Le disque dur est posé devant moi sur le bureau. Je l’observe quelques instants en silence. Je viens de passer plusieurs heures à l’extraire d’un ordinateur particulièrement résistant au démontage. Je ne voulais pas faire de rayures avec mes tournevis, aussi ai-je du en fabriquer des souples avec de vieilles brosses à dents…
J’ai maintenant devant moi un disque dur tout à fait banal (et un tas de vis que j’ai mis de côté pour le remontage). Je le regarde fixement, faisant une petite pause dans cette expertise judiciaire solitaire. Comme tous les disques durs non SSD, c’est une merveille de mécanique. Pendant son fonctionnement, les têtes de lecture flottent sur un coussin d’air à quelques nanomètres des plateaux, ce qui ne laisse pas de me surprendre.
Le premier défi, qui consiste à essayer de faire démarrer l’ordinateur sur cédérom sans toucher au disque dur,
a échoué. Mes différents « boot cd » n’ont pas réussi à reconnaître les différents éléments de l’ordinateur, en particulier la carte réseau. En tout cas, pas suffisamment pour me permettre de cloner le disque dur en un temps « raisonnable », et avec la garantie de ne PAS modifier les données inscrites dessus. Préservation de la preuve, garantie d’une expertise ultérieure donnant les mêmes résultats, responsabilité de l’expert, etc.
Le deuxième défi a donc été de réussir à extraire le disque dur du cocon constitué par cette magnifique carcasse aluminium, mince et fragile, sans vis apparente, clipsée de manière invisible. Difficile défi. Heureusement, internet est une source d’informations telle que j’ai pu trouver un site de passionnés ayant déjà entrepris le démontage de ce modèle ET partageant cette expérience. Avec précaution, j’ai entrepris de suivre leurs conseils, et pas à pas, malgré quelques petites différences liées certainement à une évolution du modèle, j’ai réussi à extraire le disque dur.
Le voilà posé sur mon bureau.
Je le prends en photo, je note le numéro de série et les diverses caractéristiques du disque. Je le prends délicatement entre les doigts pour le brancher sur mon ordinateur d’acquisition.
Je mets ce dernier sous tension. Quelques gouttes de sueurs perlent sur mon front : le moment est critique. Le disque dur fonctionne-t-il ? Les plateaux tournent-ils ? Les têtes de lecture vont-elles accéder correctement aux données stockées sur la couche ferromagnétique ? Y a-t-il un bruit suspect ?
Malgré toute mon expérience, mon cœur bat plus vite.
Apparemment tout va bien. Je lance la copie bit à bit du disque dur. Celle-ci va durer une douzaine d’heure. Je m’assure une nième fois que mon système de stockage est suffisant pour recevoir la copie, qu’aucune coupure programmée n’arrêtera le transfert, que la pièce est assez aérée pour évacuer la chaleur (mon bureau est minuscule). Je pars me coucher, un peu inquiet.
Le lendemain, avant de partir travailler, je vérifie que la copie suit son cours, qu’elle avance correctement, que le disque dur ne chauffe pas trop. J’ai hâte d’être ce soir pour pouvoir enfin éteindre le disque dur original.
Dans un coin de mon bureau trône l’ordinateur éventré, entouré de ses vis et clips soigneusement identifiés. Ma journée de travail est terminée, je peux commencer mon activité d’expert judiciaire. Je m’assure que les hashs de la copie et celui du disque dur d’origine sont cohérents, que ma copie numérique est bien sauvegardée et en sécurité. Je commence le remontage du disque dur dans l’ordinateur.
Puis, enfin, vient le défi principal : la recherche des informations que l’on m’a demandée de
faire. Celles-ci sont peut-être cachées quelques parts, dans un fichier
ou dans un container chiffré. Celles-ci sont peut-être dans la zone non
allouée, dans des fragments d’anciens fichiers. Celles-ci n’existent
peut-être pas. Mais ça, je ne le saurais que dans quelques jours ou quelques semaines.
J’aborde avec effroi ce dernier défi…
À propos, comment se passe votre travail lorsque vous tombez sur un ordinateur équipé de SSD ? La récupération de données effacées est-elle plus difficile ?
Je suis en train de décommissionner une SSD de 128G et je suppose que toute la partie "wipe" destinée à réécrire plusieurs fois sur la surface entière du disque est inutile, qu'il suffit de remplir la SSD de zéros ?
Personnellement, je la trouve plus facile : les volumes sont moins importants, il n'est pas utile de calculer les hash, la mécanique ne tombe pas en panne et les temps d'accès sont beaucoup plus courts…
La partie Wipe est toujours utile, la NSA dispose de moyens très lourds pour accéder aux différents états physiques des mémoires 😉
Je ne comprends pas pourquoi il n'y a pas besoin de calculer de hash sur un SSD.
>La récupération de données effacées est-elle plus difficile ?
Non et ou à la fois. Si on ne veut traiter que la partie visible par l'OS (qui peut constamment changer), ça ne change rien. Par contre, si on veut aussi traiter les blocs réservés, ça se complique sérieusement.
Remplir un SSD de zéros n'est pas suffisant. Certains fabricants fournissent des logiciels pour wiper réellement leur SSD.
Pour éviter l'usure prématurée des cellules de stockage, un mécanisme change les données de place, ce qui modifie le hash du disque dur. Le mécanisme peut être piloté par le système d'exploitation, ou inscrit en dur dans le hardware. C'est une difficulté connue en inforensique.
Merci Zythom pour ta réponse. Finalement j'ai fait bourrin : https://t.co/alA52D0v3I
Ça devrait suffire pour le niveau de parano dont je souffre 😉
[relou] consistants => cohérents / concordants plutôt non ? [/relou]
C'est corrigé, merci !
12 heures? effectivement, le disque dure…
quels sont les taux de transfert moyens a espérer dans le copie d'un disque en entier?
Ça dépend de tellement de facteurs que je ne saurai pas vous répondre de manière générale.
En pratique, je fais des tests avec les dernières technos accessible (à coût raisonnable) : USB3, réseau gigabit… et je prends ce qui va le plus vite.
Avez-vous été confronté à des archis exotiques ? (genre PowerPC, ou pire)
Oui, c'est pour cela que je conserve beaucoup d'anciens matériels et connecteurs. Vous devriez voir ma collection d'adaptateurs SCSI 😉
Bonjour, avez-vous vu l'article qui dit qu'un controleur de carte SD peut être piraté et dont on peut lire ceci: "Les outils d’analyse scientifique, comme ceux utilisés par les forces de l’ordre, commencent généralement par faire une lecture séquentielle secteur par secteur d’une carte mémoire. Ce modèle est facilement identifiable. Il est possible de créer un firmware qui repère cette méthode, puis répond qu’il n’y a pas de données ou bien formate la carte. "
lien: https://www.futura-sciences.com/magazines/high-tech/infos/actu/d/informatique-cartes-memoire-sd-miniordinateurs-piratent-51419/
Les possibilités de protections et de dissimulations sont infinies en informatique, avec un jeu de cache cache et de course aux armements permanent. C'est ce qui fait le charme de l'informatique et qui fait que j'aime mon métier 😉
Les deux petites questions,
Est-il possible d'effet le copie d'un disque dur partitionner GPT avec DEFT?
Est-il possible de faire une expertise judiciaire sur un volume de devenir comme par exemple 25 Tb c'est à peu près le volume de tous mes disques durs à la maison sans parler de peut-être 2-3000 DVD.
La suite ! La suite ! La suite !
Je n'ai rien compris mais c'est réellement palpitant.
Zythom vous pourriez nous scotcher en lisant l'annuaire!