Vraiment effacer des fichiers

13 juil 2008 | Privacy - francais - 1 commentaire

(mis à jour le 21/12/2008)

Vous voulez revendre ou donner un disque dur à un tiers ? Vous voulez être sûr/e de l’effacement d’un fichier bien trop personnel ?

Quand on supprime un fichier d’un média de sauvegarde magnétique, comme un disque dur, alors celui-ci n’apparaît plus dans le gestionnaire de fichiers, mais les zéros et uns qui le constituaient existent toujours sur le disque. Tant que rien d’autre n’a été écrit (sauvegardé) par dessus cette suite de zéros et de uns, il est possible de reconstituer le fichier.

Et même après une, voire plusieurs, nouvelles écritures ces données seraient toujours lisibles, en appliquant certaines méthodes de mesure d’ondes magnétiques et d’imagerie micoscopique (magnetic force microscopy, MFM), comme décrit par Peter Gutmann dans Secure Deletion Of Solid State Memory (1996). Ces méthodes sont hautement critiquées et contestées par Daniel Feenberg, dans Can Intelligence Agencies Read Overwritten Data? (2003). Feenberg va même jusqu’à les nommer « légendes urbaines » [ibd.]. Il considère que lire un disque dur block par block avec un microscope serait trop long et trop cher, mais surtout, ce serait plutôt une méthode pour tester les têtes de lecture des disques dur qu’autre chose – ce qui présuppose toutefois que la MFM est bel et bien capable de faire voir des données effacées sur les blocks.
Recovering unrecoverable data [pdf], un document explicatif et vulgarisant (que je vous conseille de lire) d’une entreprise de data recovery décrit les méthodes courantes pour récupérer des données perdues sur des disques : du remplacement de pièces hardware (têtes de lecture, circuit imprimé, firmware etc.) au réassamblage des données retrouvées par un logiciel spécifique (car c’est le système de fichiers qui en détient ou détenait la clef, non la hardware elle-même). Ce document confirme que la méthode MFM existe et fonctionne, et aussi que cela prendrait plusieurs semaines d’effectuer la lecture (création de plusieurs terabytes d’images) et d’avantage de temps pour l’analyse des images.
La MFM ne lit pas facilement des disques qui sont physiquement abimés (pliés etc.) – et la destruction physique d’un disque (incinération) reste la manière la plus sûre de le rendre inaccessible à un tiers.

Comme dit plus haut, effacer un fichier de votre disque dur ne supprime pas les données écrites sur les secteurs physiques du disque dur, qui ont auparavant constituées ce fichier et qui étaient donc liées à ce nom de fichier. Pour correctement supprimer un fichier, il faut réécrire plusieurs fois par dessus, avec des données randomisées. Gutmann a développé un algorithme pour cela, qui est utilisée entre autres par

  • shred, un outil GNU, installé de base sur certaines distributions Unix, permet de réécrire plusieurs fois par dessus un fichier, sans le supprimer.
  • wipe, un logiciel Unix (il y a des paquets Debian et Ubuntu), réécrit des données randomisées et qui supprime, par défaut, le fichier en question. Son auteur remarque dans la manpage (qui sonne quelque peu parano) que sur des systèmes de fichier journalisés beaucoup d’informations restent dans le journal, même après suppression du fichier.
    Au lieu de faire un rm -r /home/user/donnees-sensibles vous pouvez alors faire un wipe -r /home/user/donnees-sensibles
  • Disk Utility sur MacOS X pour réécrire un disque entier (non seulement un fichier). et
  • Eraser, un logiciel libre à la wipe, pour les systèmes Windows.

Mais, attention, bien que ces outils soient simple d’utilisation, ils ne sont pas un remplacement pour un disque dur crypté. Concernant shred et wipe, si votre système de fichiers est journalisé (ext3, Reiser), ca ne sert pas à grande chose d’utiliser ces deux logiciels. Comme indiqué par Gary Richmond il faut d’abord convertir ext3 en ext2 (si vous utilisez ext3), supprimer le(s) fichier(s), puis reconvertir en ext3 afin que la suppression du fichier ne soit pas notée dans le journal.
Le même article indique aussi une manière de vérifier quels fichiers ont été supprimés et journalisés en utilisant la commande debugfs. debugfs /dev/sda3 (ma partition /home) ouvre un prompt. en y tapant lsdel debugfs va lister les fichiers supprimés avec leurs numéros inode ainsi qu’avec leur date de suppression. Les fichiers peuvent alors être restorés en utilisant la commande dump (voir le man de debugfs à ce sujet).

Lire aussi

Un commentaire pour “Vraiment effacer des fichiers”

  1. rike 26 août 2008 à 12:34

    Les données bancaires d’un million de clients, numéros de compte et signatures compris, ont été retrouvées sur le disque dur d’un ordinateur vendu sur le site d’enchères eBay, a indiqué mardi la presse britannique.

Laisser un commentaire

XHTML: Vous pouvez utiliser ces tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>