Depuis quelques années les smartphones utilisent le chiffrement basé sur les fichiers (FBE). En effet, depuis Android 7.0 et iOS 10.3, ces derniers n'utilisent plus le Full Disk Encryption (FDE), mais plutôt une encryption fichier par fichier.
Auparavant, sur les appareils chiffrés avec full-disk de données (FDE), les utilisateurs devaient fournir des identifiants ce qui empêche le téléphone d'exécuter toutes les tâches, sauf les plus élémentaires opérations. Par exemple, les alarmes ne pouvaient pas se déclencher, les services d'accessibilité indisponibles, et les téléphones ne pouvaient pas recevoir d'appels, mais étaient limités au mode de base les services d'urgence.
Acquisition à chaud
Un appareil est considéré "hot" lorsqu'il est en AFU (After First Unlock). Il faut s'assurer que l'appareil n'est pas redémarré entre la saisie et l'acquisition des données.
Un appareil n'est plus considéré "hot" lorsque l'appareil est en BFU (Before First Unlock). Sans le mot de passe ou le pin il peut être impossible d'acquérir les données.
BFU (Before First Unlock) et AFU (After First Unlock)
Dans le contexte de la sécurité mobile, BFU signifie "Before First Unlock" ("avant le premier déverrouillage"). Cet état survient lorsqu’un appareil a redémarré mais n’a pas encore été déverrouillé. Dans cet état, les données restent protégées par un haut niveau de chiffrement, car le téléphone utilise le chiffrement basé sur des fichiers (FBE). Autrement dit, sans le mot de passe ou le code PIN initial, l’accès aux données est extrêmement limité, car le système doit forcer le mot de passe pour pouvoir accéder aux fichiers.
Exemple imagé de BFU : Imaginez un coffre-fort ultra-sécurisé qui se verrouille automatiquement dès qu’il est fermé. Lorsque quelqu’un redémarre l’appareil (ferme le coffre), les données sont enfermées derrière une barrière chiffrée. Tant que personne n’a entré le bon code pour ouvrir le coffre depuis le dernier redémarrage, aucune donnée ne peut être consultée.
AFU, quant à lui, signifie "After First Unlock" ("après le premier déverrouillage"). Cela signifie que l’appareil a été déverrouillé une fois avec le mot de passe correct depuis le dernier redémarrage. En état AFU, certaines clés de chiffrement sont stockées en mémoire, ce qui permet un accès plus rapide aux données, même si l’écran de verrouillage est actif. Les données sont donc accessibles tant que le système reste dans cet état, à condition de contourner l’écran de verrouillage.
Exemple imagé de AFU : Imaginez que vous avez déverrouillé le coffre-fort et qu’il reste partiellement ouvert, vous permettant d'accéder rapidement aux objets à l'intérieur. Même si le coffre est refermé temporairement (l’écran de verrouillage), il reste accessible à condition de connaître une astuce pour contourner le verrou temporaire. C'est ce qui permet de récupérer certaines données en état AFU, comme cela a été démontré avec le contournement de l’écran sur certains téléphones Pixel – une technique qui ne fonctionne que dans cet état.
En résumé, si un appareil est en état BFU (après un redémarrage et avant le premier déverrouillage), l’accès aux données est extrêmement difficile sans le mot de passe. En AFU, après le premier déverrouillage, certaines données sont plus facilement accessibles, car le chiffrement est partiellement levé, permettant une lecture sous certaines conditions.
Comment savoir si l'appareil est en BFU ou AFU ?
- Sur iOS, en BFU, une phrase sera présente au moment du déverouillage du type "Your passcode is required when iPhone restart".
- Sur iOS, en AFU, il vous sera simplement demandé le pin.
- Sur Android, en BFU, une autre phrase du type : "Phone restarted"
- Sur Android, en AFU, il vous sera simplement demandé le pin.
Extraction en BFU
Ce type d'extraction contient une quantité d'informations quelque peu limitée, mais elle peut s'avérer utile dans certains cas. Une extraction en mode BFU (Before First Unlock) contient principalement des données système. Cependant, il est possible de trouver quelques données générées par l’utilisateur qui pourraient fournir de nouvelles pistes pour certaines enquêtes.
Ce type d’extraction est de taille réduite, et la majorité des informations collectées sont soit des données système ou d'application, soit des images et vidéos mises en cache qui ne proviennent pas directement de l’utilisateur. En général, les appareils iOS semblent fournir une quantité de données plus importante que les appareils Android dans cet état BFU.
Extraction en AFU
Comparée à une extraction en mode BFU, une extraction en mode AFU (After First Unlock) contient la grande majorité des données générées par l’utilisateur, représentant environ 95 % de ce que l'on obtiendrait avec une extraction complète du système de fichiers.
Extraction Full File System
Une fois le code de verrouillage connu, il est possible de réaliser une extraction complète du système de fichiers de l'appareil, qui est le type d'extraction le plus complet que l'on puisse obtenir d'un dispositif mobile. Ce type d'extraction permet d'accéder à toutes les données présentes dans le système de fichiers de l'appareil.
Sources :
- https://source.android.com/docs/security/features/encryption/file-based?hl=fr
- https://smarterforensics.com/2021/12/android-and-ios-acquisition-recommendations/
- https://apple.stackexchange.com/questions/468538/when-did-apple-switch-fde-to-fbe