HashKeeper
HashKeeper est une application de base de données ayant pour objectif premier d'aider à la criminalistique informatique (computer forensic en anglais).
Cette application a Ă©tĂ© crĂ©Ă©e en 1996 par le National Drug Intelligence Center, une composante du DĂ©partement de la Justice des Ătats-Unis.
Présentation
HashKeeper utilise l'algorithme de signature MD5 pour Ă©tablir des identifiants numĂ©riques uniques (hash values) pour des fichiers "connus pour ĂȘtre bons" et "connus pour ĂȘtre mauvais".
L'application HashKeeper a Ă©tĂ© dĂ©veloppĂ©e pour rĂ©duire le nombre d'heures nĂ©cessaires pour examiner des disques durs saisis par la justice. Il permet Ă un analyste d'examiner un fichier une seule fois, un processus qui prend, au mieux, une trentaine de secondes, et ne plus jamais avoir Ă refaire cette analyse du mĂȘme fichier s'il se retrouve dans d'autres disques durs.
HashKeeper compare les valeurs Hash de fichiers "connus pour ĂȘtre bons" avec celles des fichiers des disques dur de l'ordinateur saisi. Quand ces valeurs sont identiques, l'analyste peut affirmer, avec une certitude statistique que ces fichiers dont dĂ©jĂ Ă©tĂ© examinĂ©s et ont Ă©tĂ© dĂ©clarĂ©s comme "connus pour ĂȘtre bons", et n'ont donc pas besoin d'ĂȘtre rĂ©examinĂ©s, Ă©pargnant ainsi une trentaine de secondes. Cela peut paraĂźtre peu, mais sur un ordinateur comportant 200 000 fichiers, si la moitiĂ© sont "connus pour ĂȘtre bons" (fichiers systĂšmes, fichiers installĂ©s par des programmes, ...), cela permet d'Ă©conomiser 100 000 x 30 secondes = 833 heures, soit 104 journĂ©es de travail (de 8 heures/jour).
Quand les valeurs Hash des fichiers de l'ordinateur saisi correspondent Ă celles de fichiers "connus pour ĂȘtre mauvais", l'analyste peut affirmer, encore avec une certitude statistique, que ces fichiers sont mauvais et nĂ©cessitent donc une analyse plus poussĂ©e. De plus, l'analyste sait qu'au moins une autre agence dans le monde a Ă©tĂ© en contact avec les mĂȘmes fichiers. Ceci peut indiquer la prĂ©sence d'un rĂ©seau de personnes partageant ces fichiers "connus pour ĂȘtre mauvais".
Ces données fournies par HashKeeper sont utilisées par des programmes d'investigation numérique légale tel qu'EnCase.
Il existe une autre source de données pour les signatures numériques de fichiers. Il s'agit de la National Software Reference Library.
Disponibilité
HashKeeper est disponible gratuitement pour les forces de l'ordre, les militaires et d'autres agences gouvernementales à travers le monde. Il est disponible pour le public aux USA en envoyant une demande de "Freedom of Information Act" au National Drug Intelligence Center américain (NDIC).