Dandu
le 24 septembre 2021
Il y a quelques mois, nous avons envisagé un dossier : récupérer des données sur des disques durs, SSD, ordinateurs, etc., achetés en ligne pour montrer que ne pas effacer ses médias est une mauvaise idée. Mais nous avons choisi une autre voie, dans la même veine, avec le même mantra : Effacez vos données !
Si vous lisez Canard PC Hardware depuis un moment, vous vous souvenez peut-être du dossier paru dans le numéro 23 (juillet 2014). À l'origine, nous voulions acheter des ordinateurs, mais un youtubeur (Micode) avait eu la même idée et trouvé des choses intéressantes à dévoiler dans une série de trois vidéos (cpc.cx/MiCode01 - cpc.cx/MiCode02 - cpc.cx/MiCode03). Pour résumer, en spoilant, il avait acheté un SSD qui avait été volé à un hébergeur et qui contenait les données de certains de ses clients. Oups. Nous avions donc décidé de rester dans le sujet, au sens large, en nous dirigeant vers des appareils photo. Pour être tout à fait honnête, et je vais parler de moi pendant quelques lignes, j'achète des appareils photo atypiques depuis quelques années pour le côté rétro – des modèles qui stockent sur des disquettes LS-120, sur des MiniDisc Data, sur des PocketZip, etc. Et je suis toujours effaré de voir que les médias sont rarement effacés. Au fil des années, j'ai engrangé une collection de photos de vacances, intimes, du quotidien, etc. C'est un point que j'ai déjà évoqué dans Canard PC Hardware, d'ailleurs. Pour en revenir au sujet, l'idée a été d'écumer LeBonCoin (le site le plus populaire en France pour les petites annonces) pour acheter des appareils photo, cartes mémoire et cadres photo d'occasion, idéalement avec une carte dedans. Et le résultat ne devrait (malheureusement) pas vous surprendre : nous avons trouvé beaucoup de photos et même des données. Pour l'anecdote, au milieu de souvenirs de vacances, nous avons récupéré des portraits personnels d'un auteur, acteur et présentateur connu (et décédé) : Pierre Bellemare. Au passage, désolé, mais nous n'avons pas le droit de les mettre dans ce magazine. S'y trouvaient aussi quelques images intimes, des mires de test (oui, nous allons expliquer), des scènes de la vie courante, etc.
Les voies secondaires.
En plus des images présentes sur les cartes mémoire – effacées ou non –, il existe aussi quelques cas plus intéressants. Vous pourriez en effet vous dire que la solution consiste à garder la carte (ou, mieux, la détruire) mais ce n'est pas toujours suffisant. La première raison, c'est que certains appareils photo et cadres disposent d'une mémoire interne. En effet, dans les modèles de la première décennie des années 2000 (à la grosse louche), les fabricants intégraient quelques Mo en interne, pour éviter de fournir une carte mémoire tout en commercialisant un appareil prêt à l'emploi. Et cette mémoire est souvent ignorée, alors qu'elle contient (parfois) des images. Les raisons sont multiples mais la principale reste évidente : elle n'est généralement visible qu'en l'absence d'une carte mémoire. Un utilisateur lambda qui revend son vieil appareil ne se rendra donc probablement pas compte de sa présence et aura oublié qu'il a pris quelques clichés il y a une dizaine d'années. Cette mémoire n'est pas forcément accessible facilement – certains appareils se limitent au protocole PTP pour la récupération des images – mais sur une quinzaine de modèles, six comportaient de la mémoire interne et deux contenaient des photos. Et sur deux autres nous avons récupéré des images (effacées) visiblement prises dans le pays d'origine du fabricant (Corée et Japon) et a priori destinées à vérifier le bon fonctionnement.
La solution consiste à garder la carte (ou la détruire) mais ce n'est pas toujours suffisant.
De façon plus large, le fait que vous ne puissiez pas lire les données parce que le média de stockage est atypique ou qu'il s'agit d'un accessoire n'implique pas que la personne qui va l'acheter n'y arrivera pas. À une lointaine époque, Sony Ericsson vendait des appareils photo externes pour ses téléphones qui enregistraient les clichés en double, dans ce dernier et le périphérique lui-même. Et n'oubliez pas les fonctions annexes, comme le récepteur GPS. Certains modèles insèrent en effet les coordonnées GPS dans les EXIF, à la manière des smartphones, et si vous n’effacez pas vos photos, l'acheteur pourra vous positionner directement sur une carte. Enfin, vous avez peut-être utilisé la carte pour d'autres usages, comme une console de jeu, un vieux téléphone, etc. Nous avons récupéré des sauvegardes PSP, des fonds d'écran Nokia, etc.
Le cas des cartes mémoire.
Nous l'avons vu, le cas des cartes mémoire est un peu particulier : elles sont facilement récupérables. Pour être totalement transparent, le conseil de base pour un appareil photo qui utilise des SD – le format le plus courant – va consister à ne pas la vendre avec et éventuellement de la détruire (un clou planté au milieu est très efficace). Étant donné le prix des cartes (une SD de 16 Go vaut moins de 10 €), prévenez le vendeur et ne prenez pas le risque qu'il puisse admirer vos anciens clichés. Dans le cas d'un appareil un peu plus ancien qui passe par un format moins populaire (xD, Memory Stick, etc.), le problème s’annonce plus compliqué. Vous pouvez évidemment suivre le même conseil, mais vous risquez de ne pas vendre l'appareil s'il n'est pas fourni avec une carte mémoire. Dans ce cas, la première chose consiste à formater la carte depuis l'appareil, la remplir, et ensuite effectuer un second formatage. Pour le remplissage, il existe plusieurs solutions. La première passe par des logiciels très pratiques capables d'écrire des données aléatoires, comme Dummy File Creator. La seconde, plus artisanale, consiste à remplir la carte de photos ou de vidéos sans intérêt (par exemple un mur). Enfin, des programmes permettent aussi de formater de façon complète, en réécrivant plusieurs fois sur chaque secteur pour empêcher toute récupération. Dans tous les cas, il faut bien prendre conscience d'une chose : un simple formatage sans réécriture ne suffit pas.
Formater ne suffit pas toujours.
Le premier réflexe que vous devriez avoir avant de vendre un média de stockage est de formater. C'est (malheureusement) rarement suffisant. Prenons le cas des cartes mémoire : elles sont souvent formatées avec un système de fichiers de type FAT (exFAT sur les modèles récents). De façon schématique, donc, les premiers secteurs vont contenir la table d'allocation et les suivants comporteront les données. Dans un système de fichiers, la table d'allocation peut être vue comme un index et le formatage classique (dit « rapide » sous Windows) consiste à effacer cette zone. Sans elle, l'OS ne peut pas déterminer si un secteur contient une photo, un document texte, du vide, etc. Mais en réalité, spécialement dans le cas des appareils photo, cette table n'est pas nécessaire pour récupérer les données. Si le média est en bon état, une solution simple sera de lire tous les secteurs et d’essayer de trouver des données en se basant sur différentes techniques pour reconstruire les fichiers. Et la recherche de photos sur une carte mémoire est un cas précis très favorable. D’abord parce que le JPEG, le format le plus courant, est standardisé et bien connu. Le header (les premiers octets du fichier) est normalisé, commence toujours par les mêmes séquences de caractères et donne les informations sur le contenu (EXIF, taille, etc.). Ensuite, un appareil photo est assez prévisible : les fichiers ont une capacité qui varie peu (sauf si l'utilisateur modifie les réglages). Pourquoi est-ce un avantage ? Reprenons la structure d'un système de fichiers (en simplifiant un peu). Si vous faites un cliché avec votre vieil APN de 3 mégapixels, il prendra (par exemple) environ 800 ko. Et si vous faites une dizaine d'autres photos, elles feront probablement la même taille (à ~100 ko près). Sur une carte mémoire vide, les données seront a priori séquentielles, avec dix cases (dans notre exemple) à peu près identiques (1). Maintenant, vous décidez d'effacer cinq photos au hasard, vous aurez donc cinq zones vides très similaires (2). Et si vous reprenez quatre photos, elles vont se retrouver dans les trous laissés dans la structure. La cinquième zone, elle, contient très probablement une photo effacée et récupérable entièrement (la case grise, Photo 8, dans la rangée (3)). Ce genre de cas est beaucoup moins évident dans un HDD ou SSD : vos fichiers ont une capacité très variable, et les zones qui contiennent les photos effacées risquent d'être réécrites avec des données plus courtes (par exemple un document texte), ce qui rend la récupération statistiquement moins probable. Ici (4), la zone de la Photo 8 a été prise par un fichier texte qui fait moins de 800 ko et empêche sa récupération. Enfin, dans un usage normal, un disque dur aura été défragmenté, ce qui – toujours schématiquement – mélange les zones libres et rend la récupération peu probable. Mais les cartes mémoire ne sont jamais défragmentées (comme les SSD). Pour résumer, dans une carte mémoire formatée en FAT, il « suffit » d'effectuer une image disque du média et de parcourir les données à la recherche de headers de fichiers JPEG. Dans la majorité des cas, les fichiers seront récupérés totalement et dans le pire des cas, vous obtiendrez peut-être une partie d'une image. En pratique, vous allez sûrement trouver les images présentes juste avant le formatage mais aussi potentiellement des images plus anciennes. Imaginons : vous avez pris 200 clichés pendant des vacances. Une fois de retour, ils sont sauvés sur un ordinateur et effacés. Ensuite, vous faites une centaine de photos avant de décider de vendre l'appareil. Eh bien statistiquement, compte tenu de la structure, les 100 dernières photos de vos vacances que vous aviez effacées sont récupérables. Il peut évidemment y avoir quelques ajustements, car la taille des fichiers JPEG varie un peu en fonction du contenu, mais vous avez compris l'idée.
Le cas des vidéos
Lors de nos recherches, nous sommes tombés plusieurs fois sur un cas particulier : durant la récupération, nous avons trouvé des centaines de photos d'une définition assez faible, souvent du VGA (640 × 480), sur des appareils avec des capteurs de plusieurs mégapixels. Si vous connaissez un peu la compression vidéo, vous avez compris le problème : ils enregistraient en MJPEG. Sans entrer dans les détails, ce type de compression est très basique : il s'agit d'une succession d'images JPEG, compressées individuellement, placées dans un conteneur de type AVI. C'est simple, efficace et ça se récupère facilement. Les logiciels ne peuvent en effet pas réellement déterminer si une image est issue d'une photo ou d’une vidéo, mais considèrent que le premier cas est le bon. Le problème se pose moins sur les appareils modernes : les codecs de type MPEG (H.264, par exemple) ne stockent pas des images complètes.
Le chiffrement de l'ordinateur est important.
Nous avons parlé des cartes mémoire formatées en FAT, et ce n'est heureusement pas si simple dans votre PC. Premièrement, les systèmes de fichiers modernes sont plus complexes et donc plus compliqués à analyser. Deuxièmement, la défragmentation automatique et le fait que vous enregistriez des fichiers de tailles très différentes réduisent statistiquement les chances de tomber sur un fichier complet. Qui plus est, tous les types de fichiers ne possèdent pas un en-tête permettant de les identifier et les programmes de récupération ne s'attaquent qu'aux fichiers standardisés et courants. Malgré tout, une personne motivée pourrait essayer de reconstruire une partie de la structure mais, heureusement pour vous, il existe une solution : le chiffrement. Si votre média est chiffré, une image disque du contenu ne montrera qu'une chose : des données aléatoires. Attention à un point, il existe deux types de chiffrement. Premièrement, et c'est le cas sur la majorité des SSD modernes, les données peuvent être chiffrées au niveau matériel. Dans ce cas de figure, sortir les puces de NAND pour lire le contenu ne sert à rien, mais brancher le SSD dans un ordinateur affichera quand même parfois le contenu. Certains stockent en effet la clé dans le SSD, d'autres dans le BIOS (avec un mot de passe lié). Ensuite, votre OS peut chiffrer les données, avec une clé liée à votre ordinateur. Apple donne le nom de FileVault à la technologie, et Microsoft utilise BitLocker. Avec ce chiffrement, il est impossible de lire les données sans la clé, qui est liée à votre ordinateur donc, par exemple dans une puce TPM – voir notre dossier – avec BitLocker. Ainsi, si vous revendez un SSD chiffré avec BitLocker, les données ne sont pas récupérables, même si vous ne l'avez pas formaté (ce qui ne vous dispense pas de le faire). Et les tentatives de récupération seront probablement impossibles : les anciennes données sont chiffrées et donc inutilisables. Attention à un point : tout ceci demeure théorique dans une certaine mesure, et des failles sont parfois trouvées, même dans les meilleures solutions de chiffrement. Pour un disque dur ou un SSD, la solution ultime si vous avez des doutes (ou des données particulièrement importantes) demeure la destruction physique. Pour les smartphones, le fonctionnement reste proche : dans la majorité des cas, le chiffrement des données rend la récupération directe impossible (ou presque) depuis quelques années (Android 5, iOS 8). En revanche, si vous avez un modèle doté d'une carte microSD, les explications sur les cartes mémoire sont valables, surtout si vous ne stockez que vos photos.Les programmes de récupération de données se trouvent (très) facilement et sont d'une efficacité redoutable.
