Faire parler les téléphones

Les téléphones portables devenus de « véritables ordinateurs » renferment de multiples informations qui, même invisibles ou effacées, sont récupérables.

Les spécialistes ont appris à faire parler ces petits appareils qui peuvent s’avérer utiles voire déterminants dans une enquête.

« Souriez, vous téléphonez ! » s’ajoutera-t-il à « souriez, vous êtes filmés ! » dans le répertoire des expressions françaises ?

Nous pouvons d’ores et déjà nous poser la question, tant le téléphone mobile est devenu incontournable dans le quotidien de chacun. Les ventes mondiales ont été multipliées par trois entre 2002 et 2015 passant de 430 millions de téléphones achetés dans l’année à 1,43 milliards. La France comptait 74 millions d’abonnés fin 2015, soit plus d’un abonnement par personne en moyenne.

L’intérêt accru de ces appareils s’explique en partie par la multiplication de leurs fonctions qui vont bien au-delà de la communication par voix et par messages : on peut consulter son courrier électronique, regarder des vidéos via les réseaux Wi-Fi ou 3G, écouter de la musique, prendre des photos... De plus, les fabricants dotent leurs machines de toujours plus de capacité de stockage et de nouvelles applications.

Depuis plusieurs années, les forces de l’ordre s’intéressent à cette manne d’information afin d’apporter des éléments supplémentaires, parfois déterminants, aux magistrats et aux enquêteurs. Des outils ont ainsi été développés afin d'« interroger » les téléphones mobiles. Toutefois, avant d’examiner les différents modes d’exploitation, il convient de rappeler la structure d’un téléphone portable.

La structure des supports

Pour fonctionner, un téléphone mobile GSM a besoin d’un réseau d’onde radio ainsi que d’une carte SIM (Subscriber Identity Module, ou module d’identité de l’abonné). 

Cette dernière est une carte à puce intelligente, sorte de carte d’identité téléphonique. Elle permet d’authentifier l’abonné et lui donne des droits d’accès au réseau de l’opérateur. Les caractéristiques physiques et électriques de la carte à puce sont définies par la norme ISO7816, tandis que son utilisation et son architecture interne sont décrites dans la norme GSM.

La carte à puce est fournie par l’opérateur et est identifiée par un numéro de série (ICCID). Celui-ci est référencé dans la base de données de l’opérateur avec le numéro de téléphone correspondant et associé à un numéro d’abonné (nommé IMSI). Unique et non reprogrammable par l’utilisateur, le numéro IMSI est stocké dans la carte SIM.

La carte SIM contient des fichiers rangés selon une structure arborescente, comme sur un ordinateur, avec un fichier principal et des fichiers secondaires. Elle possède trois types de mémoire qui contiennent les données :

- ROM : Read Only Memory, soit mémoire en lecture seule, ou mémoire morte. Cette mémoire contient des données qui peuvent être lues mais non modifiables.

- RAM : Random Access Memory, ou mémoire à accès aléatoire. Cette mémoire autorise un accès direct à n’importe quelle donnée. Cette mémoire enregistre généralement les informations « courantes » issues de calculs et des applications en fonctionnement, mais perd son contenu dès qu'elle n'est plus alimentée en électricité.

- EEPROM Electrically-Erase Programmable Read-Only Mémory, ou mémoire lisible. Cette mémoire est programmable et effaçable électriquement et stocke les informations que l’on souhaite garder.

Les téléphones portables quant à eux sont devenus des ordinateurs de poche, dotés de systèmes d’exploitation embarqués.

De nombreux fabricants se sont engagés sur le marché de la téléphonie et du système d’exploitation. Mais, avec la crise des télécommunications et le boom d’Internet des années 2000, seuls quelques-uns ont résisté en téléphonie tels que Samsung, Apple, Nokia…, et d'autres sur le marché du système d’exploitation comme IPhone OS, Android ou encore Microsoft Windows Phone. Par conséquent, les systèmes de fichiers se standardisent facilitant ainsi les analyses par les forces de l’ordre.

En revanche, l’architecture matérielle du téléphone s’est complexifiée en se miniaturisant alors même que ses performances augmentaient. Tout comme la carte SIM, le téléphone possède un microprocesseur – parfois deux ou trois –, qui gère à la fois le système d’exploitation, l’interface avec la carte SIM, les données de l’utilisateur et la communication avec l’extérieur.

Le téléphone est aussi doté d’une mémoire de type RAM afin d’augmenter la vitesse et d’une mémoire interne de type EEPROM, dite mémoire flash, qui peut garder l’information sans être alimentée électriquement. La capacité de cette dernière s’est notablement accrue ces dernières années, devenant aujourd’hui proche de celle des disques durs. Ces mémoires sont de deux types NOR et NAND, la première accueillant le système d’exploitation, la seconde les données de l’utilisateur. Le téléphone mobile peut être également équipé d’une carte mémoire externe afin d’étendre sa capacité de stockage. Son fonctionnement et son utilisation sont identiques à ceux d’une clé USB.

En résumé, un ensemble « téléphone mobile » est constitué de trois composants : la carte SIM, le téléphone lui-même et une éventuelle carte mémoire externe. Lors d’une enquête, les experts travaillent parfois sur l’ensemble en fonctionnement. Il est alors nécessaire de se placer dans un environnement où le réseau ne passe pas afin d’éviter que des communications ne polluent le téléphone. Lorsque les experts décident de séparer les composants, l’analyse se fait dans l'ordre suivant : la carte SIM, la carte mémoire puis le téléphone, permettant ainsi de préserver l'intégrité des deux premiers supports. Le téléphone, quant à lui, nécessite un démarrage et engendre des modifications, l'intégrité ne peut être préservée.

L’exploitation des supports

Les outils du commerce à destination des acteurs judiciaires permettent l’analyse des cartes SIM dans le but de lire et d'enregistrer les informations utiles contenues dans ces dernières sans en modifier les données. Les renseignements collectés sur ce support sont nombreux. Parmi les données intéressantes, nous retrouvons le numéro de série de la carte (ICCDI) et le numéro de l’abonné (IMSI) qui permettent d’identifier le propriétaire. Des réquisitions judiciaires peuvent alors être notifiées à l’opérateur qui a fourni cette carte afin d’obtenir toutes les informations liées à l’abonné telles que la liste des appels par exemple. La carte SIM contient parfois un répertoire téléphonique, additionnel à celui du téléphone ainsi que des messages SMS.

L’analyse de la carte mémoire externe nécessite également quelques précautions si l’on souhaite éviter toute modification et garantir ainsi toute son intégrité. Il ne peut être envisagé de connecter la carte mémoire directement à un ordinateur car le système d’exploitation de ce dernier modifierait automatiquement les données. Il y a donc deux possibilités pour copier les données : l’extraction logique ou physique. La première est une copie des fichiers « visibles » tels qu’on les verrait avec un explorateur Windows, la seconde est une copie bit à bit de la mémoire. Une telle opération ressuscite certaines données que l’utilisateur pensait avoir effacées. En effet, le système d’exploitation ne supprime pas les données que l’utilisateur a effacées mais il considère que l’espace qu’elles occupent est libre. Tant qu’une réécriture n’a pas eu lieu à cet emplacement, la donnée considérée comme effacée est encore présente. L’extraction physique les met à jour.

L’analyse du téléphone permet de retrouver des informations de façon « visible » voire contrôlée par l’utilisateur (répertoire téléphonique, appels, messages, photos…) et d’autres plus discrètement telles que les traces de navigation internet (sites visités, chemin d’accès des documents visionnés…), les marqueurs de communications entrants et sortants (Bluetooth, SMS…). Ces informations dépendent de la marque et de la configuration du téléphone. Certains appareils enregistrent même la date et l’heure auxquelles ils ont été allumés ou éteints pour la dernière fois. Les informations recueillies associées à celles fournies par l’opérateur sont alors riches d’enseignements.

Tout comme pour les cartes mémoires, une extraction logique ou physique des données peut être envisagée. Il est alors possible de récupérer des données effacées. Notons que sur certains modèles, les outils d’analyse permettent d’accéder à la mémoire même si le téléphone est protégé par des codes. Lorsque l’appareil est découvert en mauvais état, par exemple oxydé ou brûlé, la mémoire peut encore être en état de fonctionnement.

Le département possède les compétences et les moyens matériels pour récupérer ces données.

La première étape consiste à désolidariser la mémoire de la carte mère du téléphone grâce à une station de dessoudage à infrarouge, dont la température est pilotée par ordinateur.

Sans ce contrôle précis de la température, il y a un risque de détérioration du composant par une surchauffe.

Le composant mémoire fait ensuite l’objet d’une lecture par un outil spécifique, permettant une extraction physique.

La difficulté réside dans le fait que cette extraction produit une suite de bits illisible. Il est alors nécessaire de comprendre la structure des données afin de les remettre en forme, pour que les données soient accessibles.

Le téléphone mobile continue d’évoluer et de s’immiscer de plus en plus dans notre vie quotidienne. Les évolutions sont telles qu’il est désormais possible de régler les commerçants en approchant son téléphone d’un lecteur spécifique.

Ce service est proposé à grande échelle dans certaines villes comme Nice dans les transports par exemple. On parle ici de service sans contact car la communication entre le lecteur et le téléphone se fait par les ondes.

Le département Informatique-Electronique suit de près ces évolutions et ces nouvelles applications afin que les téléphones mobiles puissent toujours livrer des informations utiles aux magistrats et aux enquêteurs.

Actualités


EUROPOL et SCRCGN une collaboration active et fructueuse

Une délégation de 16 officiers du SCRCGN conduite par le général...

Les produits de marquage codés au service de la santé

Dans le cadre de la pandémie Covid 19, les experts de l'IRCGN ont apporté...

Les experts du PJGN à Satory pour l’Edition spéciale du 14 juillet sur France2

VU SUR FRANCE 2 : " Reconstitution d'une scène de crime en direct"