COFEE et DECAF, investigation et contre-mesure
Date : 06 Janvier 2010
Cet article présente l'outil d'investigation COFEE de Microsoft et la riposte des pirates, baptisée DECAF.
L'outil COFEE
COFEE (Computer Online Forensic Evidence Extractor) est un outil d'investigation disponible depuis juin 2008, que Microsoft propose exclusivement aux forces de police des 187 pays membres d'Interpol.
Cet outil permet de générer une suite d'environ 150 logiciels qui seront installés et configurés sur une clé USB d'investigation, et dont l'exécution sera automatisée.
Il a été conçu pour aider des policiers non experts en informatique à mener à bien une inspection rapide et complète d'ordinateurs suspectés de contenir des preuves numériques d'activités criminelles.
Cette clé USB connectée à un ordinateur permet de contourner toutes les protections du système Windows (y compris le chiffrement "Bitlocker" mis en place dans Windows Vista) et de générer un rapport sur :
Microsoft diffuse cet outil gratuitement via Interpol et le NW3C (National White Collar Crime Center) aux forces de police dans le but de maintenir un Internet sûr.
La fuite
Or début novembre, cet outil diffusé de façon limitée vers les forces de police, a été repéré sur des sites de partage de fichiers BitTorrent.
Cette version pirate, dont la diffusion s'est largement répandue, est limitée à Windows XP. Plusieurs internautes ont déjà pu se la procurer mais son utilisation demeure illégale.
Microsoft relativise la crainte de voir cet outil utilisé par des personnes malveillantes, en précisant que cet outil est une collection de logiciels déjà connus et utilisés par les cybercriminels. L'intérêt de COFEE étant selon Microsoft de regrouper ces logiciels et de les rendre facilement utilisables.
L'outil DECAF
La principale menace liée à cette fuite est qu'elle a permis aux cybercriminels d'analyser COFEE et de concevoir un contre-outil.
Et effectivement, un mois après la diffusion de COFEE, des hackers ont publié sur internet un logiciel anti-COFEE baptisé DECAF (Detect and Eliminate Computer Assisted Forensics).
Ce programme s'adresse à des utilisateurs avancés. Il recherche la signature de COFEE sur les clés USB insérées sur l'ordinateur, et si elle la détecte, elle lance une série de contre-mesures (suppression de fichier, éjection des clés USB, le verrouillage automatique du PC, …) afin de détruire les preuves recherchées ou d'en bloquer l'accès.
Et après ?
Il semblerait que de nouvelles versions de COFEE soient en cours de développement chez Microsoft.
Il est notamment prévu que des versions pour Windows Vista et Windows 7 soient distribuées aux forces de police dans le courant de l'année 2010. Et il est fort probable que ces versions tenteront de lutter contre DECAF, jusqu'à ce que ce dernier lui aussi renforce ses contre-mesures. La version 2 de DECAF s'attaquerait également à d'autres outils de forensic (Helix, EnCase, Forensic Toolkit,etc.). Il s'agit probablement d'un combat sans fin.
Pour en savoir plus
L'outil COFEE
COFEE (Computer Online Forensic Evidence Extractor) est un outil d'investigation disponible depuis juin 2008, que Microsoft propose exclusivement aux forces de police des 187 pays membres d'Interpol.
Cet outil permet de générer une suite d'environ 150 logiciels qui seront installés et configurés sur une clé USB d'investigation, et dont l'exécution sera automatisée.
Il a été conçu pour aider des policiers non experts en informatique à mener à bien une inspection rapide et complète d'ordinateurs suspectés de contenir des preuves numériques d'activités criminelles.
Cette clé USB connectée à un ordinateur permet de contourner toutes les protections du système Windows (y compris le chiffrement "Bitlocker" mis en place dans Windows Vista) et de générer un rapport sur :
- les ports de communications ouverts,
- les mots de passe utilisés,
- les sites web visités,
- les logiciels et services utilisés,
- la légalité des licences des logiciels utilisés,
- les clés des réseaux Wi-Fi configurés,
- …
Microsoft diffuse cet outil gratuitement via Interpol et le NW3C (National White Collar Crime Center) aux forces de police dans le but de maintenir un Internet sûr.
La fuite
Or début novembre, cet outil diffusé de façon limitée vers les forces de police, a été repéré sur des sites de partage de fichiers BitTorrent.
Cette version pirate, dont la diffusion s'est largement répandue, est limitée à Windows XP. Plusieurs internautes ont déjà pu se la procurer mais son utilisation demeure illégale.
Microsoft relativise la crainte de voir cet outil utilisé par des personnes malveillantes, en précisant que cet outil est une collection de logiciels déjà connus et utilisés par les cybercriminels. L'intérêt de COFEE étant selon Microsoft de regrouper ces logiciels et de les rendre facilement utilisables.
L'outil DECAF
La principale menace liée à cette fuite est qu'elle a permis aux cybercriminels d'analyser COFEE et de concevoir un contre-outil.
Et effectivement, un mois après la diffusion de COFEE, des hackers ont publié sur internet un logiciel anti-COFEE baptisé DECAF (Detect and Eliminate Computer Assisted Forensics).
Ce programme s'adresse à des utilisateurs avancés. Il recherche la signature de COFEE sur les clés USB insérées sur l'ordinateur, et si elle la détecte, elle lance une série de contre-mesures (suppression de fichier, éjection des clés USB, le verrouillage automatique du PC, …) afin de détruire les preuves recherchées ou d'en bloquer l'accès.
Et après ?
Il semblerait que de nouvelles versions de COFEE soient en cours de développement chez Microsoft.
Il est notamment prévu que des versions pour Windows Vista et Windows 7 soient distribuées aux forces de police dans le courant de l'année 2010. Et il est fort probable que ces versions tenteront de lutter contre DECAF, jusqu'à ce que ce dernier lui aussi renforce ses contre-mesures. La version 2 de DECAF s'attaquerait également à d'autres outils de forensic (Helix, EnCase, Forensic Toolkit,etc.). Il s'agit probablement d'un combat sans fin.
Pour en savoir plus
- Information du SANS : http://isc.sans.org/diary.html?storyid=7741
- Présentation de Microsoft : http://www.microsoft.com/industry/government/solutions/cofee/default.aspx
- Article de Wikipedia : http://en.wikipedia.org/wiki/Computer_Online_Forensic_Evidence_Extractor