CAINE un Live[CD|USB] pour faciliter la recherche légale de preuves numériques de compromission

Par Xavier Poli, secuobs.com
Le 02/03/2009

---

Résumé : CAINE est une solution Live[CD|USB] d'interopérabilité qui regroupe, en tant que modules, un grand nombre d'outils Open Source pour faciliter, via une interface graphique homogène, la collecte de données et la recherche légale de preuves numériques sur un ordinateur compromis. - Lire l'article



CAINE ( Computer Aided INvestigative Environment ) est un projet visant à fournir un environnement complet pour la recherche légale ( voir notre dossier - lien ) de preuves numériques sur des ordinateurs compromis. Des solutions comme Helix ( lien ), FCCU ( lien ) et Deft ( lien ) existant déjà, il intègre une architecture en modules pour utiliser, via une interface graphique homogène, des outils Open Source ( lien ) de collecte de données et de recherche d’évidences,.

Le projet CAINE souhaite par ce biais se destiner à un large panel d’utilisateurs en leur garantissant un environnement d’interopérabilité qui facilite l’utilisation des différents utilitaires de Forensic ( lien & lien & lien ) sur lesquels il est basé. Les investigateurs novices, ou experts, sont ainsi guidés à travers les étapes majeures des processus d’investigation numérique. On notera notamment les efforts de développement pour la phase de compilation semi-automatisée des rapports finaux qui visent à assurer leur recevabilité en tant que pièces de procédure juridique devant un tribunal.

CAINE se présente plus concrètement sous la forme d’un LiveCD ( voir notre dossier - lien ) qui est basé sur un système d’exploitation de type GNU/Linux et plus précisément sur la version Hardy Heron de Ubuntu ( lien ) proposant un bureau Gnome ( lien ). CAINE peut également être utilisé en tant que LiveUSB ( lien ), il suffit pour cela aux utilisateurs de suivre une procédure spécifique ( lien ) permettant la création d’une clé de ce type lors d’une session LiveCD déjà en cours.

On retrouve dans CAINE une collection complète d’outils dont AIR (lien ), Guymager ( lien ), Libguytools ( lien ), Foremost ( lien ), Scalpel ( lien ), Autopsy ( lien Sleuth Kit ( lien ), SFDumper ( lien ), Fundl ( lien ), Stegdetect ( lien ), Gtkhash ( lien ) et Ophcrack ( lien ).

On notera également la présence de WinTaylor ( lien ), une interface spécifique pour utiliser des outils du LiveCD sur des systèmes Microsoft Windows en exécution et notamment les plus anciens d’entre eux puisqu'elle a été développée en Visual Basic 6 ( lien afin d'assurer la plus grande compatibilité d’exécution possible. Elle propose ainsi une intégration simple et complète des solutions de collecte de données et de recherche de preuves pour ces systèmes, tout en héritant de la philosophie de conception de CAINE et de son générateur de rapports.

Afin d’assurer la transparence des opérations effectuées, le code source de CAINE a été placé sous la licence GPL ( lien ), c'est en fait un projet du Digital Forensics for Interdepartment Center for Research on Security ( CRIS - lien ) de l’Université de Modena e Reggio Emilia ( lien ). Il profite de contributions provenant autant de l'informatique que du juridisme, les mainteneurs unifiant ces deux approches dans une solution qui propose les meilleures pratiques de gestion de cas et des rapports conformes aux exigences juridiques.

Pour le montage des périphériques de stockage internes et externes, CAINE respecte une politique stricte comme le faisait déjà Helix, aucun montage automatique n’est ici configuré. Les montages via l’interface se font par ailleurs en lecture seule et sans possibilité d’exécution ou de modifications des dates pour garantir l’intégrité du système de fichier audité. Cependant, et contrairement à FCCU qui, volontairement, n’inclut pas le support NTFS-3G ( lien ), un utilisateur peut monter du NTFS ( lien ) en console avec des droits d’écriture.

Parmi les langues supportées pour l’interface et les rapports générés, on trouve l’anglais, l’Italien, le français, l’allemand et le portugais. La disposition italienne est privilégiée par défaut pour le clavier, cela peut être modifié dans le menu système de GNOME ou en utilisant la commande loadkeys ( lien ) depuis une console. L’ouverture dans CAINE de Mozilla Firefox ( lien ) offre par défaut une page listant les outils disponibles et des documentations pour faciliter leurs utilisations et la recherche de preuves en général.

Source : Security Database Tools Watch ( lien )