La commande de chiffrement de Windows est-elle sécurisée?
Ainsi, dans Windows CMD, il existe l'outil de ligne de commande Cipher.exe. Soi-disant, il vous permettra d'écraser complètement l'espace disque vide avec 0x00 et 0xFF. (avec le paramètre/w)
Il y a quelques informations supplémentaires ici que j'ai pu trouver sur l'utilisation de la commande.
D'après ma compréhension, cela devrait signifier que toutes les données supprimées devraient être irrécupérables.
Je n'ai pas pu trouver trop d'informations sur dans quelle mesure cela est-il vrai et peut-il être utilisé pour supprimer définitivement des données en toute sécurité?
Supprimer des données en toute sécurité, autrement connu sous le nom de "essuyage", peut être étonnamment difficile.
L'écrasement des données ne serait-ce qu'une fois avec "cipher.exe" ou tout autre outil rend les données effectivement disparues. Les vieux bugaboos sur les lingettes à passes multiples sont nécessaires pour contrecarrer la récupération au microscope à force magnétique des lingettes partielles sur piste est une légende urbaine. C'était théoriquement possible à l'époque ( il y a 20 ans ) précédant IDE disques durs avec des capacités de stockage mesurées en - MÉGA octets. Même alors, c'était une curiosité de laboratoire qui n'a jamais été démontrée avec succès à des échelles supérieures à quelques octets. Une écriture en une seule passe de quoi que ce soit; zéros, aléatoires, motif, peu importe , efface les données en toute sécurité. Oui, "cipher.exe" et d'autres offrent un effacement à plusieurs passes, mais il s'agit d'un transfert marketing car beaucoup de gens croient toujours que c'est nécessaire. Ce n'est pas et c'est une perte de temps, mais n'hésitez pas à multipasser si vous aimez.
Mais j'ai dit que cela peut être difficile, puis j'ai décrit quelque chose de simple?
La partie difficile est en fait d'écraser les données, car les données ne sont souvent pas aussi statiques qu'il n'y paraît.
Des outils comme "cipher.exe" écrasent non alloué espace disque, communément appelé supprimé. Pour la plupart, cela fonctionne comme vous le pensez.
Alors, où cela échoue-t-il?
Slack Space ( petit risque )
Le stockage des fichiers est alloué en blocs. Tout fichier qui n'utilise pas un multiple exact de blocs aura un remplissage faisant la différence. Il s'agit généralement de fragments du dernier fichier utilisé par ce bloc de disque. En réalité, il s'agit d'un risque relativement faible de contenu utile. Sur les disques SSD avec TRIM fonctionnant correctement, l'espace libre doit être vide.
Mauvaises pistes/secteurs ( petit risque )
Les pistes qui ont été remappées en raison d'échecs peuvent contenir des blocs de données qui ne seront pas touchés par les tentatives de remplacement. Généralement, ceux-ci sont vraiment mauvais et les données ne sont pas récupérables, ou même si elles sont récupérées, elles contiennent des fragments système non associés à quelque chose d'important. Oui, de mauvaises pistes peuvent être créées artificiellement, mais si vous l'avez fait, vous savez que vous l'avez fait, ce n'est pas accidentel.
Nivellement de charge ( risque insignifiant )
Les disques SSD tentent de réduire l'usure en désactivant les blocs de mémoire en interne. Lorsque cela se produit, les anciennes données ne peuvent pas être atteintes pour les écraser. Encore une fois, ce sont de minuscules morceaux et l'accès aux morceaux nécessite "Chip-Off", supprimant les puces de mémoire et les contrôleurs afin de contourner le contrôle de niveau d'usure. Même si cela est fait, bonne chance pour en tirer quelque chose d'utile.
Bases de données et MFT ( risque significatif )
Les bases de données suppriment les entrées en marquant l'espace comme disponible pour être réutilisé, mais cela n'est pas non alloué au système car il fait toujours partie du fichier de base de données alloué. Il ne sera pas remplacé par "cipher.exe". Windows [[# #]] m [~ # ~] aster F ile T fonctionne de manière analogue. Sa fonction principale est de conserver les attributs de fichier et de pointer vers le ou les emplacements de disque contenant réellement les données du fichier. Cependant, si un fichier est suffisamment petit (approchant jusqu'à 981 octets), les données réelles du fichier peuvent être stockées directement dans le MFT. La suppression de ce fichier marque l'entrée comme disponible pour la MFT, mais la MFT dans son ensemble est toujours allouée et ne sera donc pas touchée par "cipher.exe".
Volumes fantômes ( gros risque )
Microsoft prend en charge la possibilité d'effectuer des "annulations" de récupération. Il accomplit cet exploit magique avec le Volume Shadow Service (VSS). Essentiellement, Windows conserve les copies de versions antérieures des fichiers qui ont été modifiés. Pas seulement une seule version précédente, mais potentiellement de nombreuses versions précédentes. Ces fichiers de version précédente sont facilement récupérables même si la version actuelle a été effacée avec succès. "Cipher.exe" ne touchera pas les volumes fantômes.