Home » Forensic, Sécurité

V/ Forensique : Analyse de métadonnées

23 janvier 2012 4 Commentaires

Beaucoup de personnes ne le savent pas, mais dans vos documents (images, documents word, pdf… ) y sont attachés ce que l’on appelle métadonnées.

Ces métadonnées selon le support peuvent être par exemple un nom / prénom (Word, OpenOffice, PDF), des coordonnées GPS (images) ou diverses informations pouvant être utiles lors d’une enquête.

Ces informations peuvent être très dangereuses pour le suspect lambda n’ayant pas de compétences informatiques particulières et n’étant donc pas au courant de la présence de ces métadonnées.

 

Une fois que l’on a exporté et isolé nos fichiers pouvant potentiellement comporter des métadonnées (une image, un document word, un pdf et une charge .rar) on utilise exiftool un outil permettant l’extraction des métadonnées des images, audio et vidéo…

 

A noter que exiftool peut être utilisé pour créer de fausses métadonnées (coordonnées GPS, date…) ou au contraire supprimer des métadonnées associées à un document.

Sur l’image ci-dessus on voit que notre image  a notamment été retouché sur Photoshop, on voit la date de modification, et que la photo provient à l’origine d’un HTC Desire.

Malheureusement les coordonnées GPS ne sont pas présentes… (ce dernier n’étant pas activé lors de la prise de la photo).

 

Ensuite analysons notre document PDF avec pdfinfo (exiftool aurait aussi bien fait l’affaire ici):

pdfinfo

On peut voir que le suspect (en l’occurrence moi), à généré le PDF avec PDFCreator qui est une imprimante virtuelle…

A noter que PDFCreator nous permet de gérer les métadonnées de nos documents PDF.

 

Ensuite pour analyser notre .doc, nous allons utiliser Doc Scrubber fonctionnant sous Windows.. (exiftool peut aussi faire l’affaire).doc scrubber

 

On peut retrouver des informations assez extravagantes comme la date de la dernière impression, le nombre de révisions du document word…

 

Enfin nous avons une archive « rar » qui est verrouillé par un mot de passe.

 

Cela nous intriguant on peut tenter de lancer une attaque Bruteforce avec rarcrack (qui sera un échec si le mot de passe est trop complexe et donc trop long à cracké):

A noter que pdfcrack fait la même chose avec les pdf…

Ainsi avec l’extraction de « métadonnées« , on a vu qu’il était possible de récupérer certaines données « cachées » pouvant nous mener vers le suspect (ou son but), l’utilisateur moyen n’ayant pas connaissance de la présence de ces métadonnées dans ses documents / images.

 

Voici comment s’achève cette petite introduction à l‘analyse Forensique, j’espère que cela vous a plu !

N’hésitez pas à commenter les articles…


VN:F [1.9.11_1134]
Rating: 9.7/10 (3 votes cast)
V/ Forensique : Analyse de métadonnées, 9.7 out of 10 based on 3 ratings


  • Anonyme

    Faudra que je test exiftool, article intéressant continu comme ça :)

    VA:F [1.9.11_1134]
    Rating: 0.0/5 (0 votes cast)
  • Anonyme

    Merci, ça fait plaisir ;)

    VA:F [1.9.11_1134]
    Rating: 0.0/5 (0 votes cast)
  • Spacezinzin

    Waaooo voilà un site formidable

    VA:F [1.9.11_1134]
    Rating: 0.0/5 (0 votes cast)
  • Anon

    Très bon tuto

    VA:F [1.9.11_1134]
    Rating: 0.0/5 (0 votes cast)
list comedy films