Les fichiers plist (Property list) d’Apple

IMac

IMac

Je n’ai pas rédigé beaucoup d’articles dans la catégorie criminalistique de mon blog, et la lecture récente d’une petite publication très intéressante m’en donne l’occasion.

Dans son article, Dennis Browning du Champlain College (Burlington, VT), présente une approche intéressante des fichiers .plist du système MacOS X en pointant du doigt les similitudes avec l’analyse des bases de registres sous Windows.

Les "listes de propriétés" sont des fichiers de l’univers MacOS X, mais aussi NextStep et GNUStep, dont l’extension est ".plist" (fichier d’aide sur le site d’Apple) et qui sont utilisés le plus couramment pour stocker des données de configuration de l’utilisateur. Sous MacOS X, les fichiers plist ont adopté un format XML dont le fichier de description a été fixé par Apple, puis un format binaire, plus économe.

Apple fournit dans ses outils développement le "Property List Editor". Il existe un utilitaire gratuit pour Windows permettant d’éditer ces fichiers plist. Attention, comme tout outil externe, il convient de le valider. Il est d’ailleurs recommandé – en général – de disposer d’un Mac pour analyser des machines sous MacOS…

L’auteur de l’article couvre plusieurs aspects de l’examen des fichiers .plist:

  • démarrages automatiques
  • éléments récents
  • configuration des réseaux sans fil
  • périphériques montés
  • iPods
  • historiques Internet (Safari, Firefox)
  • applications

Par exemple, Dennis Browning fait référence au fichier /user/Library/Preferences/com.apple.finder.plist qui contient des informations sur l’ensemble des périphériques et médias montés sur le système.

Pour ce qui est du Wifi, il est intéressant de regarder les fichiers /hd/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist et /hd/Library/Preferences/SystemConfiguration/com.apple.network.identification.plist . L’examen conjoint de ces deux fichiers permet de déterminer les réseaux auxquels l’utilisateur s’est connecté, la date de dernière connexion et la configuration.

On voit donc que c’est aussi riche que l’examen des bases de registres de Windows… Peut-être cela a-t-il l’inconvénient d’être éparpillé et manquons-nous encore d’outils pour les exploiter rapidement. A vos souris !

À propos Éric Freyssinet
Officier de gendarmerie. Chef de la division de lutte contre la cybercriminalité, unité de gendarmerie chargée des investigations sur Internet au niveau national. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). Head of the cybercrime division for that agency. Views published on these blogs are personal.

One Response to Les fichiers plist (Property list) d’Apple

  1. Effectivement, à quand un coffee pour Mac?

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 132 autres abonnés

%d bloggers like this: