DECAF, le logiciel qui bloque COFEE
En novembre 2009, Microsoft présentait une clé USB dédiée à la police : COFEE dont l’ objectif est d’ extraire d’ordinateurs des fichiers importants pour ses enquêtes avec peu de manipulations.
Computer Online Forensic Evidence Extractor (COFEE) est une clé contenant environ 150 logiciels à l’exécution automatique. La police peut ainsi s’en servir pour récupérer tout contenu suspect sur un ordinateur.l’outil COFEE permet donc de connaître un grand nombre d’informations sur l’ordinateur sur lequel il est exécuté, notamment la liste des fichiers de la machine, la licence des logiciels installés ou encore les mots de passe de celle-ci.
Il n’en fallait pas plus pour que des programmeurs s’attellent à la conception d’un antidote nommé DECAF (Detect and Eliminate Computer Assisted Forensics). Une fois installé, cet utilitaire surveille toutes les clés USB branchées au PC et lance une série de mesures s’il s’agit d’une clé COFEE : effacement des logs de COFEE, éjection de la clé ou verrouillage automatique du PC. Il est également possible de configurer plusieurs actions comme l’effacement de fichiers ou la désactivation de périphériques.
Normalement fourni sur une clé USB, le logiciel se retrouve sur plusieurs réseaux P2P et surtout prévu pour Windows XP mais une version dédiée à Vista et Windows 7 devrait arriver.