Criminalistique de messagerie Android – SMS/MMS et au-delà
Il existe un grand nombre d’applications tierces de conversation en ligne disponibles sur iOS et Android. Consultez le Google Play Store et le iTunes Store et vous y verrez plus d’applications de conversation en ligne que vous ne serez jamais capable d’utiliser, et chaque application cible un type différent d’utilisateur, de tranche d’âge, de région ou de mode de vie. Les plus populaires sont généralement WhatsApp, Kik, WeChat, Facebook Messenger et bien d’autres, mais les SMS règnent encore dans de nombreuses régions. Pourquoi ? Parce qu’ils sont simples à utiliser, multiplateformes (donc tout le monde les a) et installés sur tous les téléphones par défaut.
La plupart des examinateurs en criminalistique pensent surement que l’analyse de SMS est une opération facile : il suffit d’inspecter la base de données des SMS, de lire le message, de vérifier l’expéditeur, le destinataire et l’horodatage, puis de se servir des renseignements utiles pour créer des rapports. Certaines enquêtes sont aussi simples que cela. Il existe cependant de nombreux types de messages englobés dans l’appellation « SMS » et cet article va examiner ces différentes sortes de messages que vous pouvez rencontrer lors d’une enquête portant sur des SMS standard.
SMS/MMS – mmssms.db
La plupart des examinateurs en criminalistique savent comment examiner le fichier MMSSMS.db pour obtenir des données relatives au SMS/MMS sur quasiment tous les appareils. Les appareils Android stockent généralement ces données dans le dossier du téléphone ici :
/data/data/com.android.providers.telephony/databases/mmssms.db
Mmssms.db est une base de données SQLite prise en charge par la plupart des outils de criminalistique ou lue par n’importe quelle visionneuse SQLite. Il existe plusieurs tableaux intéressants, mais pour la plupart, les principales informations se trouveront dans le contenu du message, l’horodatage du message et l’expéditeur/le destinataire.
La base de données du SMS/MMS peut être incluse dans une sauvegarde ADB sur certains appareils, mais elle est rarement incluse et doit être extraite d’une autre façon en utilisant des fournisseurs de contenu.
Fournisseurs de contenu
Les applications tierces peuvent également accéder aux données des SMS/MMS pour leurs propres besoins. Des applications telles que Facebook Messenger, BBM, WhatsApp, etc. demanderont souvent l’autorisation d’accéder à vos contacts ou à vos SMS/MMS, etc. afin d’améliorer l’intégration entre les applications et vos données. Android permet cet accès par le biais des fournisseurs de contenu.[1] Afin d’acquérir des données supplémentaires qui sont susceptibles de ne pas être incluses dans une sauvegarde ADB standard, les outils peuvent décider d’installer une application ou un agent sur le téléphone de l’utilisateur, de collecter toutes les données du fournisseur de contenu, puis d’extraire ces données dans le cadre des données de leur propre application. Certains outils extrairont une sauvegarde ADB et les données relatives à l’agent sous forme de deux acquisitions distinctes, alors que Magnet AXIOM et ACQUIRE effectueront ces deux opérations dans le cadre d’une acquisition rapide/logique.
L’image montre la sauvegarde ADB en tant que « adb-data.tar » et les données du fournisseur de contenu dans le dossier « Données de l’agent ».
En fonction de la méthode d’acquisition utilisée pour extraire les données des SMS/MMS, AXIOM les marquera de différentes façons. La plupart du temps, les artéfacts apparaîtront comme « SMS Android » et comme « MMS Android », mais vous les verrez parfois associés sous le nom unique « SMS/MMS Android (fournisseur de contenu) » indiquant que l’agent ACQUIRE a extrait ces données via les fournisseurs de contenu, puis a reconstitué la base de données lors de l’acquisition. Il est possible que vous les voyiez aussi stockés sous le nom « SMS/MMS Android (Services Google Play) » si votre acquisition a réussi à obtenir une image complète du système de fichier ou physique de l’appareil. Toutes les données pertinentes des SMS/MMS doivent être présentes dans chaque méthode ; nous avons simplement différentié chaque méthode pour indiquer à l’examinateur comment ces données ont été acquises, car la méthode de stockage sur le système principal est susceptible de varier légèrement d’une méthode à l’autre.
Android SMS/MMS – Google Play Services – Icing_mmssms.db
Avec les appareils pour lesquels vous avez un accès privilégié à l’ensemble du système de fichiers (acquisition physique et/ou système de fichiers complet), il est possible que vous obteniez des données de SMS/MMS dans une autre base de données nommée icing_mmssms.db. AXIOM et IEF appellent cela « SMS/MMS Android – Services Google Play Services ».
Messages RCS
Rich Communication Services (RCS) est un tout nouveau protocole conçu pour remplacer les SMS standard.[1] Il offre de nouvelles fonctionnalités telles que le multimédia, les discussions de groupe, les appels vocaux/vidéos et bien d’autres. Même si ce protocole n’est pas complètement adopté et pris en charge par tous les opérateurs, bon nombre de ces opérateurs commencent à prendre en charge les messages RCS sur le réseau, et ce en complément ou en remplacement des SMS. AT&T/T-Mobile/Sprint aux États-Unis, Rogers au Canada, Vodaphone en Europe et bien d’autres prennent tous en charge la messagerie RCS, comme de nombreux autres opérateurs qui souhaitent développer leur prise en charge dans un avenir proche. Tandis qu’Apple a mis en œuvre iMessage pour des raisons similaires (améliorer la fonctionnalité au-delà des SMS), la principale limitation de ce système réside dans le fait qu’il ne soit pas multiplateforme et qu’il oblige donc les utilisateurs d’iMessage à dialoguer avec d’autres utilisateurs d’iPhone. RCS est un protocole qui est actuellement adopté au niveau des opérateurs et qui devrait être pris en charge sur tous les appareils choisissant d’avoir une application compatible. Google a créé l’application Android Messages dans ce seul but.
Android Messages – Bugle_db
Android a également sa propre application de messagerie dans le Google Play Store, appelée « Android Messages », qui prend en charge un certain nombre de formats de message tels que les SMS/MMS et les messages RCS.[2] Selon le modèle et le système d’exploitation, plusieurs opérateurs utilisent Android Messages comme application de messagerie par défaut, contrairement à l’application de SMS/MMS ordinaire créée et installée par des fabricants tels que Samsung. Il est également possible que vous rencontriez les deux applications installées lorsque l’utilisateur a choisi d’abandonner l’application de SMS/MMS standard en faveur d’Android Messages. Le fichier android.XML indiquera quelle est l’application de messagerie par défaut pour un appareil donné.
Les données pour l’application Android Messages peuvent être trouvées ici :
/data/data/com.google.android.apps.messaging/databases/bugle_db
Même si sa structure diffère du fichier mmssms.db, la valeur d’enquête est similaire puisque vous devrez collecter au minimum l’expéditeur, le destinataire, le message et l’horodatage du message. Vous devrez également établir si le message était de type SMS, MMS ou RCS. Les messages, les participants et les tableaux de pièces peuvent avoir une grande valeur pour votre enquête.
Journaux des SMS sur Samsung
Un autre type de message que vous pouvez rencontrer est spécifique aux appareils Samsung. Samsung stocke les journaux des messages ici :
/data/data/com.sec.android.provider.logsprovider/databases/logs.db
Ces messages peuvent inclure des doublons de SMS/MMS ordinaires, mais vous y trouverez souvent d’autres données relatives au message. Même si les données sont uniquement créées pour les enregistrements et n’offrent que des extraits de données, il être question d’une seconde source d’information relativement utile, surtout si l’utilisateur a supprimé une grande partie de ses messages.
Les journaux des SMS sur Samsung sont souvent négligés par les examinateurs qui se concentrent uniquement sur le fichier mmssms.db, alors que ces journaux peuvent offrir des informations essentielles à votre enquête.
Globalement, il est important que les examinateurs n’utilisent pas uniquement les SMS/MMS en négligeant les autres types de messagerie et d’autres applications tierces et populaires de conversation en ligne comme WhatsApp, Facebook Messenger, Kik, etc. Même s’il est probable que l’utilisateur moyen se serve uniquement de l’application de messagerie par défaut, il peut arriver que l’application par défaut change pour un appareil donné ou que l’utilisateur se serve de plusieurs applications de conversation en ligne afin d’éviter – délibérément ou non – d’être repéré.
Si vous avez d’autres questions, n’hésitez pas à me contacter à l’adresse jamie.mcquaid@magnetforensics.com
Merci,
Jamie McQuaid
[1] https://en.wikipedia.org/wiki/Rich_Communication_Services
[2] https://play.google.com/store/apps/details?id=com.google.android.apps.messaging
[1] https://developer.android.com/guide/topics/providers/content-providers
Mise à jour : Gabriele Zambelli a cité un autre emplacement parfait pour identifier les données de SMS sur Android : la base de données des journaux d’appel (calllog.db) qui a changé dans Android 7 et 8. La base de données contient un tableau nommé « m_content » qui contient les 50 premiers caractères d’un SMS. Cette information n’est généralement pas extraite par le biais des fournisseurs de contenu ni incluse dans une sauvegarde ADB. Elle serait donc uniquement disponible dans les images complètes du système de fichiers ou physiques d’un appareil Android et, malgré son caractère très utile, pourrait être manquée par vos outils de criminalistique. Pour plus d’informations, consultez le blog de Gabriele ici : https://forensenellanebbia.blogspot.com/2018/10/calllogdb-and-sms-data-on-android-70.html.
