Guide d'autodéfense numérique

On a vu dans la première partie que lorsqu’on efface un fichier, son contenu n’est pas vraiment supprimé. Cependant, il existe des programmes qui permettent d’effacer des fichiers et leur contenu, ou du moins qui tentent de le faire, avec les limites expliquées auparavant.

Un peu de théorie

La méthode de Gutmann

La documentation1 du paquet secure-delete, que nous utiliserons dans la prochaine recette, inspirée d'une publication de Peter Gutmann publiée en 19962, nous dit (en anglais) :

Le processus d’effacement fonctionne comme suit :

  1. la procédure d’écrasement (en mode sécurisé) remplace le contenu du fichier à 38 reprises. Après chaque passage, le cache du disque est vidé ;
  2. le fichier est tronqué, de sorte qu’un attaquant ne sache pas quels blocs du disque appartenaient au fichier ;
  3. le fichier est renommé, de sorte qu’un attaquant ne puisse tirer aucune conclusion sur le contenu du fichier supprimé à partir de son nom ;
  4. finalement, le fichier est supprimé. […]

Le compromis adopté

L’étude de Peter Gutmann porte sur des technologies de disques durs qui n’existent plus de nos jours. Il a depuis ajouté, à la fin de son article, un paragraphe intitulé Epilogue qui nous dit, en substance, que pour un disque dur « récent »3, les 38 écritures successives ne sont plus nécessaires : il suffit d’écraser les données quelques fois avec des données aléatoires. Mais mis à part la nature et le nombre de réécritures, le processus décrit précédemment reste tout à fait d’actualité pour les disques durs actuels. Cependant, cette méthode n'est pas adaptée aux disques SSD. Or, les disques SSD tendent de nos jours à remplacer les disques durs...

De surcroît, le NIST (National Institute of Standards and Techonology, organisme gouvernemental états-unien définissant les protocoles de sécurité utilisés, entre autres, par les administrations de ce pays) a publié une étude récente 4 de la NSA, qui semble conclure que sur les disques durs modernes, les données sont tellement collées les unes aux autres qu’il devient pratiquement impossible de se livrer à des analyses magnétiques pour retrouver les traces de données effacées ; en effet, la densité des données des disques durs ne cesse de croître, afin d’augmenter leur capacité de stockage.

Par conséquent, nous nous contenterons dans les recettes qui suivent de quelques passages aléatoires, en évoquant tout de même la mise en œuvre de la méthode originale de Gutmann.

Il s’agira une fois de plus de faire le bon compromis, au cas par cas, entre la rapidité et le niveau de protection souhaité, en fonction de la taille des données à écraser, de l’âge du disque dur, et de la confiance qu’on accorde au NIST.

Pour les clés USB, disques SSD et autres mémoires flash

Pour les clés USB ou autre mémoire flash ‑ comme les cartes SD, ou disques SSD ‑ une étude datant de 20115 a montré que la situation était réellement problématique.

Cette étude démontre qu’il est impossible, quel que soit le nombre de réécritures, d’avoir la garantie que tout le contenu d’un fichier donné a bien été recouvert. Même si cela rend inaccessibles les données en branchant simplement la clé, elles sont toujours visibles pour quiconque regarderait directement dans les puces de mémoire flash.

La seule méthode qui a fonctionné de façon systématique était de réécrire plusieurs fois l’intégralité de la clé USB. Dans la plupart des cas, deux passages ont suffi, mais sur certains modèles, vingt réécritures ont été nécessaires avant que les données ne disparaissent pour de bon.

Partant de ces constats, la réponse préventive semble être de chiffrer systématiquement les clés USB, opération rendant vraiment plus difficile l’extraction des informations directement depuis les puces de mémoire flash. Et pour nettoyer a posteriori, l’écrasement entier, malgré ses limites, protège tout de même contre les attaques purement logicielles.

D’autres limites de l’effacement « sécurisé »

Il peut encore rester des informations sur le fichier permettant de le retrouver, notamment si l’on utilise un système de fichiers journalisé comme ext3, ext4, ReiserFS, XFS, JFS, NTFS, un système d’écriture, de compression ou de sauvegarde, sur disque (exemple : RAID) ou via un réseau. Voir à ce sujet la première partie.

Sur d’autres systèmes

On a vu qu’il est illusoire, si l’on utilise un système d’exploitation propriétaire, de rechercher une réelle intimité. Bien qu’il existe des logiciels supposés effacer des fichiers avec leur contenu sous Windows et Mac OS X, il est donc bien plus difficile de leur faire confiance.

Allons-y

On peut effacer le contenu :