20 avril 2009

Ex nihilo


"Gigni De nihilo nihil, in nihilum nil posse reverti" (Rien ne sort du néant, et rien ne s’y replonge) a écrit Perse (Satires III vers n°84).

Tout commence comme d'habitude par un appel d'un juge d'instruction sur mon téléphone portable réservé-aux-expertises.

"Bonjour Monsieur l'Expert. J'ai besoin que vous fassiez une analyse sur un disque dur assez rapidement."

Passées les présentations d'usage, je lui rappelle que mon métier principal, celui qui m'occupe 12h par jour du lundi au vendredi, c'est "responsable informatique et technique dans une école d'ingénieurs", et vérifie avec lui que "assez rapidement" est compatible avec les soirées et week-ends à venir.

"Si vous pouviez me rendre votre rapport avant un mois, car c'est un dossier délicat où le temps à son importance."

Quand on me prend par les sentiments, j'ai toutes les peines du monde à refuser.

Un mois, ici, c'est quatre week-ends et trente et une soirées. Dès réception par fax de la mission (le soir même), j'adresse au tribunal mon devis estimatif. Comme je ne peux pas procéder a postériori, que je ne connais pas la taille du disque dur, ni le système d'exploitation, mon devis est très très "pifométrique".

Le devis est accepté et la Gendarmerie m'amène quelques jours plus tard le scellé contenant le disque dur. Il reste trois semaines.

Dès réception le disque dur est extrait du scellé, puis copié bit à bit. Je travaille ensuite sur cette image numérique.

Premier constat: le disque dur a été reformaté. Aucune donnée n'apparait maintenant si l'on regarde le disque dur (ou son image) avec un système d'exploitation.

Quelques analyses montrent que le disque dur a été reformaté en NTFS, c'est-à-dire le type de formatage standard de Windows XP. Comme beaucoup de personnes le savent, reformater un disque dur n'efface pas l'ensemble du disque dur, mais simplement la table des matières permettant de retrouver les fichiers. Et qu'on ne vienne pas me parler ici de formatage rapide ou classique: la différence entre les deux ne concerne que la recherche de secteurs défectueux (la preuve ici).

Les données sont donc toujours présentes et mes fins limiers grep, egrep, agrep, fgrep me le confirment rapidement.

Ainsi, tel un dieu ancien, j'ai pu procéder à une création "from scratch" et retrouver tous les fichiers, y compris ceux effacés antérieurement au reformatage et ceux ayant laissé quelques traces ici ou .

Il ne me restait plus qu'à faire le tri parmi le milliers de fichiers, cracker les pdf protégés, faire une analyse stéganographique, rédiger mon rapport et ses annexes, l'imprimer en deux exemplaires et le relier. Et pour cela, il me restait deux semaines.

Le devis précisait 20 heures de travail, j'en ai passé 70, mais j'ai rendu le rapport dans les temps.
Rien ne sort du néant.
Grandescunt Aucta Labore.

6 commentaires:

  1. Et que se passe-t-il en cas de:
    dd if=/dev/zero of=/dev/disque_dur ?

    Sinon, en pratique, vous faites comment pour l'analyse de stéganographie et le crackage de PDF?

    Et que se passe-t-il en cas de partitions chiffrées?

    RépondreSupprimer
  2. Déjà il est suspect d'avoir voulu effacer quelque chose... Et coupable de l'avoir fait comme un pied :)
    Heureusement qu'ils ne connaissent pas le micro-onde ou simplement la perceuse...

    Et c'est tant mieux si cela permet d'arrêter des coupables.

    PS : Merci pour les références de steganalyse. Je savais que ça existait mais je n'arriverais pas à en trouver.

    RépondreSupprimer
  3. @DM: En cas d'effacement complet du disque dur avec un seul passage d'écriture, il est possible de passer par un laboratoire d'analyse qui va étudier la magnétisation résiduelle pour en déduire l'état binaire précédent.

    Seulement, le cout de l'expertise grimpe en flèche.

    Concernant l'analyse stéganographique, les crackages divers et/ou le déchiffrage de partitions, j'utilise les outils ad hoc disponible sur le marché ad hoc.

    En général, je trouve tout naturellement le mot de passe ailleurs (dans un email, etc).

    Et dans les cas indéchiffrable, je rends un rapport dans lequel j'explique qu'à l'impossible nul n'est tenu.

    RépondreSupprimer
  4. Un seul passage en écriture suffit, d'après une étude publiée récemment: http://www.h-online.com/news/Secure-deletion-a-single-overwrite-will-do-it--/112432
    Et on trouve un outil pour mettre en oeuvre la fonction "SecureErase" des disques ATA/SATA: http://cmrr.ucsd.edu/people/Hughes/SecureErase.shtml

    RépondreSupprimer
  5. @Kouett': Mon problème à moi est de n'avoir jamais eu affaire à ce type de cas là. Je ne suis qu'un petit expert de province...

    RépondreSupprimer
  6. @Zythom: C'est pas bientôt fini cette fausse modestie doublée d'ironie? :)
    M'en fous, je continue à vous lire.

    Je n'ai appris que récemment cette étude, et je serais ravi de trouver les commandes et/ou un outil équivalent pour des disques SCSI, ça nous changerait de la perceuse...

    Au moins vous vous faites payer pour ces travaux (en théorie, du moins, d'après ce que j'ai pu lire). Combien de fois ai-je accepté d'aider untel ou unetelle qui n'avait pas de sauvegarde mais avait bien évidemment toutes les photos du p'tit dernier sur le disque nouvellement défectueux.
    Ça a bien du vous arriver, j'imagine...

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.