UFED TouchCellebrite

CNEJITA JT du 11/06/2013 – par FB

Sommaire

• Avant-Propos• Attentes de ce type d’outil• Principales solutions existantes• Extractions possibles• Cellebrite• L’offre Cellebrite• UFED Touch ultimate• Physical Analyzer• Kit Chinex• Link Analysis

CNEJITA JT du 11/06/2013 – par FB

Avant-ProposPrésentation technique issue de ma petite expérience

avec cet outil

Utilisé depuis 1 an et demi

Plus de 150 téléphones analysés

Ceci n’est pas une présentation commerciale

Autres produits utilisés : XRY, MobilEdit Forensic

CNEJITA JT du 11/06/2013 – par FB

Attentes de ce type d’outil• Traitement de tous les téléphones portables • Câbles de connexion• Analyse du contenu des cartes SIM• Lecture des cartes mémoires additionnelles• Prise en charge des produits similaire (GPS,

tablettes)• Autonomie et mobilité sur le terrain• Chargeur de batteries• Manuel utilisateur, Support technique• Croisement des données et export des données

extraites

CNEJITA JT du 11/06/2013 – par FB

Extractions possibles

• LOGIQUEo Uniquement les données encore lisibles à l’écran du téléphone

• SYSTEME D’EXPLOITATIONo Récupération des fichiers contenus dans le téléphone

• PHYSIQUEo Copie binaire de la totalité de la mémoire du téléphone

CNEJITA JT du 11/06/2013 – par FB

Principales solutions existantes

• Généralisteso UFED Ultimate (4920, 4246, 10 218)o XRY/XACT de Microsystemation (3956, 1806, 8904)o Oxygen Forensic suite 2013 (6700)o Paraben Device Seizure de Paraben (3797, 2327, 9704)o MOBILedit Forensic (3234 uniques)o Box (Octopus, Z3 box, …)

• Dédiéso viaForensics/viaExtracts, SAFT Mobile forensic, (Androïd)o Blacklight, Elcomsoft, … (iPhone)o Lantern de Katana (iOS / Androïd)o Tomtology (GPS TomTom, Garmin)

CNEJITA JT du 11/06/2013 – par FB

Cellebrite

• Société israélienne créée en 1999

• ~ 250 salariés

• 150 personnes dédiées à la R&D

• 1 million de $ annuels investis dans l’achat de téléphones portables

CNEJITA JT du 11/06/2013 – par FB

L’offre Cellebrite

• UME (Universal Memory Exchanger)o destinée aux revendeurs de mobiles et aux desimlockero 120 000 unités

• UFED (Universal Forensic Extraction Device)o destinée aux enquêteurso 18 000 unités

CNEJITA JT du 11/06/2013 – par FB

UFED• L’UFED est composé de :

o 1 boitier hardwareo 1 ensemble de câbleso 1 logiciel d’analyse

CNEJITA JT du 11/06/2013 – par FB

Ancien modèle

Nouveau modèle

Câbles

UFED : deux versions

• UFED Touch Logiqueo 1 boitier + câbleso 1 Logiciel Logical Analyzer

• UFED Touch Ultimate (FS + Physique)o 1 boitier + câbleso Logiciel Physical Analyzero NB : La version Ultimate inclut la version logique.

CNEJITA JT du 11/06/2013 – par FB

UFED Touch Ultimate• 2 packagings différents

o Standardo Durcie (Ruggedized)

• Chargeur de téléphones• Cage de Faraday• Disque externe

CNEJITA JT du 11/06/2013 – par FB

TarifsStandard Durcie Redevance annuelle

UFED Touch Logique 4 500 € 6 000 € 900 €UFED Touch Ultimate 7 800 € 9 500 € 2 500 €Kit Chinex 1 600 €Link Analysis 1 950 € 1 600 €

CNEJITA JT du 11/06/2013 – par FB

Prix publics conseillés estimatifs (hors prestation, promotions, services annexes, frais de port, …)

UFED Touch Ultimate

• Un boitier : UFED Touch

• Un ensemble de câbles

• Un hub USB / Lecteur de cartes mémoire (RO/RW)

• Un logiciel : Physical Analyzer

• Une valisette

CNEJITA JT du 11/06/2013 – par FB

UFED Touch• Mini PC sous Windows XP Embedded

o Ecran tactile / Styleto Plusieurs ports de connexion (Source, Destination, Ethernet, Wifi, …)o Fonctionne sur batterie (autonomie en mission d’assistance )

• Un logiciel UFEDo Interface en français (parfois des erreurs)o Très convivial (pas de besoin de formation pour 80% du produit)o Installation des MAJ par clé USB

• Rôle : Lire le contenu des téléphones

CNEJITA JT du 11/06/2013 – par FB

UFED Touch• Ecran didactique• Indication du câble à utiliser• Destination : Clé ou PC• Lecteur/Enregistreur de cartes SIM• Lecture logique du contenu des téléphones• Lecture des fichiers de données des applications

(skype facebook; google+, …)• Génération automatique des rapports au format

HTML

CNEJITA JT du 11/06/2013 – par FB

UFED Touch : Particularités

• Câble iPhone 5

• Contourne les mots de passe d’environ 300 téléphones dont (Galaxy S3, Galaxy Note 2, iPhone => 4, HTC Evo, Incredible, Motorola Droïd, …)

• Pas besoin d’activer le mode « USB Debugging »

• Pas de mode physique pour iPhone 4S et sup.

• Extraction File System pour Windows Phone 7.5 et +

CNEJITA JT du 11/06/2013 – par FB

UFED Touch• Avantages

o Utilisable sur le terrain (assistance à huissier) pour les extractions logiqueso Autonome en version Logiqueo Prise en main immédiate de 80% du produito Contourne le mot de passe de certains téléphones androïd.o Lecteur de carte SIM intégré

• Inconvénientso La documentation (tablette, répète ce qu’il y a à l’écran)o Quelques erreurs de traduction ou parfois câbles absentso Le prix (encore que …),o Extraction par marques et parfois par genre (tablette, smartphone)o Ne démarre pas bcp plus vite que l’ancienne versiono Ne traite pas les iphones 4S et sup, ni les TomTom dernière génération, …

• Continue de fonctionner si contrat de maintenance non renouvelé

CNEJITA JT du 11/06/2013 – par FB

Physical Analyzer• Logiciel à installer sur un PC• Nécessite Windows 64 bits et un max de RAM• Disque dur SSD recommandé• Analyse les données lues par l’UFED Touch• Génération des rapports (PDF, XML, HTML, …)• Lecture directe des téléphones iOS• Scripts Python• Add-on• Recherche de malware (base Bit-defender)

CNEJITA JT du 11/06/2013 – par FB

Ecran d’accueil

CNEJITA JT du 11/06/2013 – par FB

Ouverture d’une extraction

CNEJITA JT du 11/06/2013 – par FB

Résumé de l’analyse

CNEJITA JT du 11/06/2013 – par FB

Visualisation des appels

CNEJITA JT du 11/06/2013 – par FB

Visualisation des SMS

CNEJITA JT du 11/06/2013 – par FB

Timeline

CNEJITA JT du 11/06/2013 – par FB

Visualisation en Hexa

CNEJITA JT du 11/06/2013 – par FB

Fonction de recherche

CNEJITA JT du 11/06/2013 – par FB

Fonction de recherche

CNEJITA JT du 11/06/2013 – par FB

Fonction de recherche

CNEJITA JT du 11/06/2013 – par FB

Fonction de recherche

CNEJITA JT du 11/06/2013 – par FB

Images carving

CNEJITA JT du 11/06/2013 – par FB

Identification des bases SQL

CNEJITA JT du 11/06/2013 – par FB

Navigateur SQL intégré

CNEJITA JT du 11/06/2013 – par FB

Recherche de Malwares

• Connexion à la base Bit Defender

• S’exécute sur tout ou partie des fichiers.

• Nécessite contrat de maintenance à jour

• Pas encore utilisé

CNEJITA JT du 11/06/2013 – par FB

Extraction iOS

CNEJITA JT du 11/06/2013 – par FB

Création des rapports

CNEJITA JT du 11/06/2013 – par FB

Création des rapports

CNEJITA JT du 11/06/2013 – par FB

Création des rapports• Traduction française imparfaite

• UFED Reader : Logiciel Reader distribuable gratuitement

• Attention au temps de chargement

CNEJITA JT du 11/06/2013 – par FB

Création des rapports• Exemple

CNEJITA JT du 11/06/2013 – par FB

Kit Chinex : Option• Ensemble de câbles et connecteurs• Pourquoi ?• A manier avec précaution• Doc minimaliste

CNEJITA JT du 11/06/2013 – par FB

Link Analysis• Logiciel additionnel payant

• Permet d’établir des relations entre les numéros de téléphones extraits des différents appareils téléphoniques d’une même affaire

• Non testé

CNEJITA JT du 11/06/2013 – par FB

Physical Analyzer• Avantages

o Prise en main immédiate de 80% du logiciel.o Fonctions de rechercheo Le nombre de téléphones supportéso Fonctionnalités avancées ou exclusives (Malware, python, …)o La réactivité du support technique +++

• Inconvénientso Traduction française imparfaite dans les rapportso L’extraction physique nécessite le boitier et un PCo La documentationo Protégé par un dongle ou numéro de série

CNEJITA JT du 11/06/2013 – par FB

UFED : Le service• 2 revendeurs en France :

o CELTEAM : 06 58 69 57 77o TRACIP : 01 46 25 09 50

• Décodage des Triplogs TomTom

• Support technique assuré directement par Cellebrite via mail : support@cellebrite.com (même samedi et dimanche). Fermé le vendredi

• De 3 à 5 mises à jour par an

CNEJITA JT du 11/06/2013 – par FB