Le contexte du challenge est relativement clair. Ils ont pris un disque IDE tout neuf, l'ont formaté en NTFS, créé un répertoire et deux fichiers, puis écrasé le tout avec un classique et sympathique dd des familles :

dd if=/dev/zero of=/dev/sdb

Le but du challenge serait de tordre le cou à ce que les auteurs du challenge considèrent comme une rumeur, à savoir le fait qu'on puisse récupérer des données qui ont été écrasées par la suite. Ils auraient contacté trois sociétés connues, spécialisées en récupération de données, pour relever le challenge, mais aucune n'aurait accepté de relever le défi. CQFD. Ou pas.

Les défis, c'est toujours rigolo. Surtout quand il s'agit de montrer que quelque chose est faible. Le problème, c'est que pour être relevé, un défi doit présenter plusieurs propriétés. Parmi celles-ci, on trouvera les suivantes. D'abord, il doit correspondre à ce qu'on veut prouver[1]. Si ce n'est pas le cas, il n'en ressortira rien. Ensuite, il doit être réaliste et correspondre à un contexte crédible par rapport au but recherché. Là encore, si ce n'est pas le cas, personne ne se donnera la peine de le relever. Enfin, il doit être intéressant à relever pour celui qui s'y colle. C'est une évidence. Enfin, ça devrait en être une.

Et si on regarde ce challenge, on s'aperçoit qu'il échoue lamentablement à remplir ces conditions. Et pour bien comprendre pourquoi, il faut non pas regarder la page telle qu'elle est en ligne aujourd'hui, mais s'intéresser plutôt à ce qu'elle était au moment où le challenge a été lancé, et les évolutions qui ont suivies. À l'origine, il fallait se conformer aux obligations suivantes :

  • payer le port du disque, dans les deux sens ;
  • déposer 60USD par virement US seulement ;
  • ne pas travailler sur l'objet plus de trois jours consécutifs ;
  • ne pas endommager le disque, forcément ;
  • ne pas ouvrir le disque.

Parlons donc de l'intérêt de relever le défi. Un site web obscur, sans contenu, sans réputation aucune, vous propose de vous lancer dans l'aventure à vos frais et avec un dépôt par virement chez on ne sait qui dont vous ne savez même pas si vous le reverez un jour. Tout ça pourquoi ? Pour gagner 40USD ? Ça sent la blague quand même. Vous noterez donc l'évolution des termes. Avec l'autorisation d'ouvrir le disque si vous êtes un professionnel reconnu, ensuite la suppression du dépôt, puis la restriction aux professionnels, l'extension de la durée du test et enfin le passage du prix à 500USD. Est-ce pour autant plus intéressant ? J'en doute fort.

Ensuite, penchons-nous sur le réalisme. Tel que proposé initalement, le test n'avait aucune crédibilité. Genre aucune. N'importe qui s'étant penché sur la récupération de données sait qu'on ne peut pas récupérer via son interface standard un disque wippé. Ce type de récupération de données effacées repose en effet sur l'examen des données persistantes du système de fichiers. Données qui sont encore accessibles parce qu'elles ne sont pas écrasées mais seulement déréférencées. Justement. Mais si vous dites à votre système de les écraser, vraiment[2], ce dernier n'aura plus de moyen de les récupérer. C'est comme ça. Vous allez donc devoir le contourner, et donc accéder physiquement au support.

Ces histoires de récupération de données écrasées nécessitent donc l'ouverture du disque et son examen au microscope. Et pas celui fourni dans la panoplie du petit chimiste en herbe ou en gadget USB chez ThinkGeek. Il faut un gros machin qui coûte cher. L'article qui explique cela est celui que Peter Gutmann a publié en 1996 sur l'effacement sécurisé de données. Une référence. Il récidivera par la suite en 2001, sur la rémanescence dans les semi-conducteurs, effet qui a refait surface récemment avec les attaques de type ColdBoot. Mais revenons à nos disques. Ce que Gutmann nous dit, c'est grosso modo que parce que les têtes ne viennent pas se repositionner exactement où elles étaient auparavant quand elles accèdent à une même zone de données, elles ne peuvent pas complètement écraser des données existantes. À partir de là, par observation du support, on peut déduire des motifs observés la valeur des bits avant qu'ils soient écrasés par de nouvelles valeurs. Et de donner naissance avec Colin Plumb à une méthode d'effacement connue sous le nom de méthode de Gutmann qui permet de contourner ce problème. En remplissant pas moins de trente-cinq fois la totalité du disque de jeux de données bien précis...

Bref, sans ouvrir le disque, c'est mort de chez mort. Le challenge est donc, dans sa version initiale, complètement dénué d'intérêt. Ensuite, ça va évoluer. Mais où ce défi pêche à nouveau, c'est par le manque de moyens mis en œuvre. Pourquoi le challenge est-il aujourd'hui restreint aux sociétés spécialisées ? Parce qu'il faut ouvrir le disque et le rendre en état de marche. Et comme ils n'ont qu'un disque à fournir, il leur faut une garantie que ce dernier reviendra fonctionnel pour le concurrent suivant. Argh.

Enfin, l'intérêt pour celui qui pourrait gagner le défi. Sachant que vous allez devoir sortir le microsocope à force magnétique et le(s) technicien(ne)(s) qui va(ont) avec, pendant une durée non négligeable, est-ce que 500USD valent l'effort consenti ? Clairement pas. Et pour gagner quoi ? Le titre de "King of data recovery" décerné par qui ? Un quidam du net ? Ce serait un blague que ça ne serait pas moins drôle. Le tout pour montrer quoi ? Qu'une société commerciale qui n'affiche pas ce type de prestation à son catalogue, qui ne se vante même pas de savoir faire ce genre de chose[3], donc n'a rien de tel à démontrer, se fasse mousser ? Désolé, mais je doute qu'ils trouvent preneur.

Par contre, on peut effectivement s'interroger sur la validité des travaux de Gutmann sur les disques modernes. En 1996, on travaillait sur des disques trois pouces et demi, dont la capacité ne dépassait guère le giga-octet. Une densité de données qui n'a plus rien à voir avec ce qu'on trouve aujourd'hui sur étagère. Genre 500Go sur un disque 2"5... Autant dire que le jeu dans la mécanique de déplacement des têtes n'a plus rien à voir avec ce qu'on connaissait il y a douze ans de cela. Si je ne suis cependant pas suffisamment versé dans les effets électromagnétiques pour fournir un avis éclairé, toujours est-il que je n'ai jamais vu ou entendu parler de source crédible d'une telle opération dans la vraie vie. Ce qui ne veut pas dire que ça n'arrive pas, bien évidemment, mais à quel prix ?...


Encore un challenge inutile de plus. Parce que personne ne va le relever. Et quand bien même quelqu'un se lancerait dans l'aventure et échouerait que ça ne prouverait pas pour autant l'impossibilité d'atteindre le but.

Ce qui me ramène à deux défis mentionnés dans ces lignes. D'abord le Race to Zero qui s'est terminé avec... les résultats qu'on attendait. Trois équipes sont parvenues à terminer l'épreuve, en moins de trois heures pour la plus rapide... Comme on s'y attendait. Et comme je vous le disais, l'annonce des résultats est largement passée inaperçue aux yeux de l'internaute moyen. Peut-être tout simplement parce qu'ils ne sont même pas publiés sur le site officiel... C'était certes un challenge sympa à lancer, mais dont on ne se souviendra que par le buzzz de son annonce, pas par ses résultats...

Ensuite, ce défi qu'on m'avait lancé suite à mon billet sur le WEP Cloaking. Et bien à ce jour, il n'a pas eu lieu. Le challenge pêche en effet sur un aspect que j'ai développé dans mes réponses : les conditions proposées ne correspondent pas à ce pourquoi on m'a vanté cette technologie. Mais aussi parce que je n'ai personnellement rien à prouver, d'autres l'ont fait à ma place. Il faudrait donc qu'il reste autre chose de motivant, comme pouvoir vraiment étudier les produits en question, mais ce n'est pas possible non plus. Et puis bon, maintenant, il y a prescription et j'ai d'autres chats à fouetter...

Notes

[1] Pour autant qu'un challenge puisse prouver quelque chose...

[2] C'est à dire faire ce qu'il faut pour qu'il y ait ré-écriture physique des données.

[3] J'ai un peu regardé les quelques sites webs renvoyés par Google...