La mise à jour du NIST vers la bibliothèque de référence de logiciels facilitera les enquêtes criminelles
Les fichiers logiciels peuvent être identifiés par une sorte d’empreinte digitale électronique appelée hachage. La mise à jour de l’ensemble de données NSRL permet de séparer facilement les hachages indiquant les fichiers courants de ceux qui pourraient contenir des preuves incriminantes, ce qui facilite le travail d’enquête.
Le crédit:
N. Hanacek/NIST
Une récente mise à jour d’une base de données téléchargeable publiquement maintenue par le National Institute of Standards and Technology (NIST) facilitera le tri des ordinateurs, des téléphones portables et d’autres équipements électroniques saisis lors de descentes de police, aidant potentiellement les forces de l’ordre à attraper des prédateurs sexuels et d’autres criminels.
La base de données, appelée National Software Reference Library (NSRL), joue un rôle fréquent dans les enquêtes criminelles impliquant des fichiers électroniques, qui peuvent constituer des preuves d’actes répréhensibles. Dans la première mise à jour majeure du NSRL en deux décennies, le NIST a augmenté le nombre et le type d’enregistrements dans la base de données pour refléter la variété croissante de fichiers logiciels que les forces de l’ordre pourraient rencontrer sur un appareil. L’agence a également modifié le format des enregistrements pour rendre le NSRL plus consultable.
Il n’y a pratiquement aucun crime majeur qui n’a pas de liens avec la technologie numérique, car les criminels utilisent des téléphones portables, a déclaré Doug White, un informaticien du NIST qui aide à maintenir le NSRL. Cependant, seules certaines des données d’un téléphone ou d’un autre appareil peuvent être pertinentes pour une enquête. La mise à jour devrait permettre à la police de séparer plus facilement le bon grain de l’ivraie.
Les enquêtes criminelles et civiles impliquent fréquemment des preuves numériques sous la forme de logiciels et de fichiers provenant d’ordinateurs ou de téléphones portables saisis. Les enquêteurs ont besoin d’un moyen de filtrer les grandes quantités de données qui ne sont pas pertinentes pour l’enquête afin qu’ils puissent se concentrer sur la recherche de preuves pertinentes.
Disons que vous avez un ordinateur qui pourrait contenir des photos ou des dossiers financiers incriminants, mais il a aussi quelques jeux vidéo, a déclaré White. Les jeux sont souvent livrés avec de nombreux fichiers graphiques. Vous souhaitez mener votre enquête le plus rapidement et le plus efficacement possible, vous avez donc besoin d’un moyen de vous débarrasser de toutes les images de jeux vidéo. Ensuite, vous pouvez exécuter votre analyse plus coûteuse en calcul sur les fichiers restants.
La mise à jour intervient à un moment où les enquêteurs doivent faire face à un univers de logiciels en pleine expansion, dont la plupart produisent de nombreux fichiers stockés en mémoire. Chacun de ces fichiers peut être identifié par une sorte d’empreinte digitale électronique appelée hachage, qui est la clé du processus de filtrage. La sophistication du processus de tamisage peut varier en fonction du type d’enquête effectuée. L’ensemble de données de référence des NSRL a doublé de taille, passant d’un demi-milliard d’enregistrements de hachage en août 2019 à plus d’un milliard en mars 2022, et White dit qu’il prévoit que sa croissance rapide se poursuivra.
Seules certaines des données d’un téléphone ou d’un autre appareil peuvent être pertinentes pour une enquête. … La mise à jour devrait permettre à la police de séparer plus facilement le bon grain de l’ivraie. Doug White, informaticien du NIST
Cette croissance fait du NSRL un outil d’une importance vitale pour les laboratoires de criminalistique numérique, qui se spécialisent dans ce type d’examen de dossiers. Ce travail est devenu un élément crucial des enquêtes : il existe environ 11 000 laboratoires de criminalistique numérique aux États-Unis (contre environ 400 laboratoires criminels). Bien que les preuves numériques jouent un rôle dans de nombreux types de crimes, elles sont particulièrement utiles pour attraper les prédateurs d’enfants, qui ont souvent des images d’abus sexuels stockées dans la mémoire d’un téléphone ou d’un ordinateur.
Alors que le nombre d’entrées NSRL augmente à la fois numériquement et par type de fichier, White prévoit d’ajouter des entrées à partir d’appareils Internet des objets (IoT) tels que des haut-parleurs intelligents dans un proche avenir, la récente mise à jour de la base de données devrait aider les enquêteurs à gérer le fardeau. La précédente version 2.0, qui remonte à 20 ans, offrait ses hachages sous forme de fichiers texte de base pouvant être importés dans une feuille de calcul. La recherche dans la liste était possible mais fastidieuse par rapport aux fonctions des moteurs de recherche modernes. La mise à jour, qui est la version NSRL 3.0, utilise le format SQLite, ce qui permet aux utilisateurs de créer plus facilement des filtres personnalisés pour trier les fichiers et trouver ce dont ils ont besoin pour une enquête particulière.
Un autre avantage est que les gestionnaires de NSRL pourront distribuer les modifications futures de l’ensemble de données sous forme de mises à jour relativement petites plutôt que d’envoyer à nouveau l’ensemble de données complet, ce qui fera gagner du temps et des efforts aux utilisateurs. White a également déclaré que le NSRL continuerait d’être disponible dans son ancien format au profit des utilisateurs qui pourraient avoir besoin de temps pour s’adapter aux changements.
Nous continuerons à publier l’ensemble de données dans les formats 2.0 et 3.0 jusqu’en décembre 2022, a déclaré White. Après cela, il existe une requête relativement simple que les utilisateurs peuvent exécuter pour générer l’ensemble de données 2.0 si cela s’avère nécessaire.
L’ensemble de données et plus d’informations sur la mise à jour sont disponibles sur le site Web du NIST.