Bonjour à tous, aujourd’hui on va regarder comment blanchir un disque dur avant de rendre un serveur (en IaaS par exemple) ou de donner un disque, par exemple . C’est un cas d’usage qui m’est arrivé régulièrement ces dernières années, déjà : à chaque changement de serveur pour le site tout simplement, et donc lors du dernier changement de la machine.
Pourquoi faire l’effort de nettoyer le disque ?
Alors simplement, lorsque vous louez puis rendez un serveur en IaaS chez AWS, OVH, Online ou autre Microsoft Azure, il ne faut pas croire que votre hébergeur détruit le serveur après que l’ayez utilisé. Votre machine sera re-louer au prochain utilisateur après une simple réinstallation du système.
Selon le fonctionnement de votre hébergeur (VM, machine dédié, stockage distant, etc), avec de bêtes outils d’analyses de disque genre Recuva pour Windows ou encore Foremost et Photorec sous Linux quand vous louer un serveur et vous pouvez parfois voir apparaitre d’anciens fichiers laissés par le précédent locataire…
Bref, du coup je peux vous proposer la procédure simple suivante pour éviter que ce genre de désagrément ne vous arrive.:
Procédure pour blanchir un disque
- Commencer par réinstaller l’OS, au moins 2 fois si possible, et avec différents système d’exploitation et tout en modifiant le partitionnement et les tailles et les systèmes de fichiers utilisés. L’idée c’est de bien foutre le bordel sur le disque pour une éventuelle analyse.
- Terminer par réinstaller une Linux Debian « minimale » (avec une empreinte limitée) sur une seule partition root.
- Installer les paquets
screenetsecure-deletequi vont vous permettre d’écraser le contenu vide de vos disque.apt-get install screen secure-delete - Puis exécuter la commande suivante :
screen sfill -l -z / - Laisser tourner quelques jours ou semaines, le temps que le disque se fasse réécrire plusieurs fois, en général je laisse tourner en boucle jusqu’à l’expiration de mon côté.
Notez que si vous êtes un grand paranoïaque, vous pouvez retirer l’option -l du sfill. Celle-ci spécifie de ne faire que 2 passe d’écriture : une avec que des 1, puis une en aléatoire. Cela qui devrait ralentir beaucoup l’opération, et le -l reste à priori suffisant pour des données que vous avez mis sur un serveur dans le cloud normalement. Et si vous êtes pressé, n’oubliez pas l’existance de l’option -f mais qui ne garantie pas l’écrasement.
Limitations
N’oubliez pas que l’outil laisse quand même quelques traces en raison des caches filesystem ou RAID ou tout simplement le swap. Encore une fois, a vous d’adapter le niveau de blanchiment par rapport aux données que vous avez. Par exemple, à mon ancien taf, ils faisaient appels à des sociétés spécialisées dans la destruction de disque dur : c’est jolie à voir, (ça fait un peu de bruit…^^) mais ça fait mal au cœur de quand on sait le prix que ça coute à l’achat pour la boite (et nos impôts) et comment ces disques pourraient avoir une seconde vie chez des particuliers, des PME ou des associations.
Conclusion
Bon voilà, normalement maintenant vous savez comment blanchir un disque logiciellement et sans passer la bête à la broyeuse de votre évier… Je conclurai sur ce point, quoi qu’il arrive : adaptez votre solution technique et vos processus organisationnels de nettoyage et de réformes des disques dur usagés aux besoins de sécurité « réels » : ne surestimez, ni ne sous-estimez, le risque associé.
Sur ce je retourne blanchir mes disques au tourne-vis comme on faisait en école d’ingénieur moi, d’ici la prochaine geekez-bien et @+ !
juste shred.