Wired : Comment DriveSavers a récupéré mes données

Publié à l'origine par Câblés.
Écrit par Mat Honan

Les ingénieurs en récupération de données de DriveSavers travaillant dans l'une de ses salles blanches sécurisées. PHOTO : MAT HONAN

Après SE FAIRE PIRATER DE FAÇON ÉPIQUE et que j'ai fait effacer mon ordinateur à distance, je me suis retrouvé avec le MacBook Air le plus triste du monde. Ma machine inutile m'est revenue de l'Apple Store avec un nouveau système d'exploitation installé sur une partition de 6 Go, et ce qui semblait être une grande ardoise blanche verrouillée de 250 Go sur l'autre. Mais dans le néant de cette ardoise vierge, j'espérais que se trouvaient les photos, les films et les documents que j'avais bêtement et paresseusement omis de sauvegarder.
J'ai envisagé d'essayer de récupérer les données moi-même. Il existe de nombreux outils de récupération de données à domicile, et cela ferait une meilleure histoire - ou du moins, une histoire qui me donnerait une meilleure image. Mais après quelques recherches, j'ai décidé de ne pas essayer.

Le MacBook Air utilise un disque dur à état solide (SSD), qui offre des performances plus rapides tout en utilisant moins d'espace physique qu'un disque dur traditionnel. Mais un disque SSD présente des problèmes de récupération uniques. Et mes données étaient trop précieuses pour que je les confie à un idiot comme moi. J'ai donc emballé ma machine et je l'ai envoyée chez DriveSaversune entreprise de Novato, en Californie, spécialisée dans la récupération de données. Ils m'ont appelé le lundi pour me dire que le disque était arrivé, puis à nouveau le lendemain pour m'informer qu'ils avaient terminé et qu'ils avaient pu récupérer la quasi-totalité de mes données importantes.

Au lieu de leur demander de me renvoyer le tout sur un nouveau disque, je me suis rendu à Novato le lendemain pour voir comment ils travaillaient.

L'établissement est un véritable CSI. Les salles blanches conduisent à des salles blanches, qui conduisent à des salles encore plus blanches, et ainsi de suite. Les espaces de travail sont soumis à des normes fédérales allant de 100 000 à 100. (L'indice est une mesure du nombre de particules en suspension dans l'air de la taille de 0,1 micron par mètre carré). En outre, tous les employés font l'objet d'une vérification annuelle de leurs antécédents, en raison des contrats de l'entreprise avec des agences gouvernementales telles que le ministère de la défense et le FBI. DriveSavers doit également répondre à des exigences très strictes en matière de sécurité des données, comme la certification HIPAA pour les hôpitaux et la GLBA pour les institutions financières. En fait, l'entreprise doit respecter les mêmes normes de sécurité que ses clients.

Les visiteurs doivent franchir une série de portes de sécurité équipées d'un système de vidéosurveillance pour entrer dans le bâtiment, puis une deuxième entrée sécurisée pour accéder au bureau. Dans le couloir et dans les bureaux, on trouve des ordinateurs brûlés et détruits dans toutes sortes d'états terrifiants. Il s'avère que ce sont là des exemples de réussite.

Lorsqu'un disque arrive, il est envoyé dans une salle blanche pour être retiré de son boîtier afin que la machine sur laquelle il se trouve n'ait jamais besoin d'être mise sous tension. Souvent, les dommages subis par un disque - en particulier dans le cas d'un disque dur standard dont les plateaux tournent - sont dus à des dommages physiques subis par les machines elles-mêmes : ordinateurs portables arrosés de café, disques externes tombés sur du béton, ordinateurs de bureau pris dans des incendies et iPhones tombés dans les toilettes (Oh, tant d'iPhones dans les toilettes !). Les mettre sous tension peut donc aggraver les dommages, car les circuits peuvent être grillés ou les plateaux des disques encore plus endommagés.

C'est également le cas des disques durs à état solide, comme ceux que l'on trouve dans un MacBook Air ou un ultrabook. L'un des avantages des disques SSD en termes de performances réside dans la manière dont ils réaffectent constamment les données. Les disques SSD ne peuvent pas écraser les données existantes, contrairement aux disques durs. Ils doivent d'abord effacer les données, puis les écrire. Ils effectuent donc automatiquement une opération en arrière-plan, appelée "garbage collection", qui consiste à copier, déplacer et effacer en permanence des blocs de données. Ce processus revient à défragmenter un disque au niveau physique. Mais si un disque SSD a été endommagé pour une raison quelconque ou, comme le mien, est en cours d'effacement, la poubelle est toujours éliminée, mais les nouvelles données ne prennent pas leur place. Une fois de plus, le disque est retiré pour éviter que les dommages ne s'étendent.

Une fois le disque sorti, une équipe d'ingénieurs l'insère dans des adaptateurs personnalisés exclusifs utilisant un logiciel spécialisé qui permet des transferts de données ultrarapides. DriveSavers affirme disposer d'adaptateurs personnalisés pour plus de 20 000 modèles de disques durs. En fait, l'entreprise est inondée de matériel et de logiciels spécialisés et d'ingénieurs capables de gérer les deux. Tout le monde a reçu une formation polyvalente, de sorte que l'installation peut fonctionner 24 heures sur 24 et 7 jours sur 7. Les laborantins en combinaison propre peuvent manipuler les microprogrammes, remplacer les plateaux, imprimer les circuits imprimés et déchiffrer les mots de passe. Cela signifie que l'installation peut tout traiter, des téléphones portables aux disques SSD, en passant par les anciens disques durs des années 80 (pensez aux ordinateurs du gouvernement) et pratiquement tous les disques fabriqués au cours des 30 dernières années.

La salle des inventaires, où sont stockés tous les types - ou presque - de dispositifs de données destinés à être utilisés comme disques de récupération. S'ils ne l'ont pas, ils l'obtiendront. L'étape suivante consiste à créer une image du disque, c'est-à-dire à copier toutes les données telles qu'elles ont été trouvées. L'idée est de dupliquer rapidement l'original afin d'éviter toute dégradation supplémentaire d'un système endommagé. "Nous ne voulons jamais travailler en dehors de la source", explique Mike Cobb, directeur de l'ingénierie chez DriveSavers.

Même l'imagerie est compliquée. Étant donné que la contamination des données peut signifier que les données de quelqu'un d'autre se retrouvent sur votre disque, l'entreprise "slicks" ses supports de stockage. Cela signifie qu'elle écrase les disques, même les plus récents, avec des zéros pour s'assurer que toute donnée apparaissant sur une copie ne peut provenir que de l'original.

Une fois que les techniciens de laboratoire ont copié le disque, ils vérifient s'il y a des données à récupérer. Il s'agit d'une étape purement exploratoire. Souvent, il n'y a pas de fichiers ou de systèmes de fichiers intacts, seulement des données brutes non structurées. Ce n'est pas grave. Mais les problèmes surviennent lorsqu'un disque est physiquement illisible ou a été réduit à zéro. Prenons l'exemple de mon disque SSD. Les 26 premiers pour cent du disque, soit 64 Go, avaient été écrasés par des zéros. Il n'y avait aucun moyen de récupérer ce qui n'existait plus. D'autres situations peuvent également rendre les disques SSD irrécupérables. Si le disque est crypté et qu'il n'y a pas de clé, les données existent mais sont indéchiffrables. La grande majorité des disques SSD étant désormais cryptés, si la clé a été perdue ou détruite, les données ont effectivement disparu.

Les disques durs peuvent également être irrécupérables, généralement à la suite d'un accident catastrophique. Les disques durs ressemblent un peu à des tourne-disques. Il y a un plateau en rotation avec une fine pellicule magnétique, où les données sont stockées. Comme l'aiguille d'un tourne-disque, la tête du disque lit et écrit les données en se déplaçant sur le plateau. Mais contrairement à une table tournante, la tête n'est pas censée entrer en contact avec le plateau. Les deux ne sont séparés que par quelques nanomètres, mais ils sont séparés. Lorsqu'ils se rencontrent et que le disque continue à tourner, la collision peut devenir catastrophique, détruisant complètement le matériau magnétique au-delà du point de rédemption.

En général, les techniciens trouvent quelque chose sur les disques, même en cas d'incendie. Et s'ils trouvent des données, il y a de fortes chances qu'ils puissent les récupérer.

Un système d'exploitation abandonne et passe à autre chose lorsqu'il rencontre des sections endommagées ou illisibles d'un disque. Mac OS, par exemple, n'a pas reconnu que mon disque contenait des données dans cette deuxième partition, alors qu'il y avait environ 190 Go de données cachées là. Les données n'apparaissaient même pas si je démarrais ma machine en mode disque cible. À toutes fins utiles, ces informations étaient perdues. DriveSavers utilise un logiciel spécialisé pour contourner ces dommages et restructurer les données brutes en types de fichiers.

Avant d'envoyer mon disque, j'ai expliqué quels types de fichiers j'espérais récupérer : photos, documents, courriers électroniques, etc. La récupération de mes applications ne m'intéressait pas particulièrement. Les ingénieurs ont donc commencé à parcourir le disque à la recherche de ces informations.

Il est remarquable qu'ils aient pu récupérer la quasi-totalité de ces données vitales et irremplaçables. Même les données exif de mes photos étaient intactes. En fait, les fichiers m'ont été restitués dans l'état où ils se trouvaient avant que mon disque ne soit effacé. C'était tout à fait remarquable.

Je suis reparti avec un disque dur externe crypté rempli de données que je croyais perdues à jamais, et une facture assez salée ($1 690) qui valait chaque centime.

Plus d'informations ici : http://www.wired.com/2012/08/how-drivesavers-got-my-data-back/