Sem 3

Question 1

Quel est l’objectif pdt le prélèvement ?

Answer 1

Identifier les éléments susceptibles de contenir des données nécessaires à l’analyse et les prélever tout en préservant leur intégrité et en garantissant une traçabilités

Question 2

Pk l’étape de prélèvements est importante ?

Answer 2

Éviter que les traces (numériques) ne disparaissent et permettre qu’elles soient analysées

Question 3

Quels sont les trois risques de confusion des traces?

Answer 3

• temps qui passe
• contamination
• pollutions

Question 4

Comment éviter la confusion des traces?

Answer 4

Documentation / prélèvement / préservation

Question 5

Citer les étapes de la confusion des traces au fil du temps

Answer 5

• traces antérieures à l’action
• traces liées à l’action
• traces postérieures à l’action
• traces postérieures à la prise en compte de la scène

Question 6

C’est quoi le bruit de fond ?

Answer 6

Tranches antérieurs à l’action

Question 7

C’est quoi les contaminations?

Answer 7

Traces postérieures à l’action

Question 8

C’est quoi la pollutions?

Answer 8

Traces postérieures à la prise en compte de la scène

Question 9

Les traces numériques sont très sujettes à la confusion des traces?

Answer 9

Nan elles sont moins sujettes à la confusion

Question 10

Qu’est ce qui est une décision d’intervention?

Answer 10

Étude de différentes dimensions

Question 11

Qu’est ce qui est un protocole d’intervention?

Answer 11

• gel des lieux
• démarche de prise en compte de la scène

Question 12

Quels sont les étapes de du prélèvement?

Answer 12

1. Identifier
2. Prélèvement
3. Documentation

Question 13

Que faire pdt l’identification?

Answer 13

• démarche à définir mais du général au particulier

Question 14

Que doit on éviter grâce à un bon prélèvement ?

Answer 14

Éviter toute altération immédiate ou future des données

Question 15

Que doit garantir une bonne documentation?

Answer 15

• traçabilité / non répudiation
  (Mise sous scellé judiciaire)

Question 16

Quelle est la démarche générale de prise en compte lors de l’identification?

Answer 16

• général au particulier
• cheminement
• recherche des traces de toutes natures

Question 17

Pk dit on connaître c’est reconnaître lors de l’identification?

Answer 17

• nécessité de connaître les supports pouvant contenir des données numériques
• nécessité de former les primo-intervenants

Question 18

Comment faire pour prélever uniquement ce qui sera nécessaire?

Answer 18

• étude de la mission / du contexte
• anticiper la suite pouvant être donnée
  (Recherche PIN et/ou mdp)

Question 19

Pk lors du prélèvement il est nécessaire d’avoir une manipulation adaptée ?

Answer 19

Éviter toute altération immédiate ou future des données

Question 20

Qu’est-il nécessaire de faire pour pdt les différentes étapes du prélèvement pour éviter toute altération immédiate ou future des données?

Answer 20

• manipulation adaptée
• conditionnements adapté

Question 21

Quels sont les deux types de pollution à éviter grâce a une manipulation adaptée?

Answer 21

• pollution immédiate
• pollution futur

Question 22

C’est quoi la pollution immédiate?

Answer 22

Ne pas dégrader les traces d’autres natures

Question 23

C’est quoi la pollution future?

Answer 23

Se prémunir contre de nouvelles traces ou la disparition des traces prélevées

Question 25

Pk est il nécessaire d’un conditionnement adapté?

Answer 25

- se prémunir des risques de modification

Question 26

Lorsqu’on se prémunir des risque de modification ou se prémunir de quoi?

Answer 26

De la pollution

Question 27

Citer différent types de conditionnement adapté pour se prémunir des risques de manipulation

Answer 27

- sac à scellé - papier kraft

Question 28

Citer les différentes chose qui causent un risque de modification

Answer 28

- manipulation - décharge électrostatique - modification à distance

Question 29

Quel conditionnement adapté pour se prémunir des décharges électrostatique ?

Answer 29

Conditionnement ESD

Question 30

Quels conditionnement adapter pour se prémunir des modifications à distance?

Answer 30

- mode avion - sac de faraday - aluminium

Question 31

L’alu est vraiment adapté au modification à distance?

Answer 31

Si appel en 4G -> oui Si appel en wifi -> généralement oui

Question 32

Quel est l’objectif de la documentation ?

Answer 32

Non répudiation

Question 33

Quels sont les moyens utilisé pour la documentation et non répudiation? Lors du prélèvement

Answer 33

- traçabilités - mise sous scellé judiciaire - empreinte numérique

Question 34

On fait la tracabilite de quoi?

Answer 34

Actions réalisées

Question 35

En fct de quoi pour on mettre sous scellé judiciaire ?

Answer 35

En fct du cadre légal

Question 36

Quand faire une empreinte numérique ?

Answer 36

Acquisition des données

Question 37

Que doit on initier et maintenir lors de la documentation du prélèvements ?

Answer 37

Initier et maintenir une chaîne de confiance dans les éléments prélevé

Question 38

Quels sont les principes tjrs vrais du prélèvement du smartphone?

Answer 38

- documenter les manipulations et vérifier l’heure du téléphone - maintenir le téléphone allumé - isoler le téléphone du réseau - maintenir le téléphone alimenté - Maintenir le processus jusqu’à son terme

Question 40

Où ouvrir le sac de Faraday?

Answer 40

Dans une box de faraday

Question 41

Quel est l’objectif de l’acquisition?

Answer 41

Acquérir les données nécessaires à l’analyse, tout en préservant leur intégrité et en garantissant une tracabilite (continuité de la preuve)

Question 42

Que comprend l’acquisition des données ?

Answer 42

- les données volatiles - les données non volatiles

Question 43

C’est quoi les données volatiles?

Answer 43

Données en mémoire vive

Question 44

C’est quoi les données non volatiles ?

Answer 44

Données présentes sur un support de stockage

Question 45

Quels sont les étapes de l’acquisition des données ?

Answer 45

- Identifier les supports de données liés au smartphone - acquérir l’heure du système - support de stockage - carte SIM

Question 46

Le support de stockage c’est quoi? Volatile ou non volatile?

Answer 46

Non volatiles (ex. micro SD)

Question 47

Comment copier les données du support de stockage ?

Answer 47

Faire une IMAGE -> copie de l’intégralité des données du support d’origine dans un ou plusieurs fichiers, souvent appelés image disque ou image forensique

Question 48

Quels sont les principaux formats de fichiers lors d’une image?

Answer 48

- RAW files (.raw, .001, .002, .dd, .img, .dmg, …..) - expert signes format ou encadr évidence file (E01, E02…..) - AFF4

Question 49

Quel info peut on avoir avec une carte SIM? Sans le PIN?

Answer 49

ICCID

Question 50

Quel info peut on avoir avec une carte SIM? Avec PIN?

Answer 50

- IMSI - repertoire - journaux d’appels -….

Question 51

Quels sont les différents niveaux d’acquisition?

Answer 51

Logique < système de fichier < physique

Question 52

Quels donnés sont accessible avec une acquisition logique ?

Answer 52

Données interprétées. Accessible sous formes de valeurs

Question 53

Quels donnés sont accessible avec une acquisition en système de fichiers ?

Answer 53

Données (partiellement) interprétée Accessible sous forme de fichiers

Question 54

Quels donnés sont accessible avec une acquisition physique?

Answer 54

Données non interprétées

Question 55

Quels sont les différentes méthodes d’acquisition? Difficultés de plus en plus grande et données disponible de plus en plus

Answer 55

- manuellement - sauvegarde - agent - recovery - bootloader - JTAG, SPi (protocoles d’accès aux composants) - débrasage

Question 56

Quels sont les méthode du acquisition logique?

Answer 56

- manuellement - sauvegarde - (agent)

Question 57

Quels sont les méthode d’acquisition en système de fichiers?

Answer 57

- (sauvegarde) - agent - recovery

Question 58

Quels sont les méthode d’ acquisition physique ?

Answer 58

- agent - recovery - JTAG, SPI - debrasage

Question 59

De quoi dépend le choix du type d’extraction lors de l’acquisition de données téléphoniques?

Answer 59

- du modèle/ de la mission (données recherchée) - contrainte opérationnelles

Question 60

Citer des méthodes d’extraction des données pour iPhone?

Answer 60

- advanced Logical / Full file SYSTEM - advanced logical / file SYSTEM - logical (partial) - manuelle (vérification)

Question 61

Citer des méthodes d’extraction des données pour android ?

Answer 61

- physical / boot loader - physical / advanced ADB - file SYSTEM / android - logical - manuelle (vérification)

Question 62

Pk il est important de préserver l’intégrité lors de l’acquisition des données?

Answer 62

- l’acquisition des données est la phase durant laquelle le risque d’altérer les données originales est le plus élevé

Question 63

En quoi consiste l’acquisition par bootloader?

Answer 63

- contourner le démarrage du téléphone vers un SYSTEM controlé

Question 64

Quels sont les solutions communautaires avec l’acquisition par bootloader?

Answer 64

Checkm8 (contournement)

Question 65

Quels sont les solutions propriétaires avec l’acquisition par bootloader?

Answer 65

- Odin (Samsung) - Cellebrite (certains basées sur des sol communautaires/ commerciales

Question 66

Quels sont les inconvénients de l’acquisition par bootloader?

Answer 66

- nécessité initialement d’importants moyens de rétro- ingénierie

Question 67

Quels est l’avantage de l’acquisition par bootloader?

Answer 67

Peut contourner les mécanismes de chiffrement (si présence de mdp)

Question 68

Citer le dispositifs de blocage en écriture? Pour micro SD

Answer 68

Bloqueurs matériels

Question 69

C’est quoi un bloqueurs matériel?

Answer 69

Boîtiers agissant comme une barrière physique entre le support de stockage et l’ordinateur sur lequel il est connecté

Question 70

Quels sont les problématiques lors de l’extraction des données d’un smartphone?

Answer 70

- modification quasiment obligatoire des données du téléphone - quelque fois peu de maîtrise / connaisssanxe des opérations effectuées - choix nécessaire entre risque et accès aux données (ex. Débrasage)

Question 71

Comment garantir la traçabilitélirs de l’acquisition des données?

Answer 71

- continuité de la preuve - empreinte numérique des supports/fichiers - documenter les opérations effectuées

Question 72

Quand calculer et vérifier une empreinte numérique des supports / fichiers?

Answer 72

- calcul du hash du support original pdt la copie - vérification du hash du support de destination/ fichiers image - vérification des hash tout au long du processus

Question 73

Comment documenter les opérations effectuées ?

Answer 73

- matériels et logiciels utilisés - journal / cahier de laboratoire

Question 74

Il existe un standard sur l’empreinte numérique en tracabilite?

Answer 74

Non Pas de standard sur l’utilisation d’empreintes numériques en acquisition de téléphonie