disques durs, effacement - recuperation de donnees
60 réponses
Kna
Salut à tous
Quelques questions sur lesquelles j'aimerais votre aide :
Quelles sont les applications courantes, ou si vous préférez les
"accréditations" pour les différents modes d'effacement suivants :
- effacement 1 passe, ou "zero-fill drive", ou formatage bas niveau via un
BIOS SCSI ou utilitaire comme Ontrack Disk manager
- effacement 3 passes comme par exemple selon DoD 5220.22-M ou équivalent
- effacement 7 passes comme ci-dessus
En bref, quelles sont les méthodes nécessaires et suffisantes, voir exigées
sous nos climats, suivant le type de données que l'on veut supprimer d'un
disque dur ?
Et en complément, quels sont les outils soft les plus performants que l'on
puisse employer pour récupérer les données d'un disque ainsi effacé ?
En imaginant qu'un tel disque effacé tombe dans des mains mal
intentionnées, et finisse dans un labo spécialisé dans la récupération de
données, quel est alors le niveau de protection minimal à envisager pour
contrer ce genre de tentative ?
D'après quelques test logiciels que j'ai pu faire, des outils comme
Byteback, Tiramisu, Lost&found se cassent les dents dès qu'un effacement
une passe a eu lieu..
D'après quelques test logiciels que j'ai pu faire, des outils comme Byteback, Tiramisu, Lost&found se cassent les dents dès qu'un effacement une passe a eu lieu..
Je te recommande WinHex : http://www.winhex.com/winhex/forensics.html
A quoi peut-il servir ? Si une tête d'un disque dur a écrit des données à un endroit du disque, elle ne peut pas lire ce qui s'y trouvait avant, il me semble.
Pour avoir a plusieurs reprises fait des recuperations de fichiers avec des softs type winhex suite a des plantages/effacements accidentels c'est loin d'etre simple.
Si la donnee est en clair dans un secteur et que l'on sait se que l'on cherche c'est assez facile. Ca devient tres long en scannant manuellement secteur par secteur avec pas mal fichiers ASCII autres qui vont ralentir l'analyse. Qd le fichier est reparti sur plusieurs secteurs non contigue ca devient complique a reconstituer.
Alors si on part du principe que: - ce sont des donnees sensibles donc qu'elles sont cryptees (mm faiblement) - que le HD a ete efface plusieurs fois - que le HD si il est recent fait au minimum 20 Go - que la reconstitution du HD avec une lecture en salle blanche contient probablement des erreurs (l'information est reconstitue en 'lisant les cotes de la piste originale'). Si ca arrive au niveau des declarations de fichiers (fat, directory...) bon courage...
Ca va devenir un veritable travail titan pour resortir des infos. Il y a probablement + simple, - cher, + rapide pour qq'un de mal intentionne.
D'autre part le fait de lire des informations lie a l'ecriture precedente etait possible sur les vieux HD. Maintenant ca devient franchement difficile a cause de l'augmentation de densite des donnees. Information a verifier, je crois me souvenir que mon prof d'architecture systeme avait aborde le sujet en ces termes.
On 08 Feb 2005 20:53:38 GMT, Fabien LE LEZ <gramster@gramster.com>
wrote:
On 08 Feb 2005 16:04:15 GMT, LaDDL <bounce@localhost.com>:
D'après quelques test logiciels que j'ai pu faire, des outils comme
Byteback, Tiramisu, Lost&found se cassent les dents dès qu'un effacement
une passe a eu lieu..
Je te recommande WinHex : http://www.winhex.com/winhex/forensics.html
A quoi peut-il servir ? Si une tête d'un disque dur a écrit des
données à un endroit du disque, elle ne peut pas lire ce qui s'y
trouvait avant, il me semble.
Pour avoir a plusieurs reprises fait des recuperations de fichiers
avec des softs type winhex suite a des plantages/effacements
accidentels c'est loin d'etre simple.
Si la donnee est en clair dans un secteur et que l'on sait se que l'on
cherche c'est assez facile. Ca devient tres long en scannant
manuellement secteur par secteur avec pas mal fichiers ASCII autres
qui vont ralentir l'analyse. Qd le fichier est reparti sur plusieurs
secteurs non contigue ca devient complique a reconstituer.
Alors si on part du principe que:
- ce sont des donnees sensibles donc qu'elles sont cryptees (mm
faiblement)
- que le HD a ete efface plusieurs fois
- que le HD si il est recent fait au minimum 20 Go
- que la reconstitution du HD avec une lecture en salle blanche
contient probablement des erreurs (l'information est reconstitue en
'lisant les cotes de la piste originale'). Si ca arrive au niveau des
declarations de fichiers (fat, directory...) bon courage...
Ca va devenir un veritable travail titan pour resortir des infos. Il y
a probablement + simple, - cher, + rapide pour qq'un de mal
intentionne.
D'autre part le fait de lire des informations lie a l'ecriture
precedente etait possible sur les vieux HD. Maintenant ca devient
franchement difficile a cause de l'augmentation de densite des
donnees. Information a verifier, je crois me souvenir que mon prof
d'architecture systeme avait aborde le sujet en ces termes.
D'après quelques test logiciels que j'ai pu faire, des outils comme Byteback, Tiramisu, Lost&found se cassent les dents dès qu'un effacement une passe a eu lieu..
Je te recommande WinHex : http://www.winhex.com/winhex/forensics.html
A quoi peut-il servir ? Si une tête d'un disque dur a écrit des données à un endroit du disque, elle ne peut pas lire ce qui s'y trouvait avant, il me semble.
Pour avoir a plusieurs reprises fait des recuperations de fichiers avec des softs type winhex suite a des plantages/effacements accidentels c'est loin d'etre simple.
Si la donnee est en clair dans un secteur et que l'on sait se que l'on cherche c'est assez facile. Ca devient tres long en scannant manuellement secteur par secteur avec pas mal fichiers ASCII autres qui vont ralentir l'analyse. Qd le fichier est reparti sur plusieurs secteurs non contigue ca devient complique a reconstituer.
Alors si on part du principe que: - ce sont des donnees sensibles donc qu'elles sont cryptees (mm faiblement) - que le HD a ete efface plusieurs fois - que le HD si il est recent fait au minimum 20 Go - que la reconstitution du HD avec une lecture en salle blanche contient probablement des erreurs (l'information est reconstitue en 'lisant les cotes de la piste originale'). Si ca arrive au niveau des declarations de fichiers (fat, directory...) bon courage...
Ca va devenir un veritable travail titan pour resortir des infos. Il y a probablement + simple, - cher, + rapide pour qq'un de mal intentionne.
D'autre part le fait de lire des informations lie a l'ecriture precedente etait possible sur les vieux HD. Maintenant ca devient franchement difficile a cause de l'augmentation de densite des donnees. Information a verifier, je crois me souvenir que mon prof d'architecture systeme avait aborde le sujet en ces termes.
Nicob
On Sat, 12 Feb 2005 09:28:01 +0000, LaDDL wrote:
La seule solution est d'ouvrir le disque dur et d'utiliser des têtes de lecture différentes.
Ca chanegra rien ici car le disque sera saturé de binaires (0 et 1) et texte ASCII
Mais puisqu'on te dit que les têtes avec lesquelles tu vas écraser le contenu des fichiers peuvent avoir bougé et ne couvrirons donc pas l'ensemble des traces résiduelles présentes ! Le fait de ré-écrire avec les têtes d'origine ne peut *pas* tout supprimer.
Nicob
On Sat, 12 Feb 2005 09:28:01 +0000, LaDDL wrote:
La seule solution est d'ouvrir le disque dur et d'utiliser des têtes
de lecture différentes.
Ca chanegra rien ici car le disque sera saturé de binaires (0 et 1) et
texte ASCII
Mais puisqu'on te dit que les têtes avec lesquelles tu vas
écraser le contenu des fichiers peuvent avoir bougé et ne couvrirons
donc pas l'ensemble des traces résiduelles présentes ! Le fait de
ré-écrire avec les têtes d'origine ne peut *pas* tout supprimer.
La seule solution est d'ouvrir le disque dur et d'utiliser des têtes de lecture différentes.
Ca chanegra rien ici car le disque sera saturé de binaires (0 et 1) et texte ASCII
Mais puisqu'on te dit que les têtes avec lesquelles tu vas écraser le contenu des fichiers peuvent avoir bougé et ne couvrirons donc pas l'ensemble des traces résiduelles présentes ! Le fait de ré-écrire avec les têtes d'origine ne peut *pas* tout supprimer.
Nicob
Nicob
On Tue, 08 Feb 2005 17:47:29 +0000, Nicob wrote:
Sauf si la tête s'est déplacée. Auquel cas, vous pourrez passer autant de fois qu'il vous plaira, les données inscrites "à côté" seront toujours là.
D'ailleurs, le problème se ne pose pas pour les périphériques de stockage tels les clés USB, vu qu'il n'y a pas de notion de "tête de lecture". Dans ces cas-là, un simple 'wipe' peut suffire (AFAIK).
Nicob
On Tue, 08 Feb 2005 17:47:29 +0000, Nicob wrote:
Sauf si la tête s'est déplacée. Auquel cas, vous pourrez passer autant
de fois qu'il vous plaira, les données inscrites "à côté" seront
toujours là.
D'ailleurs, le problème se ne pose pas pour les périphériques de
stockage tels les clés USB, vu qu'il n'y a pas de notion de "tête de
lecture". Dans ces cas-là, un simple 'wipe' peut suffire (AFAIK).
Sauf si la tête s'est déplacée. Auquel cas, vous pourrez passer autant de fois qu'il vous plaira, les données inscrites "à côté" seront toujours là.
D'ailleurs, le problème se ne pose pas pour les périphériques de stockage tels les clés USB, vu qu'il n'y a pas de notion de "tête de lecture". Dans ces cas-là, un simple 'wipe' peut suffire (AFAIK).
Nicob
Nick
règles de l'art ?
La réécriture triple. Par exemple : 1er balayage : des 0 binaires sont écrits 2ème balayage : des 1 binaires sont écrits 3ème balayage : une chaîne de texte ASCII est écrite
Ca ne marche pas aussi bien. Les données sont encodées sur le disque, donc des écritures de 0, 1 et aleatoire peuvent ne pas modifier tous les bits ecrits. Il y a un paper très interressant la dessus, par contre je ne sais pas du tous où le retrouver sur l'Internet
Nick
règles de l'art ?
La réécriture triple. Par exemple :
1er balayage : des 0 binaires sont écrits
2ème balayage : des 1 binaires sont écrits
3ème balayage : une chaîne de texte ASCII est écrite
Ca ne marche pas aussi bien. Les données sont encodées sur le disque,
donc des écritures de 0, 1 et aleatoire peuvent ne pas modifier tous
les bits ecrits. Il y a un paper très interressant la dessus, par
contre je ne sais pas du tous où le retrouver sur l'Internet
La réécriture triple. Par exemple : 1er balayage : des 0 binaires sont écrits 2ème balayage : des 1 binaires sont écrits 3ème balayage : une chaîne de texte ASCII est écrite
Ca ne marche pas aussi bien. Les données sont encodées sur le disque, donc des écritures de 0, 1 et aleatoire peuvent ne pas modifier tous les bits ecrits. Il y a un paper très interressant la dessus, par contre je ne sais pas du tous où le retrouver sur l'Internet
Nick
Nicob
On Sun, 13 Feb 2005 13:40:07 +0000, Nick wrote:
Il y a un paper très interressant la dessus, par contre je ne sais pas du tous où le retrouver sur l'Internet
Interressant, mais ce n'etait pas celui la. Il detaillait les differents encodage RLL, et les pattern a réécrire pour bien effacer le 0 et les 1. Je crois que de la vient la recommandation allemande de réécrire 7 fois les disques durs.
Nick
On 13 Feb 2005 13:55:49 GMT, Nicob <nicob@I.hate.spammers.com> wrote:
On Sun, 13 Feb 2005 13:40:07 +0000, Nick wrote:
Il y a un paper très interressant la dessus, par contre je ne sais pas
du tous où le retrouver sur l'Internet
Interressant, mais ce n'etait pas celui la. Il detaillait les
differents encodage RLL, et les pattern a réécrire pour bien effacer
le 0 et les 1. Je crois que de la vient la recommandation allemande de
réécrire 7 fois les disques durs.
Interressant, mais ce n'etait pas celui la. Il detaillait les differents encodage RLL, et les pattern a réécrire pour bien effacer le 0 et les 1. Je crois que de la vient la recommandation allemande de réécrire 7 fois les disques durs.
Nick
LaDDL
On 13 Feb 2005 13:40:07 GMT, Nick wrote:
règles de l'art ?
La réécriture triple. Par exemple : 1er balayage : des 0 binaires sont écrits 2ème balayage : des 1 binaires sont écrits 3ème balayage : une chaîne de texte ASCII est écrite
Ca ne marche pas aussi bien.
Je n'ai pas dit que c'était LA solution. Mais quand on souhaite effacer des données, des traces de son disque de manière sécurisée en vue d'une réutilisation du disque c'est une solution.
Les données sont encodées sur le disque, donc des écritures de 0, 1 et aleatoire peuvent ne pas modifier tous les bits ecrits.
C'est exact il peut rester des mauvais secteurs contenant des données résiduelles. C'est pourquoi il faut se demander quel est le niveau de confidentialité/sensibilité des données stockées sur le disque avant d'envisager une réutilisation.
Il y a un paper très interressant la dessus, par contre je ne sais pas du tous où le retrouver sur l'Internet
Celui de Peter Guttman : "Secure Deletion of Data from Magnetic and Solid-State Memory" ?
On 13 Feb 2005 13:40:07 GMT, Nick
<char-DONTBUGME-les@YY.iiedotcnam.france> wrote:
règles de l'art ?
La réécriture triple. Par exemple :
1er balayage : des 0 binaires sont écrits
2ème balayage : des 1 binaires sont écrits
3ème balayage : une chaîne de texte ASCII est écrite
Ca ne marche pas aussi bien.
Je n'ai pas dit que c'était LA solution.
Mais quand on souhaite effacer des données, des traces de son disque de
manière sécurisée en vue d'une réutilisation du disque c'est une solution.
Les données sont encodées sur le disque,
donc des écritures de 0, 1 et aleatoire peuvent ne pas modifier tous
les bits ecrits.
C'est exact il peut rester des mauvais secteurs contenant des données
résiduelles. C'est pourquoi il faut se demander quel est le niveau de
confidentialité/sensibilité des données stockées sur le disque avant
d'envisager une réutilisation.
Il y a un paper très interressant la dessus, par
contre je ne sais pas du tous où le retrouver sur l'Internet
Celui de Peter Guttman : "Secure Deletion of Data from Magnetic and
Solid-State Memory" ?
La réécriture triple. Par exemple : 1er balayage : des 0 binaires sont écrits 2ème balayage : des 1 binaires sont écrits 3ème balayage : une chaîne de texte ASCII est écrite
Ca ne marche pas aussi bien.
Je n'ai pas dit que c'était LA solution. Mais quand on souhaite effacer des données, des traces de son disque de manière sécurisée en vue d'une réutilisation du disque c'est une solution.
Les données sont encodées sur le disque, donc des écritures de 0, 1 et aleatoire peuvent ne pas modifier tous les bits ecrits.
C'est exact il peut rester des mauvais secteurs contenant des données résiduelles. C'est pourquoi il faut se demander quel est le niveau de confidentialité/sensibilité des données stockées sur le disque avant d'envisager une réutilisation.
Il y a un paper très interressant la dessus, par contre je ne sais pas du tous où le retrouver sur l'Internet
Celui de Peter Guttman : "Secure Deletion of Data from Magnetic and Solid-State Memory" ?
LaDDL
On 12 Feb 2005 19:09:32 GMT, Nicob wrote:
On Sat, 12 Feb 2005 09:28:01 +0000, LaDDL wrote:
La seule solution est d'ouvrir le disque dur et d'utiliser des têtes de lecture différentes.
Ca chanegra rien ici car le disque sera saturé de binaires (0 et 1) et texte ASCII
Mais puisqu'on te dit que les têtes avec lesquelles tu vas écraser le contenu des fichiers peuvent avoir bougé et ne couvrirons donc pas l'ensemble des traces résiduelles présentes !
Merci de le rappeler mais je suis au courant qu'il peut rester des mauvais secteurs contenant des données résiduelles. Ce n'est pas une raison pour ne pas envisager l'utilisation d'un logiciel de réécriture si les données du disque concerné ne sont pas sensibles. Autrement on se tournera vers des méthodes plus robustes.
Le fait de ré-écrire avec les têtes d'origine ne peut *pas* tout supprimer.
En raison de variables et de tolérances mécaniques et électriques.
On 12 Feb 2005 19:09:32 GMT, Nicob <nicob@I.hate.spammers.com> wrote:
On Sat, 12 Feb 2005 09:28:01 +0000, LaDDL wrote:
La seule solution est d'ouvrir le disque dur et d'utiliser des têtes
de lecture différentes.
Ca chanegra rien ici car le disque sera saturé de binaires (0 et 1) et
texte ASCII
Mais puisqu'on te dit que les têtes avec lesquelles tu vas
écraser le contenu des fichiers peuvent avoir bougé et ne couvrirons
donc pas l'ensemble des traces résiduelles présentes !
Merci de le rappeler mais je suis au courant qu'il peut rester des mauvais
secteurs contenant des données résiduelles. Ce n'est pas une raison pour
ne pas envisager l'utilisation d'un logiciel de réécriture si les données
du disque concerné ne sont pas sensibles. Autrement on se tournera vers
des méthodes plus robustes.
Le fait de
ré-écrire avec les têtes d'origine ne peut *pas* tout supprimer.
En raison de variables et de tolérances mécaniques et électriques.
La seule solution est d'ouvrir le disque dur et d'utiliser des têtes de lecture différentes.
Ca chanegra rien ici car le disque sera saturé de binaires (0 et 1) et texte ASCII
Mais puisqu'on te dit que les têtes avec lesquelles tu vas écraser le contenu des fichiers peuvent avoir bougé et ne couvrirons donc pas l'ensemble des traces résiduelles présentes !
Merci de le rappeler mais je suis au courant qu'il peut rester des mauvais secteurs contenant des données résiduelles. Ce n'est pas une raison pour ne pas envisager l'utilisation d'un logiciel de réécriture si les données du disque concerné ne sont pas sensibles. Autrement on se tournera vers des méthodes plus robustes.
Le fait de ré-écrire avec les têtes d'origine ne peut *pas* tout supprimer.
En raison de variables et de tolérances mécaniques et électriques.
Nick
On 13 Feb 2005 21:34:23 GMT, LaDDL wrote:
Celui de Peter Guttman : "Secure Deletion of Data from Magnetic and Solid-State Memory" ?
Exactly. Thank you !
Nick
On 13 Feb 2005 21:34:23 GMT, LaDDL <bounce@localhost.com> wrote:
Celui de Peter Guttman : "Secure Deletion of Data from Magnetic and
Solid-State Memory" ?
Celui de Peter Guttman : "Secure Deletion of Data from Magnetic and Solid-State Memory" ?
Exactly. Thank you !
Nick
LaDDL
On 15 Feb 2005 08:57:37 GMT, Nick wrote:
On 13 Feb 2005 21:34:23 GMT, LaDDL wrote:
Celui de Peter Guttman : "Secure Deletion of Data from Magnetic and Solid-State Memory" ?
Exactly. Thank you !
Je t'en prie. J'avais signalé le lien en début de thread. Le voici à nouveau : http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/
Bonne lecture.
On 15 Feb 2005 08:57:37 GMT, Nick
<char-DONTBUGME-les@YY.iiedotcnam.france> wrote:
On 13 Feb 2005 21:34:23 GMT, LaDDL <bounce@localhost.com> wrote:
Celui de Peter Guttman : "Secure Deletion of Data from Magnetic and
Solid-State Memory" ?
Exactly. Thank you !
Je t'en prie.
J'avais signalé le lien en début de thread. Le voici à nouveau :
http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/
Celui de Peter Guttman : "Secure Deletion of Data from Magnetic and Solid-State Memory" ?
Exactly. Thank you !
Je t'en prie. J'avais signalé le lien en début de thread. Le voici à nouveau : http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/
