Investigation numérique & terminaux Apple iOS - Acquisition de données stockées sur un système ferméMathieu Renard

Terme adapté de l'anglais «computer forensics», l'expression «investigation numérique» représente l'utilisation de techniques spécialisées dans la collecte, l'analyse, l'interprétation et l'explication de l'information numérique. Ces techniques sont mises en œuvre quand une affaire comporte des questions relatives à l'usage d'un ordinateur, et de tout autre support d'information.

De nos jours l’investigation numérique se généralise à l’analyse de tout équipement informatique, incluant les ordiphones (smartphones) de toutes marques. À l’opposé des systèmes ouverts comme Android, il n’existe aujourd’hui aucun outil public permettant d’acquérir le contenu du système de fichier d’un terminal Apple récent. Or, cette étape est incontournable lors de la recherche de preuve informatique visant à infirmer ou confirmer une compromission. Afin de répondre à cette problématique, ce document décrit succinctement l’architecture et les mécanismes de sécurité du système iOS d’Apple avant de revenir sur les méthodes d’acquisitions de données existantes et d’en présenter les limites. Enfin, cet article présente deux techniques d’acquisitions logiques : acquisition logique non intrusive et acquisition logique intrusive. Cette dernière résulte de l'analyse et de la mise en œuvre des méthodes initialement utilisées par les logiciels de débridage, plus connus sous le nom de «Jailbreak».