COFEE (Computer Online Forensic Evidence Extractor) est un petit logiciel de récupération de preuve numérique. Jusque là réserve aux services de police et agences gouvernementales, une fuite s'est produit et le binaire est en liberté sur la toile.
"Je m'appelle COFEE, comme le café sauf que ça ne s'écrit pas pareil". La ligne verte, grand film, ... et en parlant de film, c'est un scénario quasi hollywoodien que cette histoire de logiciel secret.
Je vous présente COFEE, l'extracteur législatif en ligne de preuve sur ordinateur. Bon c'est certain qu'en anglais, son nom a un peu plus la classe. Là c'est comme vouloir traduire James Bond en Jean Bon...hum...
COFEE pèse à peine quelques MegaOctet, et pourtant il est la source de bien des convoitises.
Tout d'abord, c'est un outils que Microsoft propose aux agences gouvernementales et services de polices. Installé sur une simple clé USB, il suffit de la brancher sur un ordinateur pour que COFEE plante sa graine et scanne l'ordinateur à la recherche de preuves. Pour un humain expert, cette tâche peut durer dans les 3-4 heures, pour COFEE 20 minutes suffisent.
Une fois branchée, la clé lance un petit runner.exe qui exécute 150 commandes. Déchiffrement de mot de passe, activité internet, analyse des données du disque durs, rien ne lui échappe...de quoi donner des sueurs froides aux défenseurs de la vie privée.
La puissance de la bête obligeait Microsoft à une extrême prudence dans la diffusion de son bébé. Pour vous donner un ordre d'idée, Interpol n'a eu le droit à sa clé qu'en avril 2009.
Mais le 6 novembre, la perle rare a du tomber entre de mauvaises mains. Sur les sites de partages de fichiers, les communauté de hackers ou sur le réseau Torrent, il circule, il circule le petit grain. Une fois la main dessus, pas besoin d'être un génie pour s'en servir, puisque le logiciel est livré avec son manuel d'utilisateur, les études de validations de l'outils, ...
Le manuel explique comment installé COFEE sur une clé. L'utilisateur n'a alors plus qu'à la brancher sur le PC à analyser. Se lancera alors l'invite de commande, qui réalisera les différentes actions de déchiffrement, d'analyse, d'extraction, ...
Une fois la collecte de preuves terminées, l'enquêteur n'a plus qu'à récupérer sa clé USB, la brancher sur son PC, et lire le fichier (au format XML) récapitulant toutes les informations grappillées.
Imaginez donc la puissance dévastatrice de ce logiciel entre les mains d'un "bad guys"! Cyber-café, travail, réparateur, tout ordi avec un port USB et tournant sous Windows XP ou inférieur crachera ses secrets sans aucune torture.
Imaginez un programmeur génialement méchant qui réutiliserait les méthodes de COFEE afin de créer un malware qui enverrait vos infos sur un serveur hébergé dans je ne sais quel paradis numérique!
Imaginez un bidouilleur qui arriverait à contrer COFEE, à rendre n'importe quel système Windows imperméable à l'extracteur. On peut légitimement critiquer cet outils, mais il ne faut pas oublier qu'il a permis d'arrêter des pervers.
Comme l'a si bien dit Graham Cluley, consultant chez Sophos : "Le Génie est sorti de sa boite".