iPhone Analyzer : le concurrent Open Source d’I-Twin ?
I-Twin est un logiciel permettant de lire les sauvegardes d’un iPhone en clair sans pour autant avoir l’iPhone sous la main. Mais il semblerait qu’il ait trouvé un concurrent sérieux avec iPhone Analyzer, qui offre certaines possibilités intéressantes. Tour d’horizon de cet outil.
[EDIT du 18/08/2012 : Cet outil est présent dans la R3 de BackTrack5. Applications >BackTrack>Forensics>Digital Forensics]
iPhone Analyzer n’est pas un projet très récent car la première version date de 2010 mais une mise à jour de cet outil est sortie en juin 2012. Ecrit en Java, il ne nécessite aucune installation et n’implique pas la détention physique d’un iPhone : il suffit d’avoir une sauvegarde déjà faite.
Une fois la sauvegarde sélectionnée chargée – le temps de chargement varie en fonction de la taille des données présentes – on arrive sur une page principale donnant les caractéristiques principales de l’appareil.
Le panneau latéral gauche permet de naviguer dans le répertoire, la liste d’amis Facebook de la personne, les messages ou encore tous les photos prises avec l’iPhone. Concernant la liste d’amis Facebook, il est à noter que les informations « essentielles » des amis sont affichées : nom, prénom, adresse email, lien vers le profil, numéro d’ID de Facebook, numéro de téléphone, numéro de BlackBerry Messenger s’il est indiqué sur le profil. Une rapide vérification a montré qu’il ne s’agissait pas d’un croisement de données entre les informations contenues dans le répertoire d’avec les informations basiques de Facebook, mais bien d’un transfert de données.
La navigation vers le répertoire permet également de voir à quelle date précisément une entrée a été créée ainsi que la date à laquelle elle a été modifiée. Pour la section messages, tout est disponible, que ce soit les messages reçus ou envoyés.
L’une des fonctionnalités les plus intéressantes d’iPhone Analyzer réside dans le Maps History : il s’agit d’un historique de toutes les données de géolocalisation qui ont pu être enregistrées sur l’iPhone, que ce soit des recherches GPS ou les géolocalisations via les réseaux sociaux ou encore les images.
En allant dans « Concepts », on obtient une carte avec un nuage de points qui permet de voir où est passée le propriétaire de la sauvegarde.
Néanmoins, cet outil est perfectible. Contrairement à ce qui a été annoncé lors de la sortie de la version 2.02, iPhone Analyzer ne permet pas la lecture en clair des mots de passe. Après plusieurs recherches minutieuses dans les différentes bases de données présentes dans la sauvegarde, il n’y avait aucune trace d’un mot de passe quelconque, que ce soit pour les comptes d’emails ou pour les réseaux sociaux. Il va néanmoins montrer les comptes de messageries qui ont été utilisés.
Quant au concept de Maps History, lorsque l’on procède à un zoom sur la carte, le nuage de points disparaît. Il faut donc faire la recherche manuellement pour retrouver tous les points de géolocalisation. Enfin, l’outil, du fait qu’il est écrit en Java, peut mettre du temps à comprendre la commande que lui indique, alors qu’i-Twin est rapide et léger. Les deux permettent l’export des données, ce qui peut être une bonne chose si la personne désire garder une trace de ce qu’elle a pu faire. iPhone Analyzer permet d’obtenir tous les messages reçus et envoyés là où i-Twin n’affiche que les derniers et permet également d’écouter les messages vocaux enregistrés sur le téléphone, ce que ne peut pas faire son concurrent allemand. Enfin, la navigation par dossier dans le panneau latéral gauche peut s’avérer très pratique pour une recherche manuelle minutieuse, la recherche automatique ayant tendance à ne pas fonctionner.
Le gros point noir concerne les applications utilisées : elles ne sont trouvables que dans l’arborescence mais n’ont pas une entrée de menu dédiée.
En bref, un outil intéressant à tester mais qui reste perfectible, réservé aux initiés, qui ont déjà une certaine habitude dans la pratique des outils dits de forensics.