accueilSécuritéIncidents de sécurité
 

Perte de données sur un disque


Si une panne peut être considéré comme un incident de sécurité car elle porte atteinte à la disponibilité, généralement elle n’a pas, sauf gravité extrême, à être traitée par l’équipe SSI. Toutefois l’expertise de cette dernière peut être utile pour récupérer des données en cas de panne de disque ou d’effacement malencontreux de fichiers.

Se préparer

  • Avoir une capacité suffisante de disque pour faire d’une part une image du disque défectueux et d’autre part récupérer les données (en pratique il faut le double de la capacité du disque initial).
  • Disposer d’outils de récupération de données. Quelques éléments pouvant faire partie d’une boîte à outils :
    • ddrescue équivalent à dd mais gère les erreurs d’entrée/sortie en récupérant le maximum d’informations encore lisibles.
    • dd_rescue mêmes fonctionnalités que ddrescue.
    • TestDisk répare la table des partitions, récupère des partitions perdues ou des fichiers effacés.
    • PhotoRec, récupère des fichiers perdus d’après le contenu (file carving)
    • Un système Linux sur "live CD" ou clé USB contenant ces outils.
  • S’exercer. Les méthodes utilisées pour récupérer des informations perdues sont très voisines de celles utilisées lors d’analyse forensiques à la suite d’intrusion.

Réponse immédiate

  • Si c’est un effacement malencontreux à la suite d’une erreur humaine ou d’un dysfonctionnement logiciel, empêcher toute écriture sur le disque en éteignant l’ordinateur (arrêt brutal).
  • Si le problème est lié à un ransonware, il ne faut surtout pas arrêter ou redémarrer la machine, la clé de chiffrement utilisée pouvant être encore en mémoire centrale
  • S’il s’agit d’un disque qui commence à présenter des signes de défaillance, ne pas arrêter le disque ce qui pourrait aggraver son état et en effectuer dès que possible une image en redémarrant avec un système Linux sur un live CD (ou clé USB ou disque) et en utilisant la commande ddrescue (ou dd_rescue ).
  • Si l’on dispose de bonnes sauvegardes, il est plus simple de s’appuyer sur celles-ci pour récupérer l’information plutôt que de se lancer dans une procédure longue, délicate et dont le résultat n’est pas garanti.

Traiter

  • C’est une opération délicate qui exige de ne pas être sous pression.
  • Souvent il n’est pas indispensable de chercher à récupérer l’ensemble des informations, seules celles qui sont difficiles à reconstituer le mérite.
  • Utiliser des outils de récupération de données comme TestDisk ou PhotoRec.
  • Si le problème résulte d’une intrusion avérée, il y a lieu de voir l’opportunité de déposer plainte.

Investiguer

  • S’il s’agit d’une défaillance matérielle ou d’une erreur humaine, il n’y a guère d’intérêt à aller plus loin.
  • S’il s’agit de l’action d’un code malveillant, il est intéressant de rechercher comment l’intrusion a été effectuée.

Communiquer

Profiter de l’incident pour sensibiliser sur la nécessité des sauvegardes. Une information n’existe réellement sous forme numérique que si elle est stockée en plusieurs endroit.


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits