Le danger des données dites «supprimées»
En tant que spécialistes en preuves informatiques, nous sommes souvent interrogés sur la question de la suppression de données. Des données peuvent-elles être récupérées ? Que devons-nous faire des anciens ordinateurs portables ? Nos équipes anglaises ont pensé que la meilleure façon de répondre à ces interrogations était de mener une expérience afin de démontrer qu’en matière de science informatique, la notion de «suppression de données» est bien plus complexe qu’on ne le pense. L’expérience montre aussi l’importance de protéger ses données, quand bien même le matériel n’est plus en service.
Le projet Gumtree
Munis de tout juste 20£, nous avons répondu à une annonce sur la plateforme anglaise de vente communautaire nommée « Gumtree ». Nous y avons acheté quatre disques durs prétendument effacés par le vendeur, qui lui-même nous les annoncé qu’ils provenaient d’une vieille famille de PC portables. Après paiement et réception, nous avons transmis ces disques durs à notre équipe d’experts. La première étape de toute investigation informatique est d’entreprendre une procédure nommée «imagerie». L’imagerie informatique consiste à créer une copie exacte du disque dur, ce qui permet de mener des enquêtes sans compromettre ou falsifier les données originales contenues dans le disque dur. Une fois que nous avons copié les disques durs Gumtree, la vraie investigation a pu commencer. Après une première vérification, trois des disques durs semblaient être vides, comme promis par le vendeur. Quant au quatrième, il a seulement affiché le menu d’installation de base de Windows. Pour un utilisateur lambda, la vie privée du vendeur semble protégée. Toutefois la règle numéro d’un investigateur est que « supprimé » ne signifie pas toujours « supprimé ». Nous avons donc pensé que nous serions capables d’extraire des données provenant de ses soi-disant disques vides.
Des données perdues et retrouvées Une fois que nous avons examiné attentivement les disques durs copiés, nous avons découvert une quantité incroyable d’informations. Voici ci-dessous l’ensemble de ce que nous avons trouvé sur chaque disque dur :
Données récupérées du disque n°1 : - 1400 documents PDF - 500 fichiers Excel - 200 documents Word - 8 présentations Powerpoint - 40,000 fichiers image
Bien qu’à l’origine, le vendeur nous ait présenté les disques comme ayant servi à un usage familial, les informations récupérées suggèrent autre chose. En effet, celui-ci contenait de nombreux documents de factures détaillées de plus de 120,000 livres pour des fenêtres de toit, ainsi que de 17,000 livres pour la pose de revêtement sur une passerelle. Le disque dur contenait aussi des factures de dizaines de milliers de livres sterling, ainsi qu’un cache contenant des documents en langue étrangère. Tout cela laisse à penser que le disque dur n’était pas utilisé pour un usage domestique.
Données récupérées du disque n°2
Le disque n°2 est celui où on y retrouvait la base d’installation Windows. Cependant, encore une fois nous avons été capables d’y récupérer de nombreuses données. La majorité d’entre elles provenaient du système interne de partage, Sharepoint. Les fichiers contenus sur Sharepoint sont uniquement destinés à un visionnage interne et par conséquent, n’auraient pas dû être enregistrés sur le PC. Ceci prouve que le vendeur des disques se les soit procuré par des moyens douteux.
Données récupérées du disque n°3 Le disque n°3 a lui aussi a délivré des données intéressantes. Nous avons trouvé 3,800 termes de recherche Google qui nous donnent une idée de la vie du précédent propriétaire. Par exemple, nous avons pu voir que ce dernier a fait des recherches sur les enseignes Pâtisserie Valérie, suivi d’une recherche sur les salles de sports d’un secteur donné. Plus intriguant, voire même dérangeant, nous avons retrouvé, cachés parmi les documents de travail usuels, un ensemble de fichiers sur la philosophie et les sciences occultes.
Données récupérées du disque n°4
De toutes les données retrouvées au sein des disques, le disque n°4 est celui qui contenait les informations les plus sensibles. Malheureusement, notre conseiller juridique nous a informés que nous ne pouvions pas entrer en détails sur le contenu du disque étant donné que celui-ci contenait des informations relatives au gouvernement britannique ainsi que des enregistrements de vidéosurveillance. A la fin de l’expérience, il était clair que les disques ne provenaient pas d’ordinateurs à usage familial. Au total, nous avons récupéré environ 10,000 documents officiels. Il est évident que ceux-ci provenaient du même département gouvernemental.
Comment disparaitre complètement ?
Supprimer véritablement des données d’un support demeure une action délicate. En effet, même si des données semblent perdues, les chances sont qu’avec l’assistance d’un technicien forensique expérimenté, celles-ci peuvent être récupérées. Toutefois, si une entreprise dispose de supports capables de sauvegarder des données (GPS, téléphones mobiles ou encore clés USB entre autres…), les informations ainsi stockées peuvent rester accessibles à n’importe quel tiers. Ceci, même si des mesures sont prises pour effacer les données conformément aux procédures forensiques. Nous recommandons aux entreprises qui disposent de supports permettant de sauvegarder des données de contacter un prestataire de services forensiques afin de s’assurer que toutes les données confidentielles soient irrécupérables.