La suppression sécurisée des données est connue pour être plus compliquée et insaisissable sur un disque SSD que sur un disque dur standard. Par exemple, le mappage de bloc logique sur le SSD couche de traduction flash rend impossible l'écrasement fiable de secteurs de mémoire spécifiques comme vous le feriez pour effacer un disque dur.
Je cherche un exemple concret (pas une preuve de concept) pour illustrer le problème. Y a-t-il un cas notable où quelqu'un, de préférence des forces de l'ordre, a profité des propriétés d'un SSD pour récupérer des données effacées qui auraient probablement été irrécupérables sur un disque dur?
Ma toute première pensée:
Personne ne peut être absolument sûr que quelque chose ne s'est pas produit, donc la seule réponse acceptable à votre question serait un exemple. J'essaie d'expliquer mes réflexions sur les raisons pour lesquelles il est très peu probable que vous obteniez un tel exemple. Mon argument est inspiré par équation de Drake .
Permettez-moi de commencer par certains faits sur lesquels je pense que nous sommes tous d'accord (plus ou moins, espérons-le):
Comme pour toute attaque, nous avons trois paramètres à considérer:
Quelles sont les chances que les forces de l'ordre disposent de compétences et de ressources disponibles? NSA, Mossad, KGB - bien sûr. Un service de police "ordinaire"? Ils peuvent probablement le faire s'ils sont en mesure de convaincre quelqu'un que c'est assez important et qu'il n'y a pas d'autre moyen. Ce n'est certainement pas de la "routine".
C'est là que nous parlons de motivation. Pour être motivé (assez), les choses suivantes doivent être vraies:
Donc, finalement, nous sommes suffisamment motivés. Il y a encore plus à considérer:
Je pense que si nous multiplions toutes ces chances, nous obtenons une chance très, très proche de zéro, qu'il y aura la preuve que quelque chose comme ça a jamais été fait avec succès.
La récupération n'est possible que sous certaines conditions:
Ce sont des cas heureux. Tout logiciel décent pourra récupérer vos fichiers.
Le cas le plus rencontré aujourd'hui est celui où vous avez un nouveau SSD avec TRIM activé. Dans ce cas, la récupération de données est un no-go, car lorsque TRIM est activé, l'action d'effacement est effectuée immédiatement. TRIM va purger à la fois les données et le lien vers celles-ci, donc pratiquement, elles ont disparu; il est simplement décontaminé et vide, signalé comme prêt à l'emploi.
Dans certaines situations, le lecteur à chiffrement automatique (SED) et l'effacement sécurisé ATA se sont avérés ne pas fonctionner, tout comme le chiffrement Bitlocker. Dans une telle situation, les données sont également récupérables. Mais dans le cas d'un lecteur entièrement crypté avec un outil fiable tiers, rien ne sera récupérable.
Les disques SSD modernes utilisent SED (Self-Encrypting Drive) pour un effacement sécurisé, en particulier via la fonctionnalité ATA Enhanced Security Erase présente sur de nombreux disques. Les lecteurs stockent une clé de cryptage dans une zone spéciale du lecteur et l'utilisent pour crypter de manière transparente tout ce qui y est écrit. Lors de l'envoi de la commande d'effacement de sécurité, plutôt que d'écrire individuellement sur chaque cellule flash, le lecteur efface en toute sécurité la clé SED, rendant ainsi toutes les données du lecteur inutiles. La spécification Opal requiert que ces disques utilisent un générateur de nombres aléatoires matériel pour la génération de la clé. Cela rend l'analyse de la difficulté du problème beaucoup plus simple, car vous n'avez pas à vous soucier autant de phénomènes physiques complexes pour du matériel hautement propriétaire. Au lieu de cela, vous devez analyser la qualité du RNG qui peut ou non donner des résultats positifs.
L'avantage, pour les défenseurs, est qu'une clé est générée par un générateur de nombres aléatoires matériel non déterministe testable et de haute qualité, le lecteur étant crypté avec un algorithme puissant et bien étudié. L'avantage pour les attaquants est que la récupération des données nécessite de trouver une clé. C'est mieux pour eux s'il faut, disons, 6 mois pour casser la clé d'un HWRNG mal conçu que s'il faut 6 mois pour récupérer un kilo-octet de données du stockage.