La tâche la plus importante de l’expertise judiciaire d’un scellé est évidement de trouver les preuves des différents délits ou crimes. Mais il ne faut pas non plus négliger tout ce qui est annexe et qui pourrait aider : quels sites web ont été visités, qui est en contact avec l’utilisateur de l’ordinateur ?

Pour cela, il est évidement possible de parcourir les systèmes de fichiers à la recherche des caches des navigateurs web, des marque pages et autres. Mais il est également très pratique de pouvoir se servir de l’ordinateur « comme si on en était propriétaire ».

Parfois, la vue du fond d’écran, l’export des données sauvegardées par le navigateur, un raccourci home made sur le bureau ou encore les applications installées ou se lançant au démarrage peuvent permettre d’en apprendre plus sur la personne et sur ses compétences en informatique. C’est également beaucoup plus simple pour certaines tâches comme récupérer la configuration de certains logiciels…

Il est toutefois impensable de démarrer directement sur le scellé et de jouer avec… Toute modification du scellé rends nos opérations non reproductibles par nos confrères. Sans compter qu’il est indispensable de conserver le scellé intact dans le cas ou des investigations complémentaires soient nécessaires, ou si une nouvelle expertise devait avoir lieu. Il serait mal-venu de laisser nos propres traces au milieu des données.

Heureusement, comme on va vous le montrer aujourd’hui, on peut exécuter une copie du scellé dans un environnement virtuel. On peut alors utiliser le système comme en vrai, voir y installer tous les outils qu’on voudrait, sans rien toucher au scellé original.

Toutes les captures ont été faites sous une Ubuntu 18.04.1 avec Virtualbox 6.0.18, mais les menus ne changent pas vraiment d’une version à l’autre.

Nous allons prendre l’exemple d’un ordinateur tournant sous Windows 10 dont nous avons cloné précédemment le disque dur, car il s’agit du cas le plus répandu. Si vous n’avez pas le mot de passe, vous pouvez en profiter pour installer votre porte dérobée avant 😉.

Convertir le disque

Nous allons commencer par convertir le disque que nous avons cloné grâce à dd en un format de disque utilisable par Virtualbox. Il existe plusieurs format utilisables, mais format VDI (VirtualBox Disk Image) est LE format image de disque virtuel de Virtualbox. C’est donc celui-ci que nous allons choisir.

Pour convertir le disque, il faut utiliser VBoxManage via la ligne de commande. La conversion nécessite les paramètres suivants :

• convertfromraw : conversion à partir d’un fichier raw,
• windows.raw : nom du fichier source, contenant le clone du disque,
• windows.vdi : nom du fichier destination, qui contiendra le disque utilisable par VirtualBox,
• --format VDI : spécifie le format de sortie, ici on a choisi VDI.

La ligne de commande complète est donc la suivante :

vboxmanage convertfromraw windows.raw windows.vdi --format VDI

Je vous conseille de créer un répertoire spécifique dans lequel vous mettrez vos VDI, histoire de vous y retrouver.

Si vous supprimez votre VM, Virtualbox vous demandera s’il faut supprimer tous les fichiers associés. Si vous cliquez sur «Tous», votre VDI sera effacé, qu’importe son emplacement sur votre disque dur.

Créer la machine virtuelle

Nous allons ensuite créer la machine virtuelle dans Virtualbox.

On peut créer la machine virtuelle avant de convertir le disque. Dans ce cas, il faudra créer une machine virtuelle sans disque, et lui ajouter le disque après coup.

Lancez Virtualbox et lancez la création d’une nouvelle machine via le menu Machine / Nouvelle…

VirtualBox vous ouvre la fenêtre de configuration initiale. Remplissez les champs comme suit:

• Nom : Le nom que vous souhaitez donner à la VM, pour pouvoir la reconnaître parmi vos autres VM,

• Type : Le type de système d’exploitation qui tourne sur l’ordinateur dont vous avez cloné le disque, ici « Microsoft Windows »,

• Version : La version du système d’exploitation, dans notre exemple « Windows 10 (64bits) »,

• Taille de la mémoire : Virtualbox sélectionnera la mémoire minimale requise en fonction du système d’exploitation que vous avez sélectionné, dans notre cas, on laisse 2048, ce qui corresponds aux recommandations minimales de Microsoft. Vous pouvez également choisir de mettre autant que sur le scellé, et d’augmenter si vous constatez de la lenteur,

• Disque dur : cliquez sur «Utiliser un fichier de disque dur existant».

Cliquez sur le petit dossier avec une flèche , à droite de la liste déroulante, afin d’accéder au gestionnaire de médias de VirtualBox.

Celui-ci ne référence pas encore le disque que vous venez de convertir, cliquez sur l’icône Ajouter.

Ce qui vous ouvre l’explorateur de fichiers, dans lequel vous devrez naviguer pour choisir votre disque précédemment converti.

De retour dans le gestionnaire de disque de Virtualbox, sélectionnez votre disque et cliquez sur Choisir.

Finalement, cliquez sur Créer.

Votre nouvelle VM apparaîtra alors dans la liste des VM disponibles.

Vous pouvez à présent lancer votre VM. Vous pourrez donc naviguer sans crainte de casser quelque chose dans l’ordinateur.

Notons que le fait d’utiliser la VM utilise uniquement le fichier VDI et non le fichier RAW. Du coup, le raw restera intact. Et vous garderez ainsi une copie de sauvegarde de votre disque sans aucunes modifications dessus.

Et après

Vous pouvez naviguer dans l’ordinateur comme si c’était le vrai. Cela est entre autre pratique pour visionner les fichiers de celui-ci avec les outils faits pour (qui a envie de regarder les sqlite correspondant aux bookmarks ?! lorsque lancer le navigateur est carrément plus user friendly).

Pour l’anecdote, cela m’a servi quelques fois lors d’expertises. Je n’aurais probablement pas remarqué le raccourci posé par l’utilisateur du système sur le bureau, permettant d’arrêter instantanément et sans vérifications l’ordinateur…