Post on 29-Nov-2021
UFED TouchCellebrite
CNEJITA JT du 11/06/2013 – par FB
Sommaire
• Avant-Propos• Attentes de ce type d’outil• Principales solutions existantes• Extractions possibles• Cellebrite• L’offre Cellebrite• UFED Touch ultimate• Physical Analyzer• Kit Chinex• Link Analysis
CNEJITA JT du 11/06/2013 – par FB
Avant-ProposPrésentation technique issue de ma petite expérience
avec cet outil
Utilisé depuis 1 an et demi
Plus de 150 téléphones analysés
Ceci n’est pas une présentation commerciale
Autres produits utilisés : XRY, MobilEdit Forensic
CNEJITA JT du 11/06/2013 – par FB
Attentes de ce type d’outil• Traitement de tous les téléphones portables • Câbles de connexion• Analyse du contenu des cartes SIM• Lecture des cartes mémoires additionnelles• Prise en charge des produits similaire (GPS,
tablettes)• Autonomie et mobilité sur le terrain• Chargeur de batteries• Manuel utilisateur, Support technique• Croisement des données et export des données
extraites
CNEJITA JT du 11/06/2013 – par FB
Extractions possibles
• LOGIQUEo Uniquement les données encore lisibles à l’écran du téléphone
• SYSTEME D’EXPLOITATIONo Récupération des fichiers contenus dans le téléphone
• PHYSIQUEo Copie binaire de la totalité de la mémoire du téléphone
CNEJITA JT du 11/06/2013 – par FB
Principales solutions existantes
• Généralisteso UFED Ultimate (4920, 4246, 10 218)o XRY/XACT de Microsystemation (3956, 1806, 8904)o Oxygen Forensic suite 2013 (6700)o Paraben Device Seizure de Paraben (3797, 2327, 9704)o MOBILedit Forensic (3234 uniques)o Box (Octopus, Z3 box, …)
• Dédiéso viaForensics/viaExtracts, SAFT Mobile forensic, (Androïd)o Blacklight, Elcomsoft, … (iPhone)o Lantern de Katana (iOS / Androïd)o Tomtology (GPS TomTom, Garmin)
CNEJITA JT du 11/06/2013 – par FB
Cellebrite
• Société israélienne créée en 1999
• ~ 250 salariés
• 150 personnes dédiées à la R&D
• 1 million de $ annuels investis dans l’achat de téléphones portables
CNEJITA JT du 11/06/2013 – par FB
L’offre Cellebrite
• UME (Universal Memory Exchanger)o destinée aux revendeurs de mobiles et aux desimlockero 120 000 unités
• UFED (Universal Forensic Extraction Device)o destinée aux enquêteurso 18 000 unités
CNEJITA JT du 11/06/2013 – par FB
UFED• L’UFED est composé de :
o 1 boitier hardwareo 1 ensemble de câbleso 1 logiciel d’analyse
CNEJITA JT du 11/06/2013 – par FB
Ancien modèle
Nouveau modèle
Câbles
UFED : deux versions
• UFED Touch Logiqueo 1 boitier + câbleso 1 Logiciel Logical Analyzer
• UFED Touch Ultimate (FS + Physique)o 1 boitier + câbleso Logiciel Physical Analyzero NB : La version Ultimate inclut la version logique.
CNEJITA JT du 11/06/2013 – par FB
UFED Touch Ultimate• 2 packagings différents
o Standardo Durcie (Ruggedized)
• Chargeur de téléphones• Cage de Faraday• Disque externe
CNEJITA JT du 11/06/2013 – par FB
TarifsStandard Durcie Redevance annuelle
UFED Touch Logique 4 500 € 6 000 € 900 €UFED Touch Ultimate 7 800 € 9 500 € 2 500 €Kit Chinex 1 600 €Link Analysis 1 950 € 1 600 €
CNEJITA JT du 11/06/2013 – par FB
Prix publics conseillés estimatifs (hors prestation, promotions, services annexes, frais de port, …)
UFED Touch Ultimate
• Un boitier : UFED Touch
• Un ensemble de câbles
• Un hub USB / Lecteur de cartes mémoire (RO/RW)
• Un logiciel : Physical Analyzer
• Une valisette
CNEJITA JT du 11/06/2013 – par FB
UFED Touch• Mini PC sous Windows XP Embedded
o Ecran tactile / Styleto Plusieurs ports de connexion (Source, Destination, Ethernet, Wifi, …)o Fonctionne sur batterie (autonomie en mission d’assistance )
• Un logiciel UFEDo Interface en français (parfois des erreurs)o Très convivial (pas de besoin de formation pour 80% du produit)o Installation des MAJ par clé USB
• Rôle : Lire le contenu des téléphones
CNEJITA JT du 11/06/2013 – par FB
UFED Touch• Ecran didactique• Indication du câble à utiliser• Destination : Clé ou PC• Lecteur/Enregistreur de cartes SIM• Lecture logique du contenu des téléphones• Lecture des fichiers de données des applications
(skype facebook; google+, …)• Génération automatique des rapports au format
HTML
CNEJITA JT du 11/06/2013 – par FB
UFED Touch : Particularités
• Câble iPhone 5
• Contourne les mots de passe d’environ 300 téléphones dont (Galaxy S3, Galaxy Note 2, iPhone => 4, HTC Evo, Incredible, Motorola Droïd, …)
• Pas besoin d’activer le mode « USB Debugging »
• Pas de mode physique pour iPhone 4S et sup.
• Extraction File System pour Windows Phone 7.5 et +
CNEJITA JT du 11/06/2013 – par FB
UFED Touch• Avantages
o Utilisable sur le terrain (assistance à huissier) pour les extractions logiqueso Autonome en version Logiqueo Prise en main immédiate de 80% du produito Contourne le mot de passe de certains téléphones androïd.o Lecteur de carte SIM intégré
• Inconvénientso La documentation (tablette, répète ce qu’il y a à l’écran)o Quelques erreurs de traduction ou parfois câbles absentso Le prix (encore que …),o Extraction par marques et parfois par genre (tablette, smartphone)o Ne démarre pas bcp plus vite que l’ancienne versiono Ne traite pas les iphones 4S et sup, ni les TomTom dernière génération, …
• Continue de fonctionner si contrat de maintenance non renouvelé
CNEJITA JT du 11/06/2013 – par FB
Physical Analyzer• Logiciel à installer sur un PC• Nécessite Windows 64 bits et un max de RAM• Disque dur SSD recommandé• Analyse les données lues par l’UFED Touch• Génération des rapports (PDF, XML, HTML, …)• Lecture directe des téléphones iOS• Scripts Python• Add-on• Recherche de malware (base Bit-defender)
CNEJITA JT du 11/06/2013 – par FB
Ecran d’accueil
CNEJITA JT du 11/06/2013 – par FB
Ouverture d’une extraction
CNEJITA JT du 11/06/2013 – par FB
Résumé de l’analyse
CNEJITA JT du 11/06/2013 – par FB
Visualisation des appels
CNEJITA JT du 11/06/2013 – par FB
Visualisation des SMS
CNEJITA JT du 11/06/2013 – par FB
Timeline
CNEJITA JT du 11/06/2013 – par FB
Visualisation en Hexa
CNEJITA JT du 11/06/2013 – par FB
Fonction de recherche
CNEJITA JT du 11/06/2013 – par FB
Fonction de recherche
CNEJITA JT du 11/06/2013 – par FB
Fonction de recherche
CNEJITA JT du 11/06/2013 – par FB
Fonction de recherche
CNEJITA JT du 11/06/2013 – par FB
Images carving
CNEJITA JT du 11/06/2013 – par FB
Identification des bases SQL
CNEJITA JT du 11/06/2013 – par FB
Navigateur SQL intégré
CNEJITA JT du 11/06/2013 – par FB
Recherche de Malwares
• Connexion à la base Bit Defender
• S’exécute sur tout ou partie des fichiers.
• Nécessite contrat de maintenance à jour
• Pas encore utilisé
CNEJITA JT du 11/06/2013 – par FB
Extraction iOS
CNEJITA JT du 11/06/2013 – par FB
Création des rapports
CNEJITA JT du 11/06/2013 – par FB
Création des rapports
CNEJITA JT du 11/06/2013 – par FB
Création des rapports• Traduction française imparfaite
• UFED Reader : Logiciel Reader distribuable gratuitement
• Attention au temps de chargement
CNEJITA JT du 11/06/2013 – par FB
Création des rapports• Exemple
CNEJITA JT du 11/06/2013 – par FB
Kit Chinex : Option• Ensemble de câbles et connecteurs• Pourquoi ?• A manier avec précaution• Doc minimaliste
CNEJITA JT du 11/06/2013 – par FB
Link Analysis• Logiciel additionnel payant
• Permet d’établir des relations entre les numéros de téléphones extraits des différents appareils téléphoniques d’une même affaire
• Non testé
CNEJITA JT du 11/06/2013 – par FB
Physical Analyzer• Avantages
o Prise en main immédiate de 80% du logiciel.o Fonctions de rechercheo Le nombre de téléphones supportéso Fonctionnalités avancées ou exclusives (Malware, python, …)o La réactivité du support technique +++
• Inconvénientso Traduction française imparfaite dans les rapportso L’extraction physique nécessite le boitier et un PCo La documentationo Protégé par un dongle ou numéro de série
CNEJITA JT du 11/06/2013 – par FB
UFED : Le service• 2 revendeurs en France :
o CELTEAM : 06 58 69 57 77o TRACIP : 01 46 25 09 50
• Décodage des Triplogs TomTom
• Support technique assuré directement par Cellebrite via mail : support@cellebrite.com (même samedi et dimanche). Fermé le vendredi
• De 3 à 5 mises à jour par an
CNEJITA JT du 11/06/2013 – par FB