Qu'est-ce que la forensique des navigateurs ?
2026-05-19 · 3 min
La forensique des navigateurs consiste à lire concrètement ce qu'un navigateur a laissé sur le disque après qu'un utilisateur, un attaquant ou un code malveillant l'ait piloté. C'est l'une des classes d'artefacts les plus rentables sur un poste de travail typique : riche, structurée et presque toujours interrogeable sous forme de SQLite ou LevelDB sans que le navigateur soit en cours d'exécution.
Ce que vous décortiquez réellement
Chaque navigateur moderne conserve à peu près les mêmes données, organisées différemment selon l'éditeur. Les catégories que vous sollicitez dans les cas réels :
- Historique.
urlsetvisitsdans Chromium,moz_places/moz_historyvisitsdans Firefox,history_items/history_visitsdans Safari. Inclut le compteur de visites, le type de transition et un horodatage par visite. - Téléchargements. URL source, type MIME, chemin de destination, nombre
d'octets, heures de début et de fin. Dans Chrome, la table
downloads_url_chainsconserve la chaîne de redirection ayant mené au fichier. - Cookies. Domaine, nom, chemin, drapeaux, création / dernier accès / expiration. Sur Chromium, la valeur est chiffrée au repos depuis la v80 ; les métadonnées ne le sont pas.
- AutoFill, identifiants enregistrés, moyens de paiement. Métadonnées en clair, secrets chiffrés avec la clé maîtresse DPAPI de l'utilisateur (Windows) ou le Keychain (macOS).
- Favoris et sessions. Intention durable (favoris) versus intention très éphémère (onglets ouverts au moment d'un plantage).
- Local Storage et IndexedDB. État des applications web dans des dossiers LevelDB, où réside une quantité surprenante de preuves (identités connectées pour les SaaS, brouillons de messages, jetons JWT encore exploitables).
Pourquoi le faire avec soin
La chronologie combinée « URL visitée, fichier téléchargé, cookie posé, valeur LocalStorage écrite » place fréquemment un compte derrière une action à la seconde près. Cette corroboration croisée d'artefacts donne du poids aux preuves issues du navigateur. Combinez-la avec les métadonnées LNK pour les fichiers téléchargés puis ouverts, la MFT pour la création sur le disque et le journal USN pour la trace de renommage/suppression lorsque quelqu'un a tenté de faire le ménage.
Pièges à éviter
Traitez les copies comme étant en lecture seule. Récupérez toujours les
fichiers complémentaires -wal et -shm avec le fichier SQLite principal,
sinon vous manquerez silencieusement l'activité la plus récente. Notez les
fuseaux horaires explicitement ; Chrome utilise l'époque WebKit (1601),
Firefox des microsecondes depuis Unix, Safari le Mac absolute time (2001).
Les mélanger est l'erreur d'analyste la plus fréquente.