Академический Документы
Профессиональный Документы
Культура Документы
par :
La YOUYOU
David BILLARD
Jatteste avoir ralis seule le prsent travail, sans avoir utilis des sources autres que
celles cites dans la bibliographie.
La YOUYOU
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La i
Remerciements
Je souhaiterais avant tout remercier la Haute Ecole de Gestion ainsi que les professeurs
mayant soutenue durant ces deux annes de formations.
Je tiens, tout particulirement, remercier Monsieur David Billard qui a suivi lavanc de
mon travail de Bachelor, du dbut la fin. Je le remercie pour sa disponibilit, sa
patience ainsi que ses encouragements durant ce travail. Il a su me fournir de prcieux
conseils qui mont permis de progresser tout au long du travail de Bachelor.
Enfin, jaimerais remercier mes proches, ma famille et mes amis, qui ont su me soutenir
durant la ralisation de mon mmoire.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La ii
Rsum
La croissance du nombre dappareils connects est en net progression depuis quelques
annes. En effet, quils sagissent de smartphones ou de tablettes, lappareil tactile fait
partie intgrante de notre quotidien. Cest celui que lon noublie jamais. Ds le rveil
mais galement pendant une pause, midi ou le soir, nous sommes entrs dans une
aire o la connexion est devenue indispensable. Rester connect avec le monde est
devenu une ncessit pour la grande majorit des personnes. Ce phnomne se ralise
notamment par lenvoi de messages assez rgulier.
Auparavant la vocation dun message tait assez minimale ; il sagissait dun mode de
transmission permettant dinformer la personne quelle avait reu un message vocal.
Lorientation du message a pris un tournant radical, il est devenu un des moyens de
communication le plus utilis de par sa rapidit et son cot (seul une connexion wifi suffit,
disponible gratuitement).
Et pour cause, le nombre de messages envoys est devenu impressionnant. En effet,
daprs les statistiques de planetoscope , chaque seconde, 200'000 SMS sont
envoys travers le monde.
6E+12
5E+12
4E+12
3E+12
2E+12
1E+12
0
2008 2010
(Planetoscope, 2015)
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La iii
Table des matires
Dclaration......................................................................................................... i
Remerciements ................................................................................................ ii
1. Introduction ................................................................................................ 1
2. Contexte ..................................................................................................... 2
4. Sauvegarde .............................................................................................. 10
4.1.2 Applications............................................................................................11
5.1 Manuelle.......................................................................................................16
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La iv
6.1 Structure de stockage des messages .......................................................19
8. Restauration............................................................................................. 50
10.4 Constats.......................................................................................................65
Conclusion...................................................................................................... 70
Webographie .................................................................................................. 71
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La vi
Liste des tableaux
Tableau 1 : Dictionnaire de donnes de la table Attachement .....................................21
Tableau 2 : Dictionnaire de donnes de la table Chat .................................................22
Tableau 3 : Dictionnaire de donnes de la table Chat_handle_join .............................24
Tableau 4 : Dictionnaire de donnes de la table Chat_message_join ..........................24
Tableau 5 : Dictionnaire de donnes de la table Handle ..............................................25
Tableau 6 : Dictionnaire de donnes de la table Message_attachement_join ..............25
Tableau 7 : Dictionnaire de donnes de la table Message...........................................26
Tableau 8 : Comparaison des quatre premiers octets (premier test) ...........................60
Tableau 9 : Comparaison des quatre premiers octets (second test) ............................63
Tableau 10 : Rsultats des tests effectus sur lappareil aprs suppressions..............64
Tableau 11 : Tests effectus sur lappareil non jailbreak aprs restaurations ............65
Tableau 12 : Analyse des outils tests ........................................................................67
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La vii
Figure 21 : Recherche de messages via Spotlight .......................................................35
Figure 22 : Configuration de Spotlight .........................................................................36
Figure 23 : Mcanisme dindexation de Spotlight ........................................................37
Figure 24 : Diagramme de classe de la base de donnes SMSSearchindex.sqlite 38
Figure 25 : Visualisation du fichier de sauvegarde avec SQLite Expert Personal .......41
Figure 26 : Base de donnes via iFile .........................................................................43
Figure 27 : Activation de SSH sur iPhone jailbreak....................................................44
Figure 28 : Fentre de configuration de PuTTY ...........................................................45
Figure 29 : Fentre DOS de PuTTY ............................................................................46
Figure 30 : Logiciel FileZilla .........................................................................................48
Figure 31 : Rinitialiser le contenu de lappareil ..........................................................50
Figure 32 : Processus de suppression dun message..................................................52
Figure 33 : Structure dun freeblock .............................................................................53
Figure 34 : SMS supprims pour le test de rcupration via recovered records ..........55
Figure 35 : Analyse de donnes pour base de donnes importante ............................56
Figure 36 : Aprs import du fichier sms.db dans Oxygen Forensic SQLiteViwer....56
Figure 37 : Rcupration du SMS supprim ................................................................57
Figure 38 : SMS supprim pour le test de rcupration via Blocks contening deleted
data ..........................................................................................................................58
Figure 39 : SMS sous format hexadcimal et textuel avant suppression .....................59
Figure 40 : SMS sous format hexadcimal et textuel aprs suppression .....................60
Figure 41 : Visualisation du message avant suppression ............................................61
Figure 42 : Identification des informations rcupres .................................................61
Figure 43 : iMessage sous format hexadcimal et textuel avant suppression ..............62
Figure 44 : iMessage sous format hexadcimal et textuel aprs suppression..............62
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La viii
1. Introduction
Les appareils connects tels que les smartphones ou tablettes font lobjet
dinvestigations relatives la commission dune infraction. Ces examens sont raliss
par la police judiciaire lors dune enqute.
Le message est un moyen de communication devenu primordial et efficace entre
individus. Par consquent, le Short Message Service, abrvi SMS ou encore
liMessage, service propos par Apple, permettent la police judiciaire la rsolution
denqutes.
Aprs sondage effectu sur 47 participants, nous constatons aujourdhui que la majorit
des personnes (34) pensent quun message supprim sur un appareil nest pas
dfinitivement efface de ce dernier.
35
30
25
20
15
10
0
oui non
(Sondage)
En effet, la suppression physique est une tche trop complique grer, par consquent
les messages sont effacs de manire logique.
A Genve, la grande majorit de ces appareils sont des produits Apple (iPhone, iPad ou
iTouch). Ainsi, lors de la ralisation de mon travail de Bachelor dans le cadre de ma
formation dinformaticienne de gestion, le sujet concernera le systme dexploitation
mobile iOS, donc les techniques de rcupration de messages sur un iPhone dans le
cadre dune enqute de police.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 1
2. Contexte
Les donnes sur iPhone sont stockes sur une mmoire de type flash (petite puce
lectronique). La marque la pomme utilise la mmoire flash de type NAND puisque ce
type de mmoire est rapide et cote moins cher.
La bibliothque et son code source sont open source , cest--dire quils peuvent tre
utiliss sans restriction.
Ainsi, les donnes telles que les messages ou encore les contacts sont stockes dans
des bases de donnes de type SQLite.
Espace application
Application
SQLite
Donnes
(Wikipdia, SQLite)
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 2
2.1.2 Fichier SQLite
Avant tout, il est important de dcrire la structure de la base de donnes.
La base contient un fichier principal (.db) ainsi que deux fichiers (-wal et shm) crs
automatiquement ds la cration de la base de donnes (.db).
Le format de fichier de donnes qui est utilis est de type SQLite. Cest--dire que les
donnes sont stockes dans des fichiers dont le langage est SQL.
Le fichier principal (sur la Figure 4, il sagit du fichier sms.db ) est divis en plusieurs
pages (terme donn par SQLite) de taille fixe. Ces pages sont numrotes partir
de 1 par SQLite. Chaque page a un rle, par exemple : contenir des informations sur la
structure de la base de donnes, contenir les donnes elles-mmes etc.
Les 100 premiers octets du fichier principal (dans la premire page) dfinissent et
dcrivent la base de donnes.
1 Page 1
2 Page 2
3 Page 3
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 3
Les pages que nous allons tudier dans le cadre de la rcupration de messages sont
les pages de type B-Tree, celles qui contiennent les donnes.
Les pages B-Tree peuvent tre composes de page :
Interne : contenant des pointeurs vers dautres pages internes ou autre pages de
type B-Tree
Comme nous pouvons lobserver sur Figure 5 qui est un exemple de structure dune
page de type B-Tree.
Figure 5 : Structure dune page de type B-Tree
Page racine
Pour donner un exemple concret, la table Message (que nous analyserons plus tard) de
la base de donnes sms.db est une page de type B-Tree compose dune ou
plusieurs pages.
La page racine de la table Message aura un pointeur vers un certain nombre de page(s)
feuille(s) si la table est petite. En revanche, si la table contient un grand nombre de
donnes, la page racine aura un pointeur sur une ou plusieurs pages internes qui
pointera (ont) leur tour soit sur une ou plusieurs page(s) interne(s) soit sur une page
feuille.
Le nombre de pages utilises par la table peut varier en fonction des modifications
apportes la base.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 4
Voici la structure dune cellule dune page feuille, ces cellules sont importantes car il
sagit des cellules contenant les donnes enregistres.
Taille de Identifiant de
Taille de lentte Donne 1 Donne N
la cellule lenregistrement
Taille de la cellule
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 5
2.1.3 Gestion des erreurs
Dans la version prcdant la 3.7.0 dSQLite, le moteur SQLite utilisait un mcanisme
dont le nom tait RollBack Journals lui permettant de traiter les erreurs survenant
lors de lutilisation de la base de donnes.
Ainsi, lors dune modification sur une page de la base de donnes, la page entire tait
sauvegarde avant modification dans un fichier de journal distinct.
Sur SQLite, depuis la version 3.7.0, un nouveau mcanisme appel Whrite Ahead Log,
a t introduit, dont labrviation est WAL.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 6
Afin de mieux visualiser le mcanisme, voici quelques figures.
Sur la Figure 7, nous constatons quil ny a aucune page dans le WAL. Il sagit de ltat
initial.
Page 1
Page 2
Page 3
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 7
Sur la Figure 8, la page 2 est modifie. La page 2 modifie est crite dans le WAL
(Nouvelle Page 2). Le moteur de base de donnes utilise cette nouvelle version
(modifie) et non lancienne version (qui est ignore) dans le fichier de base de donnes.
Ancienne Page 2
(ignore par le moteur de
base de donnes)
Page 3
Nouvelle Page 2
Page 1 (ignore par le moteur de
base de donnes)
Page 3
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 8
3. Message sur iOS
Tout dabord nous allons lister les diffrents types de messages que nous pouvons
retrouver sur un appareil iOS. Nous avons la possibilit denvoyer des messages via
lapplication Message inhrente lappareil iOS.
Voici la liste du type de messages que nous retrouvons :
SMS (Couleur verte)
iMessages (Couleur bleue) introduits partir de la version 5 diOS
Photo
Vido
Partitions audio
Mais nous pouvons galement envoyer des messages via des applications telles que
Whatsapp ou Viber.
Dans le cadre de ce travail, les SMS et les iMessages seront les types de messages que
nous analyserons.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 9
4. Sauvegarde
La sauvegarde est une fonctionnalit importante dans le cadre de la rcupration de
message. Il sagit dune mesure ncessaire pour viter que les donnes ne soient
corrompues, endommages ou perdues. Cette dernire permet de prvoir l'imprvisible.
En effet, tout support de stockage peut tout moment tomber en panne et une erreur
humaine peut galement subvenir tout moment (modification ou suppression par
accident).
4.1 Techniques
Il existe diffrentes mthodes de sauvegarde et il est possible de combiner ces
dernires.
4.1.1 ICloud
Sur les appareils, 5 gigas despace de stockage sont fournis gratuitement par lentreprise
lors de linscription iCloud. Il sagit dun service de cloud computing propos par
Apple.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 10
ICloud permet, non seulement, la sauvegarde automatique dachats effectus dans les
stores Apple mais galement, celle des photos, vidos, rglages, donnes des
applications, lorganisation des applications, les sonneries, la messagerie vocale visuelle
ainsi que les iMessages et SMS prsents sur lappareil.
4.1.2 Applications
Les sauvegardes peuvent galement seffectuer par le biais de logiciel tel que
MobileTrans. Il sagit dapplications de sauvegarde disponibles sur plusieurs systmes
dexploitation permettant une sauvegarde manuelle des donnes dun appareil iOS.
Ainsi, lutilisateur peut sauvegarder ses applications, contacts, messages, fichiers audio,
vidos, photos etc.
Nous avons analys les mthodes de sauvegarde pour les appareils non jailbreaks
(craqus). Mais lorsque lappareil est jailbreak, il existe des applications telles que
PKGBackup ou AptBackup permettant deffectuer une sauvegarde.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 11
4.1.3 Ordinateur
4.1.3.1 Fonctionnement de la sauvegarde
Il sagit ici de sauvegardes dites manuelles car lutilisateur doit brancher lappareil
lordinateur et effectuer la sauvegarde via le logiciel iTunes.
La sauvegarde iTunes comprend les contacts, les calendriers, les notes, lhistorique des
appels, les mmos vocaux, les achats sur les stores Apple, les photos et vidos
prsentes sur lappareil. Cette dernire comprend galement les rglages, les donnes
ainsi que lorganisation des dapplications, les sonneries ainsi que les iMessages et les
SMS.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 12
4.1.3.2 Emplacement de stockage
Lemplacement de stockage des donnes de sauvegarde dpend du systme
dexploitation. Les donnes sont stockes dans un dossier dont le nom est compos de
chiffres et de lettres comme sur la Figure 12.
Voici les emplacements pour les systmes dexploitation les plus utiliss :
MAC OS :
~/Bibliothque/Application Support/MobileSync/Backup/
Le signe ~ reprsente votre dossier de dpart.
Windows Vista, 7 et 8 :
\Utilisateurs\(nom dutilisateur)\AppData\Roaming\Apple
Computer\MobileSync\Backup\
AppData est un dossier cach, il faut donc faire afficher les fichiers, dossiers et
lecteurs cachs pour y accder.
On peut galement y accder directement en cliquant sur Dmarrer, en
saisissant %appdata% dans la barre de recherche et entrer.
Windows XP:
\Documents and Settings\(nom dutilisateur)\Application Data\Apple
Computer\MobileSync\Backup\
Pareil que pour Windows vista, 7 et 8 pour les accs directs.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 13
4.2 Suppression dune sauvegarde
Il est simple deffacer une sauvegarde effectue avec iCloud ou iTunes (ordinateur) sans
connecter lappareil.
Mac OS :
Cliquer sur iTunes Prfrences Appareils Slectionner la sauvegarde
supprimer Cliquer sur Supprimer la sauvegarde
Windows :
Cliquer sur dition Prfrences Appareils Slectionner la sauvegarde
supprimer Cliquer sur Supprimer la sauvegarde
Dans la fentre des prfrences, le nom de lappareil saffiche, ainsi que la date et lheure
auxquelles la sauvegarde a t cre.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 14
4.3 Encryption
Le logiciel iTunes permet de chiffrer la sauvegarde que ce soit pour la mthode de
sauvegarde iCloud ou ordinateur et sur nimporte quel systme dexploitation, ce qui
rend son accs plus compliqu dans le cadre dune enqute.
Dans le cas o le mot de passe est oubli, il sera difficilement possible de restaurer les
donnes de la sauvegarde.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 15
5. Suppression de messages
Il y a deux manires de supprimer des messages sur un iPhone. En effet, lutilisateur
peut supprimer manuellement un ou plusieurs messages mais galement activer loption
de suppression automatique.
5.1 Manuelle
5.1.1 Message particulier
Sur les iPhones, Apple nous offre la possibilit de supprimer un ou plusieurs messages
(SMS ou iMessages) de notre conversation (voir Figure 15). Pour cela, il faut simplement
slectionner la conversation, puis slectionner (clic long) le message supprimer, des
options apparaissent :
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 16
5.1.2 Conversation
Dans cette mthode, il suffit de slectionner la ou les conversations supprimer, puis
cliquer sur le bouton rouge supprimer .
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 17
5.2 Automatique
Comme nous lavons voqu prcdemment, il est possible de supprimer
automatiquement les messages en activant loption de suppression.
Pour cela, il faut se rendre dans les rglages, slectionner messages puis se rendre
dans la partie Historique des messages , on se retrouve sur loption garder les
messages .
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 18
6. Rcupration de messages
Avant de prsenter les diffrentes techniques possibles de rcupration de messages,
il est important danalyser la structure de la base de donnes o sont stocks les
messages. Cest ce que nous ferons dans un premier temps.
Sms.bd
Sms.db-shm
Sms.db-wal
SMSSearchindex.sqlite
SMSSearchindex.sqlite-shm
SMSSearchindex.sqlite-wal
La Figure 18 permet de visualiser les bases de donnes ainsi que les fichiers qui les
composent.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 19
6.1.1 Fichier sms.db
Sur iOS, le fichier principal contenant les messages sappelle sms.db .
La structure du fichier a volu au cours des mises jour quApple a effectu sur iOS.
En effet, auparavant il excitait dans la table Message un attribut nomm flags . Il
sagissait dun entier permettant de connaitre ltat du message (lorsque lenregistrement
tait supprim la valeur de lattribut flag tait 129).
Le fichier sms.db que nous allons tudier se base sur la version 7.1.2 diOS.
De plus, dans le cadre de ce travail, une comparaison avec la version 8.3 de la structure
du fichier sms.db a t effectue. Cette comparaison ne montre aucune diffrence.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 20
Attachement : La table comporte des informations relatives aux pices jointes envoyes
ou reues.
Is_outgoing Sil sagit dune pice jointe reue la valeur est 0. Pour
une pice jointe envoye, la valeur est 1
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 21
Chat : Cette table correspond aux conversations. Chaque conversation est unique et
comprend un ou plusieurs messages (voir table Tableau 7).
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 22
Chat_identifier Permet dobtenir ladresse mail, un identifiant ou le
numro duquel liMessage ou SMS est envoy ou reu
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 23
Chat_handle_join : Cette table est une table dassociation entre la table Chat et la table
Handle.
Chat_message_join : Cette table est une table dassociation entre la table Chat et la
table Message.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 24
Handle : Cette table fournit un identifiant unique pour chaque numro de tlphone avec
lequel une conversation est cre. Les colonnes ROWID et id sont importantes.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 25
Message : Il sagit de la table o le contenu des messages est stock. En effet, cette
table contient lensemble des messages effacs ou encore prsents sur le tlphone.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 26
Date Date du message en format entier, pour convertir la date
en format date il faut faire une requte SQL
De nombreux autres attributs sont prsents tels que : is_read, is_prepared, is_sent etc.
en fonction de ce que lon cherche rcuprer.
Voici un script SQL qui permet de traduire les valeurs de la colonne Date (qui sont
cryptes), voici le script SQL :
Excution de la requte
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 27
6.1.1.2 Triggers affects au fichier sms.db
Certains triggers ont t dfinis sur le fichier sms.db . Ces dclencheurs agissent sur
diffrentes tables de la base de donnes. De plus, le fichier sms.db est mis jour
aprs un certain nombre de suppressions de messages ou conversations.
Table Attachement :
Table Chat_hangle_join :
Table Message :
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 28
Table Chat_message_join :
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 29
Table Message_attachement_join :
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 30
6.1.1.3 Visualisation du fichier sms.db
Loutil DBeaver Entreprise gnrale permet de visualiser les tables contenues dans
le fichier 3d0d7e5fb2ce288813306e4d4636395e047a3d28, rcupr partir de la
sauvegarde iTunes.
Tlcharger loutil1
Lancer loutil
Tester la connexion
Valider
Aprs ce processus effectu, il faut faire un clic droit sur Tables , puis slectionner
View Tables .
En revanche il nest pas dit que les associations soient justes et compltes. Cest pour
cela quil faut les ajuster.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 31
Aprs analyses et corrections des associations, la base de donnes peut tre visualiser
comme sur la Figure 20.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 32
6.1.2 Autres fichiers
Sur lappareil, dans le dossier /var/mobile/Library/SMS/ , se trouve galement
dautres fichiers et dossiers. Les fichiers sms.db-shm et sms.db-wal peuvent
contenir des messages supprims. Les fichiers sms.db-shm et sms.db-wal sont
utiliss pour l'indexation ou la recherche et peuvent tre recrs dans le cas o ils
seraient supprims.
Si la base de donnes est mise jour manuellement, il est important de recrer ces
fichiers.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 33
6.1.3 Autres dossiers
6.1.3.1 Dossier Attachments et Parts
Les dossiers Attachments et Parts contiennent des sous-dossiers comportant les
pices jointes reues et envoyes depuis lappareil.
Le nom dun sous-dossier est court : il est compos soit de deux chiffres, soit dun chiffre
et une lettre soit de deux lettres.
Le nom de la pice jointe peut tre retrouv partir de la base de donnes dans la table
Attachement . En effet, lattribut Filename dfinit o se trouve le chemin daccs
la pice jointe dans la base.
Comme pice jointe nous pouvons retrouver des contacts (nomDuContact.vcf), des
photos (.jpeg, .png), ou encore des vidos (-movie).
Chaque message brouillon est contenu dans un dossier propre. Le contenu textuel
du message ainsi que des informations supplmentaires concernant ce dernier, sont
prsents dans le fichier message.plist situ dans le dossier li au brouillon.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 34
6.1.4 Spotlight
6.1.4.1 Gnralits
Spotlight est un moteur de recherche de fichiers intgr iOS. Ce dernier permet
lutilisateur de rechercher du contenu sur liPhone (messages, articles etc.) en saisissant
ce quil souhaite rechercher dans le champ appropri.
Pour accder cette fonctionnalit il suffit de faire glisser le doigt de haut en bas sur
lcran principal pour afficher le champ de recherche (voir Figure 21).
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 35
Spotlight possde un fonctionnement bien particulier, le moteur de recherche analyse le
contenu prsent sur lappareil et y recherche du texte commenant par le terme saisi
dans la barre de recherche. Spotlight ne respecte pas la casse, donc quil sagisse de
minuscule ou majuscule, les rsultats de la recherche seront identiques.
Concernant la recherche de messages, il sagit du point qui nous intresse ici, Spotlight
recherche du texte spcifique contenu dans les messages et dans le nom ou encore
dans le numro de lexpditeur.
Attention, il est possible que les rsultats naffichent aucun message. Si tel est le cas, il
faut aller dans la configuration de Spotlight sur lappareil (voir Figure 22) et vrifier si les
messages ont t slectionns (prise en compte des messages par le moteur de
recherche).
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 36
6.1.4.2 Fonctionnement interne
A chaque fois que du contenu est ajout sur lappareil (contacts, messages, etc.), quune
recherche sur Safari est effectue ou encore lors de la rception dun nouvel email,
Spotlight indexe le contenu (par exemple : lors de la rception dun message, voir Figure
23).
Ainsi, ds quune recherche est effectue via la barre de recherche Spotlight, le moteur
retrouve le contenu dsir. Par dfaut Spotlight indexe tout (par exemple : tous les mots
des mails, dans les messages via les applications inhrentes lappareil : Mail et
Message). Le moteur de recherche indexe aussi bien les iMessage que les SMS.
Spotlight utilise une base de donnes SQLite comme les autres fichiers que nous avons
analyss.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 37
6.1.4.3 Fichier SMSSearchindex.sqlite
La base de donnes Spotlight est compose du fichier principal
SMSSearchindex.sqlite et de deux autres fichiers lis (-wal et shm) comme pour la
base de donnes sms.db
var/mobile/library/spotlight/com.apple.MobileSMS/SMSSearchindex.sqlite
Z_METADATA : Cette table contient un seul enregistrement. Cette table est utilise par
un framework et possde la configuration des donnes de la base.
ZSPRECORD : Cette table contient les mtadonnes indexes. Dans cette table nous
pouvons retrouver des enregistrements supprims.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 38
6.2 Techniques de rcupration des fichiers
Avant toute chose, nous allons commencer par rcuprer les messages contenus dans
les diffrents fichiers. Bien que le format de base de donnes SQLite soit dans
lensemble similaire, les techniques de rcupration des fichiers sur un smartphone
varient en fonction de diffrents paramtres (par exemple : scurit place sur le
smartphone, appareil jailbreak, version du systme dexploitation etc.). Il faut donc
prendre en compte ces variations afin de pouvoir reconstruire les donnes effaces.
Dans le cas contraire, il suffit deffectuer une sauvegarde de lappareil. Il sagit dune des
possibilits de rcupration via le logiciel iTunes (voir Figure 11). En effet, la sauvegarde
iTunes contient le fichier dont le nom est :
3d0d7e5fb2ce288813306e4d4636395e047a3d28
Ce dernier est contenu dans le dossier de sauvegarde iTunes (voir Figure 12).
Petit rappel, selon le systme dexploitation utilis ce fichier est situ dans un rpertoire
diffrent.
Sur MAC OS :
Sur Windows :
/Users/USERNAME/AppData/Roaming/Apple Computer/MobileSync/Backup/
NOMDOSSIER
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 39
Une fois le fichier rcupr, il faut le lire. Diffrents outils sont disponibles pour rendre la
lecture de ce fichier facilement comprhensible. En effet, certains sites tels que
smsIphone , proposent de transformer le fichier de sauvegarde, non lisible, en format
PDF, csv etc. Mais il existe galement des logiciels tels que SQLite Expert Personal ,
proposant dimporter le ficher de sauvegarde afin de le rendre lisible pour lutilisateur.
Nous utiliserons cet outil lors de la rcupration de fichiers. Evidemment quel que soit
loutil de visualisation de requtes, les mmes tables seront cres, le fichier contenant
un ensemble de commandes SQL.
Comme nous lavons voqu prcdemment, SQLite Expert Personal est un outil
permettant une meilleure visualisation des donnes contenues dans le fichier de
sauvegarde. Nous allons prsent procder la visualisation des messages.
Dmarche :
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 40
Nous obtenons une hirarchie comme celle prsente sur la Figure 25, une base de
donnes avec des tables. Sur loutil, les donnes sont situes dans la colonne Data
de chaque table.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 41
6.2.1.2 Depuis un iPhone jailbreak
Afin de rcuprer le fichier sur le tlphone directement, il faut quil soit jailbreak.
Le jailbreak est un processus par lequel le systme dexploitation iOS est modifi pour
excuter du code non sign dans le but daccder des fichiers auxquels Apple ne nous
laisse pas accder nativement.
A travers ces modifications, nous pouvons installer des applications non officielles sur
liPhone par le biais de Cydia3.
Pour accder au fichier sms.db , il faut que liPhone soit jailbreak comme nous
lavons dit, deux manires dy accder sont possibles :
3 Cydia est une application non officielle pour iOS conue par Jay Ryan Freeman, en Open
Source, et donnant accs des applications non signes numriquement par Apple
(Wikipdia)
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 42
6.2.1.2.1 Par le biais dun tweak4
Le paquet iFile disponible sur le store Cydia permet laccs au fichier sms.db . Il suffit
de se rendre sur Cydia, dans rechercher, saisir iFile, installer le tweak.
4 Tweak : paquet Cydia qui apporte une modification au systme iOS (ex : thme ou
modification du systme)
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 43
6.2.1.2.2 En ligne de commande par le biais dune connexion SSH
SSH est un protocole de communication permettant daccder
physiquement liPhone. Pour accder au fichier, il faut tablir une
connexion SSH.
Phase dinstallation
Sur liPhone il faut :
Installer le tweak OpenSSH. Par le biais de lapplication Cydia, il faut aller dans
Rechercher et saisir OpenSSH
Activer SSH en slectionnant licne SSH (licne devient vert une fois activ),
voir Figure 27
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 44
Installer le tweak SBSettings : Par le biais de lapplication Cydia, il faut aller dans
Rechercher et saisir SBSettings. Aprs installation, relancer le SpringBoard.
Tlchargez et installer un client SSH sur ordinateur : PuTTY sur PC ou Fugu sur Mac
Phase de connexion
Dans cette phase il sagit dtablir la connexion entre liPhone et lordinateur.
Sur liPhone :
Sur lordinateur :
Saisir ladresse IP puis cliquer sur open afin douvrir la connexion comme sur
la Figure 28.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 45
Une fentre DOS souvre comme sur la Figure 29, saisir root comme nom de login
( login as ) et alpine comme mot de passe ( password ).
Par mesure de scurit, il faut changer le mot de passe de connexion. Pour ce faire il
faut avoir une connexion SSH tablie comme expliqu au-dessus. Une fois la connexion
tablie, saisir dans la fentre DOS de PuTTY (celle de la Figure 29) la commande
passwd , un nouveau mot de passe est demand (minimum 5 caractres). Le valider
en cliquant sur la touche entre du clavier puis confirmer le mot de passe et valider
par la touche entre du clavier.
On accde au dossier travers les commandes linux standards. Pour se dplacer utiliser
la commande cd suivie du chemin.
Copier les fichiers travers une interface en ligne de commande ntait pas toujours
vident, cest pour cela que je me suis tourne vers un autre outil avec une interface
utilisateur. Il sagit de FileZilla, qui requiert galement lutilisation du protocole SSH.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 46
6.2.1.2.3 Via un programme en utilisant une connexion SSH
Une manire plus facile de rcuprer les fichiers de liPhone est FileZilla.
Phase dinstallation
Sur liPhone il faut :
Effectuer les mmes manipulations que dans le point En ligne de commande par le
biais dune connexion SSH
Sur lordinateur il faut :
Phase de connexion
Dans cette phase il sagit dtablir la connexion entre liPhone et lordinateur afin de
pouvoir rcuprer les lments voulus.
Sur liPhone :
Sur lordinateur :
o Hte : adresse IP
o Identifiant : root
o Port : 22
Sms.db-shm
Sms.db-wal
SMSSearchindex.sqlite
SMSSearchindex.sqlite-shm
SMSSearchindex.sqlite-wal
Le logiciel FileZilla (voir Figure 30) permet de rcuprer ces diffrents fichiers prsents
sur lappareil.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 48
7. Procds disponibles sur iTunes
Le logiciel iTunes permet lutilisateur deffectuer soit une sauvegarde de lappareil (voir
prcdemment :Sauvegarde) soit une synchronisation de celui-ci. Il sagit de deux
processus bien distincts.
7.2 Synchronisation
La synchronisation iTunes est une opration permettant de rendre identiques les
contenus des lments synchroniss entre lordinateur et lappareil.
Cette opration peut se raliser en branchant lappareil lordinateur (par cble USB, de
faon manuelle) ou par le biais dune connexion Wifi (de faon automatique) via le
logiciel iTunes.
Par le biais de cette fonctionnalit, lutilisateur pourra transfrer des musiques, films,
photos etc. depuis lordinateur vers liPhone. En effet, le logiciel iTunes (disponible sur
plusieurs systmes dexploitations) nous permet deffectuer des synchronisations
slectives (nous choisissons ce que nous souhaitons synchroniser).
Il nest pas requis de disposer dun compte iCloud pour effectuer une synchronisation.
Sur le logiciel iTunes, il suffit de slectionner et synchroniser chaque mdia dont on
souhaite une synchronisation (par exemple : synchroniser la musique).
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 49
8. Restauration
La restauration sur iOS est un processus qui permet de remettre lappareil son tat
dorigine ou ltat dune sauvegarde existante. Dans le cadre de la rcupration de
messages supprims il est important danalyser les effets dun tel processus sur
lappareil.
Pour cela il faut lancer lapplication Rglages puis aller sur Gnral Rinitialiser (voir
Figure 31).
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 50
8.2 Avec reprise dune sauvegarde existante
Une restauration de lappareil partir dune sauvegarde existante est possible. Quil
sagisse dune sauvegarde iCloud ou local, le procd reste identique.
Il faut pralablement effectuer une sauvegarde (soit iCloud soit local, sur lordinateur),
puis, brancher lappareil lordinateur, lancer le logiciel iTunes et slectionner
restaurer la sauvegarde .
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 51
9. Exploitation des fichiers rcuprs
Prcdemment, nous avons rcupr des fichiers tel que le fichier sms.db , nous
avons pu le lire laide de loutil SQLite Expert Personal (voir Figure 25).
Afin dexploiter les donnes des diffrents fichiers que nous avons rcuprs, nous
allons utiliser loutil Oxygen Forensic SQLiteViwer. Il sagit de la version trial 3.0.0.3
(utilisable 30 jours).
Cet outil permet de rcuprer des enregistrements supprims et danalyser les blocks
contenant des donnes supprimes.
Ce nest quau moment o il ny aura plus despace disponible que les nouvelles donnes
seront crites la place du message supprim.
Afin de rcuprer ce message, il faut donc lire lespace dfini comme libr. Cet espace
correspond aux freeblocks
Suppression d'un
enregistrement
Espace libr
Cration d'un
freebock
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 52
9.2 Structure dun freeblock
Un freeblock est une structure utilise pour identifier l'espace non allou dans une page
de type B-Tree. Un freeblock est structur comme une chane et a besoin dau moins 4
octets despace.
Les deux premiers octets d'un freeblock sont des entiers dfinissant la position du
prochain bloc disponible (freeblock). La valeur des deux premiers octets est de 00 00 sil
sagit du dernier freeblock de la page.
Les troisime et quatrime octets sont galement des nombres entiers dfinissant la
taille en octet du freeblock.
Il arrive parfois que les freeblocks soient fragments, SQLite rorganise donc de temps
en temps la page B-Tree.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 53
10. Tests effectus
Les tests sont effectus sur le mme appareil mais avec des configurations diffrentes :
selon si liPhone est jailbreak ou non. Si lappareil nest pas jailbreak, les donnes
seront rcupres via une sauvegarde iTunes du tlphone comme vu prcdemment.
Dans le cas contraire, sur le tlphone directement grce au protocole SSH.
Un test dcrit une action que nous effectuons sur lappareil (par exemple : effacer un
SMS reu, d'une conversation).
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 54
10.1.1 Effacer un SMS envoy d'une conversation
Pour ce premier test, nous supprimons les SMS slectionns sur la Figure 34. Aprs
avoir supprim ces SMS nous allons rcuprer le fichier sms.db puis le fichier de
sauvegarde de lappareil afin de tester les deux cas (appareil jailbreak ou non).
Une fois les fichiers rcuprs, nous utiliserons un outil nous permettant de rcuprer
ces messages. Loutil que nous utiliserons nous donne la possibilit de rcuprer des
enregistrements supprims directement (dans la catgorie recovered records ) et/ou
de les rechercher via la barre de recherche.
En revanche, si on ne trouve pas les messages supprims, il est possible quils soient
contenus dans les blocks disponibles (dans la catgorie Blocks contening deleted
data )
En effet, lors des tests, jai supprim une conversation. Ne layant pas retrouv dans les
recovered records , jai recherch dans les Blocks contening deleted data qui
contenaient le dernier message de la conversation.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 55
Il arrive parfois quun enregistrement supprim se retrouve dans les deux catgories
( recovered records et Blocks contening deleted data ). Cest aussi pour ces
raisons que nous allons analyser les deux cas.
Loutil fait automatiquement lanalyse des blocks supprims, sauf sil sagit dune base
de donnes importante. Dans ce cas, il faut cliquer sur le bouton Analyse Deleted Data.
Aprs analyse des donnes supprimes, nous avons accs de nouveaux lments
tels que la visualisation des blocs contenant les donnes supprimes, ou encore des
enregistrements rcuprs.
Figure 36 : Aprs import du fichier sms.db dans Oxygen Forensic
SQLiteViwer
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 56
Pour accder aux enregistrements rcuprs il faut :
Nous allons effectuer notre analyse en recherchant un SMS envoy parmi ceux que
nous avons supprims. En revanche le processus est le mme pour les autres messages
effacs.
Tout dabord, il faut slectionner la table Message (puisquil sagit dun SMS). Puis
slectionner la colonne Table Data , puis lancer la recherche (situe en haut droite)
du SMS ou parcourir lensemble des Revovered records sans recherche).
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 57
10.1.1.2 Enregistrement rcupr via blocks contening deleted data
Ici nous allons analyser en dtail les freeblocks afin de rcuprer lenregistrement.
Le SMS slectionn (en bleu) sur la Figure 38 reprsente le message que nous allons
supprimer.
Afin de pouvoir comparer le contenu du SMS avant et aprs, nous avons utilis un outil
nous permettant de lire des donnes sous format hexadcimal, il sagit du logiciel Hex
Editor Neo , ce logiciel est sensible la casse lors de la recherche.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 58
Sur Figure 39, nous avons utilis Hex Editor Neo pour lire le SMS avant suppression.
Ce dernier est surlign en bleu. La partie centrale slectionne de la figure correspond
au SMS sous format hexadcimal et la partie slectionne droite de la figure
correspond linterprtation textuelle du SMS.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 59
Sur la Figure 40, le message correspondant est surlign en bleu (il sagit de lensemble
de la figure). La partie centrale de la figure correspond au message sous format
hexadcimal et la partie droite de la figure correspond linterprtation textuelle du
message.
Lanalyse se porte sur les quatre premiers octets du message. Nous constatons que ces
octets ont chang mais que la suite du message ne varie pas. Il sagit donc bien dun
freeblock.
85 15 04 28 0B 6C 01 98
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 60
A prsent analysons le message que nous avons rcupr. Voici le message que nous
avions (Voir Figure 41) dans la table Message.
Voici les informations rcupres aprs suppression que nous pouvons identifier (voir
Figure 42).
Lgende
Guid
Text
Service
Account
Account_guid
Date
Pour rsumer ce que nous venons danalyser. Lorsquune suppression a lieu, SQLite
rcrit les deux premiers octets en mettant comme information le prochain freeblock
disponible. Pour cet exemple, 0B 6C correspond au prochain freeblock, cette information
est en hexadcimal, il faut la traduire en dcimal pour trouver le prochain freeblock (en
dcimal cette valeur quivaut 45164).
Les deux octets suivants sont rcrits galement avec comme valeur celle de la taille du
freeblock courant. Cest pour cela que les valeurs des quatre premiers octets dun
enregistrement supprim varient.
Les manipulations sont les mmes pour les autres bases de donnes que nous avons
analyses (par exemple : la base de donnes SMSSearchindex.sqlite ).
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 61
10.1.2 Effacer un iMessage reu d'une conversation
Afin de confirmer lanalyse, il est important deffectuer un second test en supprimant un
message plus court. Cette fois, il sagit dun iMessage.
Aprs avoir effectu les manipulations des fichiers comme prcdemment expliques,
voici, sur la Figure 43, le message correspondant avant suppression.
Figure 43 : iMessage sous format hexadcimal et textuel avant suppression
: 4 premiers octets avant
Aprs avoir supprim liMessage dont le contenu tait Oui et aprs avoir effectu les
manipulations des fichiers comme prcdemment expliques, nous pouvons analyser
sur la Figure 44 que le message est bien rcupr.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 62
Lanalyse se porte sur les quatre premiers octets du message comme nous lavons dit
prcdemment. Nous constatons que ces octets ont chang mais que la suite du
message ne varie pas. Il sagit donc bien dun freeblock.
83 05 0E 28 00 00 01 88
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 63
10.1.3 Rsultats des tests aprs suppressions
Aprs avoir effectu les diffrents tests, voici les rsultats que nous obtenons.
Effacer un iMessage
3 envoy, d'une iMessage envoy, rcupr
conversation
Effacer un iMessage
4 iMessage reu, rcupr
reu, d'une conversation
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 64
10.2 Analyse des tests aprs restaurations
Ici, il sagit deffectuer des tests de restaurations de lappareil afin de vrifier, en fonction
des tests que nous effectuerons, si nous pouvons rcuprer les donnes ou si elles sont
dfinitivement supprimes.
Au pralable, nous effectuons une sauvegarde dite de base afin de pouvoir comparer
avec les diffrents tests raliss.
10.4 Constats
Premirement, il faut quil ny ait plus despace disponible dans la base de donnes
SQLite avant la rcriture des nouvelles donnes sur les freeblocks, l o se trouvent
les enregistrements supprims).
De plus, et cela est constatable, la suppression ne change pas la taille du fichier puisque
les donnes supprimes sont toujours prsentes.
Par ailleurs, il est important de comprendre que les zones non alloues (disponibles) qui
ont des valeurs autres que zro peuvent tre techniquement considres comme une
donne supprime.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 65
11. Logiciels existants de rcupration de messages
Certains logiciels proposent de rcuprer les messages prsents sur le tlphone ainsi
que ceux qui ont t supprims. Ces programmes demandent deffectuer une
sauvegarde de lappareil.
Par ailleurs, Le groupe CCL, important dans le domaine de la science lgale, propose
de nombreux logiciels6 permettant de rcuprer des informations partir dun appareil.
Malheureusement la plupart des logiciels sont payants et proposent une version dessai
qui ne suffit pas valuer la performance et la qualit du programme.
5
Loutil est disponible ladresse suivante :
http://www.istonsoft.fr/ios-recovery/recover-deleted-text-messages-from-iphone.html
6
Les logiciels sont disponibles ladresse suivante :
http://www.cclgroupltd.com/product-category/buy-softw/
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 66
13. Logiciels tests
Avant de parvenir trouver des logiciels me permettant de rcuprer, analyser ou crer
des modles, jai d installer et tester plusieurs outils diffrents.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 67
N Nom du logiciel Description Utilis
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 68
N Nom du logiciel Description Utilis
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 69
Conclusion
Les techniques de rcupration de messages sur iOS sont diverses et varies. Selon le
modle et la version du systme dexploitation de lappareil, il faudra utiliser une, voire
plusieurs mthodes afin de russir rcuprer des donnes.
Cette analyse a requis une importante rigueur afin de conserver le fil conducteur tout au
long de ce dveloppement. Beaucoup dlments tant lis, une simple modification
aurait pu me conduire sur un autre sujet comme lencryption par exemple.
Enfin, outre laspect technique, cette analyse nous ramne ncessairement des
questionnements en termes de confidentialit et de vie prive. .
Jen tire pour ma part une exprience extrmement positive et un enrichissement
personnel qui me motivent dcouvrir dautres outils et poursuivre mes tudes dans
le domaine.
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 70
Webographie
Apple - Sauvegarde iCloud [Consult le 17.03.2015]. Disponible ladresse :
https://support.apple.com/kb/PH12519?locale=en_US&viewlocale=fr_FR
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 71
iPhoneTweak Rcupration de messages [Consult le 02.04.2015]. Disponible
ladresse :
http://iphonetweak.fr/2012/11/05/tuto-comment-recuperer-des-sms-effaces-sur-son-
iphone
Magnet forensics - Investigating iOS Phone Images, File Dumps & Backups [Consult
le 14.05.2015]. Disponible ladresse
http://www.magnetforensics.com/mobile-forensics/investigating-ios-phone-images-file-
dumps-backups
Deadhardrive - Retrouver des sms effacs dans le Spotlight sur iPhone [Consult le
26.05.2015]. Disponible ladresse :
http://www.deadhardrive.com/retrouver-des-sms-effaces-dans-le-spotlight-sur-iphone/
Techniques de rcupration de messages sur iOS dans le cadre dune enqute de police
YOUYOU La 72
Wikipdia - Spotlight [Consult le 29.05.2015]. Disponible ladresse :
https://fr.wikipedia.org/wiki/Spotlight
Another Forensics Blog - Finding and Reverse Engineering Deleted SMS Messages
[Consult le 02.06.2015]. Disponible ladresse :
http://az4n6.blogspot.fr/2013/02/finding-and-reverse-engineering-deleted_1865.html