Les criminels endommagent parfois leurs téléphones portables pour tenter de détruire des preuves. Ils pourraient s'écraser, tirer, immerger ou cuire leurs téléphones, mais les experts en médecine légale peuvent souvent récupérer les preuves de toute façon. Maintenant, des chercheurs du National Institute of Standards and Technology (NIST) ont testé le bon fonctionnement de ces méthodes médico-légales.

Un téléphone endommagé peut ne pas s'allumer, et le port de données peut ne pas fonctionner, les experts utilisent donc des outils matériels et logiciels pour accéder directement aux puces mémoire du téléphone. Ceux-ci incluent des outils de piratage, même si celles-ci peuvent être légalement utilisées dans le cadre d'une enquête criminelle. Étant donné que ces méthodes produisent des données qui pourraient être présentées comme preuves devant les tribunaux, il est important de savoir si on peut leur faire confiance.

"Notre objectif était de tester la validité de ces méthodes, " a déclaré Rick Ayers, l'expert en criminalistique numérique du NIST qui a dirigé l'étude. « Produisent-ils de manière fiable des résultats précis ? »

Les résultats de l'étude du NIST aideront également les laboratoires à choisir les bons outils pour le travail. Certaines méthodes fonctionnent mieux que d'autres, selon le type de téléphone, le type de données et l'étendue des dommages.

L'étude aborde les méthodes qui fonctionnent avec les téléphones Android. Aussi, l'étude ne portait que sur les méthodes d'accès aux données, ne pas le déchiffrer. Cependant, ils peuvent toujours être utiles avec les téléphones cryptés car les enquêteurs parviennent souvent à obtenir le code d'accès au cours de leur enquête.

Pour mener l'étude, Des chercheurs du NIST ont chargé des données sur 10 modèles de téléphones populaires. Ils ont ensuite extrait les données ou ont demandé à des experts externes d'extraire les données pour eux. La question était :les données extraites correspondraient-elles exactement aux données d'origine, sans aucun changement ?

Pour que l'étude soit précise, les chercheurs ne pouvaient pas simplement zapper un tas de données sur les téléphones. Ils devaient ajouter les données comme une personne le ferait normalement. Ils ont pris des photos, envoyé des messages et utilisé Facebook, LinkedIn et autres applications de médias sociaux. Ils ont entré des contacts avec plusieurs deuxièmes prénoms et des adresses étrangement formatées pour voir si des parties seraient coupées ou perdues lors de la récupération des données. Ils ont ajouté des données GPS en conduisant en ville avec tous les téléphones sur le tableau de bord.

Après que les chercheurs aient chargé les données sur les téléphones, ils ont utilisé deux méthodes pour l'extraire. La première méthode tire parti du fait que de nombreuses cartes de circuits imprimés ont de petites prises métalliques qui permettent d'accéder aux données sur les puces. Les fabricants utilisent ces robinets pour tester leurs circuits imprimés, mais en y soudant des fils, les enquêteurs médico-légaux peuvent extraire des données des puces. C'est ce qu'on appelle la méthode JTAG, pour le groupe d'action conjoint, l'association de l'industrie manufacturière qui a codifié cette fonctionnalité de test.

Les puces se connectent au circuit imprimé via de minuscules broches métalliques, et la deuxième méthode, appelé « chip-off », " implique de se connecter directement à ces broches. Les experts avaient l'habitude de le faire en retirant doucement les puces de la carte et en les plaçant dans des lecteurs de puces, mais les épingles sont délicates. Si vous les endommagez, obtenir les données peut être difficile, voire impossible. Il y a quelques années, les experts ont découvert qu'au lieu de retirer les puces du circuit imprimé, ils pouvaient meuler le côté opposé de la planche sur un tour jusqu'à ce que les broches soient exposées. C'est comme enlever l'isolant d'un fil, et il permet l'accès aux broches.

"Cela semble tellement évident, ", a déclaré Ayers. "Mais c'est l'une de ces choses où tout le monde l'a fait dans un sens jusqu'à ce que quelqu'un propose un moyen plus facile."

Les extractions de copeaux ont été menées par le laboratoire de criminalistique numérique du département de police de Fort Worth et une société privée de criminalistique du Colorado appelée VTO Labs, qui a renvoyé les données extraites au NIST. L'informaticienne du NIST, Jenise Reyes-Rodriguez, a effectué les extractions JTAG.

Une fois les extractions de données terminées, Ayers et Reyes-Rodriguez ont utilisé huit outils logiciels médico-légaux différents pour interpréter les données brutes, générer des contacts, Emplacements, les textes, Photos, les données des réseaux sociaux, etc. Ils les ont ensuite comparés aux données initialement chargées sur chaque téléphone.

La comparaison a montré que JTAG et chip-off ont extrait les données sans les modifier, mais que certains outils logiciels interprètent mieux les données que d'autres, en particulier pour les données des applications de médias sociaux. Ces applications changent constamment, ce qui rend difficile pour les outilleurs de suivre le rythme.

Les résultats sont publiés dans une série de rapports en ligne disponibles gratuitement. Cette étude, et les rapports qui en résultent, font partie du projet Computer Forensics Tool Testing du NIST. Appelé CFTT, ce projet a soumis un large éventail d'outils de criminalistique numérique à une évaluation rigoureuse et systématique. Les laboratoires médico-légaux du pays utilisent les rapports CFTT pour garantir la qualité de leur travail.

« De nombreux laboratoires ont une charge de travail écrasante, et certains de ces outils sont très chers, " a dit Ayers. " Pour pouvoir regarder un rapport et dire, cet outil fonctionnera mieux que celui-là pour un cas particulier, cela peut être un gros avantage."