Un nouvel outil d'analyse judiciaire récupérera des données de la RAM des smartphones, cryptées ou non

Cryptage ou non, les données de votre smartphone seront désormais facilement récupérées avec cet outil judiciaire

Si vous vous souvenez du tumulte créé lorsque le FBI a demandé à Apple de déverrouiller un iPhone 5c appartenant à un terroriste. La nouvelle a généré un tel engouement et des opinions qu’elle dominait les nouvelles technologiques mondiales pendant presque une semaine avant que le FBI ne contracte discrètement une entreprise israélienne pour déverrouiller l’iPhone du terroriste.

Maintenant, le FBI ou, pour ce qui est, toute agence d’application de la loi n’a plus besoin d’aller nulle part pour récupérer des données de smartphones verrouillés ou cryptés, car des chercheurs ont développé un nouvel outil judiciaire qui récupère des données de la RAM des smartphones appelé Retroscope.

Les chercheurs de l’Université Purdue ont développé un nouvel outil pour récupérer des informations stockées dans la mémoire volatile des smartphones qui pourrait donner aux enquêteurs des indices importants pour résoudre des affaires criminelles. Au lieu d’essayer de déverrouiller le disque dur crypté du smartphone, qui contient des informations après que le téléphone soit éteint, les chercheurs ont plutôt pensé à explorer la RAM qui est volatile. On pense généralement que le contenu de la RAM (mémoire à accès aléatoire) est perdu dès que le smartphone est éteint, mais les chercheurs ont découvert qu’ils pouvaient récupérer une quantité surprenante de données de la RAM même si elle était éteinte. Les recherches préliminaires de l’équipe ont abouti à un travail qui pourrait récupérer le dernier écran affiché par une application Android.

« Nous soutenons que c’est la frontière de l’enquête sur la cybercriminalité dans le sens où la mémoire volatile contient les informations les plus récentes de l’exécution de toutes les applications », a déclaré le chercheur principal Dongyan Xu. « Les enquêteurs peuvent obtenir des informations judiciaires plus opportunes pour résoudre un crime ou une attaque », a noté Xu.

En s’appuyant sur leurs recherches, Xu a déclaré qu’il avait été découvert que les applications laissaient beaucoup de données dans la mémoire volatile longtemps après que ces données aient été affichées. RetroScope utilise le cadre de rendu commun utilisé par Android pour émettre une commande de redessin et obtenir autant d’écrans précédents que disponibles dans la mémoire volatile pour toute application Android.

Ce qui est plus important pour les agences d’application de la loi, c’est que Retroscope ne nécessite aucune information préalable sur les données internes d’une application. Les écrans récupérés, en commençant par le dernier écran affiché par l’application, sont présentés dans l’ordre dans lequel ils ont été vus précédemment. « Tout ce qui a été affiché à l’écran au moment de l’utilisation est indiqué par les écrans récupérés, offrant aux enquêteurs une litanie d’informations », a déclaré Xu.

Lors des tests, RetroScope a pu récupérer entre trois et 11 écrans précédents dans 15 applications différentes, avec une moyenne de cinq pages par application. Les résultats ont été présentés lors du Symposium de sécurité USENIX à Austin, Texas. « Nous pensons sans exagération que cette technologie représente vraiment un nouveau paradigme dans l’analyse judiciaire des smartphones », a-t-il déclaré.

« C’est très différent de toutes les méthodologies existantes pour analyser à la fois les disques durs et les mémoires volatiles », a noté Xu.