En mai 2008, des policiers du monde entier, dont des Français, sont invités par Microsoft, pour découvrir, dans les locaux de Microsoft, à Redmond, COFEE (Computer Online Forensic Evidence Extractor), un outil permettant d’aider les forces de l’ordre a mettre à mal les sécurités installées dans Windows Vista. Un stage de luxe qui regroupe le FBI, Interpol, l’armée. Parmi les ‘cours’, comment récupérer des preuves sous Hotmail ou sous Windows. Parmi les possibilités, le programme COFEE.
Le matériel est simple, une clé USB et un programme capable de trouver différentes données cachées sur un disque dur. Un programme aux 150 commandes qui permet de retrouver toutes données liées à une affaire en un temps record. Décryptage des mots de passe, analyse des activités sur la toile, et cela par un policier qui n’a plus besoin d’être un expert. Bref, rien de révolutionnaire, ce type d’outil existait depuis longtemps mais Microsoft semble avoir réuni tout ce petit monde sous le même programme. Des milliers de clés de ce type sont déjà en action dans 15 polices de par le monde. Microsoft les offre. ‘Nous investissons beaucoup de temps et d’argent dans la mise au point de ces nouveaux outils, mais notre but n’est pas d’en tirer des profits en argent. Nous le faisons afin de nous assurer qu’Internet demeure un endroit sécurisé‘ confiait Brad Smith, de chez Microsoft. A noter que cette clé permet de passer outre le chiffrement ‘Bitlocker’ mis en place par Microsoft dans Windows Vista. Il suffit aux enquêteurs de brancher la clé sur la machine allumée du suspect pour utiliser l’un des 150 outils mis à disposition avec COFEE. En moins de 30 minutes, la clé enregistre les données dites ‘sensibles’ pour les enquêteurs.
Début novembre, un fichier archive circulait sur le net avec, à l’intérieur, une image de COFEE. Colmatée depuis, la fuite finit de se répandre sur Internet. Mais le mal est fait. Si la diffusion de l’utilitaire a été bloquée, des pirates en ont profité pour développer une contre-application qui permettait de se débarrasser des ‘trous’ exploités par COFEE et qu’ils ont nommée DECAF (Detect and Eliminate Computer Assisted Forensics). Téléchargeable sur leur site decafme.org, cette application s’adressait à des utilisateurs avancés. Yahoo en avait parlé. Mais le 18 décembre, un petit message intitulé Gamer Over sur le site de DECAF, nous apprend que le but était simplement d’attirer l’attention du public sur la sécurité et que les versions téléchargées sont désormais inopérantes…
Logo de DECAF