Analyse de Données Chiffrées

Récupération et analyse de données chiffrées dans le cadre d'investigations judiciaires ou de réponse à incident. BitLocker, VeraCrypt, FileVault, volumes TrueCrypt et chiffrements propriétaires.

Demander une consultation Voir la méthodologie

Récupération de Clés depuis RAM

Extraction des clés de déchiffrement depuis des images mémoire (dump RAM) ou fichiers d'hibernation Windows/Linux. Techniques de cold boot attack pour récupération depuis le matériel.

Cassage de Mots de Passe

Attaque par dictionnaire, règles personnalisées et force brute avec Hashcat et John the Ripper sur GPU cluster. Récupération de mots de passe pour BitLocker, VeraCrypt, archives ZIP/7z, documents Office.

PKI & Certificats Forensics

Analyse de l'infrastructure PKI, extraction des certificats et clés privées depuis les keystores, analyse des S/MIME, PGP et chiffrements email. Coopération avec autorités judiciaires et réquisitions.

Solutions de Chiffrement Analysées

Chiffrement Disque & Volume

► BitLocker (Windows) : récupération clé depuis AD/hibernation
► VeraCrypt / TrueCrypt : analyse des headers chiffrés
► FileVault 2 (macOS) : récupération depuis Apple T2/Secure Enclave
► LUKS (Linux) : clés dans keyring ou fichiers de swap
► Volumes EFS (Encrypting File System Windows)
► Chiffrement hardware (SED/OPAL, Samsung, Seagate)

Chiffrement Fichiers & Communications

► Archives chiffrées : ZIP, 7-Zip, RAR avec AES-256
► Documents Office : Word/Excel/PowerPoint chiffrés
► PDF chiffrés et protégés par mot de passe
► Email S/MIME et PGP : extraction clés depuis keystore
► Messageries chiffrées : Signal, WhatsApp (backup)
► Chiffrements propriétaires ransomware (analyse clés)

Notre Méthodologie

Identification du Chiffrement

Identification du système de chiffrement utilisé (analyse des headers, magic bytes, métadonnées), de la version et des algorithmes (AES-128/256, ChaCha20, RSA, etc.).

Acquisition des Sources de Clés

Collecte de toutes les sources potentielles de clés : image RAM, fichier de swap/hibernation, fichiers de configuration, Active Directory (BitLocker Recovery Key), TPM forensics.

Tentative de Déchiffrement

Application des clés récupérées, attaque par dictionnaire et règles Hashcat avec GPU cluster, analyse des implémentations cryptographiques défectueuses (IV fixe, RNG faible).

Analyse Post-Déchiffrement

Analyse forensique des données récupérées, reconstruction de l'arborescence, extraction des artefacts pertinents pour l'investigation judiciaire ou la réponse à incident.

Coopération Judiciaire

Réponse aux réquisitions judiciaires (articles 60-77-1 CPP), coopération avec la BRNC, OCLCTIC, Europol. Rédaction de procès-verbaux d'expertise conformes au droit pénal français.

Rapport Judiciaire

Rapport d'expertise technique avec chaîne de custody, méthodologie détaillée, résultats certifiés, conclusion forensique et déclaration sous serment si requis par la juridiction.

Outils & Standards

Outils Cryptanalytiques

Hashcat John the Ripper Volatility (key extraction) EFDD (Elcomsoft) Passware Kit Forensic Encase Forensic FTK (Access Data) BitCracker

Cadre Légal & Standards

ISO/IEC 27037 (Digital Evidence) Code de procédure pénale NIST SP 800-86 Réquisitions judiciaires Art. 60/77-1 CPP

Questions Fréquentes

Oui, dans deux cadres légaux. Premièrement, sur vos propres données ou celles de votre organisation avec autorisation (dirigeant, propriétaire). Deuxièmement, sur réquisition judiciaire dans le cadre d'une enquête pénale. En France, l'article 230-1 du Code de procédure pénale autorise les autorités à requérir toute personne qualifiée pour accéder aux données protégées. Nous n'intervenons que dans ces cadres légaux strictement définis et demandons systématiquement une autorisation écrite.

Plusieurs approches existent sans la clé de récupération. La clé VMK (Volume Master Key) peut être extraite depuis un dump de la mémoire RAM du système en cours d'exécution (Volatility, EFDD). Elle peut également être présente dans le fichier d'hibernation (hiberfil.sys) ou le pagefile. En dernier recours, si un TPM est utilisé sans PIN/clé de démarrage, la clé peut être accessible via le bus SPI sur les TPM physiques (attaque matérielle). Nous évaluons gratuitement les options disponibles avant de commencer.

La durée dépend de la méthode applicable. Si la clé est récupérable depuis la mémoire ou Active Directory : quelques heures. Si une attaque par dictionnaire est nécessaire : 1 à 7 jours selon la complexité estimée du mot de passe et notre infrastructure GPU. Si seule une attaque par force brute est possible sur un mot de passe fort (8+ caractères complexes) : cela peut être techniquement infaisable en temps raisonnable. Nous établissons une estimation honnête avant de commencer.

Des données chiffrées à analyser ?

Nos experts en cryptanalyse forensique évaluent gratuitement la faisabilité technique avant de s'engager sur une mission.

Planifier un appel →