COFEE (pour "Computer Online Forensic Evidence Extractor") est un utilitaire créé en partenariat avec INTERPOL et le National White Collar Crime Center (NW3C), fourni par Microsoft aux services légaux de par le monde pour exécuter des commandes d'extraction de données et obtention d'informations sur un système Windows de façon simplifiée.

Son antithèse, DECAF, a été créé par des hackers pour déjouter toute tentative de récupération de donnée par COFEE. Un utilitaire qui pourrait avoir son intérêt quand on sait que COFEE est aussi à disposition des pirates sur les réseaux de partage.

COFEE est une sorte de compilation de 150 utilitaires et d'automatisation de tâches permettant à l'aide d'une simple clé USB de récupérer des données volatiles sur un poste  suspect. Bien que COFEE ne soit normalement acessible qu'aux professionnels, on peut en trouver plusieurs versions sur les sites et logiciels de partage de fichiers.

Forts de cette disponibilité publique peu souhaitable et bien entendu illégale, des pirates sont parvenu en peu de temps à créer un logiciel de contre-mesure anihilant COFEE et finement dénommé DECAF .

DECAF v1 surveillait le système et en cas de détection de COFEE, permettait de réagir en effectuant l'action de son choix, comme éteindre la machine, désactiver les accès réseaux/clés USB ou effacer les logs. DECAF v1 était, selon ses auteurs, codé à la và-vite et pas exempt de bugs. Il nécessitait de ce connecter au site lors de l'exécution et fut rapidement mis hors-service par ses créateurs (même si réactivé par un autre hacker).

DECAF v1 n'est cependant plus disponible, une seconde version plus élaborée et s'attaquant à plusieurs autres solutions d'analyse forensics est parue, DECAF v2, qui surveille dorénavant non seulement Microsoft COFEE mais aussi Helix, EnCase, Passware, ElcomSoft, FTK Imager Port, Forensic Toolkit, ISOBuster et ophcrack.

Computer Online Forensic Evidence Extractor (COFEE) :

http://www.microsoft.com/industry/government/solutions/cofee/default.aspx

DECAF :

http://decafme.org