Aller au contenu

HashKeeper

Un article de Wikipédia, l'encyclopédie libre.

HashKeeper est une application de base de données ayant pour objectif premier d'aider à la criminalistique informatique (computer forensic en anglais).

Cette application a été créée en 1996 par le National Drug Intelligence Center, une composante du département de la Justice des États-Unis.

Présentation

[modifier | modifier le code]

HashKeeper utilise l'algorithme de signature MD5 pour établir des identifiants numériques uniques (hash values) pour des fichiers "connus pour être bons" et "connus pour être mauvais".

L'application HashKeeper a été développée pour réduire le nombre d'heures nécessaires pour examiner des disques durs saisis par la justice. Il permet à un analyste d'examiner un fichier une seule fois, un processus qui prend, au mieux, une trentaine de secondes, et ne plus jamais avoir à refaire cette analyse du même fichier s'il se retrouve dans d'autres disques durs.

HashKeeper compare les valeurs Hash de fichiers "connus pour être bons" avec celles des fichiers des disques dur de l'ordinateur saisi. Quand ces valeurs sont identiques, l'analyste peut affirmer, avec une certitude statistique que ces fichiers dont déjà été examinés et ont été déclarés comme "connus pour être bons", et n'ont donc pas besoin d'être réexaminés, épargnant ainsi une trentaine de secondes. Cela peut paraître peu, mais sur un ordinateur comportant 200 000 fichiers, si la moitié sont "connus pour être bons" (fichiers systèmes, fichiers installés par des programmes, ...), cela permet d'économiser 100 000 x 30 secondes = 833 heures, soit 104 journées de travail (de 8 heures/jour).

Quand les valeurs Hash des fichiers de l'ordinateur saisi correspondent à celles de fichiers "connus pour être mauvais", l'analyste peut affirmer, encore avec une certitude statistique, que ces fichiers sont mauvais et nécessitent donc une analyse plus poussée. De plus, l'analyste sait qu'au moins une autre agence dans le monde a été en contact avec les mêmes fichiers. Ceci peut indiquer la présence d'un réseau de personnes partageant ces fichiers "connus pour être mauvais".

Ces données fournies par HashKeeper sont utilisées par des programmes d'investigation numérique légale tel qu'EnCase.

Il existe une autre source de données pour les signatures numériques de fichiers. Il s'agit de la National Software Reference Library.

Disponibilité

[modifier | modifier le code]

HashKeeper est disponible gratuitement pour les forces de l'ordre, les militaires et d'autres agences gouvernementales à travers le monde. Il est disponible pour le public aux USA en envoyant une demande de "Freedom of Information Act" au National Drug Intelligence Center américain (NDIC).