AccueilBase de connaissances › Détruire les SSD : pourquoi l'effacement ne fonctionne pas
Supports

Détruire les SSD : pourquoi l'écrasement ne fonctionne pas

· 7 min de lecture · DeSnipperaar

Tout administrateur IT connaît le réflexe. Un ordinateur portable quitte le parc, alors on démarre DBAN ou un outil similaire et on écrase le disque trois fois. Pendant des décennies, cela a été la règle d'or. Sur un SSD moderne, cette règle ne tient plus. La couche physique sous un SSD fonctionne de façon fondamentalement différente d'un disque dur magnétique, et un écrasement excellent sur un HDD est un pari sur un SSD. Cet article explique pourquoi, et quelle est la seule solution fiable.

Pour qui : administrateurs IT, DPO, acheteurs qui veulent enfin comprendre pourquoi leur procédure d'effacement ne répond pas à l'article 32 du RGPD.

Comment un SSD stocke les données

Un SSD contient des puces de mémoire flash NAND, divisées en blocs et en pages. Les données sont écrites par page (en général 4 ou 16 Ko) mais ne peuvent être effacées que par bloc (souvent 256 Ko ou plus). Le système d'exploitation ne parle pas directement à ces blocs. Entre l'OS et la NAND se trouve la Flash Translation Layer (FTL), qui associe les adresses logiques aux emplacements physiques. C'est la FTL qui décide où atterrissent les données, pas l'OS.

C'est essentiel. Quand Windows, macOS ou Linux dit « écrire dans le secteur X », la FTL peut envoyer cette écriture vers une cellule NAND totalement différente, par exemple pour répartir l'usure.

Wear levelling : le répartiteur d'usure

Les cellules NAND s'usent. Chaque écriture abîme la cellule, et après quelques milliers à cent mille cycles la cellule est morte. Pour éviter de toujours toucher le même endroit, le contrôleur fait tourner les écritures sur toute la mémoire. Si vous écrivez à l'adresse logique du secteur 0, les données peuvent atterrir dans la cellule physique 12345. La fois suivante dans la cellule 67890.

Conséquence : si vous « écrasez tout le disque avec des zéros », vous ne savez pas si vous avez vraiment touché toutes les anciennes données. Des cellules physiques plus anciennes peuvent encore contenir un contenu antérieur qui n'est plus adressable logiquement mais qui reste lisible par un accès direct à la puce.

Cellules de réserve et over-provisioning

En plus du wear levelling, chaque SSD garde un pool de réserve. Des cellules que l'OS ne voit jamais, destinées à remplacer les cellules défaillantes (remapping) et à maintenir les performances d'écriture (over-provisioning). Un SSD de 512 Go a souvent de 10 à 30 pour cent de capacité cachée. Ces cellules de réserve ne peuvent être atteintes ni écrasées par aucune commande de l'OS. Elles peuvent contenir d'anciennes données encore récupérables par un accès à la puce.

Un SSD de 512 Go contient en réalité de 620 Go à 640 Go de NAND. Tout l'espace que l'OS ne voit pas peut contenir d'anciennes données que les programmes d'effacement ne touchent jamais.

TRIM : utile, mais ne garantit rien

Le TRIM est une commande que l'OS envoie pour indiquer au SSD qu'un bloc n'est plus utilisé. Le contrôleur peut alors effacer ce bloc en interne au moment opportun. Cela ressemble à une solution, mais :

  • Le TRIM est un « conseil » donné au contrôleur, pas une garantie. Le moment où il efface réellement dépend du firmware.
  • Tous les SSD ne prennent pas en charge le TRIM déterministe (où les lectures après TRIM renvoient un 0 garanti).
  • Les cellules de réserve ne sont pas touchées par le TRIM.
  • Avec un RAID, du chiffrement ou de vieux systèmes d'exploitation, le TRIM peut être désactivé ou limité.

ATA Secure Erase : mieux mais pas infaillible

La commande ATA Secure Erase laisse le contrôleur du SSD effacer lui-même toutes les cellules, y compris dans bien des cas les cellules de réserve. C'est nettement plus fiable qu'un écrasement au niveau de l'OS. Des chercheurs de l'UCSD ont montré dès 2011 (article « Reliably Erasing Data from Flash-Based Solid State Drives ») que certains des SSD testés laissaient encore des fragments de données après un Secure Erase. Bugs de fabricants, problèmes de firmware et erreurs d'implémentation font que vous n'êtes jamais sûr à 100 pour cent.

La norme NIST 800-88 classe donc le Secure Erase sur SSD comme Purge, avec la réserve que le succès dépend du fabricant et du modèle. Acceptable pour les profils à faible risque. Insuffisant pour les catégories sensibles au titre du RGPD.

Disques auto-chiffrants : effacement rapide par crypto-erase

Les SSD modernes prennent souvent en charge le chiffrement OPAL ou TCG. Toutes les données sont chiffrées avec une Data Encryption Key (DEK). Détruire la DEK rend toutes les données illisibles. On appelle cela le crypto-erase, et il se fait en quelques secondes. Puissant, à condition que :

  • Le chiffrement ait toujours été actif (pas activé après coup).
  • La gestion des clés soit en ordre.
  • Aucune porte dérobée n'ait été implantée dans le firmware.
  • La crypto elle-même soit assez forte (AES-256 au minimum).

Pour un risque élevé, la destruction physique reste le choix sûr. Le crypto-erase est théoriquement cassable si une faiblesse du chiffrement venait à être découverte.

Stock de SSD hors rotation ? Détruisez-les physiquement.

Nous déchiquetons les SSD en DIN 66399 E-4 ou supérieur sur votre site. Aucun ordinateur portable ne quitte vos locaux intact. Certificat par numéro de série.

Demander un devis

Que prescrit la norme DIN 66399 ?

La série E de la DIN 66399 s'applique aux supports électroniques tels que les SSD, les clés USB et les cartes mémoire.

  • E-2 : particules jusqu'à 2000 mm². Insuffisant pour des données personnelles.
  • E-3 : particules jusqu'à 160 mm². Classe 1.
  • E-4 : particules jusqu'à 30 mm². Le minimum pour des données personnelles courantes.
  • E-5 : particules jusqu'à 10 mm². Catégories particulières et financières.
  • E-6 : particules jusqu'à 1 mm². Données très sensibles.
  • E-7 : particules jusqu'à 0,5 mm². Secteur public et secret-défense.

Pour la plupart des organisations soumises au RGPD, E-4 est le standard. Pour la santé, la finance et le juridique, choisissez E-5. Lisez aussi notre article sur les niveaux P de la DIN 66399 pour le côté papier de la même norme.

Différence avec les USB et les SD

Les clés USB, les cartes SD et microSD utilisent la même technologie NAND, souvent avec des contrôleurs plus simples. Beaucoup de clés bon marché n'ont pas de wear levelling et une mauvaise prise en charge du TRIM, ce qui rend l'effacement encore moins fiable. La conclusion est la même. Détruire. Voir aussi notre article sur l'élimination des clés USB et des cartes mémoire.

En bref

  1. L'écrasement logiciel sur SSD ne touche pas toute la NAND à cause du wear levelling.
  2. Les cellules de réserve restent hors de portée de toute commande de l'OS.
  3. L'ATA Secure Erase est mieux mais pas infaillible.
  4. Le crypto-erase ne fonctionne que si le chiffrement a été actif dès le premier jour.
  5. Pour les données sensibles au titre du RGPD, la destruction physique (E-4 ou supérieur) est la seule option fiable.

Un lot de SSD issus d'un retour de leasing ou en fin de vie ? Appelez-nous ou demandez un devis via desnipperaar.nl. Déchiqueteur mobile, certificat par numéro de série, sans supplément carburant.