Description

Accès médico-légal aux appareils iPhone / iPad / iPod exécutant Apple iOS

Effectuer l’acquisition médico-légale complète des données utilisateur stockées dans les appareils iPhone / iPad / iPod. Elcomsoft iOS Forensic Toolkit permet d’imager les systèmes de fichiers des appareils, d’extraire les secrets des appareils (codes d’accès, mots de passe et clés de chiffrement) et d’accéder aux appareils verrouillés via des enregistrements de verrouillage.

Les méthodes d’extraction suivantes sont prises en charge :

• Acquisition logique avancée (sauvegarde, fichiers multimédias, journaux de plantage, fichiers partagés) (tous les appareils, toutes les versions d’iOS)
• Extraction directe basée sur un agent (tous les appareils 64 bits, certaines versions iOS)
• Extraction checkm8 basée sur un chargeur de démarrage fiable (certains périphériques)
• Extraction basée sur le jailbreak (tous les appareils et versions d’iOS avec jailbreaks publics)
• Déverrouillage par mot de passe et véritable acquisition physique (sélectionnez les appareils 32 bits)

Extraction complète du système de fichiers et décryptage du trousseau

Une méthode d’extraction sans jailbreak basée sur un accès direct au système de fichiers est disponible pour une gamme limitée d’appareils iOS. À l’aide d’un outil d’extraction développé en interne, cette méthode d’acquisition installe un agent d’extraction sur l’appareil en cours d’acquisition. L’agent communique avec l’ordinateur de l’expert, offrant des performances robustes et une vitesse d’extraction extrêmement élevée dépassant 2,5 Go de données par minute.

Mieux encore, l’extraction basée sur un agent est totalement sûre car elle ne modifie pas la partition système ni ne remonte le système de fichiers tout en effectuant un hachage automatique à la volée des informations extraites. L’extraction basée sur un agent n’apporte aucune modification aux données utilisateur, offrant une extraction solide sur le plan médico-légal.

L’image du système de fichiers et tous les enregistrements du trousseau sont extraits et déchiffrés. La méthode d’extraction basée sur les agents offre des performances solides et donne lieu à une extraction solide sur le plan médico-légal. Le retrait de l’agent de l’appareil après l’extraction nécessite une simple pression sur un bouton.

Vous pouvez extraire le système de fichiers complet ou utiliser l’option d’extraction express, en acquérant uniquement des fichiers à partir de la partition utilisateur. En ignorant les fichiers stockés dans la partition système de l’appareil, l’option d’extraction express permet de réduire le temps nécessaire pour effectuer le travail et de réduire l’espace de stockage de plusieurs gigaoctets de contenu statique.

L’installation et la signature de l’agent d’extraction nécessitent un identifiant Apple enregistré dans le programme Apple Developer. L’édition Mac supprime cette exigence, permettant d’utiliser un identifiant Apple standard pour signer et charger l’agent d’extraction sur l’appareil iOS.

Extraction basée sur le jailbreak

En plus de l’extraction basée sur un agent, iOS Forensic Toolkit prend entièrement en charge l’extraction de tous les appareils jailbreakés pour lesquels un jailbreak est disponible. L’extraction complète du système de fichiers et le décryptage du trousseau sont disponibles pour les appareils jailbreakés. Tous les jailbreaks publics sont pris en charge.

Extraction sonore pour certains modèles d’iPhone et d’iPad

Pour préserver les preuves numériques, la chaîne de traçabilité commence dès le premier point de collecte des données afin de s’assurer que les preuves numériques recueillies au cours de l’enquête restent admissibles par le tribunal. La nouvelle méthode d’extraction basée sur un chargeur de démarrage fournit des résultats reproductibles entre les sessions d’extraction. Lors de l’utilisation d’iOS Forensic Toolkit sur un appareil pris en charge, la somme de contrôle de la première image extraite correspondra aux sommes de contrôle des extractions suivantes, à condition que l’appareil soit éteint entre les extractions et ne démarre jamais la version installée d’iOS entre-temps.

La nouvelle méthode d’extraction est la plus propre à ce jour. Notre implémentation de l’exploit basé sur le chargeur de démarrage est dérivée directement de la source. Tout le travail est effectué entièrement dans la RAM et le système d’exploitation installé sur l’appareil est laissé intact et n’est pas utilisé pendant le processus de démarrage. Notre procédé unique d’extraction directe offre les avantages suivants :

• Résultats reproductibles. Les sommes de contrôle des extractions ultérieures correspondront à la première si l’appareil est maintenu hors tension et ne démarre jamais iOS entre les sessions.
• Supports iPhone 5s, 6/6s/Plus, SE (original), iPhone 7/8/Plus, iPhone X.
• Prend en charge l’iPad 5, 6 et 7, l’iPad Mini 2, 3 et 4, l’iPad Air 1 et 2, l’iPad Pro 1 et 2, l’iPod Touch 6 et 7 et l’Apple TV 4 et 4K
• Large compatibilité iOS. iOS 8.0 à iOS 15.5 sont pris en charge.
• Système et partitions de données intacts.
• Politique de zéro modification : 100 % des correctifs ont lieu dans la RAM.
• Le processus d’installation est entièrement guidé et massivement plus fiable par rapport au jailbreak.
• Les périphériques verrouillés pris en charge en mode BFU, tandis que le mode restreint USB peut être complètement contourné.

Remarques : les extractions au niveau du chargeur de démarrage sont disponibles exclusivement dans l’édition Mac, nécessitant un ordinateur macOS.

Déverrouillage et imagerie des appareils hérités : iPhone 4, 4s, 5 et 5c

Le déverrouillage par mot de passe et la prise en charge de l’imagerie sont disponibles pour les modèles d’iPhone hérités.

La boîte à outils peut être utilisée pour déverrouiller des appareils iPhone 4, 4s (1), 5 et 5c cryptés protégés par un mot de passe de verrouillage d’écran inconnu en essayant de récupérer le code PIN original à 4 chiffres ou à 6 chiffres. Cette attaque DFU fonctionne à la vitesse de 13,6 codes d’accès par seconde sur les appareils iPhone 5 et 5c, et ne prend que 12 minutes pour déverrouiller un iPhone protégé par un code PIN à 4 chiffres. Les codes PIN à 6 chiffres prendront jusqu’à 21 heures. Une attaque intelligente sera utilisée automatiquement pour tenter de couper ce temps autant que possible. En moins de 4 minutes, l’outil essaiera plusieurs milliers de codes d’accès les plus couramment utilisés tels que 000000, 123456 ou 121212, suivis de codes PIN à 6 chiffres basés sur les dates de naissance. Avec 74 000 d’entre eux, l’attaque intelligente prend environ 1,5 heure. En cas d’échec, la force brute complète du reste des codes d’accès est lancée. (Remarque: la récupération du mot de passe fonctionne à la vitesse de 6,6 codes d’accès par seconde sur l’iPhone 4).

L’acquisition physique complète est disponible pour les appareils iOS hérités, y compris l’iPhone 4, 4s (1), 5 et 5c. Pour tous les modèles pris en charge, le Toolkit peut extraire l’image précise en bits de la partition utilisateur et déchiffrer le trousseau. Si l’appareil exécute iOS 4 à 7, l’imagerie peut être effectuée même sans casser le mot de passe de verrouillage de l’écran, tandis que les appareils exécutant iOS 8 à 10 nécessitent d’abord de casser le mot de passe. Pour tous les modèles pris en charge, la boîte à outils peut extraire et déchiffrer la partition utilisateur et le trousseau.

(1) Le déverrouillage du mot de passe et l’extraction basée sur checkm8 sont disponibles pour les appareils iPhone 4s, iPod Touch 5, iPad 2 et 3 via une carte Raspberry Pi Pico flashée personnalisée, qui est utilisée pour appliquer l’exploit. L’image du firmware est fournie avec iOS Forensic Toolkit; la carte Pico n’est pas fournie.

Acquisition logique étendue

iOS Forensic Toolkit prend en charge l’acquisition logique, une méthode d’acquisition plus simple et plus sûre que physique. L’acquisition logique produit une sauvegarde standard de style iTunes des informations stockées dans l’appareil, extrait les médias et les fichiers partagés et extrait les journaux de plantage du système. Bien que l’acquisition logique renvoie moins d’informations que l’acquisition physique, il est recommandé aux experts de créer une sauvegarde logique de l’appareil avant de tenter des techniques d’acquisition plus invasives.

Nous recommandons toujours d’utiliser l’acquisition logique en combinaison avec l’acquisition physique pour extraire en toute sécurité tous les types de preuves possibles.

Extrayez rapidement des fichiers multimédias tels que la pellicule, des livres, des enregistrements vocaux et la bibliothèque multimédia iTunes. Contrairement à la création d’une sauvegarde locale, qui pourrait être une opération potentiellement longue, l’extraction de médias fonctionne rapidement sur tous les périphériques pris en charge. L’extraction à partir d’appareils verrouillés est possible à l’aide d’un enregistrement de couplage (fichier de verrouillage).

En plus des fichiers multimédias, iOS Forensic Toolkit peut extraire les journaux de plantage / diagnostic et les fichiers stockés de plusieurs applications, extrayant des preuves cruciales sans jailbreak. Extrayez adobe reader et Microsoft Office stockés localement, la base de données de mots de passe MiniKeePass et bien plus encore. L’extraction nécessite un périphérique déverrouillé ou un enregistrement de verrouillage non expiré.

L’acquisition logique est disponible pour tous les appareils, quelle que soit la génération de matériel et l’état du jailbreak. L’appareil doit être déverrouillé au moins une fois après le démarrage à froid; sinon, le service de sauvegarde de périphérique ne peut pas être démarré.

Les experts devront déverrouiller l’appareil avec un mot de passe ou Touch ID, ou utiliser un fichier de verrouillage non expiré extrait de l’ordinateur de l’utilisateur.

Si l’appareil est configuré pour produire des sauvegardes protégées par mot de passe, les experts doivent utiliser Elcomsoft Phone Breaker pour récupérer le mot de passe et supprimer le cryptage. Elcomsoft Phone Breaker est également requis pour afficher les enregistrements du trousseau. Si aucun mot de passe de sauvegarde n’est défini, l’outil configurera automatiquement le système avec un mot de passe temporaire (« 123 ») afin de pouvoir déchiffrer les éléments du trousseau (le mot de passe sera réinitialisé après l’acquisition).

Appareils et méthodes d’acquisition pris en charge

iOS Forensic Toolkit implémente la prise en charge de l’acquisition physique pour les appareils jailbreakés de l’iPhone 5s à l’iPhone 13, 13 Pro, iPhone 13 mini et iPhone 13 Pro Max.

La matrice de compatibilité suivante s’applique :

• Déverrouillage par mot de passe: Les codes d’accès de verrouillage d’écran à 4 chiffres et à 6 chiffres par force brute via l’exploit DFU. Toutes les versions iOS, appareils iPhone 4, 4s, 5 et 5c.
• Appareils hérités: imagerie et décryptage précis des appareils iPhone 4, 4s, 5 et 5c. 
• Agent (sans jailbreak) : extraction complète du système de fichiers et décryptage du trousseau pour les appareils exécutant iOS 9 à 15.1.1 (iOS 15.1 pour l’iPad Pro 5 basé sur M1). Les modèles d’iPad correspondants sont également couverts. Inscription du développeur Apple requise (Windows)/facultative (macOS).
• Avec jailbreak: Acquisition physique pour les appareils jailbreakés exécutant n’importe quelle version d’iOS pour laquelle un jailbreak est disponible (iPhone 4s via iPhone 12 Pro Max, la plupart des modèles d’iPad, Apple TV 4 et 4K).
• Via l’exploit Bootrom (checkm8) : acquisition de systèmes de fichiers et de trousseaux forensically sound allant de l’iPhone 5s à l’iPhone X 
• Pas de jailbreak : acquisition logique, fichiers partagés et extraction de médias pour les appareils exécutant des versions d’iOS sans jailbreak. L’appareil doit être déverrouillé avec un mot de passe, touch id ou un enregistrement de verrouillage