FRT Global Solutions

Service direct

WA Forensic

Analyse forensique mobile read-only de sauvegardes iOS acquises legalement, bases WhatsApp, traces de messages supprimes, rapports et chaine de conservation.

L’enjeu

Les preuves WhatsApp sont rarement propres. Une enquete peut commencer avec une sauvegarde iOS, des bases SQLite, des exports de conversations, des references media ou des artefacts partiels. Les messages supprimes, discussions videes et enregistrements de revocation peuvent laisser des traces, mais elles doivent etre traitees avec prudence: surestimer une preuve est aussi dangereux que la manquer.

Notre approche

WA Forensic est concu comme un workflow read-only pour des travaux forensiques autorises. Il examine les bases WhatsApp et les artefacts iOS associes, extrait des preuves structurees, tente une recuperation best-effort depuis le WAL, les freelists et free-blocks SQLite, et conserve la provenance technique avec hachages, offsets, niveaux de confiance et chaine de conservation hash-linked. La plateforme ne contourne pas le chiffrement de bout en bout, ne force pas les identifiants et n'accede pas a des appareils sans autorisation.

Mobile evidence

Recuperer les messages supprimes sans surestimer la preuve.

WA Forensic separe preuve, probabilite et impossibilite technique pour produire des resultats utiles dans les enquetes sensibles.

Le systeme recherche les preuves recuperables la ou les traces forensiques peuvent survivre: enregistrements actifs, metadonnees de revocation, frames WAL, freelists SQLite, free-blocks et artefacts iOS associes.

Chaque fragment candidat est documente avec metadonnees de source et hachage normalise, afin de distinguer une preuve forte d'un fragment partiel ou non attribuable.

Le reporting est volontairement conservateur. Lorsque chiffrement, ecrasement ou absence de cles rendent la recuperation impossible, la limite est documentee.

Capacites forensiques

  • Analyse read-only de preuves acquises
  • Inspection SQLite et WAL WhatsApp
  • Carving de fragments supprimes
  • Extraction revocations et discussions videes
  • Support de timeline multi-source
  • Confidence scoring et deduplication
  • Chaine de conservation hash-linked
  • Rapports JSON, CSV et syntheses

Cas d'usage typiques

  • Enquetes internes avec preuves mobiles autorisees
  • Support contentieux et revue technique preliminaire
  • Triage forensique prive avant laboratoire
  • Documentation audit-ready des methodes, artefacts, hachages et limites

Ce qui est inclus

Ce qui est inclus

  • Analyse de ChatStorage.sqlite, ChatStorage.sqlite-wal, ExtChatDatabase.sqlite, LID.sqlite, CallHistory.sqlite et artefacts iOS associes
  • Extraction de messages revoques, sessions videes, identifiants de contacts, references media, horodatages et metadonnees
  • Carving best-effort de fragments lisibles depuis freelists SQLite, free-blocks, frames WAL et donnees residuelles
  • Classification des candidats avec score de confiance, source, page, offset, longueur en octets et hachage SHA-256
  • Rapports JSON, CSV et syntheses lisibles pour revue, disclosure et transmission a un expert
  • Chaine de conservation hash-linked pour acquisition, traitement, sorties et verification d'integrite

Modalités d’engagement

Chaque mission commence par un cadrage: autorisation, etat du dispositif ou de la sauvegarde, methode d'acquisition, contraintes juridictionnelles et attentes de reporting. FRT peut analyser des sauvegardes deja acquises, structurer un workflow defensable ou preparer un triage technique pour escalation vers un laboratoire forensique certifie.

Couverture

WA Forensic est reserve aux travaux forensiques licites et autorises. Un contenu supprime n'est recuperable que si des traces lisibles existent encore dans la sauvegarde, la base SQLite, le WAL, la freelist, les caches ou les artefacts de support. Les contenus WhatsApp ou Signal chiffres ne peuvent pas etre reconstruits si les cles requises sont absentes de l'evidence acquise.

FAQ

Questions fréquentes.

WA Forensic peut-il recuperer des messages WhatsApp supprimes?
Parfois. Il peut recuperer des traces lisibles encore presentes dans les bases, WAL, freelists SQLite, free-blocks, caches ou artefacts associes. Il ne peut pas recuperer ce qui a ete ecrase ou n'a jamais ete present dans le materiel acquis.
Contourne-t-il le chiffrement WhatsApp?
Non. WA Forensic ne casse pas le chiffrement de bout en bout, ne force pas les identifiants et ne reconstruit pas les cles Signal absentes de l'evidence. Cette limite est documentee.
Quelles sources sont supportees?
Le workflow se concentre sur des sauvegardes iOS acquises legalement et des bases WhatsApp telles que ChatStorage.sqlite, ChatStorage.sqlite-wal, ExtChatDatabase.sqlite, LID.sqlite et CallHistory.sqlite.
Est-ce adapte a un usage juridique ou RH?
Le workflow soutient une revue defensable, mais l'usage juridique, RH ou disciplinaire depend de la juridiction, de l'autorisation, des notices de confidentialite et de la methode d'acquisition.
Quels outputs sont produits?
JSON, CSV, syntheses lisibles, hachages SHA-256, offsets source, labels de confiance et chaine de conservation hash-linked.

Prêt à discuter de WA Forensic ?

Adressez-nous un brief confidentiel. Nous répondons sous un jour ouvré avec un coordinateur dédié.

Demander une consultation confidentielle