Méthodologie

Étape 0: Identification

Avant de commencer une investigation, il est intéressant pour l'analyste de procéder à une étape préliminaire d'identification de l'appareil afin de déterminer sa marque (Apple, Samsung, Google...) son modèle (Galaxy S, Note, Pixel...) son type (Smartphone, Tablette...) car les procédés d'investigation et spécificités de chaque appareil influencent grandement l'approche méthodologique (double SIM, Téléphone a usage unique, hardware de sécurité...)

Étape 1: Préservation

Cette étape consiste à isoler l'appareil afin de le garder dans son état à un moment T tout en empêchant des communications vers l’extérieur via une connexion internet, un réseau cellulaire etc.

Étape 2: Acquisition

L'étape d'acquisition est l'étape d'extraction des données de l'appareil, elle consiste à récupérer les informations utiles stockées sur l'appareil qui serons utilisées lors de l'étape d'analyse.

Étape 3: Analyse

L'étape d'analyse consiste à examiner les les données extraites lors de la phase précédente afin d'identifier des preuves et indicateurs de compromission. Pour cela, on tente de reconstruire les événements en se basant sur des artefacts qui ont pu être récupérés dépendamment de la méthode d'extraction utilisée.

Étape 4: Documentation

L'étape de documentation et de reporting est la phase durant laquelle toutes les preuves et artefacts sont liés pour reconstruire une attaque/une compromission/un scénario sous forme d'un rapport retraçant chaque action avec des détails techniques, une timeline précise basée sur des timestamp, des éléments de preuve concrets etc.