Criminalistique numérique : Profil d’artéfact – Corbeille
NOM DE L’APPLICATION : Google Chrome
CATÉGORIE : Liés au Web
ARTÉFACTS CONNEXES : Historique de navigation sous Chrome, visites Internet sur Chrome, données de synchronisation Chrome, comptes de synchronisation Chrome, session/onglets extraits dans Chrome, derniers onglets dans Chrome, onglets actuels dans Chrome, dernière session dans Chrome, session actuelle dans Chrome, sites principaux dans Chrome, connexions dans Chrome, recherches avec Chrome, termes de recherche par mots-clés dans Chrome, index d’historique de Chrome, favIcons dans Chrome, téléchargements dans Chrome, cookies dans Chrome, enregistrements dans le cache de Chrome, favoris de Chrome, historique Web archivé de Chrome, termes de recherche par mots-clés archivés sur Chrome, Autofill de Chrome, profils Autofill de Chrome, cartes de crédit sauvegardées dans Chrome
SYSTÈMES D’EXPLOITATION : Windows, Android, iOS
EMPLACEMENT DE LA SOURCE :
Windows – %root%\Users\%username%\AppData\Local\Google\Chrome\User Data\Default
Android – data\data\com.android.chrome\app_chrome\DefaultiOS – %root%\Library\Application Support\Google\Chrome\Default
Importance pour les enquêteurs
Représentant 65,9 % de tous les navigateurs utilisés en septembre 2015, Google Chrome est le navigateur le plus populaire actuellement. Il est disponible pour toutes les principales plateformes et il est très probable que les examinateurs rencontrent Chrome dans l’une de leurs enquêtes, si ce n’est dans la plupart d’entre elles.
Comme une majeure partie des navigateurs, Chrome stocke la plupart de ses données d’historique dans une base de données, tout en stockant dans un dossier proche les données de cache telles que des photos, des pages Web, des scripts, des cookies, etc. L’historique est généralement stocké dans des bases de données SQLite dans le dossier AppData de l’utilisateur dans Windows, et il utilise un format similaire pour iOS et Android. Au-delà de l’historique, du cache, des favoris et des cookies que vous trouverez avec la plupart des navigateurs, Google Chrome stocke des données de synchronisation, des données relatives aux sessions/onglets, des informations de connexion ainsi que d’autres sources de preuves pouvant être utiles pour les examinateurs.
Google offre également Chromium en tant que structure open source que d’autres navigateurs tiers utilisent comme back-end. Ceci explique pourquoi les examinateurs peuvent remarquer certaines similarités entre Chrome et d’autres navigateurs dans la façon dont les données sont stockées et dans ce qui est disponible pour leur enquête. Chrome utilise le moteur Blink, qui est partagé avec certaines versions de navigateurs Opera, Vivaldi et 360 Safe entre autres. Même s’ils présentent quelques différences visuelles pour l’utilisateur, bon nombre de ces navigateurs sont identiques dans le back-end. D’un point de vue d’analyse, c’est une excellente nouvelle puisqu’ils sont stockés de la même manière. Cependant, une fois que vous commencez à extraire les enregistrements supprimés, il peut s’avérer difficile de déterminer de quel navigateur les données proviennent. C’est la raison pour laquelle vous remarquerez souvent que des enregistrements extraits de Chrome/Opera/360 ont été rassemblés.
Récupération sur Google Chrome avec Magnet Forensics
Historique de navigation
La principale source de données pour Google Chrome est la base de données de l’historique, située dans le profil d’utilisateur Chrome, et qui comporte plusieurs zones d’intérêt pour les enquêteurs :
URL – Le tableau des URL contient l’historique de navigation de base pour Chrome. Cela inclura une seule instance pour toutes les URL visitées, un horodatage pour la dernière visite et un compteur indiquant le nombre de visites.
VISITES – Le tableau des visites est unique aux navigateurs utilisant Chromium. Il contiendra plusieurs enregistrements pour la même URL et pour chaque visite de la page. Un utilisateur peut avoir plusieurs enregistrements pour « magnetforensics.com » et le tableau des visites affichera chaque visite ainsi qu’un horodatage supplémentaire pour chaque visite de la page. L’avantage de cette fonctionnalité est l’horodatage supplémentaire ; cependant, le principal problème tient au fait que la véritable URL n’apparaît pas dans ce tableau – seul un pointeur vers l’enregistrement correspondant est fourni dans le tableau des URL mentionné précédemment. Cela signifie que, si vous analysez manuellement les données, les deux tableaux doivent être connectés et que tout outil qui extrait les enregistrements supprimés doit trouver l’enregistrement correspondant dans un tableau distinct. Dans le cas contraire, vous pourriez obtenir des résultats incomplets.
VISIT_SOURCE – Le tableau visit_source a uniquement été ajouté dans les versions ultérieures de Chrome, mais il vous permet d’identifier l’origine d’une URL donnée. Le simple fait qu’une URL apparaisse dans la base de données ne signifie pas forcément qu’elle a été consultée sur cet ordinateur donné. De nombreux navigateurs, notamment Chrome, permettent la synchronisation des données sur plusieurs appareils pour que votre expérience de navigation soit uniforme, que vous soyez sur votre ordinateur ou sur un appareil mobile. Le tableau visit_source doit être connecté aux URL et aux tableaux des visites afin de déterminer l’ensemble de l’historique, notamment la source d’une URL donnée (qu’elle ait été consultée localement, synchronisée depuis un autre emplacement ou importée depuis un autre navigateur, etc.)
Données de synchronisation Chrome, comptes de synchronisation Chrome
Google synchronise les données entre plusieurs appareils afin que les utilisateurs puissent consolider leur expérience de navigation sur l’ensemble de leurs appareils comme des ordinateurs, des téléphones, des tablettes, etc. Cela permettra aux examinateurs de consulter des favoris, des historiques et d’autres données de navigation susceptibles d’avoir été créées sur d’autres appareils, pas uniquement sur celui faisant l’objet de l’enquête.
Parallèlement aux informations sur l’historique de la source, il existe une autre base de données utile que les examinateurs doivent utiliser : il s’agit de SyncData.sqlite. Ils y trouveront d’autres données de synchronisation comme les informations de compte et les appareils en cours de synchronisation par le biais du compte Google de l’utilisateur.
Historique de navigation en cache
La plupart des navigateurs Web cachent du contenu issu des sites visités par les utilisateurs ; il peut s’agir d’images, de texte, de HTML, de javascript, etc. Ce contenu était autrefois utilisé pour éviter de télécharger les mêmes images et le même contenu à plusieurs reprises lorsque les mêmes sites étaient consultés fréquemment. Chrome stocke le contenu et les informations cachés dans trois types de fichiers : les fichiers index, data_X et f_XXXXXX, qui se trouvent tous dans les dossiers du cache. Les fichiers data_X stockeront du contenu caché si les données sont petites, mais s’il s’agit d’une image ou d’un contenu plus grand, il sera transféré vers le f_XXXXXX.
Cookies
Les cookies Chrome ressemblent à ceux de n’importe quel autre navigateur. Ils sont créés lors de la navigation dans Chrome.
Les cookies Google Analytics (GA) sont légèrement différents et peuvent apparaître dans n’importe quel navigateur, pas seulement dans Chrome. Ils sont créés à partir de sites qui utilisent Google Analytics pour suivre les statistiques et les informations d’utilisation de leur site Web. Les cookies GA peuvent contenir de précieuses informations pour les examinateurs.
Navigation Incognito/privée
Contrairement à certains navigateurs dotés d’une fonctionnalité ou d’un mode de navigation privée, Chrome n’enregistre jamais l’historique sur le disque. Cela signifie que si l’utilisateur s’est servi du mode de navigation privée, l’unique source de preuve de navigation pourra être trouvée dans la mémoire ou, par extension, dans le fichier de page ou les fichiers de mise en veille prolongée. Il n’est pas difficile d’extraire de la mémoire l’historique de la navigation privée, tant que vous êtes capable d’acquérir les données d’un système actif. La mémoire est volatile et les données seront perdues lorsque le système sera allumé.
Autres artéfacts d’intérêt
Session/onglets actuels dans Chrome – Si vous examinez un système qui a toujours une session active disponible, Chrome y stockera l’activité de navigation dans la session actuelle et, si plusieurs onglets sont ouverts, il la stockera dans les onglets actuels. Voici un aperçu complet de ce qui est inclus dans chaque élément :
- Session actuelle (contient les données issues des formulaires dans les pages de la session actuelle)
- Onglets actuels (contient une liste d’URL pour les onglets de la session actuelle)
- Dernière session (même chose que pour la session actuelle, mais pour la session précédente)
- Derniers onglets (pareil que pour les onglets actuels, mais pour la session précédente)
Dernière session/derniers onglets dans Chrome – Chrome stockera ici les sessions et onglets précédents – si Chrome a été fermé, l’utilisateur peut ainsi rouvrir la dernière session et les derniers onglets comme ils étaient stockés.
Sites principaux dans Chrome – Chrome montre à l’utilisateur ses sites les plus souvent visités dans des panneaux sur une page d’accueil, qui permet à l’utilisateur de cliquer rapidement sur un site fréquemment visité. Nous récupérons les données relatives à toute URL qui apparaît comme « site principal » dans Chrome.
Connexions dans Chrome – Chrome stocke souvent les noms d’utilisateur et les mots de passe pour certains sites afin qu’ils puissent être récupérés. Il arrive souvent que les mots de passe soient chiffrés et qu’il vous soit donc impossible de les obtenir, sauf si vous examinez un système actif. Dans le cas contraire, ces informations sont disponibles si certaines des données ont été sauvegardées par l’utilisateur.
Termes de recherche par mots-clés/recherches avec Chrome – Chrome stocke les recherches effectuées sur une page Web en utilisant la barre « Trouver ». Donc si un utilisateur appuie sur les touches CTRL+F et cherche un mot-clé sur une page Web, cette recherche sera stockée ici. En fonction des paramètres définis dans le navigateur, elle sera sauvegardée dans différentes sessions ou non.
FavIcons dans Chrome – Lorsque vous créez un favori/signet dans Chrome, certains sites Web ont une icône qui est sauvegardée avec l’URL. FavIcons répertorie ces icônes pour les utilisateurs.
Téléchargements dans Chrome – Il s’agit des téléchargements que l’utilisateur a démarrés par le biais du navigateur Chrome.
Favoris de Chrome – Comme la plupart des navigateurs, les favoris sont des pages sauvegardées que l’utilisateur ou l’application crée pour visiter rapidement les sites fréquemment consultés.
Autofill/profils Autofill de Chrome –Chrome stocke ici les données de champ que l’utilisateur a précédemment saisies pour des sites Web en particulier. Par exemple, si vous visitez « magnetforensics.com » et que vous vous connectez au portail client, les navigateurs enregistreront automatiquement votre nom d’utilisateur (ou d’autres détails) pour vous éviter de le saisir à chaque fois que vous visitez le site. Ces données sont stockées dans l’emplacement Autofill et peuvent être utiles pour récupérer des noms d’utilisateur et d’autres détails que votre utilisateur a saisi sur différents sites.