Début novembre, une fuite répandait COFEE sur internet, au grand désarroi de Microsoft. COFEE (Computer Online Forensic Evidence Extractor) est en effet le paquet de logiciels concocté par Microsoft pour aider les officiers de police non experts en informatique à récupérer rapidement sur le terrain des informations contenues sur les ordinateurs de suspects.
En pratique il s'agit d'une clé USB contenant environ 150 logiciels dont l'exécution est automatisée. Un mois après cette fuite, des hackers ont mis au point DECAF, un antidote taillé sur mesure contre COFEE.
Une fois installé, DECAF (Detect and Eliminate Computer Assisted Forensics) surveille toute clé USB insérée sur l'ordinateur à la recherche de la signature de COFEE. Si cette dernière est détectée, DECAF lance une série de contre-mesures, comme l'effacement des logs de COFEE, l'éjection des clés USB ou le verrouillage automatique du PC. On peut même programmer d'autres actions comme la désactivation de certains périphériques ou l'effacement de certains fichiers.
Les auteurs de DECAF précisent malgré tout qu'on ne doit pas utiliser DECAF à des fins illégales.