillage et imagerie des appareils existants: Le déverrouillage par code d’accès et la prise en charge de l’imagerie des iPhone 4, 5 et 5c

sont disponibles pour les modèles iPhone existants.

La boîte à outils peut être utilisée pour déverrouiller des appareils iPhone 4, 5 et 5c cryptés protégés par un code secret de verrouillage d’écran inconnu en essayant de récupérer le code PIN original à 4 ou 6 chiffres. Cette attaque DFU fonctionne à la vitesse de 13,6 codes d’accès par seconde sur les appareils iPhone 5 et 5c, et ne prend que 12 minutes pour déverrouiller un iPhone protégé par un code PIN à 4 chiffres. Les broches à 6 chiffres prendront jusqu’à 21 heures. Une attaque intelligente sera utilisée automatiquement pour tenter de couper cette fois autant que possible. En moins de 4 minutes, l’outil va essayer plusieurs milliers de codes d’accès les plus couramment utilisés tels que 000000, 123456 ou 121212, suivis d’épingles à 6 chiffres en fonction des dates de naissance. Avec 74 000 d’entre eux, l’attaque intelligente prend environ 1,5 heure. En cas d’échec, la force brute totale du reste des codes d’accès est initiée. (Remarque: la récupération du code d’accès s’exécute à la vitesse de 6,6 codes d’accès par seconde sur l’iPhone 4).

L’acquisition physique complète est disponible pour les appareils iOS existants, y compris les iPhone 4, 5 et 5c. Pour tous les modèles pris en charge, la boîte à outils peut extraire l’image bit-précise de la partition utilisateur et décrypter le trousseau. Si l’appareil exécute iOS 4 à 7, l’imagerie peut être effectuée même sans casser le code de verrouillage de l’écran, tandis que les appareils exécutant iOS 8 à 10 nécessitent d’abord de casser le code d’accès. Pour tous les modèles pris en charge, la boîte à outils peut extraire et déchiffrer la partition utilisateur et le trousseau.

Remarques: Édition Mac uniquement; l’iPhone 4s n’est pas pris en charge. Pour iOS 4 à 7, la récupération du code d’accès n’est pas requise pour l’imagerie de l’appareil. Pour iOS 8 et 9, le code d’accès doit être récupéré avant l’imagerie (sinon, extraction BFU limitée disponible).

Acquisition logique

iOS Forensic Toolkit prend en charge l’acquisition logique, une méthode d’acquisition plus simple et plus sûre que physique. L’acquisition logique produit une sauvegarde standard de type iTunes des informations stockées dans l’appareil, extrait les fichiers multimédias et partagés et extrait les journaux de plantage du système. Bien que l’acquisition logique renvoie moins d’informations que l’acquisition physique, il est recommandé aux experts de créer une sauvegarde logique de l’appareil avant d’essayer des techniques d’acquisition plus invasives.

Nous recommandons toujours d’utiliser l’acquisition logique en combinaison avec l’acquisition physique pour extraire en toute sécurité tous les types de preuves possibles.

Fichiers multimédias et partagés

Extrayez rapidement des fichiers multimédias tels que la pellicule, les livres, les enregistrements vocaux et la médiathèque iTunes. Contrairement à la création d’une sauvegarde locale, qui pourrait être une opération potentiellement longue, l’extraction de médias fonctionne rapidement sur tous les périphériques pris en charge. L’extraction à partir de périphériques verrouillés est possible en utilisant un enregistrement d’appariement (fichier de verrouillage).

En plus des fichiers multimédias, iOS Forensic Toolkit peut extraire les fichiers stockés de plusieurs applications, extrayant des preuves cruciales sans jailbreak. Extrayez les documents stockés localement dans Adobe Reader et Microsoft Office, la base de données de mots de passe MiniKeePass et bien plus encore. L’extraction nécessite un appareil déverrouillé ou un enregistrement de verrouillage non expiré.

Effectuez l’acquisition physique et logique des appareils iPhone, iPad et iPod Touch. Système de fichiers de périphérique d’image, extraire les secrets de périphérique (mots de passe, clés de cryptage et données protégées) et décrypter l’image du système de fichiers.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.