Les grands éditeurs de logiciels forensic : qui sont-ils, quels produits proposent-ils, et pour qui ?

Quand on parle d’outils forensic, on pense souvent à des noms de logiciels plus qu’à des sociétés. Pourtant, derrière les examens de téléphones, les extractions de données, l’analyse de vidéos, les timelines, les rapports et les chaînes de conservation, on retrouve un petit nombre d’éditeurs spécialisés qui structurent une grande partie du marché mondial. Mieux les connaître permet de comprendre non seulement quels produits existent, mais aussi à qui ils s’adressent : laboratoires de police, gendarmerie, services de renseignement, cabinets privés, équipes de réponse à incident ou experts judiciaires.

Un marché plus technique qu’il n’y paraît

Le forensic numérique ne se résume pas à “brancher un téléphone et cliquer sur extraire”. Selon les cas, il faut pouvoir :

• acquérir des données mobile, poste de travail, cloud ou vidéo ;
• préserver l’intégrité des pièces ;
• décoder des artefacts applicatifs ou système ;
• corréler plusieurs sources dans une même chronologie ;
• produire un rapport exploitable par un enquêteur, un magistrat ou un avocat.

Les éditeurs se distinguent donc moins par un simple “logiciel miracle” que par leur angle dominant : extraction mobile, analyse multi-source, automatisation de laboratoire, revue de preuve, investigation cloud, traitement vidéo ou plateforme d’équipe.

1. Magnet Forensics : la logique plateforme et la polyvalence DFIR

Magnet Forensics est l’un des acteurs les plus visibles du secteur. Son produit phare reste Magnet AXIOM, présenté comme une solution complète de digital forensics et incident response capable d’examiner des sources mobiles, ordinateurs, cloud et véhicules. L’intérêt de Magnet est sa logique d’écosystème : AXIOM pour l’analyse centrale, Magnet Automate pour l’automatisation des workflows, Magnet GrayKey pour l’accès mobile, Magnet Griffeye pour les gros volumes médias, et Magnet One pour la collaboration et la gouvernance de laboratoire.

À qui cela s’adresse ? Typiquement :

• laboratoires de police judiciaire ;
• cellules cyber ou DFIR ;
• organisations qui veulent relier extraction, analyse et revue dans un même environnement ;
• équipes ayant besoin d’automatiser une forte volumétrie.

2. Cellebrite : la référence historique côté mobile et chaîne d’investigation

Cellebrite reste une référence majeure, en particulier sur le terrain mobile. Son produit UFED demeure l’un des standards les plus connus pour l’accès et la collecte de données depuis un large éventail de terminaux numériques. L’entreprise articule ensuite ses briques dans une chaîne plus large avec Inseyets, Physical Analyzer, Pathfinder, Guardian, Inspector ou Legalview selon les profils utilisateurs.

Ce qui distingue Cellebrite, c’est l’étagement des usages :

• acquisition mobile en laboratoire ou sur le terrain ;
• analyse approfondie ;
• revue et partage sécurisé des éléments ;
• outils pensés aussi pour enquêteurs, analystes, procureurs et managers.

Leur documentation produit insiste fortement sur la collecte “lawful” et sur la conservation de l’intégrité. C’est un indice important : ces outils ne visent pas seulement la récupération brute de données, mais leur intégration dans un flux probatoire et organisationnel.

3. Oxygen Forensics : l’all-in-one très orienté extraction et analyse technique

Oxygen Forensics met en avant une suite plus intégrée autour d’Oxygen Forensic Detective. Le produit combine extraction, décodage et analyse sur mobiles, ordinateurs, IoT et cloud, avec une promesse forte sur l’accès à des données chiffrées, supprimées ou cachées. Oxygen pousse aussi des modules ou capacités spécifiques comme Android Agent, Device Extractor, Cloud Extractor, KeyScout ou des outils de revue partagée.

Oxygen vise particulièrement :

• les enquêteurs et laboratoires ayant besoin d’une solution unique ;
• les investigations mobiles avec forte profondeur applicative ;
• les équipes qui manipulent aussi du cloud et des environnements mixtes ;
• les utilisateurs appréciant une logique “extract then analyze” dans un seul produit.

Le produit est souvent apprécié dans les contextes où l’on veut limiter les allers-retours entre plusieurs outils spécialisés.

4. Grayshift : l’accès aux appareils verrouillés

Grayshift occupe une place très spécifique avec GrayKey, solution connue pour l’accès et l’extraction de données depuis des appareils mobiles verrouillés ou chiffrés, notamment dans les environnements d’enquête publique. Là où d’autres suites cherchent à tout faire, Grayshift est historiquement identifié pour la question la plus sensible : accéder à l’appareil lui-même quand il est difficile d’y entrer.

Le positionnement est donc plus ciblé :

• services d’enquête ayant un besoin fort d’accès mobile avancé ;
• laboratoires traitant des appareils récents ou verrouillés ;
• chaîne d’outils où GrayKey sert d’abord à l’accès, avant analyse dans d’autres environnements.

D’ailleurs, le marché lui-même le montre : GrayKey est souvent mentionné en complément de suites plus larges comme celles de Magnet ou Cellebrite.

5. Belkasoft et MSAB : deux approches techniques à ne pas négliger

Belkasoft X Forensic se présente comme une solution complète couvrant ordinateurs, mobiles, cloud, drones, voitures et mémoire vive. L’éditeur insiste sur l’acquisition, l’examen et l’analyse dans un même produit, avec une forte culture d’investigation technique et de laboratoire. Belkasoft parle explicitement à la fois aux forces de l’ordre et aux équipes corporate / DFIR.

MSAB, de son côté, reste un nom majeur du mobile forensics avec XRY pour l’extraction et XAMN pour l’analyse, dans une logique très marquée “mobile evidence workflow”. La société se présente clairement comme un partenaire des autorités, gouvernements et laboratoires forensic, avec une spécialisation historique sur le téléphone mobile.

Un cas à part : ObviousIdea, des utilitaires plus légers mais très utiles pour la preuve

Tous les acteurs du forensic ne jouent pas dans la même catégorie. ObviousIdea n’est pas positionné comme une plateforme d’investigation institutionnelle comparable à Magnet, Cellebrite ou Oxygen. En revanche, l’éditeur peut trouver une place très pertinente dans un écosystème de preuve plus léger, plus opérationnel et plus accessible aux avocats, cabinets, experts indépendants ou particuliers soigneux.

L’intérêt d’ObviousIdea tient précisément à ce positionnement intermédiaire : des utilitaires ciblés, orientés traitement, récupération, mise en forme ou exploitation pratique de contenus numériques, là où un dossier a souvent besoin d’outils concrets avant même une expertise lourde.

Quelques exemples cités sur ce site :

• LR/Timelapse Toolbox : utile pour récupérer ou relire un lot de photos, retrouver le rythme d’une séance, reconstruire une chronologie visuelle et mieux lire le contexte d’une série d’images ;
• DMForensix : positionnable comme outil orienté analyse ou export de messages privés, notamment sur Facebook et Instagram, dans une logique de lecture, conservation ou mise en forme des échanges.

Ce type d’outils peut être précieux dans des contextes très concrets :

• préparer des pièces pour une plainte ;
• mettre en forme un ensemble de photos ou de messages avant transmission à un avocat ;
• gagner du temps dans une demande d’acte ou un dossier civil ;
• mieux relire un contexte numérique avant de décider d’une stratégie plus lourde.

Autrement dit, là où les grandes suites forensic visent l’extraction, l’analyse profonde et les workflows institutionnels, des outils comme ceux d’ObviousIdea peuvent servir de couche pratique entre la donnée brute et le dossier lisible.

Comment choisir entre ces prestataires ?

Le bon choix dépend moins de la notoriété que du besoin réel :

• si le mobile verrouillé est central, l’accès devient le critère clé ;
• si le laboratoire doit traiter beaucoup de sources hétérogènes, une plateforme large prend l’avantage ;
• si le volume explose, l’automatisation et la collaboration deviennent décisives ;
• si l’objectif est un dossier expert ou judiciaire, la qualité de l’export, du reporting et de la chaîne de conservation compte autant que l’extraction.

Il faut aussi regarder des questions très concrètes : qui utilisera l’outil ? un examinateur confirmé, un enquêteur de terrain, une équipe cyber, un expert judiciaire indépendant ? tous n’ont ni le même budget, ni le même besoin de profondeur technique.

Le point important pour artdelapreuve.fr

Pour ce site, l’intérêt de ce panorama n’est pas de désigner un “meilleur” outil universel. C’est de rappeler que la preuve numérique moderne dépend aussi d’un marché logiciel très structuré. Derrière une extraction de téléphone, une timeline, une revue de vidéo ou un rapport d’analyse, il y a souvent un choix d’éditeur, de méthode et de chaîne de traitement.

Comprendre les prestataires forensic, c’est donc comprendre une partie de l’infrastructure invisible de la vérité numérique contemporaine.

Sources officielles

• Magnet AXIOM
• Magnet One
• Magnet GrayKey
• Cellebrite UFED
• Portefeuille produits Cellebrite
• Oxygen Forensic Detective
• Grayshift / GrayKey
• Belkasoft X Forensic
• MSAB
• ObviousIdea
• LR/Timelapse Toolbox
• DMForensix

Continuer la lecture

Trois autres articles pour approfondir la preuve, le numérique et la stratégie probatoire.

Preuve : citations vraies, fausses phrases et auteurs introuvables

Capture d’ecran sur iPhone et Android : comment conserver une preuve

Comment un journaliste peut présenter une preuve sans exposer sa source