La forensics sous Firefox

*Ce texte est le croisement de plusieurs sources dont une série d'article de John J. Barbara paru notamment dans Forensic Magazine.* 

Les racines de Firefox Mozilla pourraient remonter à 1998 lorsque Netscape Communications – anciennement Netscape Communications Corporation – a créé l’organisation Mozilla afin de développer ce qui fut appelé la suite d’application Mozilla.

Cet évènement a coïncidé avec la publication du code source du navigateur de Netscape pour motiver les programmeurs et développer le marché des navigateurs. Aujourd’hui Firefox fait partie des navigateurs les plus populaires au monde, non seulement parce que le code-source est ouvert mais aussi parce qu’il est léger, fonctionnel, que chacun peut le customiser comme il le souhaite.

On peut accéder à l’historique en utilisant directement le navigateur mais également en fouillant dans les différents dossiers et sous-dossiers, visibles ou cachés de la machine.

Pour les ordinateurs sous Windows XP, on peut se rendre ici :

·         C:\Documents and Settings\[User]\Application Data\Mozilla\Firefox\Profiles\xxxxxxxx.default\

·         C:\Documents and Settings\[User]\Local Settings\Application Data\Firefox\Profiles\xxxxxxxx.default\Cache\

Pour les ordinateurs sous Windows Vista, Windows Seven ou Windows 8, il faut préalablement faire afficher les dossiers et sous-dossiers cachés et se rendre ici :

·         C:\Users\[User]\Appdata\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\Cache\

·         C:\Users\[User]\Appdata\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\

Pour les machines sous Linux, les fichiers se trouvent ici : ~/.mozilla/firefox/xxxxxxx.default/

Les navigateurs sont aujourd’hui certainement les logiciels les plus utilisés sur les machines et même s’ils ont chacun leurs spécificités, ils ont des fonctionnalités communes :

·         Une interface utilisateur ;

·         Un « moteur » qui va référencer les contenus, les formater et les afficher ;

·         Un « moteur » de rendu de résultats ;

·         Une barre d’adresse ;

·         Un interpréteur de javascript ;

·         Un espace de stockage des données.

Lorsqu’une URL est tapée dans la barre d’adresse, le navigateur va communiquer avec le serveur pour résoudre cette dernière en adresse IP et donc autoriser le navigateur à se connecter au serveur Web approprié en utilisant le HTTP. Une fois connecté, les données sont transmises, que ce soient les données demandées explicitement par l’utilisateur ou des données en cache.

Ces données en caches peuvent être des images, des bouts de textes ou encore des fichiers audio. Parfois, ce sont des petits bouts de textes.

Dans Windows Seven ou 8, le cache est disponible à différentes endroits :

·         C:\Users\[User]\Appdata\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\Cache

·          C:\Users\[User]\Appdata\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\jumplistCache

·         C:\Users\[User]\Appdata\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\OfflineCache

·         C:\Users\[User]\Appdata\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\startupCache

Dans le dossier C:\Users\[User]\Appdata\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\Cache, on peut avoir accès à quatre fichiers internes primaires :

·         Le _CACHE_001_ qui va stocker les métadonnées et les entrées inférieures à 512 bytes ;

·         Le _CACHE_002_ qui va stocker les métadonnées et les entrées comprises entre 512 et 1024 bytes ;

·         Le _CACHE_003_ qui va stocker les métadonnées et les entrées comprises entre 1024 et 4096 bytes ;

·         Le _CACHE_004_ qui contient un index de toutes les métadonnées et de toutes les entrées.

Lorsque l’historique de navigation de Firefox a été effacé, ce sont souvent les données contenues dans le cache qui ressortent et qui permettent de retracer de façon plus ou moins précise qu’elle a été l’activité sur un ordinateur.  En effet, les données constituant l’historique de navigation sont des fichiers temporaires. De ce fait, lorsque l’historique est effacé, il n’existe pas de façon de le restaurer de façon claire et simple. On s’appuie à ce moment-là sur les informations contenues dans le cache. Si les personnes ont souvent le réflexe de nettoyer leur historique de navigation, elles ne pensent pas nécessairement à nettoyer toutes les informations contenues dans le cache, qui peuvent être tout aussi parlantes que l’historique en lui-même, surtout si Firefox a été configuré pour être le navigateur par défaut de la machine. Dans cette hypothèse, on retrouve non seulement les sites visités et certaines informations mais également les URLs en lien avec certaines applications comme Skype ou MSN Messenger. Selon la méthode employée, on va se retrouver avec toute une série de métadonnées stockées en cache qu’il faudra ensuite ordonner et c’est la partie la plus fastidieuse.  

Lorsque les données de navigation  n’ont jamais été effacées, outre la navigation directe dans l’historique de Firefox, on peut également regarder ce qui se trouve dans le cache en ouvrant une nouvelle fenêtre de navigation et en tapant about :cache. On obtient alors une liste à trois entrées principales.

Sur les trois entrées principales, deux proposent des hyperliens qui renvoient vers une liste d’URL avec l’URL, la taille de la donnée et l’horodatage. Mais ce sont les données les plus récentes qui apparaissent.

Pour voir ce qui est stocké en cache, on peut également recourir à des modules complémentaires dédiés. Il existe également des modules complémentaires qui vont automatiquement stocker les informations de navigation dans d’autres dossiers et sous-dossiers.

Enfin, il existe une autre façon de lister non seulement les URLs visitées mais également les informations mémorisées par le navigateur : SQLite Manager. Il s’agit d’un autre module complémentaire de Firefox.  Après installation, on se rend dans Firefox > Développement Web > SQLite Manager. On sélectionne la base de données pertinente et on obtient alors une liste intéressante de navigation avec des informations complémentaires. D’autres bases de données permettront de lister d’autres informations relatives à la navigation comme les éléments téléchargés.   

Il faut donc retenir que dans le cas de Firefox, même si l’historique en lui-même a été effacé, il faut élargir le périmètre de recherche et regarder les éléments qui peuvent paraître insignifiants car ce sont souvent eux qui vont permettre de retracer une activité sur une machine.