Comment faire un bon ménage de printemps sur son disque dur sous Linux
Par Korben | Nb visites : 394
Je me suis intéressé ce matin à la façon de supprimer des fichiers de manière sécurisée sur un disque dur en Ext2 / Ext3 (comprenez sous Linux).
Il faut savoir qu’il est facilement possible de récupérer des données sur un disque dur ou une clé USB, même si celles-ci ont été effacées ou que le disque a été formaté… Seule solution, chiffrer la clé usb, tout en la blindant de données, ceci plusieurs fois pour écraser tout ce qu’il y a en dessous définitivement, ou chiffrer les bons clusters sur le disque dur et les écrire, re-écrire, ainsi de suite, jusqu’à ce que la donnée initiale soit complétement perdue. Sous Windows, il existe des outils comme BCWipe ou Eraser qui permettent de faire ce genre de manip (voir Active @KillDisk qui permet de formater un disque dur complétement en le chiffrant avec des algorithmes de fous furieux) mais sous linux, ces softs sont moins connus.
Quand je dis effacer « plusieurs fois », je parle de « passes ». En effet, un bon logiciel de récupération de données comme celui utilisé par le gouvernement américain est capable de récupérer au minimum 7 passes… C’est à dire que les clusters de votre disque dur (cluster = emplacement où se trouve les données) ont été effacées ou réécrit 7 fois ! La légende veut que certaines techniques ou logiciels permettent de récupérer des données effacées jusqu’à 14 passes.
La plupart des distributions linux sont d’ailleurs « livrées » avec un petit outil baptisé Shred qui permet de supprimer un fichier précis en reécrivant dessus plusieurs fois une série aléatoire de 0 et de 1.
Exemple :
shred -u -z -n 26 legrosfichierde700modefilmdevacances.avi
L’option -u supprime le fichier après que vous l’ayez carbonisé ! L’option -z finaliser la carbonisation par une petite série de 0 pour masquer le fait que vous avez détruit volontairement ce fichier. Enfin, l’option -n vous permet de préciser le nombre de fois que vous voulez passer sur ce fichier pour être sûr que jamais vous ne le récupérerez. Plus de 20 fois, c’est déjà bien.
Mais il existe aussi dans les dépôts des différentes distrib, une série d’outils qui s’appellent Secure-Delete et qui remplissent différentes fonctions. Pour installer secure-delete sous Ubuntu (la distrib que j’ai), faites un
apt-get install secure-delete
Et vous aurez ainsi à votre dispo les outils suivants :
- srm : Secure remove, utilisé pour supprimer de manière sécurisée des fichiers ou des répertoires de votre disque dur.
- smem : Secure Memory Wiper, utilisé pour effacer les données et autres traces contenues dans votre mémoire RAM
- sfill : Secure Free Space Wiper, utilisé pour effacer toutes les traces conservées dans l’espace libre de vos disques durs (la place libre de votre disque dur)
- sswap : Secure Free Space Wiper, utilisé pour nettoyer toutes les traces de la partition swap
Tous ces outils effectuent de base 38 passes sur vos données, ce qui est 2,7 fois plus ce qui est récupérable en théorie par les meilleurs logiciels de récupération de données de ce monde. On n’est jamais trop prudent.
Avec ça, vous êtes donc paré à faire du ménage par le vide !!
SRM est donc un clone de shred mais en plus évolué car en plus des zéros et des uns, il rajoute des valeurs spéciales chiffrées pour rendre VRAIMENT vos données non récupérables. Pour par exemple supprimer un fichier sensible, tapez :
srm monfichiersupersensible.zip
ou carrement un répertoire, tapez (le -r veut dire récursif… c’est à dire qu’il ira aussi dans tous les sous répertoires) :
srm -r toutelamusiquequejaime/
SMEM protégera votre mémoire RAM qui bien que volatile conserve forcement des traces, même après que vous ayez éteint votre ordinateur. Pour faire le ménage, c’est facile, tapez :
smem
SFILL c’est mon préféré ! Ça permet sans bousiller ou formater tout un disque dur, de chiffrer et nettoyer uniquement l’espace libre de votre disque dur. Vous conservez ainsi vos données et carbonisez tout ce qui a été déjà effacé par vos soins. Pour l’utiliser, il suffit de taper la commande suivi du nom du point de montage a nettoyer.
sfill /home/votrecompte
SSWAP est similaire sur le concept à SMEM sauf qu’il nettoie la swap. Vous n’imaginez pas le nombre de choses qu’on peut trouver sur une swap. Avant d’utiliser le soft, vous devez démonter la partition swap. Localisez donc d’abord l’emplacement de votre swap avec un
cat /proc/swaps
Pour moi c’est /dev/sda1
Ensuite, il faut la désactiver :
sudo swapoff /dev/sda1
Et une fois que c’est fait, vous pouvez lancer le grand nettoyage avec la commande Sswap :
sudo sswap /dev/sda1
Une fois que c’est fini, n’oubliez pas de réactiver la swap avec la commande suivante :
sudo swapon /dev/sda1
J’espère que ce petit tuto vous a plu… Faites en bon usage, comme toujours !
Je vous recommande aussi la lecture des sujets suivants
- Formater une machine Linux en toute sécurité
- Supprimer en ligne de commande sous linux de manière non définitive ! Yeah !
- L’iPhone peut révéler des données sensibles…
- Trinity Rescue Kit – Quand Linux vient au secours de Windows
- Qui osera supprimer Nicolas Sarkozy ?
- Comment retrouver un historique Firefox effacé
- Recuva
- Un Internet Explorer 8 qui ne laisse pas de traces
- Comment crypter votre clé USB
- Récupérer des fichiers effacés sous Linux (Ubuntu)
Je le fais depuis longtemps, mais en cherchant directement des liens megaupload (comme ça...
CokoRocha
très bon tuto bien détaillé, merci.
Posté le 29 juin 2009 à 10:42:29
Galdon
Arf, ça me rappelle que j’ai au moins 150 Go de bordel à classer sur mon disque dur :s
Posté le 29 juin 2009 à 10:59:55
niams
MERCI beaucoup !
Est ce que l’on peut directement utiliser :
sfill /
Quels sont les meilleurs logiciels de récupération de ce monde ?
Posté le 29 juin 2009 à 11:07:01
Fastolph
Mh, je me fiche un peu de ça vu que j’ai pas de données sensibles, donc je suppose que ça n’a pas d’intérêt pour moi.
Par contre j’me demande bien comment on peux défragmenter proprement un disque en ex3 et en fat32 sous Linux…
Posté le 29 juin 2009 à 11:07:07
Korben
@Fastolph: Ext3, Ext4, ça ne se défragmente pas… Et Fat32 sous Linux, j’en ai aucune idée.
Posté le 29 juin 2009 à 11:08:01
AbriCoCotier
héhé, on va en faire bon usage, ouai
et surtout \-)
Posté le 29 juin 2009 à 11:08:45
jayer
bouah pourquoi se limiter à linux ? y a file shredder (tortues ninja ?) sur windows très simple (2 clics) et efficace
Posté le 29 juin 2009 à 11:18:50
Quark
Ce qui est pas précisé c’est que plus on écris/efface un cluster plus ça l’use.
Là pour une seul opération de suppression on fait 38 opération d’écriture … faut pas en abusé quoi ^^ sous peine de tuer le disque dur en moins de deux … disons qu’a trop l’utiliser le HDD fonctionnera 38 fois moins longtemps ^^ »
Posté le 29 juin 2009 à 11:36:53
Hesse
Sous MiniMou Fenêtre un défrag quotidien ça finit pas par faire le même boulot ? Quand je vois comment j’ai pu ramer à récupérer quelques malheureux fichier et qu’ils arrivent à récupérer 7 passes je me dit que je suis vraiment pas doué..
Posté le 29 juin 2009 à 12:05:44
loki
avec ça aussi c’est super efficace et ça marche pour tous les systèmes de windows à linux en passant par AIX, OpenVms…et en une seule passe ! http://tinyurl.com/lef6yt
Posté le 29 juin 2009 à 12:16:29
Mat
Petite faute
« Après que vous *l’avez* carbonisé » et « après que vous *avez* éteint »
« Après que » précède l’indicatif, rarement le conditionnel, et jamais le subjonctif. Explications : http://www.tv5.org/TV5Site/lf/merci_professeur.php?id=2609
Je sais, ça sonne mal, mais c’est comme cela.
Posté le 29 juin 2009 à 12:28:50
Ov3rDu3
Bon bah, par ces durs temps, il reste plus qu’à ce faire un script bash pour effacer tous ses téléchargements au cas où Frédéric Mitterrand débarquerait à la maison saisir les disques durs
Posté le 29 juin 2009 à 12:38:30
walouche
Très bon tuto Merci
Posté le 29 juin 2009 à 12:39:06
sebsauvage
Voir aussi Darek’s Boot & Nuke.
J’ai même fait une petite doc là:
http://www.commentcamarche.net/faq/sujet-8784-effacer-de-maniere-sure-un-disque-dur
Posté le 29 juin 2009 à 13:14:19
moon06
Je ne retrouve plus le lien, mais un linux addict défendait sur un site la commande suivante :
dd if=/dev/zero of=/dev/sdX
en arguant (et offrant une récompense) que les données écrasées étaient irrécupérables après seulement 1 passe !
Il a envoyé des disques effacés de cette manière à plusieurs sociétés spécialisées dans la récupération de données, et aucune n’a pu récupérer quoi que ce soit.
Reste plus qu’à tester …
Posté le 29 juin 2009 à 13:24:27
Keul
« La légende veut que certaines techniques ou logiciels permettent de récupérer des données effacées jusqu’à 14 passes. »
Avec un simple logiciel, on ne récupère rien, il faut passer par la salle blanche et faire un examen très approfondi de l’état magnétique des bits, et ça, c’est que l’armée qui pourrais le faire.
Même des professionnels comme DiskSavers ont tout juste de quoi remplacer les têtes de lecture des disques en salle blanche et tenter de lire les parties encore lisibles des disques…
Donc en gros, une seule passe suffit largement pour éviter que les policiers en perquisition ne saches ce que vous avez fait en vacances avec votre filmdevacances.avi.
De plus, dans les doccumentaires à la TV, j’ai déjà vu dans des affaires de meurtres des spécialistes utiliser des logiciels de style easyrecovery ou undelete sur des pièces à conviction (alors que la priorité aurait été de faire une copie avec dd if=/dev/sda of=/dev/sdb bs=64k conv=noerror)
http://www.quickonlinetips.com/archives/2009/01/journalspace-blogs-gone/
Enfin, bonne méthode en tout cas :
http://www.youtube.com/watch?v=JS9F0×0B6Sw&hl=fr
Posté le 29 juin 2009 à 13:48:09
FRandon
Les a-t-il envoyés à la NSA ?
Posté le 29 juin 2009 à 13:49:25
kaerith
@Fastolph:
Pour défragmenter complètement un disque partitionné en EXT tu peux toujours copier son contenu vers un disque temporaire puis faire la démarche inverse. C’est rudimentaire mais cela doit fonctionner
EXT2+ gère au mieux la fragmentation des fichiers… Au mieux étant à traduire par quand c’est possible. Jette un coup d’oeil du côté de la commande filefrag pour connaître l’état de fragmentation de tes fichiers (notamment les gros).
Posté le 29 juin 2009 à 14:20:06
kirinyaga
ouaip, la légende de la récupération des données effacées plusieurs fois date du début des disques durs, lorsque les pistes étaient assez larges pour que la tête d’écriture n’en couvre qu’une partie. Avec un disque dur moderne c’est impossible : les têtes de lecture utilisent justement ces anciennes méthodes de récupération comme fonctionnement normal de lecture/écriture. Remplacer les données une seule fois est tout-à-fait suffisant : si jamais il existe malgré tout un système et des techniciens capables de les récupérer et qu’ils s’occupent de vous, c’est que vous avez des problèmes plus graves que la justice sur le dos …
L’important par contre, c’est de bien effacer TOUTES les données. Un coup classique, par exemple : le système d’affichage par thumbnails dans les explorateurs de fichiers, qui cache l’image du thumbnail quelque part sur le disque pour ne pas avoir à le recalculer la prochaine fois. Ou les secteurs marqués « défectueux » sur le disque, qui contiennent encore des morceaux de fichiers auxquels le système n’essaye plus d’accéder.
Bref, le système le plus sûr est encore le système « casto » prôné par loki
Posté le 29 juin 2009 à 14:30:16
totof
+1 @Keul
C’est tout a fait inutile. Le seul résultat avéré sera d’avoir flingué son disque beaucoup plus vite…
http://linuxfr.org/~marvin/28332.html
Posté le 29 juin 2009 à 14:37:10
Kerien
Très bon article. Moi j’ai une question, vu qu’on a des pros des logiciels ici.
Est-ce que vous connaissez un bon programme pour retrouver facilement des données effacées svp? Ce sont des fichiers très légers, ce sont des photos.
Je tourne actuellement sous Windows 7 64 bits et j’ai supprimé ces données que j’aurais pas du
Merci par avance
Posté le 29 juin 2009 à 14:45:50
Ñoltar
Sympa, merci pour l’info.
Par contre, « après que vous l’AVEZ carbonisé », pas « l’ayez ». x)
Posté le 29 juin 2009 à 14:50:41
Korben
@Kerien: Easy Recovry de Ontrack mais c’est payant… sinon, j’ai déjà parlé d’autres softs similaires gratos sur ce blog mais je ne me souviens plus du nom… si qqlun retrouve pour renseigner Kerien… Merci
Posté le 29 juin 2009 à 14:55:06
Seboo
Du linux sous Fat32, c’est comme de rouler un Ferrari dans un chemin de terre…
Posté le 29 juin 2009 à 15:25:04
framasoft's status on Monday, 29-Jun-09 13:24:51 UTC - Identi.ca
[...] http://www.korben.info/comment-faire-un-bon-menage-de-printemps-sur-son-disque-dur-sous-linux.html [...]
Posté le 29 juin 2009 à 15:25:58
Loiseau2nuit
Merci
Ctrl + D Direction mes tutos Linux favoris
Posté le 29 juin 2009 à 15:50:08
opensmooth's status on Monday, 29-Jun-09 13:54:05 UTC - Identi.ca
[...] http://www.korben.info/comment-faire-un-bon-menage-de-printemps-sur-son-disque-dur-sous-linux.html [...]
Posté le 29 juin 2009 à 15:54:59
okina
Thanks for that tutorial. I’ve lots to learn with GNU/Linux. Thanks too for accepting my request identi.ca.
Posté le 29 juin 2009 à 15:55:47
egide's status on Monday, 29-Jun-09 13:58:51 UTC - Identi.ca
[...] http://www.korben.info/comment-faire-un-bon-menage-de-printemps-sur-son-disque-dur-sous-linux.html [...]
Posté le 29 juin 2009 à 15:59:43
okina
Sorry, it was a Twitter request.
Posté le 29 juin 2009 à 16:08:05
MatToufoutu
@Kerien: Pour récupérer les données effacées perso j’utilise le plus souvent photorec (qui fait partie du logiciel testdisk), et qui permet de récupérer les fichiers effacés en fonction de leur extension. Sinon il y a un autre logiciel très puissant du nom de Sleuthkit (à utiliser (ou pas) avec Autopsy, son interface web) qui permet d’analyser « à la main » le disque et entre autres choses de choisir les fichiers à récupérer. Avec Sleuthkit lors d’un test sur une clé usb que j’utilise fréquemment, j’ai retrouvé des fichiers datant de plus de 6 mois
PS: Ces 2 logiciels sont disponibles aussi bien sous Windows que Linux.
Posté le 29 juin 2009 à 17:57:16
Mpok
@Korben : « Easy Recovry de Ontrack mais c’est payant… », j’ai eu l’occasion de tester (monde professionnel, donc payant = ok), c’est IMPRESSIONNANT ce qu’ils arrivent à faire (sur ce coup, j’ai moi-même emballé le disque dur pour envoi, et je vous assure que les dégâts étaient IMPORTANTS, visiblement).
Pour le reste, je plussoie Keul plus haut : la « légende », elle marche surtout à l’envers…
Que vous fassiez une passe ou vingt, cela ne change rien à l’affaire. Pour en revenir à l’article (très instructif au demeurant), l’option « -n 1″ est TOUT AUSSI sécurisante que l’option « -n 20″ (mais la seconde prendra plus de temps…)
Posté le 29 juin 2009 à 18:10:16
Kerien
Merci à tous pour vos conseils logiciel, je m’en vais tester tout ça!
Posté le 29 juin 2009 à 18:45:58
La tag ménage du printemps version blogroll « La Porte de l’Éloquence
[...] Viger, Pat La Patate, Tchendoh, Martine la banlieusarde, Chroniques blondes, Gina Desjardins, Korben, Éric, Stéphanie, Dean, TechCrunch France, Vincent Labry, Alain, Martin, Jean-Luc, Karine, [...]
Posté le 29 juin 2009 à 19:21:52
Hanzo
@niams: sudo apt-get install foremost. Redoutable !! M’a récupéré facile pas mal de fichiers. En fait son utilisation est simple en voici un exemple :
récupération de jpeg : sudo foremost jpeg
récupération de pdf : sudo foremost pdf… etc…
Vous l’aurez compris il suffit d’indiquer l’extention de type de fichier détruit par, disons allez.. votre chat (saloperie de bete égoiste et hautaine !!!)
Un dossier OUTPUT sera créé dans votre home (par défaut) dans lequel se retrouverons les fichiers ainsi récupérés. Par contre ne comptez pas récupérer les fichiers avec leur nom d’origine. Foremoste n’est pas infaible non plus mais il peut vraiment aider
Enjoy
Posté le 29 juin 2009 à 19:47:25
Hanzo
j’oubliais… bien entendu pour foremost, il faut aussi monter le volume sur lequel les données ont été effacées ex :
sudo foremost sda .jpeg…
sudo foremost sdb .pdf…etc..etc..
Posté le 29 juin 2009 à 19:55:10
JaCe
Excuse moi de te dire ça, mais je suis si deçu que je dois me confier..
Premiere fois que tu nous fais un article aussi inutile ….. et aussi desuet..
Posté le 29 juin 2009 à 20:10:10
extaseo
M’en fous, j’ai toutes les photos de mes ex copines nues sur le DD,mes films huummm intello,mes mails anonymes à Korben,…mais ma femme croit que gnome est un mechant virus alors elle touche pas mon pc.
Posté le 29 juin 2009 à 20:13:48
extaseo
Au fait korben,tu vas nous faire croire que tu connais toutees lignes de commandes de linux? moi,je suis encore à sudo apt-get install…
Posté le 29 juin 2009 à 20:20:19
Mpok
@extaseo : tout dépend de ton expérience et/ou de ta formation. Perso, j’ai MEME PAS ENCORE installé Linux (prévu la semaine prochaine, au pire la semaine suivante), et pourtant j’estime que je connais au moins 80-90% des commandes de base..
Parce que j’ai été formé sur Unix, et que j’ai dix ans d’expérience en administration Unix. Linux étant dérivé d’Unix, les commandes de base ne m’inquiètent pas, c’est même plutôt le « sudo apt-get install » auquel il va falloir que je familiarise..
Posté le 29 juin 2009 à 21:09:48
Christophe
Sous Linux ou sous Ubuntu ?
http://www.ubuntugeek.com/tools-to-delete-files-securely-in-ubuntu-linux.html#more-786
Posté le 29 juin 2009 à 22:26:43
Trust
Merci pour cette info bien utile , jusqu’à présent je me servais de DBAN qui peut faire jusqu’à 25 passes, mais mainteant je vais tester shred
Posté le 29 juin 2009 à 23:38:26
djpate
Que pensez de ça ? (man de shred)
CAUTION: Note that shred relies on a very important assumption: that
the file system overwrites data in place. This is the traditional way
to do things, but many modern file system designs do not satisfy this
assumption. The following are examples of file systems on which shred
is not effective, or is not guaranteed to be effective in all file sys‐
tem modes:
* log-structured or journaled file systems, such as those supplied with
AIX and Solaris (and JFS, ReiserFS, XFS, Ext3, etc.)
Posté le 30 juin 2009 à 07:23:00
uio
Il faut mieux ne pas utiliser l’option -z avec shred car il est plus facile de distinguer une série de zéros qu’une série d’octets aléatoires pour une personne qui analyse le disque.
Bref les secteurs entièrement à zéro augmenteraient la suspicion. De plus à chaque tour (spécifié par le -n) shred change son aléa.
même chose avec dd pour remplir l’espace vide, mieux vaut prendre /dev/urandom comme source… un disque uniquement rempli avec des octets nuls vous pouvez être sûr qu’on va vous regarder de travers
Posté le 30 juin 2009 à 12:33:27
sebsauvage
@djpate:
les systèmes de fichiers actuels (ntfs, ext3…) utilisent un journal et choisissent où seront écrits les octets. Ce sont des bêtes très complexes (sparse files, compression, données stockées directement dans les méta-données (fichier < 4ko en NTFS), etc.)
Donc ouvrir juste un fichier et écrase le contenu avec des zéros ne garantie même pas que tu écrira par dessus les octets du fichiers (le système de fichiers peut décider d'aller écrire sur d'autres secteurs).
Un outils d'effacement de fichier doit donc soigneusement prendre en compte les particularités du système de fichier sur lequel il tourne (sdelete sous Winsows est efficace, d'ailleurs).
Sous Linux, j'ai le sentiment que srm et autres ne tiennent pas compte du système de fichier.
Le mieux étant d'effacer le disque complet (formattage ou DBAN).
PS: Ah… histoire de foutre un peu plus la merde: beaucoup de disques dur font de la relocation automatique de données en cas de secteurs défectueux.
Et c'est totalement transparent, même pour le système d'expoitation lui-même.
Vous pouvez donc bien vous retrouver avec des bouts de fichier présents sur disque qu'aucun formattage au monde (ou même DBAN) ne pourra effacer.
L'effacement de fichier absolu n'est pas trivial, mais dans la majorité des cas un simple formattage (pas "rapide") suffiera.
Posté le 3 juillet 2009 à 16:35:10
Nouky
Quelle star tu es mon Korbinou lovin’ you…
J’écoutais tranquillement mon petit podcast hebdomadaire de l’Atelier Numérique sur radio BFM (émission du 04/07) et à la fin de la première heure, j’entends parler de cet article directement dans mon I-Pod Touch chéri…
T’es déjà présent sur le Net, mais si tu l’es aussi sur les podcast là je ne suis plus d’accord…
Bises ta chatte,
Nouky
Posté le 10 juillet 2009 à 14:27:25
pouet
Est-ce qu’il est possible d’avoir plus d’infos sur ce que dit sebsauvage ?
« Vous pouvez donc bien vous retrouver avec des bouts de fichier présents sur disque qu’aucun formattage au monde (ou même DBAN) ne pourra effacer. »
Merci
Posté le 12 octobre 2009 à 14:22:13
anonyme
@moon06:
Cela marche, j’ai essayé.
Posté le 27 novembre 2009 à 10:36:43
droopy7849
Salut Korben ! Heureux de revenir sur ton site !
Je recherchais depuis longtemps un utilitaire de nettoyage pour Ubuntu 9.10 et tu viens de le fournir ! Avec tous mes remerciements encore !
Mais lorsque je lance la commande SFILL, voila ce qui s’affiche
droopy@droopy-desktop:~$ sfill /home/votrecompte
Warning: you are not root. You might not be able to wipe the whole filesystem.
Error: /home/votrecompte is not a directory
Programming Error: sdel-lib was not initialized before calling sdel_finnish().
droopy@droopy-desktop:~$ sfill /home/droopy
Warning: you are not root. You might not be able to wipe the whole filesystem.
et la machine continue de pédaler. Peut-être ai-je oublié de faire qque chose….
Pourrais-tu m’en dire un peu plus ?
Amicalement,
Posté le 6 décembre 2009 à 13:57:48