Analyse forensique d’une PlayStation 3 et 4

PS3

Dans mon travail il m’est déjà arrivé de devoir analyser des Consoles de Sony, PlayStation 3 et 4, afin d’extraire des données pouvant servir de preuve.

Jusqu’alors la méthode que j’employais était d’allumer la console et d’effectuer une consultation visuelle du contenu pouvant être pertinent. Mais après quelques recherches, j’ai découvert un article de recherche nommé « Forensic Analysis of a PlayStation 3 Console » par Scott Conrad, Greg Dorn et Philip Craiger. Ce article disponible sur https://hal.inria.fr/hal-01060610/document propose une méthode d’analyse forensique via consultation visuelle du contenu de la console sans modification de la preuve.

Note : cette méthode est aussi fonctionnelle sur les PlayStation 4 !

La méthode

La méthode proposée est la suivante :

  • Extraire le disque dur A de la console
  • Derrière un bloqueur en écriture, clonez le disque dur A sur un autre disque B de la même taille
  • Préservez à l’abri le disque dur A original de la console
  • Insérer le disque dur B cloné dans la console
  • Démarrer la console et effectuer l’analyse visuelle du contenu de la console en prenant des photographies ou capture vidéos

Cette méthode a un avantage fort qui est la préservation de la preuve originale car la consultation a modifiée uniquement le contenu du disque dur B de copie. Ainsi pour retrouver l’état original il suffit de remettre le disque dur A d’origine dans la console.

Les données analysables

La consultation visuelle ne permettra pas de trouver de données effacées. Néanmoins il est possible de découvrir de nombreux éléments parmi le contenu de la console. Ces éléments sont :

  • Les différents comptes utilisateurs utilisés sur la console
  • L’historique web (Réseau -> Navigateur internet)
  • Les recherches précédentes (Réseau -> Recherche internet)
  • Les images / photographies enregistrées sur la console (Photo)
  • Les fichiers audios (Musique)
  • Les fichiers vidéos (Vidéos)
  • Les bluray vidéo lus (Vidéos -> Utilitaire de données BD)
  • Les jeux installés / joués (Jeux)
  • Le compte PlayStation / l’adresse email associée (Playstation Network -> Premier icône)
  • Les messages et pièces jointes échangés (Amis)

Mais je n’ai pas d’image !

Il est possible qu’en allumant la console vous n’ayez aucun signal. Cela peut arriver notamment si à l’origine la console était configurée pour que le signal vidéo passe par une autre sortie.

Pour pouvoir afficher de nouveau une image :

  • Éteindre la PS3/PS4 en appuyant sur le bouton Power. Si elle refuse de s’éteindre, laissez appuyer 5 secondes sur le bouton Power pour forcer l’extinction.
  • Une fois éteinte avec un voyant rouge, appuyez sur le bouton Power jusqu’à entendre le deuxième bip.
  • Vous pouvez ensuite à l’aide d’une manette PS3/PS4 modifier la configuration de l’affichage.

Conclusion

Il existe donc une bonne méthode qui préserve la preuve et qui permet d’acquérir des éléments. L’avantage majeur est qu’il est possible de faire autant de recherche que l’on veut, si il y a un problème il suffit de refaire une copie du disque original et de continuer !

Laisser un commentaire