Depuis Vista, le dossier Documents and Settings n'est présent que pour assurer la compatibilité avec XP et les autres versions Windows antérieures à Vista. Il n'est qu'un raccourci vide. Le véritable dossier est Users (Utilisateurs).
Il en est de même avec Application Data (Données des "applications" ou" programmes") qui est remplacé par AppData.
Ces dossiers principaux et essentiels sont enfin, dans les éditions françaises, normalisés, c'est à dire sans caractères accentués ni espacements et 8 caractères maximum.
Complément d'information au sujet des noms de fichiers : sensibilité à la "casse"
Le vocable anglais "roaming", assez proche de "rom, romanichel, romani", signifie donc "vagabondage, errance". Ces données sont dites "volatiles" car elles transitent du clavier , de la souris, des logiciels, du système d'exploitation vers le disque dur en lecture et écriture, par la RAM (Random-Access Memory) ou "mémoire vive" de la machine ; elles sont "effacées" par arrêt total de la machine mais présentent, évidemment un risque de sécurité important comparable au risque que représente la transition des données dans l'espace internet entre 2 ou plusieurs machines en réseaux.
Une attaque "virale" sous Windows ne se manifestera donc pas nécessairemnt immédiatement car un certain nombre de ces données "volatiles" ne sont écrites dans la base de registre (HKEY_CURRENT_USER\Volatile Environment) que si la machine redémarre. Cette opération est réalisée par l'intermédiaire d'informations qui sont stockées dans une "extension" de la mémoire RAM, un fichier caché de Windows, pagefile.sys, qui est installé à la racine du disque C. Ce fichier n'est pas automatiquement effacé lors de l'extinction de la machine.La "volatilité" est donc toute relative et le répertoire Roaming associé aux informations contenues dans pagefile.sys peut donc faire office de "pépinière à virus".
Il est possible de configurer manuellement pagefile.sys (qui, d'une certaine façon correspond à la partiton swap de GNU/linux) en modifiant ou en créant si elle n'existe, la valeur REG_DWORD "ClearPageFileAtShutdown" de la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management.
Ceci aura un double effet : l'un, avantageux, videra donc pagefile.sys, l'autre, éventuellement contraignant pour les gens qui calculent combien représente, en heure de travail, les quelques secondes supplémentaires qui seront alors nécessaires à Windows pour démarrer un parc composé de plusieurs dizaine de machines ; calcul bien compliqué puisqu'il doit être compensé par les économies en maintenance et ionterventions de nettouage de malwares... le tout ne présentant, apparemment, aucun problème aux enquêteurs des diverses polices spécialisées dans la récupération de diverses preuves numériques.
L'évolution du forensics traditionnel
Sébastien Bourdon-Richard, ing. jr., analyste en criminalité technologique
Que faire face à un rootkit résidant en mémoire seulement? Comment récupérer les preuves numériques volatiles sur un système compromis? Les procédures d'acquisition et d'analyse réalisées dans le cadre d'une investigation numérique sont souvent orientées « disque dur » et tiennent rarement compte des données volatiles d'un système opérationnel. Ces données contemporaines peuvent être indispensables pour certaines enquêtes, car elles permettent d'outrepasser les limitations rencontrées lors d'une investigation post mortem: contenu de la mémoire vive, présence de chiffrement (encryption), fichiers non sauvegardés, clavardage sans journal (log), connexions TCP actives,... Les concepts, procédures et outils utilisés pour la collecte et l'analyse des données volatiles seront présentés afin de préparer les cyberenquêteurs aux défis qu'ils auront à relever lors de leurs prochaines perquisitions numériques.
Sources : Résumé des conférences du 5e Colloque sur la cybercriminalité, mai 2009
Sauvegarder les favoris de Internet Explorer
Formation Ubuntu/Windows, développement et administration de sites
déclaration à la CNIL : n° 1397076
Photographies, logo, illustrations : Pierre BELLENEY
