Dans le domaine de l’analyse numérique, des outils comme X-Ways Forensics ou Autopsy sont souvent les piliers du travail quotidien des enquêteurs. Cependant, j’ai récemment découvert TRACE, un outil forensique open source développé dans le cadre d’un projet de fin d’études, qui propose une approche accessible et intuitive pour l’analyse des images disque.
TRACE se distingue par sa capacité à prendre en charge plusieurs formats d’images, sa compatibilité avec différents systèmes d’exploitation, et sa flexibilité grâce à un design modulaire. Dans cet article, je propose un tour d’horizon de cet outil et de ses fonctionnalités.
Présentation de TRACE
TRACE, ou Toolkit for Rapid Advanced Cyber Examination, est un outil d’investigation numérique conçu pour simplifier l’analyse des images disque. Il offre une interface intuitive qui permet aux utilisateurs d’explorer des formats comme E01 ou dd, tout en intégrant des fonctions pratiques telles que l’extraction de métadonnées EXIF, le file carving ou encore un visualiseur de registres.
L’outil intègre également des vérifications via VirusTotal pour détecter d’éventuels malwares dans les fichiers extraits. Cette combinaison de fonctionnalités en fait un complément pertinent pour les enquêteurs utilisant déjà des solutions propriétaires, mais cherchant une alternative open source.
Attention : l'outil est en développement, tous les files systems ne sont pas encore pris en charge (novembre 2024)
Les fonctionnalités de TRACE
Compatibilité avec plusieurs formats d’images disque
TRACE prend en charge des formats courants comme E01 et dd, tout en offrant la possibilité de convertir les images E01 en format brut pour une manipulation plus directe.Montage et exploration des images disque
L’outil permet de monter des images disque et de naviguer dans leur contenu de manière simple et rapide.Extraction des métadonnées et récupération de fichiers
- EXIF Metadata : Une analyse des métadonnées intégrées aux fichiers multimédias.
- File Carving : Une récupération des fichiers supprimés ou endommagés directement à partir des images disque.
Visualisation des registres Windows
TRACE inclut un visualiseur pour explorer les registres et obtenir des informations système détaillées.Vérification de l’intégrité des images disque
L’outil permet de vérifier la cohérence des données pour s’assurer qu’elles n’ont pas été altérées.Intégration avec VirusTotal
Les fichiers extraits peuvent être vérifiés en ligne pour détecter des menaces potentielles.Compatibilité multi-plateforme
TRACE fonctionne sur Windows, macOS, et Linux, ce qui le rend utilisable dans des environnements variés.Design modulaire
Sa conception modulaire permet aux utilisateurs d’adapter l’outil à leurs besoins spécifiques, avec des fonctionnalités supplémentaires prévues comme la recherche avancée et le traitement des fichiers multimédias.
TRACE dans le cadre d’une analyse forensique
TRACE n’a pas vocation à remplacer des outils robustes comme X-Ways ou Autopsy, mais à les compléter. Par exemple, il peut être utile pour des tâches spécifiques ou comme une alternative légère lorsqu’un accès rapide et gratuit est nécessaire. Son interface intuitive le rend accessible à ceux qui débutent dans le domaine, tout en offrant des fonctionnalités avancées pour des investigations plus poussées.
Pour les praticiens, TRACE est une opportunité d’explorer un outil adaptable, capable de s’intégrer dans des workflows existants tout en répondant à des besoins particuliers.
TRACE montre qu’un outil open source peut être à la fois simple d’utilisation et fonctionnel. Bien qu’il soit encore en développement, il offre déjà un éventail de fonctionnalités utiles pour l’analyse des images disque, avec des perspectives intéressantes d’améliorations futures.
Pour les curieux ou ceux qui cherchent des solutions supplémentaires dans leurs enquêtes numériques, TRACE constitue une option sérieuse et accessible. Il est disponible sur GitHub pour ceux qui souhaitent le tester ou contribuer à son développement.