Auteurs :
Olivier Grenier-Chenier
Hamouda, Nedra
Jean-Frédéric
Faust
Note de l’éditeur : Dû à la lourdeur des images ajoutées à ce texte et
aux limitations inhérentes au site de blog, nous avons dû remplacer les images
par des liens à cliquer. Pour consulter les figures, veuillez cliquer sur les
titres de ces figures.
1 - Sommaire
L’objectif de
ce travail est de déterminer si la transmission multimédia en continu sur
YouTube laisse des traces sur la machine de l'utilisateur. Pour ce faire, nous avons
déterminé en premier lieu un certain nombre de scénarios de tests qui ont
permis de récolter des images de disque sur lesquelles nous avons mené notre
enquête. En second lieu, nous avons établi un protocole d’investigation qui
nous a permis, par la suite, de collecter des artéfacts. Nous avons poursuivi
par l’analyse des résultats obtenus.
Mots-clés : Autopsy, diffusion, FTKImager,
Google Chrome, streaming, transmission, VirtualBox, WebM, WinMerge, Youtube.
2 - Introduction
Que ce soit sur
le plan légal ou socio-économique, il est important de connaître les traces
pouvant être laissées par la transmission multimédia en continu. Il est
possible d’imaginer plusieurs situations où des connaissances sur le sujet
peuvent nous être utiles. Une étant : la protection des droits d’auteurs.
Souvent, le contenu disponible en ligne est protégé par la loi sur le droit
d’auteurs. Il existe une ligne très mince entre le streaming et le respect de
cette loi. Advenant le cas où la lecture de contenu en ligne laisse assez de
traces sur l’appareil de lecture pour reconstruire l’œuvre de manière intégrale
ou partielle, il pourrait y avoir une violation des droits moraux de l’auteur
sur son œuvre. Dans le présent écrit, nous avons
investigué les traces laissées par la diffusion de vidéos à partir de YouTube.
Notons que tout au long de cet écrit, le terme streaming est utilisé afin de
désigner la notion de transmission de multimédia en continu. Il en va de même
pour les termes unicast (monodiffusion) et multicast (multidiffusion).
3 - Revue littéraire
Lors de nos
recherches, nous avons constaté qu’il n’existe pas beaucoup de publications sur
le sujet, d’où l’importance de notre travail. Par contre, il nous a été
possible de trouver des informations sur le fonctionnement général du streaming
ainsi que sur les différents outils que nous pouvons utiliser pour effectuer
les expériences.
3.1 - Multicast ou unicast?
Il existe
différentes formes de diffusions qui affectent la bande passante de manières
distinctes. La diffusion multicast se traduit comme suit : un émetteur unique
diffuse son contenu vers un groupe de récepteurs. Au contraire, la diffusion
unicast ne permet à l’émetteur de diffuser son contenu qu’à un récepteur
unique. En d’autres termes, c’est une liaison point à point entre les deux
hôtes. Le broadcasting agit d’une toute autre manière : l’émetteur sera
constamment actif, que les récepteurs le soient ou pas. Côté streaming, si on
compare un streaming unicast avec un streaming multicast, le streaming
multicast nécessite beaucoup moins de bande passante car il n’a qu’à établir
une unique connexion qui sera partagée entre le groupe de récepteurs. YouTube,
par exemple, utilise un type de streaming unicast. L’émetteur, YouTube dans ce
cas-ci, partage le flux de données uniquement avec les récepteurs qui désire
visionner une vidéo.
3.2 - Les différents outils
Lors de nos
lectures, nous avons pris connaissance de certains outils que nous avons
utilisé lors de notre recherche.
3.2.1 - VideoCacheView
Application
permettant de recueillir les fichiers vidéo temporaires d’un navigateur web.
Cette application nous a permis d’avoir accès directement aux traces laissées
par un streaming vidéo.
3.2.2 - FTKImager Lite
Application
forensique permettant, entre autres, de créer des images de disques et de
capturer la mémoire vive. Cette application est utilisée pour créer des images
forensiques à différents moments de nos tests afin d’éventuellement les
étudier.
3.2.3 - Autopsy
Application
d’investigation forensique. Nous avons utilisé Autopsy pour parcourir les
différents répertoires dans les images forensiques de disque capturées. Autopsy
nous permet de regrouper et voir au même endroit les fichiers tels que les fichiers
témoins et l’historique de navigation web. Il est aussi possible d’ajouter dans
les paramètres d’Autopsy une signature de fichier. Cela est très utile si nous
connaissons le format sous lequel les vidéos visionnées sur YouTube sont
conservées car les seront répertoriés dans une section distincte après
l’analyse.
3.2.4 - NetworkMiner
Application
permettant la capture des paquets réseaux entrants et sortants (un peu comme
Wireshark).
3.2.5 - BeyondCompare / WinMerge
Application
permettant la comparaison binaire entre fichiers et/ou répertoires.
BeyondCompare est utilisé dans notre cas pour faire la différence entre l’image
de la machine originale et l’image de la machine après avoir effectué un test.
3.2.6 - Virtual Box
C’est un hyperviseur type 2. Virtual Box nous
permet d’installer et d’utiliser la machine virtuelle avec laquelle nous allons
effectuer les tests.
4 - Présentation du contexte
4.1 - Fonctionnement du streaming
Avant
d’approfondir le sujet du fonctionnement, il serait intéressant de parler des
méthodes utilisées avant l’apparition du streaming. Reculons tout d’abord de
quelques années, lors de l’arrivée commerciale de l’accès à Internet par ligne
commutée (Dial-Up Internet Access). À
ce moment, il était possible d’atteindre une vitesse de téléchargement
avoisinant 56 kbps. Afin de mettre
cette vitesse en perspective, il fallait environ 10 minutes pour télécharger un
morceau de musique de faible qualité (environ 3.5MB). Afin d’écouter une
chanson qui était sur Internet, il était nécessaire de télécharger
l’intégralité de la chanson. Une fois le fichier entièrement téléchargé,
l’utilisateur pouvait parcourir son système de fichiers, localiser la chanson
et finalement l’écouter. La rapidité à laquelle on pouvait accéder ou lire du
contenu présent sur le web dépendait donc directement de la vitesse de
téléchargement. Cette méthode n’est pas très pratique pour les fichiers
volumineux. Dans le cas où on voudrait regarder un film (environ 700MB) plutôt
qu’une chanson, il nous faudrait plus d’une journée pour le télécharger.
Attendre plus de 24 heures pour regarder un film de moins de 2 heures est loin
d’être efficace.
Et si c’était
possible de regarder un film pendant
qu’il est téléchargé ? C’est à ce moment que le streaming entre en jeu. Le
principe est simple : une partie du média sera téléchargée puis sauvegardée
temporairement afin d’en permettre sa lecture. Pendant que l’utilisateur regarde
cette partie, le téléchargement se poursuit pour obtenir le prochain bloc à
sauvegarder. Lorsque la lecture d’un bloc est terminée, ce bloc est supprimé du
périphérique de l’utilisateur afin de faire place au prochain bloc. Pour y arriver,
l’utilisateur doit avoir installé au préalable un logiciel de lecture de média
(Media Player). C’est celui-ci qui
s’occupe d’afficher le contenu sur l’appareil de l’utilisateur grâce à ses
fonctionnalités de gestion des blocs. Cependant, cette approche a le désavantage
de d’interrompre temporairement (seulement quelques secondes avec une bonne
connexion Internet) la lecture du média si le téléchargement subit des
ralentissements ou des délais. À moins d’être sur une connexion très lente, ce
n’est pas un gros désavantage si on compare cela au fait de devoir attendre une
journée ou plus avant de pouvoir lire le contenu d’une œuvre.
4.2 - Fonctionnement propre à YouTube
Passons
maintenant aux caractéristiques propres à YouTube. Auparavant, le streaming
n’existait pas. Alors, il était impossible de télécharger partie par partie le
contenu d’une vidéo. La totalité de la vidéo était donc sauvegardée dans un
tampon afin d’en permettre sa lecture. Maintenant, YouTube utilise plutôt du
pseudo streaming qui se nomme MPEG-DASH (Dynamic
Adaptive Streaming over HTTP). Le pseudo streaming procure une expérience
similaire au streaming authentique selon le point de vue de l’utilisateur. La
différence principale entre les deux est que le pseudo streaming ajoute les prochains blocs de média
reçus à un tampon. Ce tampon représente donc la partie du média qui est
téléchargée et prête à être utilisée. On peut voir ce tampon à l’intérieur du lecteur
vidéo de YouTube. Il est représenté par la partie plus claire sur la barre de
lecture sur l’image dans l’annexe A. Ce tampon est à l’intérieur de la cache du
navigateur web. Si le vidéo à jouer est petit, il se peut que la totalité du
vidéo se trouve en cache ce qui permet de rejouer la vidéo sans avoir à
télécharger à nouveau le contenu. Sachant cela, il sera pertinent de fouiller
le cache du navigateur utilisé lors de l'investigation.
De plus, des
informations telles que le format de la vidéo qui est transmise en continu, la
résolution de la vidéo et les protocoles utilisés pour le transfert des données
sont des indices qui vont nous permettre de savoir plus précisément quoi
chercher.
Après certains
tests, nous avons réussi à trouver les statistiques du lecteur vidéo HTML5 de
YouTube avec le navigateur Google Chrome (Voir l’annexe A pour une capture
d’écran). Une statistique nous intéresse en particulier, soit celle sur le type
de contenu (Mime Type). La capture
d’écran nous révèle que le contenu est de type vidéo et que celui-ci est sous
le format WebM. Ce format se base sur le standard ouvert Matroska qui sert à
contenir des données multimédia. Les fichiers de type WebM sont composés d’un
ou plusieurs flux vidéo ainsi qu’un ou plusieurs flux audio. Les flux vidéo
sont compressés à l’aide de la technologie de compression vidéo VP8 et VP9 qui
sont développés par l’équipe de WebM Project. La compression audio est réalisée
par les technologies Vorbis et Opus, développées par la Xiph Foundation. Ceci est
un superbe exemple de l’impact que peut avoir une technologie libre de droits.
Vorbis et Opus, ont été utilisé dans le développement d’un nouveau format
ouvert conteneur de données multimédia. Ce format est maintenant utilisé à très
grande échelle et tout cela grâce à la collaboration des standards ouverts. Le
format WebM est très important car c’est le premier format de fichier vidéo
étant libre de droits et à la hauteur de la compétition. Le format WebM n’a pas
eu de difficultés à s’intégrer avec les technologies et standards utilisés
actuellement dans le web. De retour aux captures d’écran disponibles à l’annexe
A, on en retrouve deux qui montrent le protocole et le certificat utilisé par
YouTube. Le petit cadenas indique que le site utilise le protocole HTTPS qui
est la version sécurisée de HTTP. On voit aussi que le certificat est publié
par Google Internet Authority G2.
4.3 - Fonctionnalités présentes sur YouTube
Avant de parler
des fonctionnalités offertes par le site, on doit tout d’abord mentionner qu’il
y a un système de compte utilisateur. Il est donc possible de se créer un
compte YouTube et cela nous permettra d’accéder à diverses fonctionnalités. Le
site est aussi navigable en tant qu’utilisateur anonyme mais cela limite les
interactions qu’on peut avoir avec le site. Même si vous n’avez pas de compte
YouTube, il vous est quand même possible de visionner toutes les vidéos qui
sont publiques. Cependant, il est nécessaire d’avoir un compte et d’être
connecté pour partager vos vidéos avec le monde entier. De plus, un compte
YouTube permet de souscrire au contenu d’autres utilisateurs. Ainsi, lorsque
ceux-ci vont ajouter de nouvelles vidéos, vous serez averti qu’il y a du
nouveau contenu disponible qui pourrait vous intéresser. En tant qu’utilisateur
connecté, vous avez la possibilité d’interagir avec les autres utilisateurs du
site en ajoutant des commentaires à une vidéo. Il est aussi possible de voter
(bon ou mauvais) pour une vidéo, sauvegarder une vidéo pour pouvoir la regarder
plus tard et bien plus encore.
5 - Protocole expérimental
5.1 - Travail préliminaire
Afin de mener à
terme notre investigation, nous avons dû établir un protocole expérimental
solide à suivre à la lettre qui nous a permis d’étudier le fonctionnement de
YouTube. La toute première étape réalisée a donc été de se créer une machine
virtuelle et de n’y installer que le strict nécessaire à la réalisation de
notre étude. En effet, il est important que notre environnement de test soit
strictement contrôlé afin d’avoir la certitude que nos résultats ne soient pas
contaminés par quelconque autre logiciel.
Nous avons donc
utilisé le logiciel VirtualBox d’Oracle (version 4.3.28) pour faire une
installation fraîche de Windows 7 dans une machine virtuelle, dont voici les
caractéristiques :
Tableau 1 :
Configuration de la machine virtuelle
Nom
|
INF8430project
|
Système
d’exploitation
|
Windows 7
Ultimate (32 bits)
|
Mémoire vive
|
2 GB
|
Disque dur
|
25 GB
|
Nom du disque
|
INF8430drive
|
Usager
|
INF8430user
|
Mot de passe
|
aucun
|
Nom de l’ordinateur
|
INF8430machine
|
Étant donné que
nous analysons une application qui fait du traitement vidéo, nous avons doté
notre machine virtuelle de suffisamment de mémoire vive pour pouvoir lire du
contenu potentiellement volumineux. La taille du disque dur fut choisie
arbitrairement.
De plus, afin
de pouvoir couvrir un plus grand nombre de cas, nous avons aussi pris le temps
de créer un compte YouTube, histoire de voir si le fait d’avoir un compte ou
non influence les potentiels artéfacts laissés lors du visionnement d’une
vidéo. Fait important à noter : il n’existe pas de compte YouTube en tant que
tel. En effet, depuis l’acquisition de YouTube par Google il y a quelques
années, l’entreprise a effectué une réorganisation du site de streaming pour
que ce soit plutôt un compte Google qui soit nécessaire pour se connecter. Un
compte YouTube n’est maintenant en fait qu’un compte Google, qui permet aussi
d’accéder aux autres applications de Google comme Gmail par exemple.
Voici les
informations de ce compte :
Tableau 2 :
Informations du compte Gmail
Courriel
|
inf8430user@gmail.com
|
Mot de passe
|
********
|
Cette étape
étant réalisée, il nous a fallu choisir un navigateur web pour nous permettre
de parcourir le site web étudié. Nous avons opté pour le plus populaire,
c’est-à-dire Google Chrome. Au moment de faire les tests, c’est la version 49
du navigateur qui a été utilisée.
Mis-à-part
l’installation de Google Chrome, le seul autre logiciel installé sur la machine
virtuelle fut un pilote spécial spécifique à VirtualBox appelé VirtualBox Guest Addition. Ce pilote
permet à une machine virtuelle de pouvoir partager un répertoire avec la
machine hôte. En tant qu’investigateur numérique, il nous fallait avoir un
endroit sur support externe où sauvegarder les potentielles preuves trouvées
lors de notre investigation. C’est donc dans un répertoire partagé que furent
sauvegardées ces preuves. Une image forensique du disque virtuel a été
effectuée afin d’avoir une référence pour analyser les preuves. Un instantané
de la machine virtuelle a aussi été effectué.
Finalement, le
dernier travail préparatif effectué avant d’entreprendre les tests fut de
préparer un ensemble de logiciels qui nous a permis de recueillir les preuves
sur la machine du suspect. Il était important que certains de ces logiciels
soient indépendants afin qu’ils puissent fonctionner sans que l’installation
soit nécessaire. Voici une liste des logiciels indépendants utilisés :
FTKImager Lite, NetworkMiner et VideoCacheView. Ces logiciels indépendants
étaient disponibles dans notre dossier partagé afin d’être accessibles depuis
la machine virtuelle.
Cependant,
d’autres logiciels on été utilisées pour faire l’analyse des preuves
recueillies : Autopsy et BeyondCompare (ou WinMerge). Des liens permettant le
téléchargement de ces applications se trouvent dans la section médiagraphie.
5.2 - Cas de tests
Nous avons tenté de déterminer les cas d’utilisation
de YouTube qui sont les plus fréquents. Quatre cas de tests ont été retenus.
Les voici :
Tableau 3 : Les
différents tests choisis
Test#
|
Mode
incognito?
|
Connecté
Chrome?
|
Connecté
Youture?
|
Sauvegardé
Localement? *
|
Témoins
Activés? **
|
1
|
non
|
non
|
non
|
non
|
oui
|
2
|
non
|
non
|
oui
|
oui
|
oui
|
3
|
non
|
oui
|
oui
|
oui
|
oui
|
4
|
oui
|
non
|
non
|
non
|
non
|
* Nom
d’utilisateur et mot de passe sauvegardé localement?
** Fichiers
témoins activés?
Le test 1
représente le cas où tous les paramètres du navigateur sont à leur valeur
initiale, c’est-à-dire celles qu’ils ont au moment de l’installation. Nous
avons jugé ce cas important, car la majorité des gens ne se soucie pas de
configurer leur navigateur web. En fait, certains ne savent même pas ce qu’est
un navigateur. Ils l’appellent simplement “les Internets”. Pour le test 2, nous
avons simulé le cas où un utilisateur, après avoir utilisé son navigateur un
moment, a décidé de se créer un compte YouTube et, au moment de se connecter à
son compte, a coché l’option « rester connecté ». Pour les tests 3 et
4, nous voulions représenter les extrêmes. Le navigateur dans le test 3 a été
configuré de manière à laisser le plus de traces possibles sur la machine du
suspect. Pour le test 4, c’est le contraire. Nous avons essayé de configurer
Chrome de manière à laisser le moins de traces possibles.
5.3 - Cueillette de preuves
D’abord, nous
avons profité du fait que nos tests étaient effectués sur une machine
virtuelle. En effet, il est possible de prendre des photos instantanées pour
sauvegarder l’état de la machine de manière à pouvoir y revenir, si besoin il y
a. Nous avons donc fait preuve de prudence et en avons pris un à chaque moment
important des manipulations.
Voici une
capture d’écran illustrant une partie de l’arbre des photos instantanées :
Figure 1 : Arbre des photos
instantanées
Voici la
procédure exécutée lors de notre expérience. Les étapes spécifiques à un test
en particulier sont en caractères gras.
Une version avec captures d’écran se trouve à l’annexe B.
1.
Lancer le logiciel NetworkMiner, choisir un adaptateur réseau et démarrer
une capture.
2.
Lancer le logiciel Google Chrome.
a.
Pour le test 3
: Se connecter dans le navigateur web (page de démarrage):
b.
Pour le test 4
:
i.
Désactiver les
témoins.
ii.
Ouvrir une
fenêtre de navigation privée.
a.
Pour les tests
2 et 3 : se connecter dans YouTube
4.
Rechercher la vidéo à visionner. Nous avons choisi une vidéo populaire
facilement identifiable sur une machine : Rick
Astley - Never Gonna Give You Up
5.
Visionner la vidéo au complet.
6.
Fermer Google Chrome.
7.
Stopper la capture des paquets réseaux.
8.
Lancer FTKImager Lite et faire une capture de la mémoire vive.
9.
Toujours avec FTKImager Lite, créer une image complète du disque virtuel
C:\
5.4 - Procédure d’analyse des preuves
Pour la phase
d’analyse, voici la procédure que l’on a suivie.
●
Ouvrir deux instances de FTK Imager.
●
Charger une image à comparer dans chaque instance.
●
Inspecter visuellement, si possible, les différences entre chaque
répertoire.
●
Pour les répertoires racine ayant beaucoup de fichiers, faire un calcul des
empreintes numériques pour chaque répertoire et les comparer avec le calcul de
l’image de référence.
Figure 2 : Calcul des
empreintes numériques
●
Si des différences sont détectées, exporter les répertoires.
●
Faire une comparaison binaire avec WinMerge ou Beyond Compare et
vérifier quels sont les changements.
●
Charger l’image dans Autopsy 4.0
●
Ajouter le format utilisé par YouTube comme format reconnu par Autopsy
Figure 3 : Ajout de la
signature de fichier WebM
●
Faire les recherches suivantes :
○
Recherche d'adresse courriel : inf8430user@gmail.com
○
Recherches de mots clés :
○
youtube : site sur lequel nous diffusons le contenu
○
webm : format sous lequel le contenu est reçu
○
rick astley : artiste de l’œuvre diffusée
○
dQw4w9WgXcQ : fin de l’URL de la page Internet diffusant le contenu
6 - Analyse des résultats
Maintenant que
nous avons une meilleure compréhension du streaming et du fonctionnement de
YouTube, il est plus facile d’analyser les résultats obtenus par nos
expérimentations.
6.1 - Répertoires candidats
Après avoir
effectué les manipulations, nous avons tenté de déterminer quels étaient les
différences entre les images forensiques de disque virtuel recueillies. Parmi
les logiciels d’analyse que nous avons retenus, aucun d’eux ne possédait de
fonctionnalités de comparaison d’image. Il a donc fallu être un peu
débrouillard et les comparer en plusieurs étapes. D’abord, nous avons ouvert
deux instances de FTK Imager, en chargeant l’image de référence dans une
instance et l’image d’un des tests dans l’autre. Nous avons choisi l’image du
test 3, car c’est celle qui, selon notre hypothèse, devrait contenir les plus
grandes différences. Les empreintes numériques de chaque dossier racines ont
été exportés.
Figure 4 : Arborescence
des fichiers d’évidences
En les ouvrant dans un
logiciel de comparaison comme Beyond Compare, on obtient une fenêtre semblable
à celle-ci :
Figure 5 : Exemple d’une
empreinte numérique de fichier
Le logiciel
affiche les différences textuelles en rouge et laisse en gris les lignes qui
sont identiques. En inspectant les comparaisons entre chaque dossier racine,
nous avons pu éliminer d’emblée les répertoires ProgramFiles, SystemVolumeInformation
et Windows. En effet, bien que des
différences aient été détectées, elles concernaient des composants de support
de langues, probablement téléchargés par Chrome, et des mises à jour Windows.
La comparaison du répertoire ProgramData faisait
mentions de scans effectués par Windows Defender, qui auraient pu contenir des
noms d’artéfacts temporaires reliés à la vidéo vue sur YouTube, mais en
exportant ces fichiers et en les analysant de plus près, rien de tel a été
trouvé. Les différences les plus intéressantes se trouvaient dans la
comparaison du répertoire « Users » (voir figure 6 et figure 7).
Un nombre
important de fichiers ont été ajoutés dans plusieurs répertoires qui semblent
être reliés de près à Google Chrome. Ces fichiers semblent bel et bien être des
fichiers temporaires.
Nous sommes
parfaitement conscients que cette façon de déterminer les différences n’est pas
sans failles. Cependant, elle nous a permis de mieux orienter notre
investigation et de la pointer dans la bonne direction. C’est pourquoi nous
avons complémenté notre analyse des preuves avec le logiciel Autopsy. Nous en sommes
venus à la conclusion que si certaines preuves avaient échappé à notre
attention lors de l’investigation manuelle, les fonctionnalités de recherches
d’Autopsy les trouveraient pour nous. De plus, étant donné que pour effectuer
une recherche, il faut savoir quoi chercher, une inspection manuelle des
différences allait peut-être nous permettre de déceler des éléments auxquels
nous n’aurions pas pensé.
6.2 - Pertinence d’écouter le trafic de paquets
L’interception
des paquets permet de localiser certains éléments dans la mémoire où les
informations sont sauvegardées. Étant donné que nous avions déjà localisé les
répertoires potentiels (voir 6.1), nous n’avons pas jugé nécessaire
d’investiguer les paquets interceptés avec NetworkMiner.
6.3 - Cueillette des artéfacts en fonction des différents tests
Veuillez
consulter l’annexe C pour les captures d’écran prisent lors de la recherche de
preuve lors de l’investigation. Notons que nous avons décidé d’inclure que les
captures d’écran relatives au test 1 afin d’éviter la répétition.
6.3.1 - Image de référence
Recherche par
mots clés avec Autopsy :
●
youtube : 73 fichiers trouvés
●
rick astley : 0 fichiers trouvés
●
dQw4w9WgXcQ : 0 fichiers trouvés
Recherche par signature
de fichier (fichiers signés WebM) :
●
2 fichiers de type WebM trouvés, ce sont des fichiers WebM que Google
Chrome génère automatiquement.
Informations dans les
témoins web : Des fichiers concernant YouTube et Chrome sont présents, mais
rien ne relie ces fichiers à l’utilisation de YouTube (streaming ou connexion à
un compte)
Informations dans l’historique
web : Rien concernant YouTube. La page d’accueil de Google est dans
l’historique mais c’est probablement dû à l’installation de Chrome.
Recherche de l’adresse
courriel “inf8430user@gmail.com” : aucun résultat trouvé.
6.3.2 - Témoins activés (Test 1)
Recherche par mots clés
avec Autopsy :
●
youtube : 83 fichiers trouvés
●
rick astley : 9 fichiers trouvés
●
dQw4w9WgXcQ : 16 fichiers trouvés
Recherche par
signature de fichier (fichiers signés WebM) : Nous avons retrouvés douze
fichiers de type WebM. Seulement dix de ces fichiers sont directement reliés à
la vidéo que nous avons visionnée. Nous avons réussi à récupérer partiellement
la vidéo (sans audio) dans cinq de ces fichiers. Les cinq autres contiennent
uniquement une piste audio. Les deux fichiers restant sont des fichiers reliés
à Google Chrome, des tutoriels selon nous. Ils ne sont pas inclus dans les
artéfacts car ils ne sont pas pertinents.
Figure 8 : Playlist du
contenu WebM trouvé
Remarquons que
même si la durée varie entre 0:29 et 3:32 minutes, les pistes ne durent jamais
plus que quelques secondes.
Informations
dans les témoins web : Nous n’avons aucune information relative aux connexions
aux comptes Google et YouTube. C’est normal puisque nous ne sommes connectés à
aucun compte.
Informations
dans l’historique web : Nous avons directement accès à l’historique de
visionnage, lien URL, description de la vidéo, navigateur utilisé, date et
heure à laquelle la vidéo à été visionnée.
Recherche de l’adresse
courriel “inf8430user@gmail.com” : aucun résultat trouvé.
6.3.3 - Connecté à un compte YouTube avec témoins activés (Test 2)
Recherche par mots clés
avec Autopsy :
●
youtube : 96 fichiers trouvés
●
rick astley : 12 fichiers trouvés
●
dQw4w9WgXcQ : 17 fichiers trouvés
Recherche par
signature de fichier (fichiers signés WebM) :
●
8 fichiers de type WebM trouvés (2 fichiers reliés à chrome, tutoriels)
●
6 sont directement reliés à la vidéo que nous avons visionnée
●
3 de ces fichiers contiennent une partie de la vidéo (sans audio)
●
3 de ces fichiers contiennent uniquement des pistes audio
Idem au test 1, la durée
varie entre 0:29 et 3:32 minutes, mais les pistes ne durent jamais plus que
quelques secondes.
Informations dans les témoins
web : Nous retrouvons dans les fichiers témoins des traces de connexion aux
comptes Google Chrome et YouTube, nous n’avons pas accès aux informations du
compte.
Informations
dans l’historique web : Idem au test 1, nous avons directement accès à l’historique
de visionnage, lien URL, description de la vidéo, navigateur utilisé, date et
heure à laquelle la vidéo a été visionnée.
Recherche de l’adresse
courriel “inf8430user@gmail.com” : 5 fichiers trouvés (voir 6.5.1 pour savoir
quels fichiers nous fournissaient de l’information).
6.3.4 - Compte Google Chrome et YouTube connectés avec témoins activés (Test 3)
Recherche par mots clés
avec Autopsy :
●
youtube : 92 fichiers trouvés
●
rick astley : 10 fichiers trouvés
●
dQw4w9WgXcQ : 11 fichiers trouvés
Recherche par signature
de fichier (fichiers signés WebM) :
●
6 fichiers de type WebM trouvés (2 fichiers reliés à chrome, tutoriels)
●
4 sont directement reliés à la vidéo que nous avons visionnée
●
2 de ces fichiers contiennent une partie de la vidéo (sans audio)
●
2 de ces fichiers contiennent uniquement des pistes audio
Idem au test 1, la durée
varie entre 0:29 et 3:32 minutes, mais les pistes ne durent jamais plus que quelques
secondes.
Informations dans les
témoins web : Nous retrouvons dans les fichiers témoins des traces de connexion
aux comptes Google Chrome et YouTube, nous n’avons pas accès aux informations
du compte.
Informations
dans l’historique web : Idem au test 1, nous avons directement accès à
l’historique de visionnage, lien URL, description de la vidéo, navigateur
utilisé, date et heure à laquelle la vidéo à été visionnée.
Recherche de l’adresse
courriel “inf8430user@gmail.com” : Idem au test 2, 5 fichiers trouvés (voir
6.5.1 pour savoir quels fichiers nous fournissaient de l’information)
6.3.5 - Mode incognito, aucun compte connecté, témoin désactivés (Test 4)
Recherche par mots clés
avec Autopsy :
●
youtube : 49 fichiers trouvés
●
rick astley : 0 fichier trouvé
●
dQw4w9WgXcQ : 0 fichier trouvé
Recherche par
signature de fichier (fichiers signés WebM) :
●
1 fichier de type WebM trouvé
●
0 fichier directement relié à la vidéo que nous avons visionnée
Notons que les deux
fichiers WebM propres à Google Chrome que nous avons trouvés lors des 3
derniers tests sont introuvables dans ce test-ci.
Informations dans les
témoins web : aucun fichier témoin n’est trouvé dans l’image.
Informations dans
l’historique web : ne contient aucune information relative à YouTube ou à
Google.
Recherche de l’adresse
courriel “inf8430user@gmail.com” : aucun résultat trouvé.
6.4 - Comparaison des résultats
Voici un
tableau illustrant le nombre de fichiers découvert lors de la recherche par
mots-clés durant les différents tests.
Tableau 4 :
Nombre de fichiers contenant les mots clés en fonction des tests
Test#
|
Youtube
|
Rick Astley
|
dQw4w9WgXcQ
|
Référence
|
73
|
0
|
0
|
1
|
83
|
9
|
16
|
2
|
96
|
12
|
17
|
3
|
92
|
10
|
11
|
4
|
49
|
0
|
0
|
La différence
la plus flagrante se joue entre le test 4 et les trois premiers tests. Le test
4 est celui où nous utilisons le mode incognito fourni par Google Chrome. Nous
remarquons que l’activation du mode incognito nous permet de visionner du
contenu sans qu’aucune trace ne soit laissée. Même les fichiers WebM existant
par défaut (avec Google Chrome) sont inexistants.
Ce qui diffère
entre le test 2 et le test 3 est la connexion au compte Google Chrome. Les
résultats de ces tests sont très similaires car Google Chrome et YouTube
utilisent tous deux une adresse courriel Gmail pour s’identifier. Ces tests
génèrent donc sensiblement le même nombre d’informations. Par contre, le test 2
laisse beaucoup plus de trace de contenu (format WebM) que le test 3. Connaître
la cause de cette différence nécessite davantage de tests, nous ne sommes pas
en mesure de l’expliquer pour le moment. Toutefois, nous remarquons que lorsque
nous établissons une connexion sur YouTube sans initialement être connecté à
Google Chrome (test 2), le navigateur nous connecte directement à Google Chrome
avec le compte utilisé sur YouTube. C’est ce qui peut expliquer une grande
ressemblance entre ces deux tests. Attardons-nous maintenant aux fichiers WebM
trouvés.
Tableau 5 :
Nombre de fichiers WebM trouvés fonction des tests
Test #
|
Total *
|
Reliés? **
|
Référence
|
2
|
0
|
1
|
12
|
10
|
2
|
8
|
6
|
3
|
6
|
4
|
4
|
1
|
0
|
* Nombre total
de fichiers WebM
** Nombre relié
à la vidéo écoutée
Selon nos
tests, il semblerait que Google Chrome ai tendance à conserver plus de traces
de fichiers de type WebM lorsque nous sommes connectés à aucun compte.
Cela nous
pousse à se questionner sur le sujet suivant : lorsque nous sommes connectés à
un compte, certaines informations s’enregistrent-t-elles directement sur un
serveur appartenant à Google au lieu de s’enregistrer sur notre machine locale?
Une chose est sûre, le navigateur utilisé pour nos tests, YouTube et le compte
courriel sont tous des produits de Google. Cette possibilité n’est donc pas à
rejeter, mais nécessite plus de recherche sur le fonctionnement des produits de
Google.
Par contre,
nous pouvons quand même affirmer que lorsque des traces sont trouvées, il nous
est impossible de reconstruire l’œuvre de manière intégrale.
6.5 - Répertoires et fichiers importants
Suite à nos
recherches, nous avons réussi à cibler précisément où chercher l’information en
cas d’investigation. L’information est uniquement présente à ces endroits si la
navigation ne se fait pas en mode incognito.
6.5.1 - Répertoires importants
Les répertoires
principaux où toute les informations se situent sont les suivant :
●
C:\Users\<username>\AppData\Local\Google\Chrome\User
Data\Default\ : C’est le répertoire où toutes les informations relatives à Google
Chrome et son utilisation s’enregistrent.
●
C:\Users\<username>\AppData\Local\Google\Chrome\User
Data\Default\Cache\ : Contient les certains fichiers WebM.
6.5.1 - Fichiers importants
Les fichiers suivants
contiennent selon nous le plus d’informations :
●
C:\Users\<username>\AppData\Local\Google\Chrome\User
Data\<Local State / Last Session / Last Tabs> : Ces
fichiers contiennent les informations relatives aux comptes connectés.
●
C:\Users\<username>\AppData\Local\Google\Chrome\User
Data\Default\History Provider Cache : Contient l’historique de recherche par
mots-clés et les liens des pages web consultées.
●
C:\Users\<username>\AppData\Local\Google\Chrome\User
Data\Default\Current Session : Contient les liens Internet consultés de
la session active
|
7 - Conclusion
Pour conclure,
ce projet nous a permis d'approfondir nos connaissances sur l’investigation
numérique. Grâce à la recherche documentaire effectuée à propos de YouTube et
du streaming, nous avons trouvés des éléments clés nous permettant de mieux
orienter notre investigation. Après avoir découvert que le lecteur vidéo HTML5
utilisait des fichiers de type WebM, il était beaucoup plus facile d’utiliser
les outils d’investigation disponibles pour faire, par exemple, des recherches
par mot-clé ou par signature de fichier. Une autre découverte importante est
que toutes les traces potentielles associées à la transmission en continu
passent par le navigateur. Google Chrome, dans notre cas, est donc le
responsable de toutes les traces laissées sur l’ordinateur suite à une
utilisation du streaming sur YouTube. Par contre, nous avons détecté que le
mode incognito de Google Chrome permet de ne laisser aucune trace en lien avec l’utilisation de YouTube.
Afin
d’approfondir le sujet, nous avons pensé à d’autres tests qui pourraient
peut-être amener davantage de précision à notre analyse. Il serait intéressant
de tester les cas où l’utilisateur visionne plusieurs vidéos sur YouTube. Nous
avons précédemment vu que Google Chrome conserve relativement un bon historique
des vidéos visionnées et même de très petits extraits. Les extraits, par
exemple, seraient-ils écrasés par un visionnement multiple où des extraits
seraient présents pour chaque vidéo diffusée? Cela nous pousse aussi à nous
questionner sur les sessions d’utilisateur. Un autre test envisageable est de
visionner du contenu à partir de plusieurs comptes. Cela nous permettrait de
vérifier si les informations relatives aux sessions (historique, etc.) sont
effacées à chaque fois qu’on change de compte, ou bien même, s’il est possible
de retracer l’historique de chaque utilisateur. Aussi, nos recherches étaient
centralisées autour du navigateur Google Chrome. Il est possible que certains
navigateurs, ne supportant pas le lecteur vidéo HTML5, utilisent un format de
contenu différent (autre que WebM). Advenant que ce soit cas, les traces
laissées par la diffusion de multimédia en continu peuvent différer.
Lors de futurs
projets, si les délais du projet le permettent, il serait intéressant
d’utiliser le logiciel Process Monitor. Ce logiciel conserve dans un journal
(un log) toutes les écritures et les lectures se produisant sur la machine.
Cela aurait pu nous aider à savoir directement à quel endroit l’écriture se
fait lorsqu’on écoute une vidéo. Par contre, Process Monitor génère énormément d’informations.
Il aurait été très long d’analyser tous les résultats dans un contexte
académique comme le nôtre car il aurait fallu faire beaucoup de filtre
d’informations.
Somme toute, ce
projet de recherche nous a permis de nous familiariser avec les protocoles
d’investigation et de cueillette d’artéfacts. Nous estimons que l’objectif de
ce travail a été atteint car nous avons réussi à déceler des traces laissées
suite à une diffusion en continu sur YouTube.
MÉDIAGRAPHIE
A - Ressources littéraires
1.
C. KESSLER, Gary. « File
Signatures Table » dans Gary Kessler Associates : Library , 23 janvier 2016, [http://alturl.com/i5w3p], (page consultée le 2 avril 2016).
2.
FORENSICSWIKI. « Main Page » dans
Forensics Wiki : Main Page, 30 mars 2016, [http://alturl.com/43yvv], (page consultée le 1
avril 2016).
3.
GOOGLE. « Lecteur vidéo HTML5
YouTube » dans Youtube : HTML5, [http://alturl.com/rc44m], (page consultée le 25
mars 2016).
4.
GOUVERNEMENT DU CANADA. « Loi sur le droit d’auteur » dans Site Web de
la législation : Lois codifiés, 23 juin 2015, [http://alturl.com/bbsjr], (page consultée le 24
mars 2016).
5.
NIRSOFT. « Copy a temporary flv
(flash video) file to another folder » dans Nirsoft : Atricles, [http://alturl.com/vhvhb], (page consultée le 27
mars 2016).
6.
PATRICK, Brian. « An Accelerated History of Internet Speed
(Infographic)» dans Entrepreneur : Business Accelerated, 25 septembre 2013, [http://alturl.com/s9s9x], (page consultée le 27
mars 2016).
7.
PC PLUS. « How Internet video streaming works» dans Techradar : News, 16
septembre 2012, [http://alturl.com/gk59u], (page consultée le 27
mars 2016).
8.
V. WILSON, Tracy. « How Straming
Video and Audio Work » dans HowStuffWorks : Tech, [http://alturl.com/k5v7n], (page consultée le 22
mars 2016).
9.
WEBM PROJECT. « About WebM » dans
WebM : An Open Web Media Project, [http://alturl.com/hogh7], (page consultée le 25
mars 2016).
10. WIKIPEDIA. « Progressive
Download » dans Wikipedia : Progressive Download, 29 juillet 2015, [http://alturl.com/u36bv], (page consultée le 28
mars 2016).
11. WOODFORD, Chris. «
Streaming Media » dans Explain that Stuff : Computers, 15 mars 2016, [http://alturl.com/me4ne], (page consultée le 27
mars 2016).
B - Liens vers le téléchargement des logiciels
ANNEXES
A - Captures d’écran YouTube
B - Protocole de recueil de preuves suivi, avec captures d’écran
b. Pour le test 4 :
i.
Désactiver les fichiers
témoins, fixer les
paramètres, la
confidentialité et bloquer les
témoins.
a. Pour les tests 2 et 3: se connecter dans YouTube
4.
Rechercher le vidéo à visionner. Nous avons choisi un vidéo populaire
facilement identifiable sur une machine : Rick
Astley - Never Gonna Give You Up
6.
Fermer Google Chrome.
7.
Stopper la capture des paquets réseaux.
8.
Lancer FTKImager Lite et faire une capture
de la mémoire RAM dans un fichier
ad1
9.
Toujours avec FTKImager Lite, créer
une image complète du disque
dur C:\
C - Captures d’écrans prisent lors de la récolte de preuves
Test 1 (uniquement le test 1, voir les
artéfacts remis pour les autres tests)
●
Mots-clés
○
Youtube
●
WebM
●
Recherche
de l’adresse courriel (aucun résultat au test 1)
Aucun commentaire:
Publier un commentaire