Nouvelles fonctionnalités

Comment préparez-vous votre laboratoire pour l’analyse et l’acquisition Chromebook ?

La croissance des Chromebooks va-t-elle se poursuivre en 2021 ? Les premiers indicateurs laissent penser que ce sera le cas. Et avec la popularité grandissante des Chromebooks, les enquêtes numériques sont susceptibles de devenir beaucoup plus complexes, car les Chromebooks nécessitent un appareil et une approche plus axée sur le cloud, ce qui peut faire pression sur les laboratoires de criminalistique.

Dans ce blog, nous vous fournirons quelques renseignements généraux, ressources et outils pour vous aider à vous préparer pour les enquêtes Chromebook.

Pour en savoir plus sur l’analyse de Chromebook, vous pouvez également consulter le webinaire dirigé par Jessica Hyde lors du Magnet Virtual Summit,S’attaquer à l’analyse de Chromebook.

Part de marché du système d’exploitation Chrome : une tendance à la hausse

La pandémie mondiale et l’augmentation considérable de l’apprentissage en ligne semblent avoir accéléré les demandes d’appareils Chromebooks. En 2020, les Chromebooks ont presque triplé leurs ventes trimestrielles selon les parts de marché (les appareils vendus avec le système d’exploitation Chrome sont passés de 5,3 % de parts de marché au premier trimestre à 14,4 % au quatrième trimestre). Le système d’exploitation Windows occupe toujours la première position, mais les ordinateurs fonctionnant sous Chrome et Mac ont considérablement augmenté leurs parts de marché, puisant dans la domination commerciale de Windows.1 Les ventes de Chromebook ont également dépassé celles de Mac pour la première fois en 2020 et cette tendance ne devrait pas s’inverser dans un futur proche.22

Selon les premiers indicateurs du premier trimestre, il est possible que les Chromebook supplantent certaines ventes de tablettes. 3 À tous les points de vue, les Chromebook suivent une trajectoire de forte croissance et, avec un nombre croissant de Chromebook en circulation, les demandes d’enquêtes sur Chromebook devraient connaître la même tendance.

Qu’y a-t-il de différent dans les Chromebook ?

Les Chromebook représentent-ils vraiment un défi unique pour les examinateurs ?

En bref, oui. En moins bref, toujours oui. Mais le défi dépend réellement du niveau de complexité de l’appareil, comme les étapes supplémentaires requises pour préparer une acquisition de Chromebook, ainsi que l’enquête sur plusieurs comptes cloud qu’exigeront probablement les Chromebook.4 Par rapport aux ordinateurs portables traditionnels, les Chromebooks à coût réduit tels que le Samsung Chromebook 4 (processeur Intel® Celeron 4000, 4 Go de RAM, SSD de 32 Go) sont conçus pour exécuter un système d’exploitation léger à un coût réduit tout en augmentant la portabilité.5 Pour obtenir les résultats souhaités, ces Chromebook stockent la majorité des données utilisateur dans le cloud.

Cependant, les Chromebook ne peuvent pas tous être traités de la même manière. Google offre par exemple le Pixelbook Go premium (processeur Intel® CoreTM I7 de 8e génération, 16 Go de RAM, SSD de 256 Go), qui est souvent comparé à un Macbook Air dans les blogs techniques.e génération Intel® CoreTM I7 de processeur , 16 Go de RAM, SSD de 256 Go), qui est souvent comparé à un Macbook Air dans les blogs techniques.6 Dans les deux cas (faible coût et premium), il peut être bénéfique d’adopter une approche basée sur les comptes cloud d’un appareil, mais le Chromebook premium aura certainement davantage de données stockées sur l’appareil en plus des données sur le cloud. Quoi qu’il en soit, l’appareil contient probablement des données uniques telles que des extensions et des éléments téléchargés pour le travail hors ligne.

Le défi du système d’exploitation Chrome

L’un des autres aspects qui compliquent les enquêtes sur Chromebook est que le système d’exploitation Chrome est hébergé sur du matériel spécifiquement optimisé afin d’améliorer les performances et la sécurité. Le système d’exploitation Chrome met automatiquement à jour la dernière version pour s’assurer que la sécurité est préservée et ainsi déjouer les vulnérabilités exploitables. Il ne faut pas confondre le système d’exploitation Chrome et ses mises à jour automatiques avec le système d’exploitation Chromium, où les utilisateurs ont la responsabilité de mettre à jour manuellement le système d’exploitation et sont donc probablement plus vulnérables et susceptibles d’être exploités.

Qu’est-ce que le système d’exploitation Chromium ? Il s’agit d’une équivalence open source du système d’exploitation Chrome qui peut être exécutée sur n’importe quel appareil. C’est une alternative attractive pour de nombreux utilisateurs intéressés par le système d’exploitation Chrome. Pour obtenir le système d’exploitation Chrome, vous devez acheter un Chromebook (avec le matériel optimisé) ; vous ne pouvez pas acheter le système d’exploitation Chrome sur le marché et l’installer sur un autre appareil. Par conséquent, si les utilisateurs souhaitent découvrir le système d’exploitation Chrome sans avoir à acheter un Chromebook, Chromium est une option. Les utilisateurs du système d’exploitation Chromium sont susceptibles d’avoir plus de connaissances techniques et il est possible que les examinateurs voient ces utilisateurs se servir de machines virtuelles Chromium ou d’une configuration maison personnalisée.

Comprendre les données fragmentées

L’imagerie efficace d’un disque de Chromebook ne constitue qu’une seule pièce d’un puzzle bien plus vaste, fragmenté et décentralisé en ce qui concerne l’acquisition des données d’un seul utilisateur. En raison de la conception des Chromebook, il est possible que la gestion des données exerce une certaine pression sur les laboratoires, car le traitement des données à partir d’une image de Chromebook n’est que le point de départ. En plus de l’imagerie d’un disque de Chromebook, les examinateurs devront également obtenir un retour de mandat ou un Google Takeout (par le biais du consentement avec des informations d’identification). De plus, si plusieurs utilisateurs se servent d’un Chromebook, les examinateurs voudront certainement acquérir les informations d’identification et les comptes cloud pour chaque utilisateur.

La situation se complique davantage lorsque les Chromebook ne sont pas en mode développeur – ce qui est inhabituel. Dans ce cas, ils nécessitent un nom d’utilisateur et des informations d’identification pour que l’acquisition puisse être effectuée. Un Chromebook peut être mis en mode développeur à tout moment, mais les données de l’utilisateur sont effacées lors du processus. 7 Surveillez les Chromebook en mode développeur, car cela suggère probablement un utilisateur plus expérimenté. Le mode développeur offre à l’utilisateur la possibilité de manipuler leur appareil pour pouvoir charger latéralement des applications Android ou des extensions Bootstrap Chrome.

Se préparer aux enquêtes sur Chromebook implique également de se préparer à l’acquisition d’image de plusieurs manières, en demandant notamment aux utilisateurs de divulguer leur nom d’utilisateur et leur mot de passe, en demandant un mandat ou en invitant les utilisateurs à télécharger leurs données pour être analysées (p. ex., fonctionnalité Google Takeout).

Pour en savoir plus sur l’acquisition de données utilisateur Google, consultez leur FAQ.

L’association matériel et cloud est-elle la nouvelle norme ?

Les enquêtes sur Chromebook présentent quelques défis : une plus grande importance accordée aux enquêtes axées sur le cloud, davantage de sources de preuves à gérer par enquête et davantage de niveaux de sécurité à contourner qui peuvent nécessiter la divulgation par l’utilisateur de ses informations d’identification ou des retours de mandat si vous n’êtes pas en Amérique du Nord.

Alors qu’un nombre croissant de Chromebook font leur entrée sur le marché, il s’agit d’un autre outil à exploiter dans les activités criminelles, mais c’est également un outil qui ajoute un niveau supplémentaire de complexité dans la recherche de preuves. Matériel léger et relativement peu onéreux, le Chromebook a vraiment le potentiel d’augmenter la rapidité des enquêtes.

Il est aussi possible que cette tendance s’étende au-delà des Chromebook pour s’appliquer également aux ordinateurs portables standard. La demande de portabilité à emporter a peu de chance de diminuer et c’est pourquoi les enquêtes de type « association matériel et cloud » deviendront probablement la nouvelle norme.

Alors qu’un nombre croissant d’utilisateurs hébergent des données dans le cloud, il y aura davantage de pression pour collecter les informations d’identification des utilisateurs (noms d’utilisateurs, mots de passe, e-mails, numéros de téléphone, etc.), mais il est probable que cela implique également un nombre croissant de téléchargements de données de comptes utilisateurs et/ou de retours de mandat. Il convient de noter que les Takeouts et retours de mandat Google incluront des données issues de plusieurs appareils liés au compte (téléphones, ordinateurs, etc.) et pas seulement le Chromebook. Cependant, avec Magnet AXIOM, il est facile d’analyser des retours de mandat et de gérer plusieurs sources de preuve.

Lisez la série de blogs de Jessica Hyde pour découvrir comment AXIOM facilite l’analyse des retours de mandat.

Ressources pour les enquêtes sur Chromebook

Pour relever les défis liés à l’acquisition, le traitement des images et l’analyse de Chromebook, Magnet Forensics propose quelques ressources et outils qui peuvent aider.

Nous avons récemment sorti un outil gratuit, leMagnet Chromebook Acquisition Assistant, qui aide àautomatiser les méthodes d’acquisition de Chromebook développées par Daniel Dickerman. Une fois qu’une image a été acquise, Magnet AXIOM propose une prise en charge dédiée des artéfacts Chromebook, qui a été introduite dans AXIOM 4.11.

Les enquêtes portant sur les Chromebooks requièrent également certains flux de travail uniques pour les résoudre. Jessica Hyde est notre experte résidente en Chromebook chez Magnet Forensics et elle a créé plusieurs ressources de formation et d’enquête pour les examinateurs :

L’extraction de données sur Chromebook suscite beaucoup d’intérêt au sein de la communauté au sens large. Mark Mackinnon a récemment développé un outil de traitement open source pour Chromebook dans Python 3 : ChromeOS Logs Events And Protobuf Parser (CLEAPP). CLEAPP est basé sur le projet communautaire Android Logs Events And Protobuf Parser. Vous pouvez lire le blog d’Alexis Brigoni pour en savoir plus sur cet outil et le télécharger :CLEAPP it! – ChromeOS Logs Events And Protobuf Parser».

Il est probable que l’analyse d’une image de Chromebook ne représente qu’une seule source de preuve dans l’enquête. Avec AXIOM, les examinateurs peuvent facilement répondre aux besoins plus généraux du dossier en traitant les images de Chromebook, ainsi que les images de mobile, d’ordinateur et du cloud, les téléchargements de données de comptes utilisateurs et les retours de mandat avec la prise en charge dédiée des artéfacts, le tout au sein d’un seul dossier.

Préparez votre laboratoire pour les enquêtes Chromebook avec Magnet AXIOM. Si vous n’avez pas encore essayé AXIOM ou AXIOM Cyber, demandez la version d’essai gratuite ici.

  1. Le système d’exploitation Windows ne risque pas de perdre sa place de leader de sitôt, mais entre le premier et le quatrième trimestre 2020, les appareils fonctionnant sous Windows sont passés de 87,5 % à 76,7 % de parts de marché pour les ventes de nouveaux appareils. D’un autre côté, les Chromebooks sont passés de 5,3 % des nouvelles ventes au premier trimestre à 14,4 % au quatrième trimestre. Ces chiffres sont énormes. La part de marché trimestrielle des Chromebooks pour les ventes de nouveaux appareils a presque triplé durant l’année 2020. Encore plus impressionnants, les Chromebooks ont doublé les performances des ventes de Mac au quatrième trimestre, qui s’approchaient des 7,7 %.
  2. https://www.geekwire.com/2021/chromebooks-outsold-macs-worldwide-2020-cutting-windows-market-share/
  3. https://www.idc.com/getdoc.jsp?containerId=prUS47648021
  4. Pour acquérir une image de Chromebook, il faut avoir trois clés USB de 32 Go, ainsi qu’un disque dur externe d’une capacité suffisante pour faire une copie du disque dur du Chromebook. Pour en savoir plus sur le caractère unique de l’imagerie d’un Chromebook, consultez la méthode d’acquisition de Chromebook proposée par Daniel Dickerman.
  5. 299 $ US pour le modèle de base du Samsung Chromebook 4 (processeur Intel ® Celeron 4000, 4 Go de RAM, SSD de 32 Go) en date du 10 mai 2021.
  6. 1 399 $ US pour le modèle premium du Pixelbook GO (processeur Intel® CoreTM I7 de 8e génération, 16 Go de RAM, SSD de 256 Go) en date du 10 mai 2021.
  7. https://support.google.com/chrome/a/answer/1360642?hl=en
Holo, transparent letter M

Abonnez-vous dès aujourd’hui pour recevoir directement les actualités de Magnet Forensics concernant les dernières mises à jour de produits, les tendances du secteur et les nouveautés de l’entreprise.

Commencez dès aujourd’hui à moderniser vos enquêtes numériques.

Haut