Arsouyes.org
Lorsque l’on a un ordinateur à expertiser, il est important de laisser l’original intact. Pourtant, il est souvent pratique de pouvoir démarrer le système et l’explorer comme en vrai. Pour ces cas là, on vous suggère la virtualisation à partir du clone du disque.
La tâche la plus importante de l’expertise judiciaire d’un scellé est évidement de trouver les preuves des différents délits ou crimes. Mais il ne faut pas non plus négliger tout ce qui est annexe : quels sites web ont été visités, qui est en contact avec l’utilisateur de l’ordinateur ?
Pour cela, il est évidement possible de parcourir les systèmes de fichiers à la recherche des caches des navigateurs web, des marque pages et autres. Mais il est également très pratique de pouvoir se servir de l’ordinateur « comme si on en était propriétaire ».
Parfois, la vue du fond d’écran, l’export des données sauvegardées par le navigateur, ou encore les applications installées ou se lançant au démarrage peuvent permettre d’en apprendre plus sur la personne et sur ses compétences en informatique. C’est également beaucoup plus simple pour certaines tâches comme récupérer la configuration de certains logiciels…
Il est toutefois impensable de démarrer directement sur le scellé et de jouer avec… Toute modification du scellé rends nos opérations non reproductibles par nos confrères. Sans compter qu’il est indispensable de conserver le scellé intact dans le cas ou des investigations complémentaires soient nécessaires, ou si une nouvelle expertise devait avoir lieu. Il serait mal-venu de laisser nos propres traces au milieu des données.
Heureusement, comme on va vous le montrer aujourd’hui, on peut exécuter une copie du scellé dans un environnement virtuel. On peut alors utiliser le système comme en vrai, voir y installer tous les outils qu’on voudrait, sans rien toucher au scellé original.
Toutes les captures ont été faites sous une Ubuntu 18.04.1 avec Virtualbox 6.0.18, mais les menus ne changent pas vraiment d’une version à l’autre.
Nous allons prendre l’exemple d’un ordinateur tournant sous Windows 10 dont nous avons cloné précédemment le disque dur, car il s’agit du cas le plus répandu. Si vous n’avez pas le mot de passe, vous pouvez en profiter pour unstaller votre porte dérobée avant 😉.
Convertir le disque
Il faut d’un côté convertir le disque que vous avez cloné grâce à dd en un format de disque utilisable par Virtualbox. Il existe plusieurs format utilisables, mais format VDI (VirtualBox Disk Image) est LE format image de disque virtuel de Virtualbox. C’est donc celui-ci que nous allons choisir.
Pour convertir le disque, il faut utiliser VBoxManage via la ligne de commande. La conversion nécessite les paramètres suivants :
convertfromraw: conversion à partir d’un fichier raw,windows.raw: nom du fichier source, contenant le clone du disque,windows.vdi: nom du fichier destination, qui contiendra le disque utilisable par VirtualBox,--format VDI: spécifie le format de sortie, ici on a choisiVDI.
La ligne de commande complète est donc la suivante :
Je vous conseille de créer un répertoire spécifique dans lequel vous mettrez vos VDI, histoire de vous y retrouver.
Si vous supprimez votre VM, Virtualbox vous demandera s’il faut supprimer tous les fichiers associés. Si vous cliquez sur «Tous», votre VDI sera effacé, qu’importe son emplacement sur votre disque dur.
Créer la machine virtuelle
Nous allons ensuite créer la machine virtuelle dans Virtualbox.
On peut créer la machine virtuelle avant de convertir le disque. Dans ce cas, il faudra créer une machine virtuelle sans disque, et lui ajouter le disque après coup.
Lancez Virtualbox et lancez la création d’une nouvelle machine via le menu Machine / Nouvelle…
VirtualBox vous ouvre la fenêtre de configuration initiale. Remplissez les champs comme suit:
Nom : Le nom que vous souhaitez donner à la VM, pour pouvoir la reconnaître parmi vos autres VM,
Type : Le type de système d’exploitation qui tourne sur l’ordinateur dont vous avez cloné le disque, ici « Microsoft Windows »,
Version : La version du système d’exploitation, dans notre exemple « Windows 10 (64bits) »,
Taille de la mémoire : Virtualbox sélectionnera la mémoire minimale requise en fonction du système d’exploitation que vous avez sélectionné, dans notre cas, on laisse 2048, ce qui corresponds aux recommandations minimales de Microsoft. Vous pouvez également choisir de mettre autant que sur le scellé, et d’augmenter si vous constatez de la lenteur,
Disque dur : cliquez sur «Utiliser un fichier de disque dur existant».
Cliquez sur le petit dossier avec une flèche 
, à droite de la liste déroulante, afin d’accéder au gestionnaire de médias de VirtualBox.
Celui-ci ne référence pas encore le disque que vous venez de convertir, cliquez sur l’icône Ajouter.
Ce qui vous ouvre l’explorateur de fichiers, dans lequel vous devrez naviguer pour choisir votre disque précédemment converti.
De retour dans le gestionnaire de disque de Virtualbox, sélectionnez votre disque et cliquez sur Choisir.
Finalement, cliquez sur Créer.
Votre nouvelle VM apparaîtra alors dans la liste des VM disponibles.
Vous pouvez à présent lancer votre VM. Vous pourrez donc naviguer sans crainte de casser quelque chose dans l’ordinateur.
Notons que le fait d’utiliser la VM utiliser uniquement le fichier VDI et non le fichier RAW. Du coup, le raw restera intact. Et vous garderez ainsi une copie de sauvegarde de votre disque sans aucunes modifications dessus.
Et après
Cloner un disque dur sous Ubuntu
4 novembre 2019 Que ce soit suite à l’achat d’un nouveau disque, dans le but de faire une sauvegarde, ou pour tout autre raison, vous souhaitez copier à l’identique le contenu d’un disque dur ou d’une clef USB. Mais, comme on n’est jamais trop prudent, le mieux est de s’assurer de ne rien toucher à l’original. On vous montre comment faire avec Ubuntu.
14 avril 2006 Experts en sécurité informatique, nous avons créé le site des arsouyes en 2006 pour y partager nos connaissances. Après 10 ans dans le privé, nous avons choisi la voie de l’entreprenariat et espérons pouvoir vivre de notre passion en accord avec nos valeurs.
