Go to Top

Comment nos ingénieurs ont contourné le chiffrement de disques SSD pour récupérer des données

Chiffrement de disques SSD

Le chiffrement matériel automatique des lecteurs SSD Samsung n’est pas sans dangers – c’est ce qu’ont découvert trois membres d’un cabinet de conseil financier réputé en Allemagne, un peu plus tôt cette année : après que chacun de leur ordinateur portable équipé d’un SSD rapide Samsung 840 PRO ait planté et soit rebooté, le lecteur SSD n’était plus reconnu. Les managers n’avaient plus accès à des documents clients importants et aucune  sauvegarde n’avait été réalisée. Dans leur détresse, ils ont cherché l’aide d’ingénieurs spécialisés en récupération de données.

Contexte de la perte de données

Les SSD Samsung 840 EVO et PRO sont tous les deux dotés d’un chiffrement automatique par défaut, qui est actif en permanence sans que l’utilisateur ne le sache ou ne l’ait autorisé. À chaque fois que vous accédez au disque, le contrôleur interroge la clé située sur le disque dur pour l’activer. Mais si le contrôleur, pour une raison ou une autre, ne fonctionne plus – que ce soit à cause d’un défaut ou de l’échec d’une mise à jour du micrologiciel – il est impossible d’accéder au disque dur de quelque manière que ce soit.

Dans le cas des trois SSD affectés à cause de la panne du contrôleur SSD installé, le contenu n’a pas pu être restauré avec des méthodes de récupération de données classiques. Néanmoins, il fut possible pour Kroll Ontrack d’effectuer une récupération de données pour déjouer le chiffrement à l’aide d’une astuce particulière : pour accéder aux données sur les lecteurs de disques durs, les ingénieurs ont commencé par remettre ces contrôleurs défaillants en état de marche. En réparant le micrologiciel des contrôleurs, il a été possible de lire les données chiffrées et de les placer sur un support de stockage externe. Lors des étapes suivantes, des lecteurs de disques durs SSD Samsung de la même gamme, neufs et identiques, ont été utilisés. Les contrôleurs des nouveaux SSD ont été modifiés par une solution logicielle interne spécifique qui a stoppé le chiffrement du matériel. Ensuite, les données chiffrées d’origine des ordinateurs ont été copiées sur les nouveaux SSD, puis le contrôleur a été de nouveau “armé” de l’outil spécifique interne.

Résultat de la récupération de données

Les données ont été « décompactées » vers les nouveaux SSD avec les clés du « nouveau » contrôleur. Les données présentes dans leur forme d’origine ont dû être à nouveau décompactées à l’aide d’un mot de passe, étant donné que le cabinet de conseil utilisait un chiffrement logiciel, et ont alors pu être complètement récupérées.

 

Lire aussi : Comment récupérons-nous les données d’un disque SSD ?

 

Les experts ont ainsi pu récupérer presque un gigaoctet de données issues des ordinateurs de l’entreprise. Cette méthode peut être une réussite mais ce n’est pas nécessairement le cas.  Cela dépend largement de la manière dont le fabricant chiffre les contrôleurs des SSD du côté matériel. Dans ce cas particulier, il était évident que tous les lecteurs de disques durs d’une gamme de SSD Samsung PRO spécifique avaient les mêmes caractéristiques d’erreurs. Dans d’autres cas, la situation peut être complètement différente, sans aucune chance de récupération de données.

Notre conseil pour protéger vos données

Lorsque vous achetez un lecteur de disque dur SSD, assurez-vous qu’aucun chiffrement matériel automatique ne soit implémenté. Au contraire, un logiciel de chiffrement puissant basé sur une méthode symétrique ou asymétrique est préférable. Mais, encore une fois : en cas de défaillance des SSD chiffrés par logiciel, la responsabilité repose entièrement sur l’utilisateur et non le fabricant. Sans clé (de chiffrement logiciel) disponible, stockée séparément du SSD et en lieu sûr, même les experts en récupération de données ne sont plus d’aucune aide dans une telle situation.

One Response to "Comment nos ingénieurs ont contourné le chiffrement de disques SSD pour récupérer des données"

  • Michel Merlin
    15 juin 2017 - 12:14 Reply

    La principale et primordiale sécurité est que JE puisse en tout temps avoir OU RÉCUPÉRER accès à MES données. TOUT chiffrage est donc une atteinte à cette sécurité fondamentale.
    J’ai plusieurs SSD Samsung (EVO 850 1tb p.ex.), ils marchent, mais périodiquement refusent de booter, aucun démontage-remontage changement de quoi que ce soit ne fonctionne, je suis obligé de porter le PC chez un réparateur informatique qui bien entendu me prend 1 journée (le but étant de me faire perdre des données ou au moins du temps, et de me faire croire que la manip de récup serait longue et fastidieuse) avant de me le rendre en état de marche et en prétendant “les yeux dans les yeux” (©Cahuzac) que c’est moi qui serais un stupide qui avait mal inséré le SSD…
    En découvrant aujourd’hui l’existence de ce cryptage HORS CONNAISSANCE ET PERMISSION du propriétaire (moi), je comprend soudain à quel point j’ai été roulé dans la farine, et surtout sous quelle épée de Damoclès vivent mes données.
    Je ne compte donc plus acheter de SSD Samsung, mais quelqu’un saurait-il quelles marques sont jusqu’à maintenant indemnes de ce pernicieux sabotage ?
    Versailles, Thu 15 Jun 2017 12:15:25 +0200

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *