SRS Day Secure Deletion of Data from Magnetic and Solid-State Memory Nombres de pages : 20 Version : 1.6 Auteurs : PAWLICKI Piotr ROUX Nicolas Destinataires : SRS Day Remarques : Aucune.
Tables des matières 1 Introduction... 1 1.1 Pourquoi effacer les données?... 1 1.2 Comment un disque dur fonctionne?... 1 1.2.1 Organisation mécanique... 1 1.2.2 Organisation bas niveau : plateaux, cylindre, piste, secteur... 2 1.2.3 Pourquoi peut-on récupérer des informations effacées?... 4 2 Outils pour la récupération... 6 2.1 Méthode classique, annulation suppression... 6 2.2 Le microscope à force magnétique... 6 2.3 Le microscope à effet tunnel... 7 2.3.1 Explication de l effet tunnel... 7 2.3.2 Le microscope à effet tunnel... 7 3 L'effacement... 9 3.1 Que sont ces types d encodages?... 9 3.1.1 FM, MFM et M2FM... 9 3.1.2 RLL... 10 3.1.3 PRML... 11 3.2 Effacement de données en fonctions de l encodage... 11 3.2.1 Les pistes du disque... 11 3.2.2 La largeur des pistes... 11 3.2.3 L impact des fréquences... 11 3.2.4 Comment obtenir les basses fréquences?... 12 3.2.4.1 MFM...12 3.2.4.2 RLL (1,7)...12 3.2.4.3 RLL (2,7) :...13 3.2.4.4 PRML...13 3.2.5 Au final, méthode Peter Gutmann... 13 4 Les normes et recommandations... 15 4.1 Les standards et normes à 1 passe... 15 4.2 Les standards et normes à 3 passes... 15 4.3 Les standards et normes à 4 passes... 15 4.4 Les standards et normes à 5 passes... 15 4.5 Les standards et normes à 7 passes... 15 4.6 Les standards et normes à 35 passes... 16 4.7 Qu'en penser?... 16 4.7.1 En faveur du possible... 16 4.7.2 En faveur de l'impossible... 17 5 La destruction physique... 18 6 Intelligence économique : Société de récupération de données... 19 Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory ii
7 Bibliographie... 20 Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory iii
1 Introduction 1.1 Pourquoi effacer les données? Les disques durs sont présents dans n importe quel système d information pour contenir des informations à conserver. De ce fait, les disques durs sont utilisés parfois comme support de stockage pour des données très confidentielles : serveur de fichiers, poste de travail, etc. Or ceux-ci ne sont pas infaillibles, ils évoluent. Il arrive donc parfois de les changer. Mais que fait-on des anciens disques durs? On les jette? On les revend? Quoi qu il en soit il faut d abord effacer les données qu ils contiennent. Pour effacer un disque, il n y a qu à mettre tous les fichiers à la «corbeille»? Il n y a qu à formater le disque dur? Et bien, non! En effet, les fonctions de suppression au niveau du système d'exploitation ne font que retirer les pointeurs vers le contenu des fichiers (inode, table d allocation du système FAT, ). Pour simplifier, elles enlèvent juste le fichier de la liste des fichiers du système de fichier (FS, File System) mais les données sont toujours présentes sur le disque dur. Pour ce qui est des mécanismes de formatage de disque dur : le formatage rapide n efface que le système de fichiers, il n'efface pas les données. Le formatage complet écrit des «0» partout sur la surface du disque, mais nous verrons que les données sont encore récupérables. Il en va de même pour le formatage bas niveau (voir en dessous) et la fonction «Effacement» de certains disques. 1.2 Comment un disque dur fonctionne? 1.2.1 Organisation mécanique Source : vulgarisation-informatique.com Un disque dur est constitué de plusieurs disques rigides en métal, verre ou céramique appelés plateaux et empilés les uns sur les autres avec une très faible distance d'écart. Les plateaux tournent autour d'un axe avec une vitesse entre 4000 et 15000 tours par minute, dans le sens inverse des aiguilles d'une montre. Les données sont stockées sur le disque dur sous forme analogique sur une fine couche magnétique de quelques microns d'épaisseur recouverte d'un film protecteur. Un DSP (digital signal processor) se charge de la conversion des données analogiques en données numériques compréhensibles par l'ordinateur (0 ou 1, les bits). La lecture et l'écriture se font grâce à des têtes de lecture/écriture situées de part et d'autre de chacun des plateaux et fixées sur un axe. Ces têtes sont en fait des électroaimants qui se baissent et se soulèvent (elles ne sont qu'à 15 microns de la surface, séparées par une couche d'air provoquée par la rotation des plateaux) pour pouvoir lire l'information ou l'écrire. Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 1
Cependant, les têtes ne peuvent se déplacer individuellement et seulement une tête peut lire ou écrire à un moment donné. L'ensemble de cette mécanique de précision est contenue dans un boitier totalement hermétique, car la moindre particule peut détériorer l'état de surface du disque dur. 1.2.2 Organisation bas niveau : plateaux, cylindre, piste, secteur Mais avant de pouvoir ranger des informations dans un disque dur, encore faut-il organiser ce rangement : Pour stocker des données, on crée des pistes en cercles concentriques sur les plateaux autour de l'axe de rotation. Leur nombre varie en fonction du type de matériaux utilisés pour les plateaux et la couche magnétique. Chaque piste est numérotée. La numérotation débute par 0 et commence à l'extérieur du plateau. De plus, la tête laisse un "trou" (appelé gap en anglais) entre chaque piste. Source : Commentcamarche.net, Dossier «Le formatage d'un disque dur» Ensuite, on découpe la piste en secteurs (numérotés en commençant à partir de 1) séparés entre eux par des trous (gaps). Chacun de ces secteurs commence par une zone réservée aux informations du système appelée préfixe et se termine par une zone appelée suffixe (qui contient les sommes de contrôle par exemple) Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 2
Source : Commentcamarche.net, Dossier «Le formatage d'un disque dur» On a des milliers de pistes qui ont chacune de 60 à 120 secteurs environ. Et enfin, on appelle cylindre l'ensemble des pistes réparties sur les faces de chaque plateau et situées à la même distance de l'axe de rotation : Source : Commentcamarche.net, Dossier «Le formatage d'un disque dur» En simplifiant, on se déplace sur un disque dur avec des adresses de type : plateaux_cylindres_(pistes)_secteurs. On parle aussi d adresse CHS (Cylinder-Head- Sector), il suffit juste de traduire plateau par tête qui accède à ce plateau. C est donc la même chose. L ensemble de cette organisation physique est créée lors du formatage physique / bas niveau (différent formatage rapide / complet / logique). De base, l utilisateur n a pas à faire ce formatage puisque il est réalisé en usine. Cependant, il arrive qu un formatage de tel type résolve certains problèmes : secteur défectueux, problème d accès, puisque il remet à «neuf» l organisation du disque et notamment la table des secteurs défectueux. Dans le cadre de ce dossier nous verrons qu un tel formatage n empêche pas la récupération de données. Une fois cette organisation physique réalisée, on peut se préparer à mettre un système de fichier (qui est déjà un stockage d information en soi) pour stocker des données. Pour stocker des informations le système d'exploitation utilise des blocs appelé «cluster». C est équivalent à plusieurs secteurs. Un fichier, aussi petit soit-il, ne peut prendre moins d un cluster en terme de place sur un disque dur. Cluster = taille minimale que peut occuper un fichier sur le disque Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 3
1.2.3 Pourquoi peut-on récupérer des informations effacées? Les données sont stockées en polarisant la couche magnétique des plateaux. Avant, on stockait longitudinalement et maintenant perpendiculairement afin d augmenter la densité d information stockée. Source : «Le disque dur», vulgarisation-informatique.com En écrivant, la tête change la polarité de la plupart des domaines magnétiques, mais pas de tous. En informatique, on ne connait que le «1» et le «0», mais dans le codage analogique ce n est pas exactement cela. Supposons qu il existe la polarisation «1» et «0». Alors : o o Si on écrit un 1 sur un 0, on tombera sur une polarisation valant 0,95 à la prochaine lecture Si on écrit un 1 sur un 1, on tombera sur une polarisation valant 1,05 à la prochaine lecture En effet, du à l «imprécision» du placement de la tête de lecture/écriture, celle-ci ne polarise pas tous les éléments qui composent le bit. C est ainsi, que chaque bit garde une trace de ces anciennes valeurs et qu il est possible de retrouver des informations même après une réécriture Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 4
Il y a aussi les valeurs de sommes de contrôle qui peuvent, si elles sont mal effacées, permettre de retrouver des données. Il y a aussi la difficulté à effacer un bit qui est resté longtemps à la même valeur mais nous détaillerons cela plus tard. Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 5
2 Outils pour la récupération 2.1 Méthode classique, annulation suppression Quand un fichier est supprimé, il est marqué comme supprimé dans le système de fichier et si on doit créer un nouveau fichier, on prend l espace libre ou l espace occupé par les fichiers les plus anciennement supprimés. Il est donc possible, en parcourant de manière brute (RAW) le système de fichier et en l analysant, de retrouver les entrées marquées «supprimées». Ainsi l emplacement des fichiers supprimés est identifié et il est possible de récupérer les fichiers si rien n a été écrit pardessus. Exemple d un système de fichier en FAT : Quand on efface un fichier, le système n'efface absolument rien sur le disque, il ne fait que mettre les clusters correspondants de la FAT à «0», et remplacer (au niveau du répertoire) la première lettre du nom du fichier par un caractère particulier... Le fichier est toujours bien présent sur le disque. Si le système de fichiers a été supprimé/formaté, il est encore possible en utilisant des algorithmes complexes de retrouver les liens entre les clusters en lisant la totalité du disque et ainsi reconstituer les fichiers. Cette opération de récupération est très longue et n'est pas fiable à 100% mais permet parfois de récupérer des informations. 2.2 Le microscope à force magnétique Source : http://www.montefiore.ulg.ac.be/~vdh/tfe-nouveaux.html Un microscope à force magnétique (MFM, Magnetic Force Microscope) permet de détecter des variations spatiales de champ magnétique avec une résolution inférieure au micron. Dans un microscope MFM, une très fine pointe aimantée, montée à l'extrémité d'un bras de levier en silicium, est déplacée au dessus de la surface de l'échantillon à analyser. Le champ magnétique émanant de la surface de l'échantillon exerce une force sur la pointe aimantée. Il en résulte une déformation du levier, mesurée au moyen de capteurs optiques (laser) par exemple. La force d'interaction entre la pointe et le matériau nous renseigne sur l'état magnétique de la surface du matériau. Deux modes de mesure sont possibles : un mode «tapping», permettant de mesurer la composante normale de la force s'exerçant sur la pointe, et un mode «torsion», permettant de mesurer la composante tangentielle. Ainsi, avec un microscope à force magnétique, il est possible de scanner un plateau de disque dur. A partir de là, il est possible de retrouver des données comme nous le verrons par la suite. Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 6
Images par microscopie à force magnétique de disques durs. A gauche un disque de 40 giga-octets ; à droite un disque de 4 giga-octets 2.3 Le microscope à effet tunnel Le microscope à effet tunnel (STM, Scanning Tunneling Microscope) utilise un phénomène quantique, l effet tunnel. 2.3.1 Explication de l effet tunnel Source : http://www.techno-science.net/?onglet=glossaire&definition=8017 «L'effet tunnel désigne la propriété que possède un objet quantique de franchir une barrière de potentiel, franchissement impossible selon la Mécanique classique. Généralement, la fonction d'onde d'une particule, dont le carré du module représente l'amplitude de sa probabilité de présence, ne s'annule pas au niveau de la barrière, mais s'atténue à l'intérieur de la barrière, pratiquement exponentiellement pour une barrière assez large. Si, à la sortie de la barrière de potentiel, la particule possède une probabilité de présence non nulle, elle peut traverser cette barrière. Cette probabilité dépend des états accessibles de part et d'autre de la barrière ainsi que de son extension spatiale.» 2.3.2 Le microscope à effet tunnel Dans le STM, un palpeur (une pointe) suit la surface de l'objet. La pointe balaie (scanne) la surface à représenter. Un ordinateur ajuste (via un système d'asservissement) en temps réel la hauteur de la Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 7
pointe pour maintenir un courant constant (courant tunnel) et enregistre cette hauteur qui permet de reconstituer la surface. Pour cela, avec un système de positionnement de grande précision (réalisé à l'aide de piézoélectriques), on place une pointe conductrice en face de la surface à étudier et l'on mesure le courant résultant du passage d'électrons entre la pointe et la surface par effet tunnel (les électrons libres du métal sortent un peu de la surface, si l'on se met très près sans pour autant la toucher, on peut enregistrer un courant électrique). Dans la plupart des cas, ce courant dépend très rapidement (exponentiellement) de la distance séparant la pointe de la surface, avec une distance caractéristique de quelques dixièmes de nanomètres. Ainsi, on fait bouger la pointe au dessus de l'échantillon avec un mouvement de balayage et on ajuste la hauteur de celle-ci de manière à conserver une intensité du courant tunnel constante, au moyen d'une boucle de rétroaction. On peut alors déterminer le profil de la surface avec une précision inférieure aux distances interatomiques. Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 8
3 L'effacement Degaussing (démagnétisation) : on remet le disque dur dans son état d'origine en le soumettant à un champ magnétique dont l'intensité doit être au moins 5 fois supérieure à la coercivité du disque (intensité de champ magnétique nécessaire pour supprimer l'induction magnétique existante). Ainsi l ensemble des bits sont «réinitialisés» (pas de sens de magnétisation). Réécriture : on écrit plusieurs motifs au même endroit pour inverser les domaines magnétiques plusieurs fois. Réécriture oui, mais comment? Il existe de nombreuses normes en fonctions du support qui détaillent la méthode de réécriture comme nous le verrons par la suite. Ces normes définissent notamment : o o Le nombre de passes Le motif utilisé pour la réécriture o Sur quel type de disque utiliser la norme en fonction du type d encodage : MFM (Modified Frequency Modulation) RLL (Run Length Limited) 1,7 ou 2,7 Bien d'autres de nos jours : PRML, EPRML, EEPRML, Trellis, MTR... 3.1 Que sont ces types d encodage? 3.1.1 FM, MFM et M2FM Différentes techniques de codage ou de magnétisation sont utilisées, dans le but d'assurer une plus grande intégrité et une plus grande densité de l'information. Les codages FM, MFM et M2FM utilisent la technique d'enregistrement NRZI, où un «1» est représenté par un renversement du flux magnétique. Dans le codage FM (modulation de fréquence), il y a une impulsion d'horloge (renversement de flux) au début de chaque cellule de bit (coïncidant avec le pointillé). Un «1» est représenté par une impulsion (renversement de flux) au milieu de la cellule de bit. Il n'y a pas de renversement de flux dans le cas d'un «0». Vers 1977, on introduit les techniques dites de double densité. Dans le MFM (modulation de fréquence modifiée), on n'a une impulsion d'horloge que s'il y a deux «0» de suite ou plus. Ceci permet de réduire la durée de la cellule de bit sans augmenter le nombre de renversements de flux par unité de distance. Dans le M2FM (modulation de fréquence doublement modifiée ou modifiée par Miller), on n'a une impulsion d'horloge pour un zéro que si le bit précédent était zéro et qu'il n'y avait pas d'impulsion d'horloge pour ce bit. Dans les trois techniques, le contrôleur de disque doit être assez bien synchronisé pour faire la distinction entre une impulsion d'horloge et une donnée. Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 9
3.1.2 RLL Un autre codage similaire au GCR (l978) est utilisé depuis quelques années, le codage RLL (Run- Length Limited). On retrouve ce dernier sur la plupart des disques durs récents en 1996. Dans le GCR et le RLL, il s agit de coder l information de telle sorte qu il n y ait jamais ni plus ni moins qu un certain nombre de zéros qui se suivent, quel que soit le motif de bits à enregistrer, afin de ne pas perdre la synchronisation. Dans le codage RLL 2,7, par exemple, il y a toujours au moins deux zéros et au plus sept zéros entre chaque paire de uns. Dans le RLL 3,9, on trouve entre deux uns au moins trois et au maximum neuf zéros. Le codage RLL est environ 50% plus dense que le MFM. Table pour le RLL(2,7) Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 10
3.1.3 PRML Partial Response Maximum Likelihood (PRML) est une nouvelle méthode d encodage pour convertir un signal faible analogique en signal numérique. Cette technique est utilisée dans les disques durs actuels pour augmenter encore la densité. PRML a été amélioré pour donner l extended PRML (EPRML) qui permet une densité encore plus grande. Ce type d encodage ne sera pas détaillé. 3.2 Effacement de données en fonctions de l encodage 3.2.1 Les pistes du disque Un disque dur utilise des pistes pour écrire des données comme cela a été vu précédemment. Quand on réécrit sur une piste, on ne réécrit pas forcément sur la piste entière. Cela est du à une imprécision du positionnement de la tête de lecture/écriture. Ainsi il est possible grâce à un MFM ou un STM de récupérer les informations sur l ancienne piste en lisant le bord des pistes qui a été mal réécrit. La plupart des disques durs proposent aussi des fonctions pour contrôler la tête de lecture par micro pas à pas. Mais ces fonctions sont difficilement accessibles car forcer la réécriture des bords d une piste est beaucoup trop dangereux pour la piste à coté. Dommage, on aurait pu se servir de ce micro pas à pas pour lire ces bords de pistes 3.2.2 La largeur des pistes La largeur des pistes a aussi une importance. Si les pistes sont larges, alors quand on écrit des bits sur cette piste, cela crée un champ perpendiculaire à la piste. Ainsi après une réécriture, il est possible en étudiant ces champs le long de la piste et à partir des données qui sont en ce moment sur la piste de déduire les données précédentes. En effet, si les anciennes données et les nouvelles sont en phase alors le champ magnétique est continu. Mais si les anciennes données et les nouvelles sont en phases opposés, alors il y aura une zone sans magnétisation à la jointure des anciennes et nouvelles données. Ce phénomène est énormément atténué si la densité des données augmente car les données proches changeront aussi la phase du bord de la piste de la données d à coté. Ainsi on ne pourra pas deviner les anciennes données. 3.2.3 L impact des fréquences Pour effacer une donnée, il faut alterner le plus de fois possible le sens du champ magnétique des bits qui codaient la données. Il ne faut pas non plus écrire le même pattern sinon on serait capable de deviner les données précédentes de la même manière qu avec les bits à 0,95 et 1,05 décrit précédemment. Ainsi, pour arriver à cela il faudrait utiliser les hautes fréquences pour aller plus vite. Le problème est que si on utilise les hautes fréquences, on touche au sens magnétique de la surface mais pas au sens magnétique en profondeur. Il faut trouver un juste milieu. De plus, pour augmenter la densité, les médias utilisent une coercivité plus grande. La coercivité mesure le pouvoir de magnétisation des supports. Plus la coercivité est grande plus il faudra un champ puissant pour effacer les données stockées sur le support. Ainsi, plus la coercivité est grande moins on est sujet à des effets de bords, ce qui permet d avoir une plus grande densité des medias. Exemple de coercivité : o o CB = 210 FCI (Flux changes per inch) Disque dur = 40000 FCI Ainsi on obtient des grandes densités, du coup pour écrire des bits il faudra utiliser des hautes fréquences (alternance rapide entre les «0» et les «1»). Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 11
Bilan : Pour effacer des données, il faut utiliser la fréquence la plus basse possible. Le problème est que les données ne sont pas écrites telles quelles. Elles sont encodées. Ainsi il faut déterminer quelles sont les données qui, UNE FOIS ENCODEE, donneront les fréquences les plus basses. 3.2.4 Comment obtenir les basses fréquences? 3.2.4.1 MFM Dans le codage MFM, le bit de synchronisation est supprimé sauf dans le cas où 2 zéros se suivent comme nous l avons vu précédemment. Donc si on prend les exemples suivants, 0000, 1111, et 1010, cela donnera une fois encodés les patterns suivant 0(1)0(1)0(1)0, 1(0)1(0)1(0)1, et 1(0)0(0)1(0)0 où les () indiquent les bits de synchronisation insérés lors du processus Ainsi, avec le code 1010 on obtient le maximum de trois bits à «0» entre chaque «1». On a donc au maximum 4 bits entre chaque transition. La fréquence la plus basse possible est donc obtenue en répétant les patterns décodés 1010 et 0101. Ces patterns ont un «1» tout les autres bits de données et les bits de synchronisation sont tous à «0». On aurait aimé avoir les autres patterns avec les bits d horloge à «1» et tous les autres bits à «0» mais ce n est pas possible avec l encodage MFM (utilisés pour certains marquages de secteurs spéciaux). Le mieux que l on puisse aussi générer est avec 3 bits entre chaque transition et cela s obtient en répétant les patterns décodés suivant : 100100, 010010 et 001001. 3.2.4.2 RLL (1,7) Pour l encodage (1,7) RLL, bien que d après la définition d un RLL(1,7) (au minimum un «0» et au maximum sept «0» qui se suivent) on puisse avoir au maximum 8 bits entre chaque transition, la réalité est différente. La fréquence le plus basse possible s obtient avec 6 bits entre chaque transition. C est une propriété du circuit de codage des données et tous les codages RLL(1,7) ont cette propriété. Il faut trouver un moyen d écrire les patterns voulus sans connaitre l encodage RLL(1,7) précis utilisé dans le disque. Il faut regarder comment est fait le système de correction des erreurs (une erreur d un bit encodés n a d influence que sur peu de bits décodés). Il existe une bijection entre les bits encodes et les bits décodés. Ainsi la répétition d un pattern encodé correspond à la répétition d un pattern décodé. Les patterns encodés sont long de 6 bits et le ratio données décodés/données encodés est de 2/3. Il n y a donc que 16 patterns possibles de 4 bits : 0000, 0001, 0010, 0011, 0100, 0101, 0110, 0111, 1000, 1001, 1010, 1011, 1100, 1101, 1110, et 1111. Parmi ces patterns, 2 sont aussi utilisés pour l effacement MFM. Donc il est bien de les réutiliser car l encodage MFM est difficile à effacer sur les anciens media (faible densité, etc.). Au final les 16 patterns seront utilisés pour couvrir l ensemble des différents encodages RLL(1,7). Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 12
3.2.4.3 RLL (2,7) : Même si il existe beaucoup d encodage RLL, le plus répandu pour un RLL(2,7) (merci IBM) est : Données en clair Données encodées en (2,7) RLL 00 1000 01 0100 100 001000 101 100100 111 000100 1100 00001000 1101 00100100 En regardant ce tableau on trouve les patterns décodés 0x33, 0x66, 0xCC and 0x99, qui sont aussi écrit avec les 16 patterns du (1,7) RLL. Les patterns à six bits peuvent être écrits en répétant des patterns 3 bits. Les patterns avec que des 0 ou que des 1 sont déjà dans les patterns (1,7) RLL patterns. Il en reste 6 autres possibles : 001001001001001001001001 2 4 9 2 4 9 En binaire ou 0x24 0x92 0x49, 0x92 0x49 0x24 et 0x49 0x24 0x92 en hexa, et 011011011011011011011011 6 D B 6 D B En binaire ou 0x6D 0xB6 0xDB, 0xB6 0xDB 0x6D et 0xDB 0x6D 0xB6 en hexa. Les trois premiers sont les même que pour les MFM donc on a besoin que de 3 nouveaux patterns pour couvrir l effacement de disque utilisant l encodage (2,7) RLL. 3.2.4.4 PRML L encodage PRML étant trop complexe à anticiper, le meilleur moyen pour l effacer, c est l aléatoire. 3.2.5 Au final, méthode Peter Gutmann Au final, on obtient la méthode de Peter Gutmann qui efface les données sur un disque dur quel que soit l encodage des données utilisé. Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 13
Effacement de données (Peter Gutmann 35 passes) Numéro de passe Données écrites (en bits puis en hexa) Type d encodage visé 1 Random 2 Random 3 Random 4 Random 5 01010101 01010101 01010101 0x55 (1,7) RLL MFM 6 10101010 10101010 10101010 0xAA (1,7) RLL MFM 7 10010010 01001001 00100100 0x92 0x49 0x24 (2,7) RLL MFM 8 01001001 00100100 10010010 0x49 0x24 0x92 (2,7) RLL MFM 9 00100100 10010010 01001001 0x24 0x92 0x49 (2,7) RLL MFM 10 00000000 00000000 00000000 0x00 (1,7) RLL (2,7) RLL 11 00010001 00010001 00010001 0x11 (1,7) RLL 12 00100010 00100010 00100010 0x22 (1,7) RLL 13 00110011 00110011 00110011 0x33 (1,7) RLL (2,7) RLL 14 01000100 01000100 01000100 0x44 (1,7) RLL 15 01010101 01010101 01010101 0x55 (1,7) RLL MFM 16 01100110 01100110 01100110 0x66 (1,7) RLL (2,7) RLL 17 01110111 01110111 01110111 0x77 (1,7) RLL 18 10001000 10001000 10001000 0x88 (1,7) RLL 19 10011001 10011001 10011001 0x99 (1,7) RLL (2,7) RLL 20 10101010 10101010 10101010 0xAA (1,7) RLL MFM 21 10111011 10111011 10111011 0xBB (1,7) RLL 22 11001100 11001100 11001100 0xCC (1,7) RLL (2,7) RLL 23 11011101 11011101 11011101 0xDD (1,7) RLL 24 11101110 11101110 11101110 0xEE (1,7) RLL 25 11111111 11111111 11111111 0xFF (1,7) RLL (2,7) RLL 26 10010010 01001001 00100100 0x92 0x49 0x24 (2,7) RLL MFM 27 01001001 00100100 10010010 0x49 0x24 0x92 (2,7) RLL MFM 28 00100100 10010010 01001001 0x24 0x92 0x49 (2,7) RLL MFM 29 01101101 10110110 11011011 0x6D 0xB6 0xDB (2,7) RLL 30 10110110 11011011 01101101 0xB6 0xDB 0x6D (2,7) RLL 31 11011011 01101101 10110110 0xDB 0x6D 0xB6 (2,7) RLL 32 Random 33 Random 34 Random 35 Random Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 14
4 Les normes et recommandations D'un logiciel à un autre, les implémentations diffèrent. Ainsi, pour un même standard, le nombre de passes et les mêmes motifs peuvent varier. 4.1 Les standards et normes à 1 passe Quick Wipe offre une seule passe avec un motif composé de zéros uniquement. PRNG Stream Wipe propose une passe de données aléatoires. HMG IS5 Infosec 5 Baseline - UK's Ministry of Defence fonctionne avec une passe de zéros suivie d'une vérification des informations résiduelles. 4.2 Les standards et normes à 3 passes AR380-19 - US Army (1990) suggère un caractère fixe, son complément et un aléatoire. NAVSO P-5239-26 - US Navy Staff Office (1993) défend une approche basée sur une passe de 0xFF, puis un motif spécial MFM (0x7FFFFFFF) ou RLL (0x27FFFFFF) et enfin une passe aléatoire. NISPOM / DoD 5220-22.M - US DoD (1991) propose l'utilisation d'un caractère fixe pour la première passe, son complément pour la second et enfin et une passe aléatoire. AFSSI-5020 - US Air-Force (1991) fonctionne avec une passe de 0x00 puis une passe de 0xFF, et enfin une passe avec un caractère constant. NSA 130-2 - NSA suggère deux passes aléatoires et finalement une passe de «0» HMG IS5 Infosec 5 Enhanced - UK's Ministry of Defence préconise une première passe avec caractère constant, une seconde passe avec son complément et enfin une passe aléatoire et enfin une vérification. TSSIT OPS-II (G2-003) - Royal Canadian Mouned Police (2003) met en avant une passe de zéros, puis une passe de uns, et finalement l'écriture d'un texte ASCII. Mais ils donnent également un complément d'information assez contradictoire "However, more than three overwrites generally buys little if any added benefit". 4.3 Les standards et normes à 4 passes NCSC-TG-025 - National Computer Security Center (1991) : pas d'informations trouvées. 4.4 Les standards et normes à 5 passes GOST P50739-95 - Russie (1995) : trois séries de zéros et trois séries d'aléatoire (source non sûre). 4.5 Les standards et normes à 7 passes OTAN / NATO Data Destruction Standard : six passes alternées de 0x00 et de 0xFF, puis une passe aléatoire. VSITR (BSI)- German Federal Office for IT Security : six passes alternées de 0x00 et de 0xFF, puis une passe de AA (10101010). DoD 5220.22-M ECE (1995) : trois passes de DoD standard (un caractère, son complément et un aléatoire), une passe de caractère aléatoire et encore trois passes de DoD standard. Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 15
Bruce Schneier (1996) : ce cryptologue recommandait de ne pas suivre les standards du DoD et de faire une passe de 0xFF, une passe de 0x00 et de terminer par cinq passes de caractères pseudo-aléatoires. 4.6 Les standards et normes à 35 passes Peter Gutmann (1996) propose des passes aléatoires et des passes contre RLL et MFM. Dans la nouvelle version de son article, il avance également que des passes aléatoires sont également intéressantes de part les différents des types d'encodage utilisés aujourd'hui. 4.7 Qu'en penser? La communauté des spécialistes reste cependant partagée quant aux méthodes d effacements sécurisés et leur garantie de réelles destructions des données. Dans la théorique, tout le monde s'accorde sur le fait qu'une opération de récupération reste possible, au moins après une ou deux couches. Néanmoins, pour le coté pratique, les avis diverges quant à la possibilité de retrouver des informations après une opération d'effacement dite sécurisée. 4.7.1 En faveur du possible Les recommandations officielles sont le premier point à considérer en faveur des partisans du «c'est possible». En effet, de part les explications et démonstration de leur fonctionnement, elles montrent leur réelle capacité à effectuer cette opération. Il est ainsi possible de construire le chemin inverse qui permettrait la récupération. De plus, quelques rumeurs de récupération d'informations après une opération d'effacement sécurisée veulent mettre en défaut ces méthodes : o o David H. Schultz (Beyond Fingerprints) relate les faits suivants: «Until recently computer forensic and data recovery specialists agreed that data overwritten a total of nine times would ensure the data could not be recovered. With the development of Magnetic Force Microscopy, however, data can be recovered even after the hard disk has been overwritten a dozen or more times.» Il serait donc tout à fait possible avec les technologies modernes de retrouver des informations même avec un très grand nombre de passes. Roy Pfitzner, expert travaillant pour le gouvernement allemand, dans une édition du mois de Décembre 2003 de Der Spiegel (12/2003) avance que des données peuvent être retrouvées même après avoir été réécrites 20 fois et il faut réécrire plus de 30 fois avec des données aléatoires (33 passes donnent une probabilité de 0,99 que chaque domaine magnétique ait été réorienté au mois deux fois). o Dans l'affaire Clearstream le journal Libération du 6 juillet 2007 publie : «En février 2006, le juge Jean-Marie d'huy s'était déjà aperçu, à la lecture de l'expertise des ordinateurs de Jean-Louis Gergorin et d'imad Lahoud, que des dizaines de milliers de fichiers et répertoires avaient été effacés peu avant une perquisition effectuée chez EADS. [...] Malgré le passage des disques durs à la moulinette d'eraser, un outil d'effacement de données qui porte bien son nom, plusieurs centaines de fichiers ont été récupérés par les experts.» o Nicolas Duvinage, chef du Département informatique-électronique à l'ircgn, dans un article de "Police scientifique : des recherches tous azimuts" publié le 8 octobre 2007 insiste sur les points suivants : «Les logiciels d'effacement définitif présentent des lacunes qui nous permettent de faire certaines choses. [...] Dans la pratique, nous réussissons à récupérer 80 % de l'ensemble des données effacées.» Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 16
4.7.2 En faveur de l'impossible Les partisans du «c'est impossible» mettent en avant en revanche la difficulté de retrouver un fichier d'après des fragments de données, surtout si ce fichier a été stocké sur plusieurs couches différentes. De plus, cette opération de recherche nécessiterait trop de temps pour traiter par exemple l'ensemble des informations d'un disque de 500Go. Pour appuyer ce point, beaucoup d'entreprises offrent un certificat d'effacement attestant l'absence de données récupérables sur le support après n'avoir réécrit qu'avec une seule passe, citons par exemple Invirtuel (www.invirtuel.fr). Enfin, les standards dans leur dernière version (DoD, US Army...) n'indiquent aucune information quant aux méthodes employées. Il est possible d'en déduire que la construction du chemin inverse serait donc possible lorsque ces caractéristiques sont disponibles, c'est pourquoi ils se refusent de dévoiler le nombre de passes réellement nécessaire à la vue des temps de traitement que nécessitent les supports dont la taille ne cesse d'augmenter. Il devient alors difficile de statuer sur l'efficacité réelle des méthodes de suppression sécurisée. D'un coté nous avons les entreprises qui vantent les mérites de leurs solutions. De l'autre, les spécialistes de la récupération restent aussi discrets que possibles quant à ce qu'ils peuvent réellement faire. Cependant, le doute qui émane de cette situation reste profitable à chacun de ces acteurs... Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 17
5 La destruction physique Ne jamais stocker les données sensibles reste indéniablement le meilleur moyen pour ne pas avoir à les effacer lorsque cela devient nécessaire. Bien que, de manière générale, cela ne soit pas pratique, il y a des situations où cela n'est tout simplement pas possible. La destruction physique du support reste alors la solution ultime pour faire disparaitre les données indésirables qu'il pourrait contenir. La relation est simple : plus de support, plus de données. La destruction physique est certainement la méthode plus radicale mais également la plus sûre à condition d'être appliquée correctement. Parmi les techniques de destruction du support nous pouvons citer : o Les techniques d'altération du support : Perçage : rendre les surfaces enregistrables inutilisables. Abrasion : rendre la surface enregistrable illisible (sable, papier de verre, etc.). Corrosion : appliquée sur la surface enregistrable elle la rend inutilisable (acides, etc.). o Les techniques d'annihilation du support : Broyage mécanique : découper le support en petites pièces. Corrosion : appliquée sur le support enregistrable elle le rend inutilisable (acides, etc.). Incinération : dépasser le point de Curie pour les métaux composants (Cobalt 1115, Acier 770 ). Fusion : recyclage forcé (Aluminium 660 ). Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 18
6 Intelligence économique : Société de récupération de données Depuis l'explosion de l'ère informatique et du numérique, ainsi que l'émergence progressive de la dématérialisation des documents - démarche qui s'inscrit dans la politique de développement durable des entreprises - la concentration des données et la multiplication des supports de stockage les contenant provoque inévitablement de nouveaux risques pour les entreprises. En cas de défaillance ou d endommagement du support, ces données ne sont plus accessibles et constituent donc des risques pouvant atteindre les intérêts financiers, commerciaux et technologiques d'une société. C'est pourquoi, dans un recours à un prestataire de service externe pour leur récupération, l'entreprise doit se protéger et avoir la garantie que ses intérêts ne seront pas compromis. Des précautions techniques, logistiques et juridiques s imposent donc. Pour guider les entreprises dans leur choix de prestataire, le SGDN a publié «La charte de bonnes pratiques relative à la récupération de données contenues dans des supports informatiques endommagés». Cette Charte, qui ne se veut nullement comme une loi, propose donc des mesures opérationnelles afin de protéger les informations qui mériteraient, aux yeux de l entreprise, une attention toute particulière. Elle définit pour cela les conditions minimales de sécurité d'une prestation de récupération de données : Transparence : tout lien avec des sous-traitants, une maison mère ou des intermédiaires doivent être explicites. Cadre : établissement d un devis est primordial pour définir le niveau d intervention et donc celui de la prestation. Le niveau de sensibilité des informations doit être indiqué. Traçabilité : le cycle de vie de la donnée, de la prise en main par le prestataire, à la sauvegarde, en passant par le traitement, doit être disponible au client. Confidentialité et intégrité : deux garanties nécessaire pendant la durée de la prestation. Information : les risques inhérents à l acheminement des données doivent être expliqués au client. Conseil : certaines recommandations afin d assurer la restitution et la conservation des données et des supports doivent être délivrées au client. Néanmoins, cette charte n'a aucun caractère législatif, encore moins international, et n'engage que les prestataires de services qui, de leur propre chef, ont choisi d'y adhérer : DATEX, LMCI, PCM Assistance, Invirtuel, Databack et CDDEP sont les seules entreprises sur le territoire français signataires de cette charte. Ontrack, un poids lourd du marché sur la récupération de données n a par exemple pas signé cette chartre Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 19
7 Bibliographie "Secure Deletion of Data from Magnetic and Solid-State Memory", Peter Gutmann, Sixth USENIX Security Symposium (1996) "A Guide to Understanding Data Remanence in Automated Information Systems" (NCSC-TG- 025), National Computer Security Center (1991) «Le Disque Dur» http://www.vulgarisation-informatique.com/disque-dur.php «Effet tunnel» http://www.techno-science.net/?onglet=glossaire&definition=8017 «Le formatage d'un disque dur» http://www.commentcamarche.net/repar/format.php3 http://www.montefiore.ulg.ac.be/~vdh/tfe-nouveaux.html «Microscope à effet tunnel» http://www.techno-science.net/?onglet=glossaire&definition=4603 «Chartes de Bonnes Pratiques relative a la récupération de données contenues sur des supports informatiques endommagés» http://www.intelligence-economique.gouv.fr/article.php3?id_article=199 "Recovering unrecoverable data", Charles H. Sobey (2004) "Hard Drive Secure Information Removal and Destruction Guidelines" (G2-003), Technical Security Branch, Royal Canadian Mounted Police (2003) "Hide and Seek : Concealing and Recovering Hard Disk Data", James Steven Dillon, (2006) Version 1.6 Secure Deletion of Data from Magnetic and Solid-State Memory 20