COFEE (Computer Online Forensic Evidence Extractor) est un petit logiciel de récupération de preuve numérique. Jusque là réserve aux services de police et agences gouvernementales, une fuite s'est produit et le binaire est en liberté sur la toile.
"Je m'appelle COFEE, comme le café sauf que ça ne s'écrit pas pareil". La ligne verte, grand film, ... et en parlant de film, c'est un scénario quasi hollywoodien que cette histoire de logiciel secret.
Je vous présente COFEE, l'extracteur législatif en ligne de preuve sur ordinateur. Bon c'est certain qu'en anglais, son nom a un peu plus la classe. Là c'est comme vouloir traduire James Bond en Jean Bon...hum...
COFEE pèse à peine quelques MegaOctet, et pourtant il est la source de bien des convoitises.
Tout d'abord, c'est un outils que Microsoft propose aux agences gouvernementales et services de polices. Installé sur une simple clé USB, il suffit de la brancher sur un ordinateur pour que COFEE plante sa graine et scanne l'ordinateur à la recherche de preuves. Pour un humain expert, cette tâche peut durer dans les 3-4 heures, pour COFEE 20 minutes suffisent.
Une fois branchée, la clé lance un petit runner.exe qui exécute 150 commandes. Déchiffrement de mot de passe, activité internet, analyse des données du disque durs, rien ne lui échappe...de quoi donner des sueurs froides aux défenseurs de la vie privée.
La puissance de la bête obligeait Microsoft à une extrême prudence dans la diffusion de son bébé. Pour vous donner un ordre d'idée, Interpol n'a eu le droit à sa clé qu'en avril 2009.
Mais le 6 novembre, la perle rare a du tomber entre de mauvaises mains. Sur les sites de partages de fichiers, les communauté de hackers ou sur le réseau Torrent, il circule, il circule le petit grain. Une fois la main dessus, pas besoin d'être un génie pour s'en servir, puisque le logiciel est livré avec son manuel d'utilisateur, les études de validations de l'outils, ...
Le manuel explique comment installé COFEE sur une clé. L'utilisateur n'a alors plus qu'à la brancher sur le PC à analyser. Se lancera alors l'invite de commande, qui réalisera les différentes actions de déchiffrement, d'analyse, d'extraction, ...
Une fois la collecte de preuves terminées, l'enquêteur n'a plus qu'à récupérer sa clé USB, la brancher sur son PC, et lire le fichier (au format XML) récapitulant toutes les informations grappillées.
Imaginez donc la puissance dévastatrice de ce logiciel entre les mains d'un "bad guys"! Cyber-café, travail, réparateur, tout ordi avec un port USB et tournant sous Windows XP ou inférieur crachera ses secrets sans aucune torture.
Imaginez un programmeur génialement méchant qui réutiliserait les méthodes de COFEE afin de créer un malware qui enverrait vos infos sur un serveur hébergé dans je ne sais quel paradis numérique!
Imaginez un bidouilleur qui arriverait à contrer COFEE, à rendre n'importe quel système Windows imperméable à l'extracteur. On peut légitimement critiquer cet outils, mais il ne faut pas oublier qu'il a permis d'arrêter des pervers.
Comme l'a si bien dit Graham Cluley, consultant chez Sophos : "Le Génie est sorti de sa boite".
Article protégé par 
COFEE (Computer Online Forensic Evidence Extractor) est un petit logiciel de récupération de preuve numérique. Jusque là réserve aux services de police et agences gouvernementales, une fuite s'est produit et le binaire est en liberté sur la toile.
Dans la série "théorie du complot", ça peut-être aussi une manœuvre de microsoft (envoyer sur P2P un fichier est si simple) pour faire migrer les récalcitrant et allergiques à vista/7... non ?
Peut-être, mais se serait aller contre les intérêts de ses (très gros) clients : CIA, Interpol, Police de Hong Kong, ... Mais la théroie est intéressante :D
Je viens d'essayer sur un XP, ça fonctionne bien pour toutes les commandes. Pour mon 7 ça marche pour 75% des commandes
Je me suis pas mal intéressé à ce logiciel ces derniers jours. J'ai deux théories :
- Soit on fait quand même beaucoup de bruit pour un logiciel qui ne fait finalement pas grand chose. Il récupère certes pas mal d'informations mais rien de vraiment sensible à mon goût.
- Soit Microsoft à noyé les réseaux de téléchargements avec une version allégée et bien moins dangereuse. Ce qui ne m'étonnerai pas : c'est certainement la meilleur technique pour diminuer un peu la propagation du logiciel. Et certaines sections du rapport restent étrangement vides.
Salut,
je ne sais pas quand tu as téléchargé ta version, mais il faut savoir qu'un tel logiciel attise l'imagination des bidouilleurs en tout genre.
Ainsi les versions qui circulent actuellement (et ce depuis une bonne semaine) sont soit modifié (partie 1 de ta théorie) soit infecté par un malware.
De plus MS a "laché ses chiens" à la recherche du petit grain de café, comme le titre The Registry (http://www.theregister.co.uk/2009/11/24/ms_forensic_tool_take_down/)
bsr je souhaiterais savoir coment faire pour lobtenir ce software svp c interessant
jattends votre reponse
merci de votre gentillesse
Comme dit au dessus, Microsoft fait tout pour enrayer la diffusion de son logiciel (cf http://www.numerama.com/magazine/14587-microsoft-veut-enrayer-la-diffusion-de-son-logiciel-cofee-dedie-a-interpol.html). Mais tu peux essayer le warez ou le torrent, avec de forts risques de tomber sur des versions vérolées...
Bonne chasse
bonjour pourriez vous maidez a avoir ce logiciel car impossible de mettre la main dessus mercii
Enregistrer un commentaire