Effacement sécurisé des médias

https://wiki.epfl.ch/pierre-etienne/computing/guides/effacement-securise-des-medias   (http://blogs.epfl.ch/article/29246)

Effacement sécurisé des médias

Bonjour,

Je ne m'étendrai pas sur le très vaste sujet de la "sanitization" des disques durs, c'est-à-dire l'effacement irrémédiable des données qu'il contiennent, car on arrive à la solution radicale et finale: sa destruction physique:

 


 

ou mieux, son incinération. Cela était plutôt réservé au monde des "Services dit Secrets" ou les armées, mais avec un disque dur de 500 GB pour 60 CHF… la "paix des ménages" est raisonnable, malgré ces méthodes extrêmes!

 

Pour info, le document "Data Sanitization Tutorial", vous présente le problème de la rémanence des données.

 

Si le sujet vous intéresse, vous en trouverez d'autres sur Internet, et il anime beaucoup de controverse, ce qui laisse à penser qu'il n'y a pas qu'une seule vérité.

 

La "sanitization" des disques durs est un aspect scientifique, car des physiciens de haut vol, pourront vous démontrer que dans un éclat de plateau de disque dur, il est possible de récupérer des données (par de la spectroscopie). Mais entre récupérer des bits "0" et "1" et les exploiter, il y a une différence qui n'est pas négligeable! Et là aussi, il faut avoir l'équipement de laboratoire, ainsi que le personnel qualifié qui va avec.

 

Je vous propose un livre "Spin-stand Microscopy of Hard Disk Data"; on y trouve des informations intéressantes. Par contre, le principal aspect du livre concerne les matériaux, les champs magnétiques, les mathématiques, … Il est donc réservé aux Scientifiques, et pas aux Informaticiens, qui ont préférés faire du C++, à la place d'aller aux cours de physique fondamentale (certains se reconnaîtront)!

 

Si dans la série "Les Experts", ils ont moins d'une heure pour boucler une enquête, et exploiter toutes les données récoltées,  dans la pratique, cela prendra (beaucoup) plus de temps! On ne peut pas lire les données d'un disque dur, plus vite que lui ne le peut … et 1 TB à 100 MB/s (best effort), vous prendra une bonne demi-journée! Et cela, c'est quand il est dans son état de fonctionnement parfait.

 

 

a) Aspects pratiques:

 

Si vos données sont "top secret défense", au lieu de tout détruire et de ne pas aider au recyclage de ce déchet électronique, on le démontera et détruira seulement les plateaux, qui eux seuls contiennent les données (incinération, déchiquetage, …). Oubliez les aimants, l'induction magnétique (B) nécessaire à l'éradication de toutes les données exigent des grosses installations (degausser), et on ne sera jamais sûr à 100%.

 

Si vous n'êtes pas dans cette catégorie, il est quand même possible de le recycler de manière plus raisonnable, votre disque dur, sans pour autant dévoiler vos petits secrets.

 

 

b) Choses importantes à savoir:

 

Le fait de simplement mettre à la poubelle, un dossier, un fichier, NE L'EFFACE PAS MEME EN L'AYANT VIDEE, mais indique au système que la place est vide! Avec de simples outils, que l'on trouve sur Internet, il est possible de récupérer (undelete), les dites données effacées. En cas d'ajout de nouveaux fichiers, le système va ré-écrire sur le disque dur, sur ces espaces récupérés ou ailleurs. C'est pour cela qu'en cas d'effacement accidentel des données, il ne faut plus rien faire et effectuer immédiatement la dite opération; sinon, on risque d'avoir des anciennes données supprimées, partiellement écrasées par des nouvelles.

Faire un simple formatage du disque dur, ne sert à rien, car dans bien des cas, il va simplement effacer la table des matières de ce dernier; c'est comme d'arracher les pages du sommaire d'un livre; il suffira de le parcourir, pour récupérer les données…

 

En résumé: pour effacer un disque dur et le recycler, il faudra utiliser un logiciel spécialisé! Et plus le disque dur a un espace de stockage important, plus cela prendra du temps, pour effectuer son effacement complet!

 

 

c) Une histoire du nombre de passes

 

Le fait de faire une passe de "0" ou de "1" voir Random (patern aléatoire) sur un disque dur, efface toutes les données qui pourraient être accessibles avec des logiciels type "undelete" ou "forensics".

Dans le cas d'une procédure judiciaire, il faut effectuer une copie 1:1 du disque dur original sur un autre et travailler sur la copie (qui est sensé avoir aussi été complètement effacé ou être neuf?). Sur la copie binaire obtenue de l'originale (copie 1:1), vous n'obtiendrez rien d'autre que la séquence inscrite de la dernière passe. Je n'ai pas vu la possibilité, avec des commandes ATA, de "jouer" sur le tracking des têtes du disque dur.

 

Explications:

Quand la tête du disque dur écrit une information, elle "bave" magnétiquement (track edge, off track), et l'ancienne information, sous certaines conditions, peut être récupérée.

Il existe la "fameuse" 'salle blanche', dans laquelle on démonte le disque dur, pour le passer, par exemple, sur un banc d'essai type "spinstand" comme chez Guzik.

Il faudra être qualifié pour faire la manipulation, et avoir l'argent, car quand on lit les spécifications de l'équipement, on atteint des valeurs inférieures au nm; on est bien loin du produit jetable "grand public"!!! En plus, un disque dur étant fragmenté au niveau des données, l'opération ne sera pas simple pour leur récupération.

D'ailleurs, quelles données cherche-t-on? Un certain nombre de média (images, vidéos, …) au caractère "non-autorisés" (et référencés par les 'services concernés'), ou le fichier "ma_caisse_noire_a_l'UBS.txt" noyé dans des GB d'autres fichiers?

 

Evidemment, les 'services concernés' ne seront pas bavards, mais faites le test de jouer avec un éditeur de disque dur (comme Winhex) sur un HD sain et fonctionnel et cherchez une séquence de caractères … C'est possible, mais là aussi, vous n'irez pas plus vite que ne le permet de le disque dur!!! Comme déjà dit, un TéraByte, c'est une belle capacité, et 100 MB/s (average) de lecture dans le meilleur cas, c'est "long"!

 

C'est pour cette raison, que Peter Gutmann, a décrit une méthode d'effacement qui porte son nom: "Peter Gutmann 35 passes".

Si cette méthode était justifiée au moment où il l'a décrite, au siècle passé, quand la taille des disques ne dépassait pas le GB, actuellement, il semblerait que c'est un peu "overkill"; mais cette option est utile pour "rôder ou "burner"" les disques durs.

 

On appelle aussi "Low Level Format", cette opération. Ce n'est plus un vrai "LLF", car il y a quelques années, faire cette opération, qui était vraiment "bas niveau", exigeait de "re-préparer" le disque dur afin qu'il re-fonctionne. Le terme de "LLF" veut plutôt dire actuellement une passe de "0", du début de l'adresse de stockage jusqu'à la fin. Après cette opération, le disque dur est comme livré neuf, sans table de partition, ni formatage. Pour s'en servir à nouveau, il faudra suivre la procédure habituelle d'un disque neuf, c'est-à-dire, le partitionner, et le formater.

 

Les logiciels de sanitization de disques durs, proposent souvent plusieurs méthodes, avec des noms dignes de "James Bond"; chaque armées et service secrets, ont développé leurs protocoles, et on en retiendra que les plus cités:

 

- "Quick Erase" (une passe de "0") qui rendra la recovery de données impossible avec des logiciels (sauf si on démonte le disque dur en salle blanche, comme expliqué plus haut). A noter que beaucoup d'utilitaires de diagnostique, des fabricants (il en reste plus beaucoup!) de HD, proposent une option qui s'appelle "Low Level Format"; le logiciel de diagnostique ne fonctionne que pour sa marque!

- "USDOD 3 passes" : le classique que l'on trouve souvent en option et qu'il faut appliquer par défaut pour les cas standarts.

- "USDOD 7 passes" : celui à appliquer pour des données "plus sensibles" (et les disques durs bien usés). Si cela n'est pas jugé "acceptable", il faut le détruire physiquement! Inutile de faire 35 passes (plus d'une semaine pour un gros HD), car un "coupeur de cheveux en quatre", va vous démontrer qu'il en récupérera quelques données!

 
Après, tout est une question "émotionnelle", si il est préférable de passer encore une couche random (patern aléatoire) ou pas…

[Si vous travaillez dans une "salle blanche" pour analyser les disques durs, vous pourrez toujours me faire part de vos expériences ;-) ]


Pour les méthodes multi-passes, un logiciel comme DBAN permet la vérification à la passe finale ou entre chaque passe. Cela prend plus de temps, mais a une autre fonction, c'est de vraiment tester le disque dur. Si vous avez des erreurs à la vérification, c'est qu'il a des "Bad block"; il ira soit en "retour sous garantie" ou à la poubelle, car vous ne pourrez plus trop compter dessus. A noter que bien que ces logiciels servent à de la sanitization, ils sont aussi utile pour "stresser" et vraiment tester des disques durs douteux ou neufs… Ce n'est pas un absolu, mais si pour une taille donnée, il faut un temps largement plus long que la moyenne, approfondissez avec les tools de diagnostique du fabricant. C'est un début de "failure".

 

Il faut savoir que le disque dur, lui-même peut s'effacer, au moyen des commande ATA "SE Secure Erase".

Ce tool fonctionne sur certaines mainboards, mais pas sur toute. Et pour cause: imaginez qu'un virus la lance, et vos données seront bien effacées! Par sécurité, la mainboard bloque l'usage de ces commandes dangereuses, et le disque dur doit passer de nouveau par un cycle "ON/OFF" pour y être réceptif.

Le principe de cette commande ATA, une fois lancée, et de verrouiller le disque dur et de le rendre "hors service" au niveau de son exploitation, TANT QUE L'OPERATION D'EFFACEMENT n'est pas TERMINEE. L'opération peut se pratiquer en deux parties: verrouillage du disque dur, afin de ne plus pouvoir exploiter les données qu'il contient, puis lancement de l'effacement proprement dit, ultérieurement. Où bien de le faire immédiatement.

L'inconvénient de cette méthode, bien que plus rapide, comme c'est le contrôleur du HD qui se charge de faire le travail, on ne peut pas être sûr que l'effacement a bien été fait; il faudra le vérifier après… avec un éditeur de disque dur.

Pour finir, l'utilisation du soft est quand même réservée aux utilisateurs avertis. Je conseille un produit comme DBAN, ou commercial, qui est plus facile et fonctionnera sur quasiment toutes les machines.

 

Il existe aussi des devices "hardware" (un boîte dans laquelle on le "plug"), qui se chargent de faire ce travail et leur prix est accessible pour un service informatique qui devra effacer beaucoup de disques durs, de manière sécurisée.

 

J'ai eu l'occasion de discuter avec un représentant d'une entreprise très connue dans la recovery de données, ainsi que pour les expertises judiciaires, et il semblerait qu'après 8 passes, cela semble très difficile d'en exploiter le contenu précédant… C'est aussi cette valeur que j'ai pu trouver sur des sites Internet très spécialisés… Pensez aussi que les fabricants eux-même exploiteraient cette manière de stocker une valeur précédente de l'information, et pourraient ainsi, en augmenter largement les capacités de stockage.

 

Comme le sujet de la recovery forensic est aussi liée à la recovery "tout court" (avez-vous fait le backup de vos données importantes aujourd'hui ?", cet article "Drive-Independent Data Recovery" présente les disques durs, sous l'aspect "hardware" ('quincaillerie' en bon français, qui est le terme bien adapté):

 

 

 

d) Effacement des mémoires Flash, clefs USB, SSD, …

Comme il n'est pas possible de démonter les transistors et autres composants intégrés dans les circuits électroniques (si on compare au stockage magnétique, avec les plateaux qui sont accessibles), des cartes mémoires FLASH, clefs USB, disques dur SSD, … une passe de "0" suffira pour effacer toutes les informations présentes. Des fabricants de carte mémoire, livrent même un tool qui se chargera de faire le travail.

L'utilisation d'un soft standart de sanitization est toujours utile pour la vérification individuelle des blocks (Bad Block), car ce problème existe aussi!

 

Remarque: Pour les SSD (Solid State Disk), il faut savoir, que sans que l'operating system puisse intervenir, pour des questions "d'usure" des block's, le contrôleur interne fait des réallocation des données. Si vous utilisez un tool comme eraser, pour écrire par dessus "X fois" sur un fichier, avant de l'effacer, vous ne pourrez jamais savoir si des copies antérieures des données existeront ailleurs, sur le SSD, de vos fichiers.

 

Quand à la mémoire RAM "volatile", elle s'efface après une minute sans alimentation… Et oui, on peut encore récupérer des informations après l'arrêt de son PC; voir la rubrique "Mémoire fantôme" de l'article. Mais ceci est plus anecdotique que critique…

 

 

e) Conclusions:

Quand on voit déjà les scandales du non effacement des données de matériel d'occasion, le fait de faire déjà une passe de "0" systématiquement, serait un progrès énorme! Laissons la salle blanche pour les cas "raison d'état"!

 

Maintenant, si vous devez protéger vos données, sachez qu'il existe de logiciels, qui créent des disques durs virtuels cryptés. Par exemple, TrueCrypt en est un, qui est gratuit, open source (c'est le minimum pour éviter les backdoor) et qui fonctionne sans s'installer.

 

Bonne journée!

 

Pierre ETIENNE

 

 

Liens: - Data Sanitization   http://en.wikipedia.org/wiki/Data_remanence

         - Data Sanitization Tutorial   http://cmrr.ucsd.edu/people/Hughes/DataSanitizationTutorial.pdf

         - "Peter Gutmann 35 passes"   http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.htm

         - "Drive-Independent Data Recovery"   http://www.actionfront.com/whitepaper/Drive-Independent%20Data%20Recovery%20Ver14Alrs.pdf

         - "Mémoire fantôme"   http://ditwww.epfl.ch/SIC/SA/SPIP/Publications/spip.php?article1461

 

         - DBAN   http://www.dban.org/

         - "SE Secure Erase"   http://cmrr.ucsd.edu/people/Hughes/SecureErase.shtml

         - "Eraser"   http://www.heidi.ie/eraser/default.php

         - TrueCrypt   http://www.truecrypt.org/