Spécialiste en criminalistique numérique
Grayshift
Matthew Fullerton est un spécialiste de la criminalistique numérique chez Grayshift et un expert en matière de criminalistique des appareils mobiles. Avant de rejoindre Grayshift, Matthew a travaillé dans les forces de l’ordre pendant 13 ans et demi en tant qu’officier de police et détective. Plus récemment, Matthew a pris sa retraite d’un service de police de banlieue dans la zone métropolitaine de Denver, où il était inspecteur de police et examinateur en criminalistique numérique. Matthew possède plusieurs certifications et est un témoin expert qualifié par les tribunaux en matière de criminalistique numérique.
In this post, Fullerton opens up about his previous life as a Police Detective, the difference data extraction tools make when working cases, and the sense of humor he brings everywhere he goes.
C’est évident que vous êtes un #nerdcop. Quel est votre type de technologie préféré que vous aimez utiliser au quotidien ?
Avec l’évolution constante de l’internet des objets (IoT), j’aime trouver des moyens de rendre ma vie plus facile et plus efficace. J’ai beaucoup d’objets intelligents dans ma maison : ampoules intelligentes, caméras, etc. – qui sont connectés à mon petit écosystème. J’aime avoir une connectivité totale et la possibilité de vérifier les choses au fur et à mesure qu’elles se produisent. J’aime aussi trouver des moyens de rendre les tâches banales sans cerveau.
Par exemple, j’oubliais toujours d’éteindre les lumières extérieures le matin, alors inévitablement, elles restaient allumées toute la journée. Maintenant, j’ai un écosystème d’ampoules intelligentes que je peux programmer, depuis les heures d’allumage et d’extinction jusqu’aux couleurs variées pour les différentes fêtes et fonctions. J’ai aussi un système d’arrosage intelligent pour mes arroseurs de pelouse, qui utilise les données météorologiques pour aider à planifier et à modifier le moment et la fréquence en fonction des conditions. Ces petites choses garantissent que ces tâches banales sont prises en charge et effectuées plus efficacement, ce qui permet d’économiser quelques dollars sur les factures de services publics. Bien sûr, ce qui est le plus cool pour moi, c’est que je peux vérifier et contrôler tout cela avec mon smartphone, où que je sois dans le monde.
When you were a digital forensic investigator, what types of cases did you typically encounter?
Tout, des crimes contre la propriété aux homicides. Au cours de ma carrière, j’ai travaillé pour deux (2) services de police différents, situés dans des endroits différents et desservant des populations différentes. Cela m’a exposé à toutes sortes de crimes et à différentes méthodes d’enquête. Au fur et à mesure que j’ai acquis de l’expérience, j’ai appris que presque tous les crimes pouvaient contenir des preuves numériques, et j’ai donc essayé de les appliquer de toutes les manières possibles. Pour chaque succès, il y a au moins un échec. En gardant cela à l’esprit, il y a eu des cas où j’ai essayé de tirer parti des preuves électroniques, et cela n’a pas fonctionné, mais en bon enquêteur, j’ai appris comment et pourquoi cela n’a pas fonctionné et j’ai fait en sorte de mieux le faire la prochaine fois.
Y a-t-il un exemple d’une affaire sur laquelle vous avez enquêté avec GrayKey? Pouvez-vous nous dire comment GrayKey aurait pu vous aider ?
Si quelqu’un qui lit ceci a assisté à mon cours sur l’exploitation du trousseau de clés et de la liste de mots de passe, il a entendu cette histoire. J’ai travaillé sur une affaire avant que GrayKey ne soit disponible, qui impliquait une allégation de harcèlement. La victime travaillait dans une banque et soupçonnait que le comportement était le fait d’un client particulier, mais n’avait pas de preuve. Néanmoins, le comportement était préoccupant et commençait apparemment à s’intensifier. En particulier, le suspect modifiait la voiture de la victime de diverses manières, j’ai donc pensé que l’identification de l’auteur était un bon point de départ. Une télésurveillance a confirmé que la personne que la victime soupçonnait était probablement le coupable. Avance rapide jusqu’au moment où j’ai interrogé le suspect et saisi son téléphone ; je pensais que ce serait la preuve dont j’avais besoin pour prouver que cette personne avait commis tous les actes de harcèlement et que j’aurais un dossier solide à présenter au tribunal. J’ai rédigé un mandat de perquisition pour le téléphone, et une fois approuvé, j’ai utilisé les outils disponibles pour obtenir l’extraction des données. À l’époque, la seule option disponible était une extraction « logique avancée » – essentiellement une sauvegarde iTunes. L’extraction des données a réussi, et j’ai commencé à les analyser dans un outil d’extraction dès qu’elle s’est terminée. Une fois que j’ai lancé le processus, on m’a demandé de saisir le « mot de passe de cryptage de sauvegarde ». Je ne connaissais pas ce mot de passe, donc l’extraction de données était effectivement inutile.
La Cour suprême de l’État ayant déjà statué que les forces de l’ordre ne pouvaient pas contraindre une personne à fournir un tel mot de passe, même en cas de procédure judiciaire, j’ai recherché différents moyens de l’obtenir. J’ai appris que je pouvais trouver le mot de passe d’un ordinateur grâce à une PLIST – un fichier texte spécial qui contient des données au format Property List. Donc, étant un détective diligent, j’ai obtenu un mandat de perquisition pour l’ordinateur du suspect. Après avoir analysé l’ordinateur, la PLIST que je cherchais avait disparu et était irrécupérable. Sans cette preuve numérique, je ne pouvais pas construire un dossier assez solide pour inculper le suspect.
Sachant ce que je sais maintenant, je souhaite désespérément que j’avais GrayKey à l’époque et cette affaire n’aurait pas été classée si j’avais pu utiliser GrayKey. Malheureusement, le délai de prescription a expiré depuis longtemps, donc cette connaissance ne me sert à rien. En plus, je ne suis plus un flic !
Note de l’éditeur : Les cours vidéo de Fullerton sont disponibles sur le Coin des enquêteurs (des identifiants de connexion sont nécessaires pour accéder à ces vidéos).
Quelle est la chose que vous aimeriez que les gens comprennent à propos de ce travail ?
C’est fastidieux et cela prend du temps. L’effet CSI était réel, surtout au début de la criminalistique numérique. Les gens auraient des attentes irréalistes quant aux types de données que nous pourrions trouver et à la rapidité avec laquelle nous pourrions les trouver. Cela s’est vérifié dans tous les aspects de la preuve électronique. Par exemple, j’ai travaillé une fois sur un cambriolage de bijouterie de grande valeur, au cours duquel nous avons obtenu plusieurs types de vidéosurveillance. Certaines étaient de bonne qualité, d’autres auraient été meilleures sous forme de cassette VHS.
Malgré cela, j’ai pu localiser un véhicule suspect, mais nous n’avons pas pu voir les caractéristiques d’identification, et encore moins une plaque d’immatriculation. Un de mes supérieurs m’a dit quelque chose du genre : « Alors, fais ce truc d’intello ! Mettez-le en valeur ! On a besoin d’une assiette. » En réponse, je leur ai donné une réponse peu satisfaisante, qui n’était pas ce qu’ils voulaient entendre. J’ai alors réalisé que je devais définir les attentes : identifier et informer sur les capacités disponibles et celles qui ne le sont pas. Cela a permis d’aller de l’avant beaucoup plus facilement, car les gens avaient des attentes et une compréhension plus claires.
Quel a été le crime le plus difficile que vous ayez résolu avec GrayKey?
Je n’avais pas de GrayKey lorsque j’étais inspecteur en service actif.
Quels sont les défis auxquels vous avez été régulièrement confronté en tant qu’expert en criminalistique mobile ?
Voir les réponses aux questions trois et quatre.
Quels conseils donneriez-vous aux nouveaux spécialistes de la criminalistique numérique pour les aider à surmonter des défis similaires ?
N’ayez pas peur de vous planter. La plupart des gens apprennent mieux en faisant. Trouvez un vieil appareil – achetez-en un bon marché en ligne s’il le faut – et faites des essais ! Essayez différentes méthodes pour extraire des données, démontez-le et voyez comment il fonctionne ; essayez de le casser pour apprendre comment ne pas casser un dispositif de preuve. Lorsque les ampoules intelligentes sont apparues, j’avais entendu dire qu’elles pouvaient collecter passivement les IMEI des appareils à portée, mais pour recueillir les données, il fallait démonter l’ampoule, ce qui la rendait inutilisable. Je pensais que ça pourrait être utile dans une affaire de cambriolage ou autre. Alors, naturellement, j’ai acheté un pack de six ampoules intelligentes et je les ai cachées dans toute la maison. Après quelques mois de « tests », j’ai tenté d’obtenir des données de leur part. Je suis passé par quatre ampoules avant de comprendre exactement comment les démonter pour obtenir la petite puce à l’intérieur. Ensuite, j’ai dû trouver comment obtenir les données. Au final, je n’ai obtenu que des données partielles d’une des puces, mais ça a marché ! Tout cela pour dire qu’il ne faut pas avoir peur d’échouer, car cela peut toujours mener au succès.
Que savez-vous maintenant que vous auriez aimé savoir quand vous avez commencé ?
Tant de choses ! Sur le plan technique, j’aurais aimé savoir comment exploiter certaines de ces données comme je le fais maintenant. J’ai l’impression d’avoir manqué certaines choses au fil des ans qui auraient pu faire la différence.
Quel est le secret d’un de vos coéquipiers que la plupart des gens ignorent mais devraient connaître ?
Si vous avez vu le film The Hangover, vous connaissez la scène du serment de sang. J’ai participé à une cérémonie similaire au siège de Grayshift, donc je suis tenu au secret. Indice : le nom du meneur rime avec Schmosh Schmarder.
Quel super pouvoir apportez-vous à Grayshift?
Je ne prends pas la vie trop au sérieux, j’essaie de m’amuser, d’être humble et je suis toujours prête à apprendre quelque chose de nouveau. Pour ceux d’entre vous qui m’ont rencontré en personne, vous savez aussi que je suis incroyablement grand et outrageusement drôle. Bien que je ne sois pas si grand que ça, un journal de l’université m’a un jour qualifié de « géant local », ce qui n’est pas rien.
Fullerton’s digital forensics knowledge and personality shine anywhere he goes. If you’re interested in learning more about the technical capabilities of GrayKey, he has a host of how-to videos and on-demand webinars available in the Investigators Corner (IC). You can access the Investigators Corner here using your login credentials or contact us to request access.
D’autres articles pourraient vous intéresser :
- Du laboratoire : DFS Josh Carder sur GrayKey et les règles du Fight Club
- Accès complet aux spécialistes en criminalistique numérique de Grayshift : Josh Carder et Matt Fullerton
- Guide des enquêteurs pour la préservation des preuves numériques
- Comprendre GrayKey pour le personnel de commandement
© 2023. Grayshift, LLC. Tous droits réservés. Propriétaire et confidentiel.
