Récupération d’une sauvegarde
Récupération d’une sauvegarde
Depuis l’arrivée de l’iPhone 4s, Apple a augmenté la sécurité d’iOS. Dans les récentes versions, il est difficile de contourner les différentes couches de protection notamment lorsque l’appareil est verrouillé. Des méthodes pour déverrouiller les dispositifs d’Apple existent. C’est le cas de l’IP-Box qui utilise un script python afin d’effectuer une attaque brute-force. Toutefois, plus le code de déverrouillage est complexe et plus il sera difficile de l’obtenir. De plus, si plusieurs tentatives échouent, l’appareil est bloqué par Apple. La technique, que nous étudierons, consiste à récupérer une sauvegarde malgré un verrouillage du dispositif grâce à l’appairage avec un poste de travail. Premièrement, il faut être certains que l’appareil n’a pas été redémarré ou éteint après l’appairage sinon la technique est compromise. Après, il faut récupérer un fichier contenu dans le dossier « lockdown » pour l’utiliser sur un poste de travail différent. Finalement, la sauvegarde de l’appareil sera possible. Tout d’abord, il est essentiel de comprendre le fonctionnement d’un fichier « lockdown ». Lorsqu’un utilisateur branche son dispositif à un ordinateur muni d’iTunes, une relation d’appariement est établie entre les deux périphériques ce qui permet la synchronisation des données. Au moment de ce jumelage, les deux appareils échangent des clés cryptographiques ainsi, l’ordinateur bénéficie d’un accès au dispositif iOS quoiqu’il soit verrouillé. Pour ce faire, l’appareil doit être débloqué par le code d’accès ou l’empreinte digitale (Touch ID) et nous devons autoriser l’accès « Se fier » à l’appareil et sur l’ordinateur comme suit : Figure 23 : Autorisation d’accès A cet instant, un enregistrement « lockdown » est créé avec les clés cryptographiques. Ce fichier est stocké aux emplacements suivants :
Dans ces dossiers, nous trouvons des fichiers plist qui correspondent aux appareils jumelés. Leurs noms représentent les identifiants UDID (Unique Device Identifier). Figure 24 : Emplacement des fichiers « lockdown » En récupérant le fichier de l’appareil désiré, il est possible de le copier sur un autre PC et de l’enregistrer dans le même dossier. Le logiciel d’Apple, iTunes, reconnaîtra le dispositif et la sauvegarde peut être effectuée. Pour finir, il suffira de suivre les étapes du chapitre 5. Nous devrons prendre en compte plusieurs détails. D’une part, le périphérique iOS nécessite d’être sous tension et qu’aucun redémarrage n’a eu lieu, car depuis la version 8 d’iOS, le fichier « lockdown » est modifié à chaque démarrage. Donc, il est essentiel que l’appareil reste allumé pour tenter une extraction de données avec le fichier. Par contre, si l’appareil n’a pas été déverrouillé une seule fois, il sera difficile d’effectuer une sauvegarde en effectuant ces étapes.
Fichiers de configurations Voici une liste de fichiers de configurations qui sont intéressantes pour une analyse profonde : /private/var/root/Library/Lockdown/data_ark.plist
– Ce fichier comporte des informations de l’appareil ainsi que le compte utilisé. private/var/mobile/Library/Accounts/Accounts3.sqlite – Ici, nous avons une base de données SQL dans laquelle toutes les informations du compte sont stockées. /private/var/mobile/Library/DataAccess/AccountInformation.plist – Ce fichier contient toutes les informations concernant le compte Apple utilisé pour paramétrer les applications. path/private/var/root/Library/Lockdown/Pair_records/
– Lors du jumelage avec un ordinateur, un fichier plist est enregistré dans ce dossier afin de connaître les postes de travail autorisés à communiquer avec le dispositif. /private/var/wireless/Library/Preferences/com.apple.commcenter.plist – Toutes les informations concernant la carte SIM (Suscriber Identify Module) sont disponibles dans ce fichier plist. L’ICCID est le numéro de la carte et l’IMSI qui est un numéro attribué par l’opérateur afin d’identifier l’utilisateur. /private/var/preferences/ SystemConfiguration/com.apple.wifi.plist – Les réseaux Wi-Fi auxquels nous nous sommes connectés ainsi que la date et l’heure de notre dernière connexion sont enregistrés dans ce fichier.
/private/var/mobile/library/AddressBook/ – Dans ce dossier, nous avons plusieurs fichiers concernant les contacts. Notamment les deux bases de données : AddressBook.sqlitedb et AddressBookImages.sqlitedb. Dans la première, il y a les informations du contact et dans la deuxième, les photos de ces derniers. Figure 27 : Contacts enregistrés /private/var/mobile/Media/Recordings/
– Les enregistrements, effectués par l’application dictaphone, sont enregistrés dans ce dossier. /private/var/mobile/Library/Calendar/Calendar.sqlitedb – Cette base de données possède l’intégralité des évènements ajoutés sur le Calendrier du dispositif iOS. /private/var/wireless/Library/CallHistory/Call_History.db – L’historique des appels se situe dans cette base de données. /private/var/mobile/Library/Mail/ – Chaque compte mail possède son propre dossier accompagné des e-mails ainsi que les pièces jointes. /private/var/mobile/Media/ – Cet emplacement renferme toute la photothèque de l’utilisateur. Dans le dossier DCIM, se trouvent les photos et les vidéos prises à l’aide de l’appareil photo ou télécharger par l’intermédiaire des applications.
Dans PhotoData, il y a les albums synchronisés par iCloud ou l’ordinateur et en sousdossier, nous avons les vignettes des images enregistrées dans le dossier Thumbnails. Quant aux métadonnées, elles sont ajoutées dans le fichier Photos.sqlite. /private/var/mobile/Library/Preferences/com.apple. Maps.plist
– Les dernières recherches faites dans l’application de géolocalisation d’Apple sont inscrites dans ce fichier. Ainsi que la longitude et la latitude des lieux. Tandis que dans le dossier principal de Maps, qui se situe dans /private/Library/Maps, nous avons les endroits enregistrés et toutes les recherches. /private/var/mobile/Library/Notes/notes.sqlite
– Toutes les notes inscrites dans l’appareil se retrouvent dans ce fichier SQLite. /private/var/mobile/Library/Safari/ et /private/var/mobile/Library/ – Ces deux destinations sont essentielles au stockage pour l’application Safari. En se rendant dans /Library/Safari/Bookmarks.db, il y a une base de données contenant les signets. L’historique du navigateur est disponible dans un fichier plist disponible en se rendant dans Library/Safari/History.plist. Cependant, lorsque l’utilisateur supprime l’historique, tout est perdu. Par contre, l’historique des recherches reste intact dans Library/Preferences/com.apple.mobilesafari.plist. Dans /Library/Cookies/Cookies.binarycookies, les cookies y sont stockés.
Alors que dans Library/Caches/Safari/Recentsearches.plist se trouve les dernières recherches. Et les différents téléchargements réalisés depuis Safari se retrouvent dans Library/Caches/com.apple.mobilesafari/Cache.db. /private/var/mobile/Library/SMS/sms.db – L’emplacement des SMS, MMS et iMessages reçus et envoyés depuis l’appareil. Les pièces jointes sont enregistrées dans le dossier /Library/SMS/Attachments/.
private/var/mobile/Library/Voicemail/ -Contient les fichiers audio ainsi que la base de données voicemail.db contenant les informations des messages vocaux.
/private/var/mobile/Library/caches/com.apple.UIKit.pboard– Le presse-papiers contient des données comme des mots de passe, les copier/couper/coller, ou d’autres textes. /private/var/root/Library/Caches/locations/consolidated.db – Les localisations liées à chaque point d’accès Wi-Fi et aux antennes téléphoniques sont inscrites dans cette base de données. Les appareils plus récents ont une deuxième base de données dans laquelle est enregistré la localisation des Access-points Wi-Fi. Quatre points de géolocalisation extraits avec le logiciel iPhone Backup Extractor et transcris au format CSV (comma-seperated values) :
10. Conclusion Les moyens pour effectuer une récupération des données sont variés. Toutefois, certaines techniques nécessitent du matériel spécial pour déverrouiller l’appareil ou faire des modifications dans le hardware. Par ailleurs, des logiciels existent afin qu’une sauvegarde soit lisible pour extraire des données spécifiques. La plupart d’entre eux sont payants, mais ils offrent la possibilité de visualiser et d’extraire une partie des informations. Nos appareils multimédias sont une source importante de données. En effet, ces dernières peuvent être volées par des gens malhonnêtes ou utilisées pendant une enquête judiciaire. Les appareils d’Apple ont une sécurité très élevée, mais il existe souvent des moyens de les contourner. Certaines personnes sont spécialisées dans la découverte des failles et ces dernières peuvent être vendues à des escrocs. C’est pourquoi, il est essentiel de mettre un code de verrouillage dans chaque dispositif ainsi que dans les sauvegardes enregistrées sur les ordinateurs.
D’autres entreprises utilisent les failles pour aider les enquêteurs à trouver des preuves. Ce travail a été très passionnant et enrichissant pour moi, car auparavant, j’ai rencontré des problèmes avec mes données et je n’ai pas réussi à les retrouver. En effectuant ces techniques, j’aurais pu les récupérer. Dorénavant, j’effectuerai une sauvegarde de l’appareil à l’aide des différents logiciels et si une mésaventure survient, j’utiliserai un logiciel de récupération. La plus grande difficulté que j’ai rencontrée fut le manque de renseignement en français. En effet, le sujet est souvent traité en anglais dans des livres ou des sites. Mon anglais n’étant pas ma langue maternelle, il a été difficile pour moi de comprendre certains processus. Finalement, je suis satisfait de ce que j’ai accompli malgré mes difficultés en anglais et j’espère, ainsi, apporter des explications claires à ce sujet.
|
Table des matières
Déclaration
Remerciements
Résumé
Table des matières
Liste des tableaux
Liste des figures
1. Introduction
2. Périphérique iOS
2.1 iPhone
2.2 iPad
2.3 iPod Touch
2.4 Identifier les appareils
2.4.1 Au dos de l’appareil
2.4.2 Depuis iTunes
2.5 Commande « ideviceinfo »
3. Système de fichier
3.1 HFS+
3.2 AFPS
3.3 B-tree
3.4 Partitions
3.5 Fichier plist
3.6 SQLite
4. Sauvegarde
4.1 Par l’intermédiaire d’iTunes
4.1.1 La sauvegarde d’iTunes
4.2 Par l’intermédiaire d’iCloud
4.2.1 La sauvegarde iCloud
4.3 Par l’intermédiaire d’une application tierce
5. Récupération des données
5.1 Depuis l’appareil
5.2 Logiciel professionnel
5.3 Acquisition physique
5.3.1 Custom RAM
5.4 Via Jailbreak
5.4.1 iFile
5.5 Depuis une sauvegarde iOS
5.5.1 Restauration d’un dispositif iOS
5.5.2 Applications tierces
5.5.3 Sauvegarde cryptée
5.5.4 iCloud
6. Récupération d’une sauvegarde
7. Les répertoires intéressants
7.1 Chemin des applications
7.2 Fichiers de configurations
8. Logiciels
9. Tableau récapitulatif des logiciels
10. Conclusion
Bibliographie
Télécharger le rapport complet