L'acquisition de données est le processus qui consiste à créer une image d'un support de données pour les besoins d'une analyse. Ce billet présente les trois principales méthodes d'acquisition forensique : physique, logique et manuelle. La quantité de données collectées dépend du type d'acquisition utilisé.
Acquisition physique
L'acquisition physique consiste à copier un support de données bit par bit. Cela permet d'acquérir l'intégralité des données présentes sur un appareil, y compris les données supprimées et les espaces non alloués.
Exemple imagé : Imaginez que vous fassiez une photocopie exacte d'un livre, y compris les notes que quelqu'un a griffonnées dans les marges et même les pages déchirées que l'on aurait pu jeter à la poubelle. Rien n'est omis.
Acquisition logique
L'acquisition logique se limite à la copie des fichiers et répertoires visibles dans le système de fichiers. Ce type d'acquisition est souvent plus simple à réaliser, car il peut être effectué via le logiciel du constructeur en créant un backup. Cependant, les fichiers supprimés et les espaces non alloués ne sont pas inclus.
Exemple imagé : C'est un peu comme si vous interrogiez chaque application installée sur un appareil, et chacune vous donne seulement ce qu'elle veut bien vous montrer, en omettant tout ce qui a été supprimé ou ce qui est caché dans des tiroirs non accessibles.
Acquisition manuelle
L'acquisition manuelle est la méthode la plus simple, mais elle présente un risque accru de laisser des traces sur l'appareil. Dans ce cas, l'enquêteur utilise l'interface utilisateur pour accéder aux données en interagissant avec l'écran, le clavier et les menus, puis prend des captures d'écran pour sauvegarder ce qu'il trouve. Cependant, cette méthode comporte le risque d'effacer ou d'altérer des artefacts.
Exemple imagé : C'est comme si vous exploriez une maison en prenant des photos des pièces visibles. Vous ne pouvez pas ouvrir les portes fermées, et chaque action (ouvrir un placard, bouger un objet) peut changer ou endommager ce qui est sur place.