Comment nos ingénieurs ont contourné le chiffrement SSD

Written By: Ontrack

Date Published: 19 mai 2015

Comment nos ingénieurs ont contourné le chiffrement SSD

Le chiffrement matériel automatique des lecteurs SSD Samsung n’est pas sans dangers – c’est ce qu’ont découvert trois membres d'un cabinet de conseil financier réputé en Allemagne, un peu plus tôt cette année : après que chacun de leur ordinateur portable équipé d'un SSD rapide Samsung 840 PRO ait planté et soit rebooté, le lecteur SSD n'était plus reconnu. Les managers n'avaient plus accès à des documents clients importants et aucune sauvegarde n'avait été réalisée. Dans leur détresse, ils ont cherché l'aide d'ingénieurs spécialisés en récupération de données.

Contexte de la perte de données

Les SSD Samsung 840 EVO et PRO sont tous les deux dotés d’un chiffrement automatique par défaut, qui est actif en permanence sans que l’utilisateur le sache ou ne l’ait autorisé. À chaque fois que vous accédez au disque, le contrôleur interroge la clé située sur le disque dur pour l'activer. Mais si le contrôleur, pour une raison ou une autre, ne fonctionne plus – que ce soit à cause d'un défaut ou de l'échec d'une mise à jour du micro logiciel – il est impossible d'accéder au disque dur de quelque manière que ce soit.

Dans le cas des trois SSD affectés à cause de la panne du contrôleur SSD installé, le contenu n'a pas pu être restauré avec des méthodes de récupération de données classiques. Néanmoins, il fut possible pour Ontrack d’effectuer une récupération en contournant le chiffrement des données à l’aide d’une astuce particulière : pour accéder aux données sur les lecteurs de disques durs, les ingénieurs ont commencé par remettre ces contrôleurs défaillants en état de marche. En réparant le micro logiciel des contrôleurs, il a été possible de lire les données chiffrées et de les placer sur un support de stockage externe. Lors des étapes suivantes, des lecteurs de disques durs SSD Samsung de la même gamme, neufs et identiques, ont été utilisés. Les contrôleurs des nouveaux SSD ont été modifiés par une solution logicielle interne spécifique qui a stoppé le chiffrement du matériel. Ensuite, les données chiffrées d'origine des ordinateurs ont été copiées sur les nouveaux SSD, puis le contrôleur a été de nouveau "armé" de l'outil spécifique interne.

Résultat de la récupération de données

Les données ont été « décompactées » vers les nouveaux SSD avec les clés du « nouveau » contrôleur. Les données présentes dans leur forme d’origine ont dû être à nouveau décompactées à l'aide d'un mot de passe, étant donné que le cabinet de conseil utilisait un chiffrement logiciel, et ont alors pu être complètement récupérées.

Les experts ont ainsi pu récupérer presque un gigaoctet de données issues des ordinateurs de l'entreprise. Cette méthode peut être une réussite, mais ce n'est pas nécessairement le cas.  Cela dépend largement de la manière dont le fabricant chiffre les contrôleurs des SSD du côté matériel. Dans ce cas particulier, il était évident que tous les lecteurs de disques durs d'une gamme de SSD Samsung PRO spécifique avaient les mêmes caractéristiques d'erreurs. Dans d'autres cas, la situation peut être complètement différente, sans aucune chance de récupération de données.

Notre conseil pour protéger vos données

Lorsque vous achetez un lecteur de disque dur SSD, assurez-vous qu'aucun chiffrement matériel automatique ne soit implémenté. Au contraire, un logiciel de chiffrement puissant basé sur une méthode symétrique ou asymétrique est préférable. Mais, encore une fois : en cas de défaillance des SSD chiffrés par logiciel, la responsabilité repose entièrement sur l'utilisateur et non le fabricant. Sans clé (de chiffrement logiciel) disponible, stockée séparément du SSD et en lieu sûr, même les experts en récupération de données ne sont plus d’aucune aide dans une telle situation.

Newsletter

KLDiscovery Ontrack Sarl, 2, impasse de la Noisette, 91370 Verrières-le-Buisson, France (voir tous nos bureaux)