Wired Magazine : Le FBI dispose du serveur de messagerie de Clinton. Et maintenant ?

Tout a commencé par une mauvaise blague. Lorsque des journalistes lui ont demandé si son serveur avait été nettoyé, la principale candidate démocrate à l'élection présidentielle, Hillary Clinton, a répliqué : "Quoi, avec un chiffon ou quelque chose comme ça ?". Ha ! Vous savez, comme de la poussière. Elle a ensuite décidé de ne pas répondre à la question.

Comme tant d'autres technothrillers de piètre qualité, la saga du serveur de messagerie électronique de Hillary Clinton s'est prolongée bien au-delà du point d'épuisement. Le dernier chapitre en date, dans lequel le FBI passe au peigne fin le matériel qui a hébergé des dizaines de milliers d'épîtres numériques de Clinton, soulève toutefois la question de savoir à quel point il est difficile de faire disparaître ses données - ou de les faire récupérer par quelqu'un d'autre après qu'elles aient disparu.

Les informations sur la question de savoir si Mme Clinton, ou plus précisément Platte River Networks, la société chargée de gérer son serveur, a effectivement effacé tout ce qui s'y trouvait, sont pour la plupart confuses. Dans une lettre adressée au Congrès en mars (PDF), l'avocat de Mme Clinton, David Kendall, a déclaré qu'"aucun courriel provenant de hdr22@clintonemail.com pour la période allant du 21 janvier 2009 au 1er février 2013 ne se trouve sur le serveur ou sur les systèmes de sauvegarde associés au serveur". La campagne de Mme Clinton, quant à elle, a déclaré à PolitiFact que les courriels avaient été "supprimés", un mot aux implications très différentes. Ni la campagne de Mme Clinton ni Platte River Networks n'ont répondu aux demandes de clarification de WIRED.

Tout cela peut sembler sémantique, mais il s'agit d'une question importante pour la plupart d'entre nous. Comment pouvez-vous être sûr que vos données ont vraiment disparu ?

Supprimer, Incomplet

Beaucoup d'entre vous le savent peut-être déjà, mais si ce n'est pas le cas, vous risquez d'être surpris : Il ne suffit pas de supprimer quelque chose de votre ordinateur pour qu'il disparaisse.

"Nous le comparons généralement au catalogue d'une bibliothèque", explique Russell Chozick, cofondateur de Flashback Data, société spécialisée dans la récupération de données et la criminalistique numérique. "Votre catalogue est votre système de fichiers, et les livres sur l'étagère sont vos données. Lorsque vous supprimez un fichier, vous retirez une carte du catalogue, mais le livre reste sur l'étagère. Le système de fichiers ne sait pas où il se trouve, mais il est facilement récupérable.

Facilement, du moins, pour un laboratoire d'expertise comme Flashback, ou dans ce cas, comme le FBI, qui gère 15 laboratoires régionaux d'expertise informatique à travers le pays. S'il reste des traces d'e-mails sur le serveur de Clinton, ils disposent d'un large éventail d'outils pour les repérer.

"Dans un laboratoire de police scientifique, nous prenons un serveur de ce type et nous faisons une image de tous les disques, c'est-à-dire que nous faisons des copies exactes de tous les disques avec du matériel de police scientifique", explique M. Chozick. "Nous vérifions ensuite les valeurs de hachage (valeurs numériques uniques qui identifient les données) de la source et de la destination pour nous assurer qu'elles sont exactement les mêmes, de sorte que je sache que nous disposons d'une copie aseptisée et exacte des données. Nous travaillerions à partir de cela afin de ne pas écrire de données sur les originaux".

Il est important d'éviter d'écrire de nouvelles données sur les originaux. Alors qu'un courriel supprimé se trouve toujours en arrière-plan, il peut potentiellement être écrasé par de nouvelles données. Revenons un instant à notre exemple de bibliothèque : le livre restera sur l'étagère jusqu'à ce qu'il faille faire de la place pour un nouvel envoi.

Une fois qu'un duplicata du disque dur a été créé et vérifié, explique M. Chozick, les experts peuvent effectuer un certain nombre de tests afin de déterminer si des données sont restées intactes et, le cas échéant, de les ressusciter. Un test d'entropie vous indiquera dans quelle mesure le disque a été réellement effacé, après quoi des recherches ciblées peuvent permettre de retrouver une grande quantité d'informations cachées.

"Si nous le chargeons dans nos utilitaires de criminalistique et trouvons des utilitaires de fichiers ou autres, nous pouvons commencer à rechercher des types d'e-mails, ou les zones non allouées du disque, les zones que le système de fichiers considère comme de l'espace libre mais qui ne le sont peut-être pas. Elle peut contenir des fragments de fichiers et d'autres éléments de ce type", explique M. Chozick. "Disons qu'il s'agit d'un serveur Exchange. Les serveurs Exchange utilisent le fichier EDB comme conteneur pour tous les messages électroniques. Nous effectuons une recherche d'en-tête de fichier pour les fichiers EDB - tous les fichiers ont plusieurs octets de données au début du fichier pour indiquer le type de fichier - et nous recherchons donc des signatures de ce à quoi ressemble un fichier EDB.

Ce type de police scientifique numérique nécessite une expertise et un équipement spécialisé, mais compte tenu de ces éléments, c'est en fait assez simple. Ce qui ne veut pas dire que le FBI finira par trouver l'une ou l'autre de ces choses, ou quoi que ce soit d'autre. En fait, il y a tout autant de chances qu'il ne trouve rien.

Wipe Out

Selon NBC News, le FBI pense qu'il "pourrait être en mesure de récupérer au moins quelques données". Cela signifie que le FBI est assez confiant dans le fait que Clinton et Platte River n'ont pas effacé les serveurs après tout. Si c'est le cas, personne ne peut rien y faire.

Tout comme le fait de crier "amélioration" sur un ordinateur ne permet pas d'affiner une image par magie lorsque vous faites un zoom, malgré ce que tous les films et émissions de télévision de ces 20 dernières années peuvent vous dire, il y a des limites à ce que la criminalistique des données peut réaliser.

"Il existe dans le commerce un certain nombre d'utilitaires approuvés par le ministère de la défense pour effacer un disque dur ou un serveur", explique Michael Hall, responsable de la sécurité de l'information chez DriveSavers, un atelier de récupération de données et de criminalistique numérique. "Nombre de ces utilitaires permettent d'effacer un fichier, un dossier, l'espace libre sur le disque (également appelé espace non alloué) ou l'ensemble du disque dur au niveau physique".

En d'autres termes, il suffirait d'un logiciel facilement disponible - et dans certains cas, gratuit - pour ne laisser aucune trace de la correspondance numérique.

Le FBI ne serait cependant pas totalement dépourvu d'options. Outre la recherche de données effacées sur le serveur, il y a toute une série de choses que l'on peut essayer de retrouver, explique M. Hall.

"Ils vérifient probablement s'il existe des preuves qu'une sorte d'utilitaire d'effacement a été utilisé pour écraser les données supprimées dans l'espace non alloué du serveur", explique M. Hall. "Ils pourraient également vérifier le carnet d'adresses des contacts pour déterminer s'ils peuvent trouver des courriels qui ont été envoyés ou reçus et qui pourraient encore se trouver sur l'appareil d'un autre utilisateur".

Hall et Chozick s'empressent également de souligner que, sans plus de détails sur ce qu'est réellement ce serveur de messagerie, sur le logiciel de serveur utilisé, etc. Cependant, la plupart de ces informations s'appliquent à n'importe quel ordinateur, qu'il s'agisse d'un serveur basé sur un système RAID ou d'un vieux ThinkPad.

En outre, ce qui est vrai indépendamment de ces variables, c'est que nous laissons tous plus de traces que nous ne le pensons. Par ailleurs, il est réconfortant de savoir que si nous devons un jour faire disparaître nos disques durs, il existe des solutions moins salissantes que de sortir un marteau.