Forensics Corner

Les outils forensics pour BlackBerry : comparatif

Si pour l’iPhone, les outils de forensics, qu’ils soient dédiés à la récupération de données, à l’exploitation des métadonnées ou à l’analyse de malwares, sont de bonne facture et en nombre suffisant pour que chacun y trouve son bonheur, il n’en va pas de même pour les outils forensics dédiés à BlackBerry. Petit tour d’horizon de ce qui se fait en la matière.

Le prérequis logiciel essentiel si on souhaite procéder à de l’extraction de données, est BlackBerry Desktop Manager. Il s’agit d’un software qui va permettre de sauvegarder, de restaurer, de synchroniser le BlackBerry. Il a un petit frère spécialement créé pour les environnements Linux. Les sauvegardes sont au format .ipd, qui est spécifique à BlackBerry. Ces dernières sont paramétrables de façon à sauvegarder de façon fine et exhaustive l’ensemble des données intéressantes. Ce fichier de sauvegarde en .ipd est la base de la quasi-totalité totalité des outils forensics pour BlackBerry. BlackBerry Desktop Manager est fourni lors de l’achat d’un téléphone BlackBerry ou téléchargeable sur la page officielle de RIM.

Le programme le plus célèbre et le mieux fait pour lire les .ipd est certainement ABC Amber BlackBerry Converter. Il permet de lire toutes les données de la sauvegarde, à l’exception des messages BBM. Vous pouvez ensuite effectuer un export des données, sous format Excel par exemple. Seul inconvénient : il n’est pas open-source ni gratuit mais le prix reste raisonnable (environ 20$).

PhoneMiner essaie d’égaler les performances de BlackBerry Converter sans pour autant y arriver. Si l’interface graphique est peut-être plus agréable, ses fonctionnalités sont néanmoins limitées. Par ailleurs, il n’est pas non plus open-source et est plus cher que son « grand frère » ABC Amber. La seule véritable différence réside dans la faculté d’apposer un mot de passe sur les sauvegardes .ipd, ce qui ne justifie pas réellement la différence de prix entre les deux logiciels.

Paraben est certainement le plus connu des outils forensics avec Oxygen mais il est impossible de tester les outils. En effet, ils sont en accès restreints : seuls les agences gouvernementales, les forces de police et les autorités habilitées à procéder à des expertises forensics peuvent télécharger les versions d’essai. Un formulaire est à remplir avant et il est examiné par les sociétés commercialisant les deux logiciels pour être sûr que la personne qui souhaite acquérir une version d’essai appartienne bien aux catégories précédemment citées.

BBSAK est à part dans cette liste. Tout d’abord, il est gratuit. Ensuite, il a besoin que l’appareil soit connecté à l’ordinateur pour fonctionner, là où les autres logiciels n’ont besoin que d’un fichier de sauvegarde préalablement créé.  Par ailleurs, il s’intéresse surtout aux applications et à l’OS installé. Il permet également de wiper un Blackberry, ce qui n’est pas une fonctionnalité inutile.

Cellebrite commercialise un certain nombre d’outils forenscics mais la démarche n’est pas spécialement transparente. En effet, lorsque l’on essaie de télécharger une version d’essai, le logiciel reste bloqué sur une interface d’identification de clé d’activation, qu’il est impossible de contourner. C’est notamment le cas avec UFED Phone Detective.

Enfin, MOBILEdit ! Forensics figure parmi les outils permettant la récupération des données sur un BlackBerry. L’interface graphique est plus soignée que sur BlackBerry Converter mais les fonctionnalités sont les mêmes, du moins pour la version gratuite.

Au final, il existe peu d’outils réellement performants pour procéder à la récupération des données sur un BlackBerry et aucun ne fonctionne véritablement sans le fichier .ipd de sauvegarde. MOBILEdit ! Forensics – du moins dans sa version gratuite – analyse en « réel » ce qu’il trouve mais n’arrive pas à récupérer les datas qui auraient pu être effacées. Le seul outil à tirer véritablement son épingle du jeu reste ABC Amber BlackBerry Converter, qui est le moins cher, le plus ancien sur le marché et même s’il est le plus sobre en termes d’interface graphique, il est le plus performant.