Forensics - Smartphone

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

35 heures (5 jours)

Accessibilité

Oui

Forensics - Smartphone


Objectif de formation : Cette formation avancée en forensic mobile vous permettra d'acquérir les compétences nécessaires pour détecter, analyser, décrypter et interpréter les données extraites de smartphones dans un cadre d'investigation numérique et de réponse à incident, sur des appareils Android et iOS.

Objectifs de la formation

  • Maîtriser les techniques avancées de forensic sur smartphones afin d'extraire, analyser et interpréter des données numériques dans le cadre d'investigations numériques complexes.
  • Sélectionner et utiliser les outils d'analyse forensic adaptés aux smartphones.
  • Comprendre et interpréter les systèmes de fichiers propres à Android et iOS.
  • Effectuer des extractions avancées et récupérer des communications effacées ou dissimulées.
  • Détecter et analyser des compromissions et des malwares sur smartphones.
  • Appliquer les méthodes de data carving et d'analyse de base de données SQLite.
  • Mettre en œuvre une investigation complète à partir de plusieurs sources et dispositifs mobiles.

Profil des bénéficiaires

Pour qui
  • Enquêteurs numériques et investigateurs judiciaires
  • Analystes forensiques et experts en cybersecurité
  • Membres d'équipes CSIRT / SOC
  • Toute personne impliquée dans la réponse à incident mobile ou l'analyse de compromission smartphone
Prérequis
  • Bonnes connaissances des environnements mobiles (Android, iOS)
  • Notions fondamentales de cybersecurité et de forensic numérique
  • Connaissance de base des systèmes de fichiers et du réseau

Contenu de la formation

Introduction et méthodologie de la forensic mobile (3 heures)
  • Panorama des types de données récupérables (SMS, appels, app, géolocalisation)
  • Méthodologie d'investigation : acquisition, préservation, analyse, restitution
  • Types d'extractions (logique, physique, fichier de sauvegarde, cloud)
  • TP : Comparaison d'outils d'extraction (Cellebrite, Magnet AXIOM, open-source)
  • TP : Réalisation d'une extraction logique d'un smartphone Android
  • TP : Revue critique d'une image forensique iOS
Analyse des systèmes de fichiers et récupération avancée de données (6 heures)
  • Fonctionnement des systèmes de fichiers Android (YAFFS2, F2FS) et iOS (APFS)
  • Analyse de bases SQLite, plist, journaux systèmes, caches
  • Récupération de données supprimées et manipulation de dumps bruts
  • TP : Analyse de bases SQLite d'applications WhatsApp et Signal
  • TP : Recherche de données effacées dans des partitions Android
  • TP : Décodage d'un fichier .plist chiffré et extraction manuelle
Applications mobiles : communications, géolocalisation et artefacts utilisateurs (6 heures)
  • Artefacts de navigation, de messagerie et de géolocalisation
  • Reconstruction de la chronologie d'usage d'un smartphone
  • Analyse de données cloud synchronisées (Google, iCloud)
  • TP : Extraction et lecture des données GPS à partir de photos et apps sportives
  • TP : Analyse d'historiques de navigation et d'utilisation applicative
  • TP : Croisement d'artefacts pour reconstituer un scénario d'événement
Détection de compromission et analyse de logiciels malveillants mobiles (6 heures)
  • Détection de root/jailbreak, trace de compromission, permissions abusives
  • Identification et analyse de malware sur Android et iOS
  • Introduction au reverse engineering d'apps mobiles (APK, IPA)
  • TP : Analyse de paquets suspects avec MobSF (Mobile Security Framework)
  • TP : Détection de malwares à partir d'indicateurs comportementaux
  • TP : Analyse dynamique d'un APK dans un environnement isolé
Déchiffrement, obfuscation et récupération manuelle (5 heures)
  • Gestion du chiffrement natif et des sauvegardes protégées
  • Utilisation d'outils de cassage de mot de passe iTunes/iCloud
  • Méthodes d'obfuscation et décodage de communications cachées
  • TP : Extraction d'une sauvegarde iOS et cassage de mot de passe iTunes
  • TP : Déchiffrement d'un conteneur de messagerie chiffré
  • TP : Analyse de messages cachés dans des fichiers multimédias
Exploitation de la corrélation temporelle et rapport d'analyse (5 heures)
  • Construction d'une timeline multi-sources (SMS, app, logs système)
  • Corrélation entre différents artefacts utilisateurs
  • Rédaction structurée d'un rapport d'analyse forensique
  • TP : Reconstitution d'un événement à partir de 2 smartphones synchronisés
  • TP : Corrélation chronologique entre artefacts iOS et Android
  • TP : Rédaction d'un rapport complet avec preuves structurées
Cas pratique fil rouge : enquête mobile complète (4 heures)
  • Remise d'un dump complet Android et iOS
  • Analyse libre avec objectifs guidés (chronologie, messagerie, géolocalisation, apps)
  • Rendu final avec rapport et soutenance orale synthétique
  • TP : Enquête complète guidée sur smartphone compromettant
  • TP : Présentation orale des résultats et justification des preuves
  • TP : Debrief collectif et analyse croisée des pistes suivies

Équipe pédagogique

Formateurs experts en forensic mobile et en cybersecurité.

Suivi de l'exécution et évaluation des résultats

  • Évaluation des travaux pratiques
  • Rédaction de rapports d'analyse forensique
  • Présentation orale des résultats

Ressources techniques et pédagogiques

  • Outils d'extraction (Cellebrite, Magnet AXIOM, open-source)
  • Environnements de test Android et iOS
  • Bases de données SQLite et fichiers plist
  • Outils de détection de malware (MobSF)
  • Outils de cassage de mot de passe iTunes/iCloud

Qualité et satisfaction

Taux de satisfaction des apprenants : 95%. Taux d'insertion dans l'emploi : 85%.

Capacité d'accueil

Entre 5 et 15 apprenants

Accessibilité

La formation est accessible aux personnes en situation de handicap. Des aménagements spécifiques peuvent être proposés sur demande.