jeudi 2 mars 2017

Traces laissées par la transmission multimédia en continu Youtube



Traces laissées par la transmission multimédia en continu Youtube

Auteurs :
         Olivier Grenier-Chenier
Hamouda, Nedra
Jean-Frédéric Faust

Note de l’éditeur : Dû à la lourdeur des images ajoutées à ce texte et aux limitations inhérentes au site de blog, nous avons dû remplacer les images par des liens à cliquer. Pour consulter les figures, veuillez cliquer sur les titres de ces figures.

1 - Sommaire

L’objectif de ce travail est de déterminer si la transmission multimédia en continu sur YouTube laisse des traces sur la machine de l'utilisateur. Pour ce faire, nous avons déterminé en premier lieu un certain nombre de scénarios de tests qui ont permis de récolter des images de disque sur lesquelles nous avons mené notre enquête. En second lieu, nous avons établi un protocole d’investigation qui nous a permis, par la suite, de collecter des artéfacts. Nous avons poursuivi par l’analyse des résultats obtenus.

Mots-clés : Autopsy, diffusion, FTKImager, Google Chrome, streaming, transmission, VirtualBox, WebM, WinMerge, Youtube.

2 - Introduction

Que ce soit sur le plan légal ou socio-économique, il est important de connaître les traces pouvant être laissées par la transmission multimédia en continu. Il est possible d’imaginer plusieurs situations où des connaissances sur le sujet peuvent nous être utiles. Une étant : la protection des droits d’auteurs. Souvent, le contenu disponible en ligne est protégé par la loi sur le droit d’auteurs. Il existe une ligne très mince entre le streaming et le respect de cette loi. Advenant le cas où la lecture de contenu en ligne laisse assez de traces sur l’appareil de lecture pour reconstruire l’œuvre de manière intégrale ou partielle, il pourrait y avoir une violation des droits moraux de l’auteur sur son œuvre. Dans le présent écrit, nous avons investigué les traces laissées par la diffusion de vidéos à partir de YouTube. Notons que tout au long de cet écrit, le terme streaming est utilisé afin de désigner la notion de transmission de multimédia en continu. Il en va de même pour les termes unicast (monodiffusion) et multicast (multidiffusion).

3 - Revue littéraire

Lors de nos recherches, nous avons constaté qu’il n’existe pas beaucoup de publications sur le sujet, d’où l’importance de notre travail. Par contre, il nous a été possible de trouver des informations sur le fonctionnement général du streaming ainsi que sur les différents outils que nous pouvons utiliser pour effectuer les expériences.

3.1 - Multicast ou unicast?

Il existe différentes formes de diffusions qui affectent la bande passante de manières distinctes. La diffusion multicast se traduit comme suit : un émetteur unique diffuse son contenu vers un groupe de récepteurs. Au contraire, la diffusion unicast ne permet à l’émetteur de diffuser son contenu qu’à un récepteur unique. En d’autres termes, c’est une liaison point à point entre les deux hôtes. Le broadcasting agit d’une toute autre manière : l’émetteur sera constamment actif, que les récepteurs le soient ou pas. Côté streaming, si on compare un streaming unicast avec un streaming multicast, le streaming multicast nécessite beaucoup moins de bande passante car il n’a qu’à établir une unique connexion qui sera partagée entre le groupe de récepteurs. YouTube, par exemple, utilise un type de streaming unicast. L’émetteur, YouTube dans ce cas-ci, partage le flux de données uniquement avec les récepteurs qui désire visionner une vidéo.

3.2 - Les différents outils

Lors de nos lectures, nous avons pris connaissance de certains outils que nous avons utilisé lors de notre recherche.

3.2.1 - VideoCacheView

Application permettant de recueillir les fichiers vidéo temporaires d’un navigateur web. Cette application nous a permis d’avoir accès directement aux traces laissées par un streaming vidéo.

3.2.2 - FTKImager Lite

Application forensique permettant, entre autres, de créer des images de disques et de capturer la mémoire vive. Cette application est utilisée pour créer des images forensiques à différents moments de nos tests afin d’éventuellement les étudier.

3.2.3 - Autopsy

Application d’investigation forensique. Nous avons utilisé Autopsy pour parcourir les différents répertoires dans les images forensiques de disque capturées. Autopsy nous permet de regrouper et voir au même endroit les fichiers tels que les fichiers témoins et l’historique de navigation web. Il est aussi possible d’ajouter dans les paramètres d’Autopsy une signature de fichier. Cela est très utile si nous connaissons le format sous lequel les vidéos visionnées sur YouTube sont conservées car les seront répertoriés dans une section distincte après l’analyse.

3.2.4 - NetworkMiner

Application permettant la capture des paquets réseaux entrants et sortants (un peu comme Wireshark).

3.2.5 - BeyondCompare / WinMerge

Application permettant la comparaison binaire entre fichiers et/ou répertoires. BeyondCompare est utilisé dans notre cas pour faire la différence entre l’image de la machine originale et l’image de la machine après avoir effectué un test.

3.2.6 - Virtual Box

C’est un hyperviseur type 2. Virtual Box nous permet d’installer et d’utiliser la machine virtuelle avec laquelle nous allons effectuer les tests.

4 - Présentation du contexte


4.1 - Fonctionnement du streaming

Avant d’approfondir le sujet du fonctionnement, il serait intéressant de parler des méthodes utilisées avant l’apparition du streaming. Reculons tout d’abord de quelques années, lors de l’arrivée commerciale de l’accès à Internet par ligne commutée (Dial-Up Internet Access). À ce moment, il était possible d’atteindre une vitesse de téléchargement avoisinant 56 kbps. Afin de mettre cette vitesse en perspective, il fallait environ 10 minutes pour télécharger un morceau de musique de faible qualité (environ 3.5MB). Afin d’écouter une chanson qui était sur Internet, il était nécessaire de télécharger l’intégralité de la chanson. Une fois le fichier entièrement téléchargé, l’utilisateur pouvait parcourir son système de fichiers, localiser la chanson et finalement l’écouter. La rapidité à laquelle on pouvait accéder ou lire du contenu présent sur le web dépendait donc directement de la vitesse de téléchargement. Cette méthode n’est pas très pratique pour les fichiers volumineux. Dans le cas où on voudrait regarder un film (environ 700MB) plutôt qu’une chanson, il nous faudrait plus d’une journée pour le télécharger. Attendre plus de 24 heures pour regarder un film de moins de 2 heures est loin d’être efficace. 

Et si c’était possible de regarder un film pendant qu’il est téléchargé ? C’est à ce moment que le streaming entre en jeu. Le principe est simple : une partie du média sera téléchargée puis sauvegardée temporairement afin d’en permettre sa lecture. Pendant que l’utilisateur regarde cette partie, le téléchargement se poursuit pour obtenir le prochain bloc à sauvegarder. Lorsque la lecture d’un bloc est terminée, ce bloc est supprimé du périphérique de l’utilisateur afin de faire place au prochain bloc. Pour y arriver, l’utilisateur doit avoir installé au préalable un logiciel de lecture de média (Media Player). C’est celui-ci qui s’occupe d’afficher le contenu sur l’appareil de l’utilisateur grâce à ses fonctionnalités de gestion des blocs. Cependant, cette approche a le désavantage de d’interrompre temporairement (seulement quelques secondes avec une bonne connexion Internet) la lecture du média si le téléchargement subit des ralentissements ou des délais. À moins d’être sur une connexion très lente, ce n’est pas un gros désavantage si on compare cela au fait de devoir attendre une journée ou plus avant de pouvoir lire le contenu d’une œuvre.

4.2 - Fonctionnement propre à YouTube

Passons maintenant aux caractéristiques propres à YouTube. Auparavant, le streaming n’existait pas. Alors, il était impossible de télécharger partie par partie le contenu d’une vidéo. La totalité de la vidéo était donc sauvegardée dans un tampon afin d’en permettre sa lecture. Maintenant, YouTube utilise plutôt du pseudo streaming qui se nomme MPEG-DASH (Dynamic Adaptive Streaming over HTTP). Le pseudo streaming procure une expérience similaire au streaming authentique selon le point de vue de l’utilisateur. La différence principale entre les deux est que le pseudo streaming ajoute les prochains blocs de média reçus à un tampon. Ce tampon représente donc la partie du média qui est téléchargée et prête à être utilisée. On peut voir ce tampon à l’intérieur du lecteur vidéo de YouTube. Il est représenté par la partie plus claire sur la barre de lecture sur l’image dans l’annexe A. Ce tampon est à l’intérieur de la cache du navigateur web. Si le vidéo à jouer est petit, il se peut que la totalité du vidéo se trouve en cache ce qui permet de rejouer la vidéo sans avoir à télécharger à nouveau le contenu. Sachant cela, il sera pertinent de fouiller le cache du navigateur utilisé lors de l'investigation.

De plus, des informations telles que le format de la vidéo qui est transmise en continu, la résolution de la vidéo et les protocoles utilisés pour le transfert des données sont des indices qui vont nous permettre de savoir plus précisément quoi chercher.

Après certains tests, nous avons réussi à trouver les statistiques du lecteur vidéo HTML5 de YouTube avec le navigateur Google Chrome (Voir l’annexe A pour une capture d’écran). Une statistique nous intéresse en particulier, soit celle sur le type de contenu (Mime Type). La capture d’écran nous révèle que le contenu est de type vidéo et que celui-ci est sous le format WebM. Ce format se base sur le standard ouvert Matroska qui sert à contenir des données multimédia. Les fichiers de type WebM sont composés d’un ou plusieurs flux vidéo ainsi qu’un ou plusieurs flux audio. Les flux vidéo sont compressés à l’aide de la technologie de compression vidéo VP8 et VP9 qui sont développés par l’équipe de WebM Project. La compression audio est réalisée par les technologies Vorbis et Opus, développées par la Xiph Foundation. Ceci est un superbe exemple de l’impact que peut avoir une technologie libre de droits. Vorbis et Opus, ont été utilisé dans le développement d’un nouveau format ouvert conteneur de données multimédia. Ce format est maintenant utilisé à très grande échelle et tout cela grâce à la collaboration des standards ouverts. Le format WebM est très important car c’est le premier format de fichier vidéo étant libre de droits et à la hauteur de la compétition. Le format WebM n’a pas eu de difficultés à s’intégrer avec les technologies et standards utilisés actuellement dans le web. De retour aux captures d’écran disponibles à l’annexe A, on en retrouve deux qui montrent le protocole et le certificat utilisé par YouTube. Le petit cadenas indique que le site utilise le protocole HTTPS qui est la version sécurisée de HTTP. On voit aussi que le certificat est publié par Google Internet Authority G2.

4.3 - Fonctionnalités présentes sur YouTube

Avant de parler des fonctionnalités offertes par le site, on doit tout d’abord mentionner qu’il y a un système de compte utilisateur. Il est donc possible de se créer un compte YouTube et cela nous permettra d’accéder à diverses fonctionnalités. Le site est aussi navigable en tant qu’utilisateur anonyme mais cela limite les interactions qu’on peut avoir avec le site. Même si vous n’avez pas de compte YouTube, il vous est quand même possible de visionner toutes les vidéos qui sont publiques. Cependant, il est nécessaire d’avoir un compte et d’être connecté pour partager vos vidéos avec le monde entier. De plus, un compte YouTube permet de souscrire au contenu d’autres utilisateurs. Ainsi, lorsque ceux-ci vont ajouter de nouvelles vidéos, vous serez averti qu’il y a du nouveau contenu disponible qui pourrait vous intéresser. En tant qu’utilisateur connecté, vous avez la possibilité d’interagir avec les autres utilisateurs du site en ajoutant des commentaires à une vidéo. Il est aussi possible de voter (bon ou mauvais) pour une vidéo, sauvegarder une vidéo pour pouvoir la regarder plus tard et bien plus encore.

5 - Protocole expérimental


5.1 - Travail préliminaire

Afin de mener à terme notre investigation, nous avons dû établir un protocole expérimental solide à suivre à la lettre qui nous a permis d’étudier le fonctionnement de YouTube. La toute première étape réalisée a donc été de se créer une machine virtuelle et de n’y installer que le strict nécessaire à la réalisation de notre étude. En effet, il est important que notre environnement de test soit strictement contrôlé afin d’avoir la certitude que nos résultats ne soient pas contaminés par quelconque autre logiciel.

Nous avons donc utilisé le logiciel VirtualBox d’Oracle (version 4.3.28) pour faire une installation fraîche de Windows 7 dans une machine virtuelle, dont voici les caractéristiques :

Tableau 1 : Configuration de la machine virtuelle

Nom
INF8430project
Système d’exploitation
Windows 7 Ultimate (32 bits)
Mémoire vive
2 GB
Disque dur
25 GB
Nom du disque
INF8430drive
Usager
INF8430user
Mot de passe
aucun
Nom de l’ordinateur
INF8430machine

Étant donné que nous analysons une application qui fait du traitement vidéo, nous avons doté notre machine virtuelle de suffisamment de mémoire vive pour pouvoir lire du contenu potentiellement volumineux. La taille du disque dur fut choisie arbitrairement.

De plus, afin de pouvoir couvrir un plus grand nombre de cas, nous avons aussi pris le temps de créer un compte YouTube, histoire de voir si le fait d’avoir un compte ou non influence les potentiels artéfacts laissés lors du visionnement d’une vidéo. Fait important à noter : il n’existe pas de compte YouTube en tant que tel. En effet, depuis l’acquisition de YouTube par Google il y a quelques années, l’entreprise a effectué une réorganisation du site de streaming pour que ce soit plutôt un compte Google qui soit nécessaire pour se connecter. Un compte YouTube n’est maintenant en fait qu’un compte Google, qui permet aussi d’accéder aux autres applications de Google comme Gmail par exemple.

Voici les informations de ce compte :

Tableau 2 : Informations du compte Gmail

Courriel
inf8430user@gmail.com
Mot de passe
********

Cette étape étant réalisée, il nous a fallu choisir un navigateur web pour nous permettre de parcourir le site web étudié. Nous avons opté pour le plus populaire, c’est-à-dire Google Chrome. Au moment de faire les tests, c’est la version 49 du navigateur qui a été utilisée.

Mis-à-part l’installation de Google Chrome, le seul autre logiciel installé sur la machine virtuelle fut un pilote spécial spécifique à VirtualBox appelé VirtualBox Guest Addition. Ce pilote permet à une machine virtuelle de pouvoir partager un répertoire avec la machine hôte. En tant qu’investigateur numérique, il nous fallait avoir un endroit sur support externe où sauvegarder les potentielles preuves trouvées lors de notre investigation. C’est donc dans un répertoire partagé que furent sauvegardées ces preuves. Une image forensique du disque virtuel a été effectuée afin d’avoir une référence pour analyser les preuves. Un instantané de la machine virtuelle a aussi été effectué.

Finalement, le dernier travail préparatif effectué avant d’entreprendre les tests fut de préparer un ensemble de logiciels qui nous a permis de recueillir les preuves sur la machine du suspect. Il était important que certains de ces logiciels soient indépendants afin qu’ils puissent fonctionner sans que l’installation soit nécessaire. Voici une liste des logiciels indépendants utilisés : FTKImager Lite, NetworkMiner et VideoCacheView. Ces logiciels indépendants étaient disponibles dans notre dossier partagé afin d’être accessibles depuis la machine virtuelle.

Cependant, d’autres logiciels on été utilisées pour faire l’analyse des preuves recueillies : Autopsy et BeyondCompare (ou WinMerge). Des liens permettant le téléchargement de ces applications se trouvent dans la section médiagraphie.

5.2 - Cas de tests

Nous avons tenté de déterminer les cas d’utilisation de YouTube qui sont les plus fréquents. Quatre cas de tests ont été retenus. Les voici :

Tableau 3 : Les différents tests choisis

Test#
Mode
incognito?
Connecté
Chrome?
Connecté
Youture?
Sauvegardé
Localement? *
Témoins
Activés? **
1
non
non
non
non
oui
2
non
non
oui
oui
oui
3
non
oui
oui
oui
oui
4
oui
non
non
non
non
* Nom d’utilisateur et mot de passe sauvegardé localement?
** Fichiers témoins activés?

Le test 1 représente le cas où tous les paramètres du navigateur sont à leur valeur initiale, c’est-à-dire celles qu’ils ont au moment de l’installation. Nous avons jugé ce cas important, car la majorité des gens ne se soucie pas de configurer leur navigateur web. En fait, certains ne savent même pas ce qu’est un navigateur. Ils l’appellent simplement “les Internets”. Pour le test 2, nous avons simulé le cas où un utilisateur, après avoir utilisé son navigateur un moment, a décidé de se créer un compte YouTube et, au moment de se connecter à son compte, a coché l’option « rester connecté ». Pour les tests 3 et 4, nous voulions représenter les extrêmes. Le navigateur dans le test 3 a été configuré de manière à laisser le plus de traces possibles sur la machine du suspect. Pour le test 4, c’est le contraire. Nous avons essayé de configurer Chrome de manière à laisser le moins de traces possibles.

5.3 - Cueillette de preuves

D’abord, nous avons profité du fait que nos tests étaient effectués sur une machine virtuelle. En effet, il est possible de prendre des photos instantanées pour sauvegarder l’état de la machine de manière à pouvoir y revenir, si besoin il y a. Nous avons donc fait preuve de prudence et en avons pris un à chaque moment important des manipulations.
Voici une capture d’écran illustrant une partie de l’arbre des photos instantanées :
Voici la procédure exécutée lors de notre expérience. Les étapes spécifiques à un test en particulier sont en caractères gras. Une version avec captures d’écran se trouve à l’annexe B.
1.        Lancer le logiciel NetworkMiner, choisir un adaptateur réseau et démarrer une capture.
2.        Lancer le logiciel Google Chrome.
a.       Pour le test 3 : Se connecter dans le navigateur web (page de démarrage):
b.       Pour le test 4 :
                                                         i.            Désactiver les témoins.
                                                       ii.            Ouvrir une fenêtre de navigation privée.
3.        Aller sur www.youtube.com.
a.       Pour les tests 2 et 3 : se connecter dans YouTube
4.        Rechercher la vidéo à visionner. Nous avons choisi une vidéo populaire facilement identifiable sur une machine : Rick Astley - Never Gonna Give You Up
5.        Visionner la vidéo au complet.
6.        Fermer Google Chrome.
7.        Stopper la capture des paquets réseaux.
8.        Lancer FTKImager Lite et faire une capture de la mémoire vive.
9.        Toujours avec FTKImager Lite, créer une image complète du disque virtuel C:\

5.4 - Procédure d’analyse des preuves

Pour la phase d’analyse, voici la procédure que l’on a suivie.
        Ouvrir deux instances de FTK Imager.
        Charger une image à comparer dans chaque instance.
        Inspecter visuellement, si possible, les différences entre chaque répertoire.
        Pour les répertoires racine ayant beaucoup de fichiers, faire un calcul des empreintes numériques pour chaque répertoire et les comparer avec le calcul de l’image de référence.


        Si des différences sont détectées, exporter les répertoires.
        Faire une comparaison binaire avec WinMerge ou Beyond Compare et vérifier quels sont les changements.
        Charger l’image dans Autopsy 4.0
        Ajouter le format utilisé par YouTube comme format reconnu par Autopsy


        Faire les recherches suivantes :
        Recherche d'adresse courriel : inf8430user@gmail.com
        Recherches de mots clés :
       youtube : site sur lequel nous diffusons le contenu
       webm : format sous lequel le contenu est reçu
       rick astley : artiste de l’œuvre diffusée
       dQw4w9WgXcQ : fin de l’URL de la page Internet diffusant le contenu

6 - Analyse des résultats

Maintenant que nous avons une meilleure compréhension du streaming et du fonctionnement de YouTube, il est plus facile d’analyser les résultats obtenus par nos expérimentations.

6.1 - Répertoires candidats

Après avoir effectué les manipulations, nous avons tenté de déterminer quels étaient les différences entre les images forensiques de disque virtuel recueillies. Parmi les logiciels d’analyse que nous avons retenus, aucun d’eux ne possédait de fonctionnalités de comparaison d’image. Il a donc fallu être un peu débrouillard et les comparer en plusieurs étapes. D’abord, nous avons ouvert deux instances de FTK Imager, en chargeant l’image de référence dans une instance et l’image d’un des tests dans l’autre. Nous avons choisi l’image du test 3, car c’est celle qui, selon notre hypothèse, devrait contenir les plus grandes différences. Les empreintes numériques de chaque dossier racines ont été exportés.


En les ouvrant dans un logiciel de comparaison comme Beyond Compare, on obtient une fenêtre semblable à celle-ci :

Le logiciel affiche les différences textuelles en rouge et laisse en gris les lignes qui sont identiques. En inspectant les comparaisons entre chaque dossier racine, nous avons pu éliminer d’emblée les répertoires ProgramFiles, SystemVolumeInformation et Windows. En effet, bien que des différences aient été détectées, elles concernaient des composants de support de langues, probablement téléchargés par Chrome, et des mises à jour Windows. La comparaison du répertoire ProgramData faisait mentions de scans effectués par Windows Defender, qui auraient pu contenir des noms d’artéfacts temporaires reliés à la vidéo vue sur YouTube, mais en exportant ces fichiers et en les analysant de plus près, rien de tel a été trouvé. Les différences les plus intéressantes se trouvaient dans la comparaison du répertoire « Users » (voir figure 6 et figure 7).



Un nombre important de fichiers ont été ajoutés dans plusieurs répertoires qui semblent être reliés de près à Google Chrome. Ces fichiers semblent bel et bien être des fichiers temporaires.

Nous sommes parfaitement conscients que cette façon de déterminer les différences n’est pas sans failles. Cependant, elle nous a permis de mieux orienter notre investigation et de la pointer dans la bonne direction. C’est pourquoi nous avons complémenté notre analyse des preuves avec le logiciel Autopsy. Nous en sommes venus à la conclusion que si certaines preuves avaient échappé à notre attention lors de l’investigation manuelle, les fonctionnalités de recherches d’Autopsy les trouveraient pour nous. De plus, étant donné que pour effectuer une recherche, il faut savoir quoi chercher, une inspection manuelle des différences allait peut-être nous permettre de déceler des éléments auxquels nous n’aurions pas pensé.

6.2 - Pertinence d’écouter le trafic de paquets

L’interception des paquets permet de localiser certains éléments dans la mémoire où les informations sont sauvegardées. Étant donné que nous avions déjà localisé les répertoires potentiels (voir 6.1), nous n’avons pas jugé nécessaire d’investiguer les paquets interceptés avec NetworkMiner.

6.3 - Cueillette des artéfacts en fonction des différents tests

Veuillez consulter l’annexe C pour les captures d’écran prisent lors de la recherche de preuve lors de l’investigation. Notons que nous avons décidé d’inclure que les captures d’écran relatives au test 1 afin d’éviter la répétition.

6.3.1 - Image de référence

Recherche par mots clés avec Autopsy :
        youtube : 73 fichiers trouvés
        rick astley : 0 fichiers trouvés
        dQw4w9WgXcQ : 0 fichiers trouvés

Recherche par signature de fichier (fichiers signés WebM) :
        2 fichiers de type WebM trouvés, ce sont des fichiers WebM que Google Chrome génère automatiquement.

Informations dans les témoins web : Des fichiers concernant YouTube et Chrome sont présents, mais rien ne relie ces fichiers à l’utilisation de YouTube (streaming ou connexion à un compte)

Informations dans l’historique web : Rien concernant YouTube. La page d’accueil de Google est dans l’historique mais c’est probablement dû à l’installation de Chrome.

Recherche de l’adresse courriel “inf8430user@gmail.com” : aucun résultat trouvé.

6.3.2 - Témoins activés (Test 1)

Recherche par mots clés avec Autopsy :
        youtube : 83 fichiers trouvés
        rick astley : 9 fichiers trouvés
        dQw4w9WgXcQ : 16 fichiers trouvés

Recherche par signature de fichier (fichiers signés WebM) : Nous avons retrouvés douze fichiers de type WebM. Seulement dix de ces fichiers sont directement reliés à la vidéo que nous avons visionnée. Nous avons réussi à récupérer partiellement la vidéo (sans audio) dans cinq de ces fichiers. Les cinq autres contiennent uniquement une piste audio. Les deux fichiers restant sont des fichiers reliés à Google Chrome, des tutoriels selon nous. Ils ne sont pas inclus dans les artéfacts car ils ne sont pas pertinents.


Remarquons que même si la durée varie entre 0:29 et 3:32 minutes, les pistes ne durent jamais plus que quelques secondes.

Informations dans les témoins web : Nous n’avons aucune information relative aux connexions aux comptes Google et YouTube. C’est normal puisque nous ne sommes connectés à aucun compte.

Informations dans l’historique web : Nous avons directement accès à l’historique de visionnage, lien URL, description de la vidéo, navigateur utilisé, date et heure à laquelle la vidéo à été visionnée.

Recherche de l’adresse courriel “inf8430user@gmail.com” : aucun résultat trouvé.

6.3.3 - Connecté à un compte YouTube avec témoins activés (Test 2)

Recherche par mots clés avec Autopsy :
        youtube : 96 fichiers trouvés
        rick astley : 12 fichiers trouvés
        dQw4w9WgXcQ : 17 fichiers trouvés

Recherche par signature de fichier (fichiers signés WebM) :
        8 fichiers de type WebM trouvés (2 fichiers reliés à chrome, tutoriels)
        6 sont directement reliés à la vidéo que nous avons visionnée
        3 de ces fichiers contiennent une partie de la vidéo (sans audio)
        3 de ces fichiers contiennent uniquement des pistes audio

Idem au test 1, la durée varie entre 0:29 et 3:32 minutes, mais les pistes ne durent jamais plus que quelques secondes.

Informations dans les témoins web : Nous retrouvons dans les fichiers témoins des traces de connexion aux comptes Google Chrome et YouTube, nous n’avons pas accès aux informations du compte.

Informations dans l’historique web : Idem au test 1, nous avons directement accès à l’historique de visionnage, lien URL, description de la vidéo, navigateur utilisé, date et heure à laquelle la vidéo a été visionnée.

Recherche de l’adresse courriel “inf8430user@gmail.com” : 5 fichiers trouvés (voir 6.5.1 pour savoir quels fichiers nous fournissaient de l’information).

6.3.4 - Compte Google Chrome et YouTube connectés avec témoins activés (Test 3)

Recherche par mots clés avec Autopsy :
        youtube : 92 fichiers trouvés
        rick astley : 10 fichiers trouvés
        dQw4w9WgXcQ : 11 fichiers trouvés

Recherche par signature de fichier (fichiers signés WebM) :
        6 fichiers de type WebM trouvés (2 fichiers reliés à chrome, tutoriels)
        4 sont directement reliés à la vidéo que nous avons visionnée
        2 de ces fichiers contiennent une partie de la vidéo (sans audio)
        2 de ces fichiers contiennent uniquement des pistes audio

Idem au test 1, la durée varie entre 0:29 et 3:32 minutes, mais les pistes ne durent jamais plus que quelques secondes.

Informations dans les témoins web : Nous retrouvons dans les fichiers témoins des traces de connexion aux comptes Google Chrome et YouTube, nous n’avons pas accès aux informations du compte.

Informations dans l’historique web : Idem au test 1, nous avons directement accès à l’historique de visionnage, lien URL, description de la vidéo, navigateur utilisé, date et heure à laquelle la vidéo à été visionnée.

Recherche de l’adresse courriel “inf8430user@gmail.com” : Idem au test 2, 5 fichiers trouvés (voir 6.5.1 pour savoir quels fichiers nous fournissaient de l’information)

6.3.5 - Mode incognito, aucun compte connecté, témoin désactivés (Test 4)

Recherche par mots clés avec Autopsy :
        youtube : 49 fichiers trouvés
        rick astley : 0 fichier trouvé
        dQw4w9WgXcQ : 0 fichier trouvé

Recherche par signature de fichier (fichiers signés WebM) :
        1 fichier de type WebM trouvé
        0 fichier directement relié à la vidéo que nous avons visionnée

Notons que les deux fichiers WebM propres à Google Chrome que nous avons trouvés lors des 3 derniers tests sont introuvables dans ce test-ci.

Informations dans les témoins web : aucun fichier témoin n’est trouvé dans l’image.

Informations dans l’historique web : ne contient aucune information relative à YouTube ou à Google.

Recherche de l’adresse courriel “inf8430user@gmail.com” : aucun résultat trouvé.

6.4 - Comparaison des résultats

Voici un tableau illustrant le nombre de fichiers découvert lors de la recherche par mots-clés durant les différents tests.

Tableau 4 : Nombre de fichiers contenant les mots clés en fonction des tests

Test#
Youtube
Rick Astley
dQw4w9WgXcQ
Référence
73
0
0
1
83
9
16
2
96
12
17
3
92
10
11
4
49
0
0

La différence la plus flagrante se joue entre le test 4 et les trois premiers tests. Le test 4 est celui où nous utilisons le mode incognito fourni par Google Chrome. Nous remarquons que l’activation du mode incognito nous permet de visionner du contenu sans qu’aucune trace ne soit laissée. Même les fichiers WebM existant par défaut (avec Google Chrome) sont inexistants.

Ce qui diffère entre le test 2 et le test 3 est la connexion au compte Google Chrome. Les résultats de ces tests sont très similaires car Google Chrome et YouTube utilisent tous deux une adresse courriel Gmail pour s’identifier. Ces tests génèrent donc sensiblement le même nombre d’informations. Par contre, le test 2 laisse beaucoup plus de trace de contenu (format WebM) que le test 3. Connaître la cause de cette différence nécessite davantage de tests, nous ne sommes pas en mesure de l’expliquer pour le moment. Toutefois, nous remarquons que lorsque nous établissons une connexion sur YouTube sans initialement être connecté à Google Chrome (test 2), le navigateur nous connecte directement à Google Chrome avec le compte utilisé sur YouTube. C’est ce qui peut expliquer une grande ressemblance entre ces deux tests. Attardons-nous maintenant aux fichiers WebM trouvés.

Tableau 5 : Nombre de fichiers WebM trouvés fonction des tests

Test #
Total *
Reliés? **
Référence
2
0
1
12
10
2
8
6
3
6
4
4
1
0
* Nombre total de fichiers WebM
** Nombre relié à la vidéo écoutée

Selon nos tests, il semblerait que Google Chrome ai tendance à conserver plus de traces de fichiers de type WebM lorsque nous sommes connectés à aucun compte.

Cela nous pousse à se questionner sur le sujet suivant : lorsque nous sommes connectés à un compte, certaines informations s’enregistrent-t-elles directement sur un serveur appartenant à Google au lieu de s’enregistrer sur notre machine locale? Une chose est sûre, le navigateur utilisé pour nos tests, YouTube et le compte courriel sont tous des produits de Google. Cette possibilité n’est donc pas à rejeter, mais nécessite plus de recherche sur le fonctionnement des produits de Google.

Par contre, nous pouvons quand même affirmer que lorsque des traces sont trouvées, il nous est impossible de reconstruire l’œuvre de manière intégrale.

6.5 - Répertoires et fichiers importants

Suite à nos recherches, nous avons réussi à cibler précisément où chercher l’information en cas d’investigation. L’information est uniquement présente à ces endroits si la navigation ne se fait pas en mode incognito.

6.5.1 - Répertoires importants

Les répertoires principaux où toute les informations se situent sont les suivant :
        C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\ : C’est le répertoire où toutes les informations relatives à Google Chrome et son utilisation s’enregistrent.
        C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\Cache\ : Contient les certains fichiers WebM.

6.5.1 - Fichiers importants

Les fichiers suivants contiennent selon nous le plus d’informations :
        C:\Users\<username>\AppData\Local\Google\Chrome\User Data\<Local State / Last Session / Last Tabs> : Ces fichiers contiennent les informations relatives aux comptes connectés.
        C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\History Provider Cache : Contient l’historique de recherche par mots-clés et les liens des pages web consultées.
        C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\Current Session : Contient les liens Internet consultés de la session active

7 - Conclusion

Pour conclure, ce projet nous a permis d'approfondir nos connaissances sur l’investigation numérique. Grâce à la recherche documentaire effectuée à propos de YouTube et du streaming, nous avons trouvés des éléments clés nous permettant de mieux orienter notre investigation. Après avoir découvert que le lecteur vidéo HTML5 utilisait des fichiers de type WebM, il était beaucoup plus facile d’utiliser les outils d’investigation disponibles pour faire, par exemple, des recherches par mot-clé ou par signature de fichier. Une autre découverte importante est que toutes les traces potentielles associées à la transmission en continu passent par le navigateur. Google Chrome, dans notre cas, est donc le responsable de toutes les traces laissées sur l’ordinateur suite à une utilisation du streaming sur YouTube. Par contre, nous avons détecté que le mode incognito de Google Chrome permet de ne laisser aucune trace en lien avec l’utilisation de YouTube.

Afin d’approfondir le sujet, nous avons pensé à d’autres tests qui pourraient peut-être amener davantage de précision à notre analyse. Il serait intéressant de tester les cas où l’utilisateur visionne plusieurs vidéos sur YouTube. Nous avons précédemment vu que Google Chrome conserve relativement un bon historique des vidéos visionnées et même de très petits extraits. Les extraits, par exemple, seraient-ils écrasés par un visionnement multiple où des extraits seraient présents pour chaque vidéo diffusée? Cela nous pousse aussi à nous questionner sur les sessions d’utilisateur. Un autre test envisageable est de visionner du contenu à partir de plusieurs comptes. Cela nous permettrait de vérifier si les informations relatives aux sessions (historique, etc.) sont effacées à chaque fois qu’on change de compte, ou bien même, s’il est possible de retracer l’historique de chaque utilisateur. Aussi, nos recherches étaient centralisées autour du navigateur Google Chrome. Il est possible que certains navigateurs, ne supportant pas le lecteur vidéo HTML5, utilisent un format de contenu différent (autre que WebM). Advenant que ce soit cas, les traces laissées par la diffusion de multimédia en continu peuvent différer. 

Lors de futurs projets, si les délais du projet le permettent, il serait intéressant d’utiliser le logiciel Process Monitor. Ce logiciel conserve dans un journal (un log) toutes les écritures et les lectures se produisant sur la machine. Cela aurait pu nous aider à savoir directement à quel endroit l’écriture se fait lorsqu’on écoute une vidéo. Par contre, Process Monitor génère énormément d’informations. Il aurait été très long d’analyser tous les résultats dans un contexte académique comme le nôtre car il aurait fallu faire beaucoup de filtre d’informations.

Somme toute, ce projet de recherche nous a permis de nous familiariser avec les protocoles d’investigation et de cueillette d’artéfacts. Nous estimons que l’objectif de ce travail a été atteint car nous avons réussi à déceler des traces laissées suite à une diffusion en continu sur YouTube.

MÉDIAGRAPHIE


A - Ressources littéraires

1.       C. KESSLER, Gary.  « File Signatures Table » dans Gary Kessler Associates : Library , 23 janvier 2016, [http://alturl.com/i5w3p], (page consultée le 2 avril 2016).
2.       FORENSICSWIKI.  « Main Page » dans Forensics Wiki : Main Page, 30 mars 2016, [http://alturl.com/43yvv], (page consultée le 1 avril 2016).
3.       GOOGLE.  « Lecteur vidéo HTML5 YouTube » dans Youtube : HTML5, [http://alturl.com/rc44m], (page consultée le 25 mars 2016).
4.       GOUVERNEMENT DU CANADA. « Loi sur le droit d’auteur » dans Site Web de la législation : Lois codifiés, 23 juin 2015, [http://alturl.com/bbsjr], (page consultée le 24 mars 2016).
5.       NIRSOFT.  « Copy a temporary flv (flash video) file to another folder » dans Nirsoft : Atricles, [http://alturl.com/vhvhb], (page consultée le 27 mars 2016).
6.       PATRICK, Brian. « An Accelerated History of Internet Speed (Infographic)» dans Entrepreneur : Business Accelerated, 25 septembre 2013, [http://alturl.com/s9s9x], (page consultée le 27 mars 2016).
7.       PC PLUS. « How Internet video streaming works» dans Techradar : News, 16 septembre 2012, [http://alturl.com/gk59u], (page consultée le 27 mars 2016).
8.       V. WILSON, Tracy.  « How Straming Video and Audio Work » dans HowStuffWorks : Tech, [http://alturl.com/k5v7n], (page consultée le 22 mars 2016).
9.       WEBM PROJECT.  « About WebM » dans WebM : An Open Web Media Project, [http://alturl.com/hogh7], (page consultée le 25 mars 2016).
10.    WIKIPEDIA. « Progressive Download » dans Wikipedia : Progressive Download, 29 juillet 2015, [http://alturl.com/u36bv], (page consultée le 28 mars 2016).
11.    WOODFORD, Chris. « Streaming Media » dans Explain that Stuff : Computers, 15 mars 2016, [http://alturl.com/me4ne], (page consultée le 27 mars 2016).

B - Liens vers le téléchargement des logiciels

1.       Autopsy : http://alturl.com/xf6ut
2.       Beyond Compare : http://alturl.com/7yyme
3.       FTKImager Lite : http://alturl.com/d5z99
4.       NetworkMiner : http://alturl.com/nbnqv
5.       Process Monitor : http://alturl.com/rmv7v
6.       VideoCacheView : http://alturl.com/4mwt2 
7.       VLC media player : http://alturl.com/izgjt

 

 

ANNEXES

A - Captures d’écran YouTube


B - Protocole de recueil de preuves suivi, avec captures d’écran

b.       Pour le test 4 :
                                                         i.            Désactiver les fichiers témoins, fixer les paramètres, la confidentialité et bloquer les témoins.
                                                       ii.            Ouvrir une fenêtre de navigation privée et vérifier que vous l’êtes.

3.        Aller sur www.youtube.com.
a.       Pour les tests 2 et 3: se connecter dans YouTube
4.        Rechercher le vidéo à visionner. Nous avons choisi un vidéo populaire facilement identifiable sur une machine : Rick Astley - Never Gonna Give You Up
6.        Fermer Google Chrome.
7.        Stopper la capture des paquets réseaux.
8.        Lancer FTKImager Lite et faire une capture de la mémoire RAM dans un fichier ad1
9.        Toujours avec FTKImager Lite, créer une image complète du disque dur C:\

C - Captures d’écrans prisent lors de la récolte de preuves

Test 1 (uniquement le test 1, voir les artéfacts remis pour les autres tests)
        Mots-clés
        Youtube
        Rick Astley
        dQw4w9WgXcQ
        Web Fichiers témoins
        Web History
        WebM
        Recherche de l’adresse courriel (aucun résultat au test 1)

Aucun commentaire:

Publier un commentaire