Données et sécurité : dans les coulisses d’un centre de « renouvellement technologique »
Avec un coup de Blancco
La récupération, le recyclage et l'économie circulaire sont au centre des préoccupations de l'entreprise « moderne ». Mais dans le domaine informatique, cela a des conséquences, notamment pour les données et la sécurité. Ainsi, que deviennent les HDD/SSD des millions d’ordinateurs, de portables et de serveurs remis en circulation ?
Recycler les machines, dans un secteur informatique où certains considèrent des appareils obsolètes au bout de moins d'un an, c'est bien. Le faire correctement, c'est mieux. Mais dans la pratique, comment cela se passe ?
Pour le savoir, nous avons échangé avec les équipes de Hewlett Packard Entreprise (alias HPE) qui est plutôt active sur ce terrain et a accepté de répondre à nos questions, notamment pour ce qui concerne la gestion des données, leur sécurité et le cas des environnement sensibles. La société dispose de deux centres de « renouvellement technologique » : un à Andover dans la région de Boston aux États-Unis et l'autre à Erskine dans la banlieue de Glasgow en Écosse.
Notre dossier sur la réutilisation et le recyclage des produits informatique :
- Données et sécurité : dans les coulisses d'un centre de « renouvellement technologique »
- Économie circulaire : comment remettre en circulation des millions d’ordinateurs par an
- Au-delà de l’aspect financer, comment HPE pousse la réutilisation et le « everything as a service »
Nous avons eu l'occasion de visiter ce dernier.
Un traitement entièrement internalisé
Pour rappel, HPE est une « jeune » société créée fin 2015, suite à la scission de HP en deux entités indépendantes. Elle s’occupe des professionnels et de l'offre datacenter, tandis que HP Inc se focalise sur le grand public.
Parmi les engagements de la marque, on trouve plusieurs grandes causes du moment comme l’économie circulaire et l’écologie, deux éléments devant être incarnés par le « fameux » rectangle vert du logo de la marque. Mais elle l'assure, cela va bien au-delà des mots, avec des engagements concrets.
Pour l’entreprise, une bonne transition vers l’économie circulaire doit respecter trois points complémentaires : « une chaîne d’approvisionnement responsable, des produits et solutions durables et enfin une gestion responsable des actifs en fin de vie ou d’utilisation », ce que doivent lui apporter ses deux centres.
« En général les compétiteurs choisissent des partenaires pour faire ce genre de service, HPE a décidé d’internaliser cette expertise, de l’avoir depuis des années et du coup d’avoir un contrôle total sur ces flux » nous explique Mateo Dugand, responsable développement durable EMEA.
Dans ses entrepôts, la société « remet à neuf et recycle les technologies d'entreprise de n'importe quel fournisseur ; des serveurs et du stockage, des ordinateurs portables, tablettes et imprimantes… ». Dans le centre écossais, nous avons pu échanger avec plusieurs responsables de la marque, dont Jackie Rafferty, directeur de l’usine.
Nous avons pu évoquer avec lui et ses équipes un point qui nous semblait particulièrement important : la gestion des données éventuellement encore présentes (ou récupérables) sur les disques durs et SSD, et la sécurité des composants.
L’importance d’effacer les données le plus rapidement possible
Les produits « usés » des partenaires de HPE arrivent par camions au centre de renouvellement. Une fois déchargés ils sont entreposés sur des palettes en attendant d’être triés.
La première étape consiste à classer les produits suivant différentes catégories. Elles sont nombreuses, mais deux d’entre elles tirent leur épingle du jeu : les PC représentent environ 60 % des arrivages, contre près de 40 % pour les serveurs, tandis que la mobilité ne représente que 2 à 3 %. Il y a aussi des imprimantes, y compris 3D professionnelles qui disposent désormais d’une pièce dédiée pour leur reconditionnement, les écrans, photocopieurs, etc.
Lorsque des ordinateurs/serveurs avec des périphériques de stockages arrivent dans l’entrepôt, la priorité est d’effacer l’intégralité des données. HPE ne regarde évidemment pas s’il y en a, ni de quelle nature elles sont : un effacement préventif est systématiquement mis en place. « La durée de traitement des périphériques de stockage doit être aussi courte que possible » afin de limiter les risques, nous explique le directeur de l’usine.
Plusieurs niveaux de services sont proposés aux clients en fonction de leurs besoins. Ils peuvent ainsi décider de :
- garder les périphériques de stockage et envoyer les ordinateurs sans disques durs ou SSD,
- demander un effacement des données sur site (des techniciens HPE se déplacent),
- envoyer les HDD/SSD avec un effacement des données dans l’usine d’Erskine,
- envoyer les HDD/SSD pour destruction dans l’usine d’Erskine.
Point à point sécurisé, jusqu’à 7 passes de réécriture, destruction des plateaux…
Dans les deuxième et troisième cas, une à sept passes de réécriture complètes sont réalisées via le logiciel Blancco. HPE nous précise ne pas avoir de partenariat particulier avec cette société, mais qu’il s’agit pour le moment du logiciel répondant le mieux à ses besoins. Rien n’est gravé dans le marbre pour autant.
« Par défaut, pour notre propre matériel [des retours de location par exemple, ndlr], c’est une passe. Pour le matériel que l’on rachète aux clients, c’est trois passes, systématiquement. Si le client demande un service supérieur, c’est sept passes », nous explique Guy Collet, responsable des ventes et des cessions d’actifs chez HPE. Il ajoute qu’il « y a de plus en plus de demandes pour la sécurisation » avec sept passes de réécriture complètes. Conséquence logique : cette procédure est... sept fois plus longue.
Si le client l'exige, les HDD/SSD peuvent être détruits. Pour les plus tatillons, HPE propose de broyer les plateaux afin que les morceaux ne fassent pas plus de quelques millimètres d’envergure… « explosés façon puzzle » comme dirait Raoul.
Dans l’enceinte sécurisée de l’usine de reconditionnement (protégée par une clôture métallique, des portes avec digicodes et 29 caméras) se trouve une enclave grise – hermétique aux regards indiscrets, nous n’avons d’ailleurs pas pu y pénétrer – dont l’accès est protégé par un second système de sécurité. Ici, les périphériques de stockage de grandes institutions sont méticuleusement broyés.
HPE délivre un certificat de destruction des données
Il est aussi possible de demander à bénéficier d’un service – payant – d’enlèvement des produits sur site avec du « point à point sécurisé ». Le transport est alors effectué via un camion avec deux chauffeurs et une balise GPS permettant de suivre ses déplacements. Et n’allez pas croire que seules des entreprises liées à la « défense » par exemple demandent ce genre de service, des « sociétés comme les banques et les assurances » le font également régulièrement.
Les périphériques de stockage des serveurs ont droit à une salle sécurisée, avec une machine particulière : un démagnétiseur (degausseur) produisant un champ magnétique qui efface l’intégralité des données présentes, une technique bien utile pour s’assurer que plus aucune information sensible n’est présente même sur des composants HS.
Dans tous les cas, HPE s’engage auprès de ses clients et fournit un certificat de destruction des données présentes sur les périphériques de stockage. Jackie Rafferty nous affirme qu’il n’a jamais eu le moindre incident lié à une fuite de donnée.
Vérification de l’intégrité des cartes mères et des contrefaçons
Avec l’affaire Supermicro en tête, nous interrogeons le directeur de l’usine sur d’éventuelles protections mises en place afin de vérifier qu’un BIOS/UEFI « empoisonné » ne soit pas installé par les anciens propriétaires afin de mettre en place des portes dérobées, ou pour s’assurer que des composants « espions » n’ont pas été ajoutés sur les cartes mères.
En effet, des personnes malveillantes pourraient infecter des centaines/milliers de machines, les retourner à HPE pour ensuite attendre qu’elles soient remises en circulation et espérer qu’elles arrivent chez des clients « intéressants » à pirater. Une pêche au gros à l'aveugle en quelque sorte.
Jackie Rafferty affirme que ces problématiques sont « évidemment prises en compte » et que des contrôles sont opérés dans l'usine, ajoutant que ses équipes vérifient également que les composants récupérés ne sont pas des contrefaçons. Nous n’aurons pas plus de détails sur les procédures en place, il faudra donc se contenter de le croire sur parole.
Des produits testés et étiquetés, mais pas réparés
Une fois les données effacées et les questions de sécurités évacuées, HPE procède à différents tests pour qualifier les produits récupérés. Il s’agit là d’un cadre général : l’ordinateur démarre-t-il ? Les batteries des portables tiennent-elles la charge ? Le chargeur/transformateur est-il présent ? Les écrans présentent-ils des pixels défectueux ? Etc.
En tout plusieurs dizaines de points sont vérifiés et consignés dans un rapport individualisé. HPE ne procède par contre à aucune réparation dans son usine : les produits sont ensuite revendus en l’état, avec leur bilan personnalisé, à l’acheteur (un grossiste, une entreprise, mais pas un particulier) de s’en accommoder ensuite.
Après l’opération de nettoyage des données, aucun système d’exploitation ni logiciel n’est réinstallé. Les ordinateurs portables et fixes sont ainsi revendus nus par HPE, les « stickers des licences sont enlevés », nous précisent les représentants de la société. Le cas des serveurs est un peu particulier : ils sont démontés et stockés sous forme de pièces détachées dans la mesure du possible : carte mère, disques durs/SSD, mémoire, cartes réseau…
Chaque composant est isolé, puis étiqueté pour savoir exactement de quelle machine il provient, et à quel partenaire il appartenait. Les ordinateurs et pièces détachées sont ensuite revendus, mais c’est une autre histoire.
Et le Brexit dans tout ça ?
Lors de notre visite, une question nous taraudait. Le centre est situé en écosse, il récupère et traite du matériel de toute l’Europe, en étant en partenariat avec un centre de recyclage en Allemagne (TBO) : comment tout ce petit monde va s’organiser maintenant que le Brexit est acté et qu’il devrait entrer en vigueur à la fin de l’année ? Réponse courte de Mateo Dugand : « on ne sait pas du tout ».
Il détaille le flou de la situation actuelle : « On a une équipe qui travaille dessus depuis le début "du problème", mais on ne connaît aucune des conditions de sortie du Brexit, personne ne les connaît aujourd’hui. Ce qu’on peut faire pour le moment, c’est se préparer pour n’importe quel scénario… et de fait on est prêt pour n’importe quel scénario ».
Faudra-t-il délocaliser l’usine pour la réintégrer dans l’Union européenne ? Impossible à dire pour le moment, « tout va dépendre des accords » de sortie. Rendez-vous l'année prochaine ?
À noter :
Dans le cadre de la réalisation de cet article, nous sommes allés dans l’usine d’Erskine. HPE a pris en charge une partie de notre transport, hébergement et restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, sans ingérence de la part de HPE.
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/02/2020 à 17h18
Et le Brexit dans tout ça ?
Bon je vous file la dernière que j’ai entendue :
Vous savez combien d’espace on a gagné depuis le Brexit ?
1GB
Le 12/02/2020 à 17h18
Le 12/02/2020 à 17h27
Le 12/02/2020 à 17h47
article intéressant même si quelques questions (relevées justement dans l’article) n’ont pas de réponse
j’ai signalé 2 fautes (et vu 2 autres), ça manque un peu de relecture, décalage horaire ? XD
j’ai pas percuté de suite pour le “1GB”, pas mal :)
Le 12/02/2020 à 18h32
Le 12/02/2020 à 18h36
Le 12/02/2020 à 19h00
Article intéressant. Je suis étonné qu’ils utilisent un logiciel commercial pour effacer, ça n’est pourtant pas un truc compliqué.
Le 12/02/2020 à 19h13
Au regard des photos, je pense que le logiciel commercial permet de lancer un script d’effacement sur une batterie d’ordinateurs relié à l’ordinateur maitre par du RJ45.
Un équivalent à proxmod en délcinaison effacement avec un boot sur ethernet pour l’ordinateur à recycler.
Le 12/02/2020 à 19h31
Le 12/02/2020 à 19h48
Oui, je n’avais pas pensé à la fonctionnalité de preuve d’effacement, qui rend pertinent un système un poil compliqué. Sans cette nécessité, il n’y a pas besoin d’une usine à gaz pour juste booter depuis le réseau et effacer les disques.
Le 12/02/2020 à 20h30
Même pas (mais on va dire oui
" />),c’est corrigé et je vais refaire un tour d’inspection, ca peut pas faire de mal 
" />
Le 12/02/2020 à 23h55
J’avais pas lu le “A noter” la première fois…
https://www.01net.com/actualites/on-a-visite-l-usine-d-ou-vient-sans-doute-votre…
Le 13/02/2020 à 01h12
que leur nouveaux serveurs obligent d’utiliser des “accessoires” estampillés HP , vendu au prix de l’or au kilo
Le 13/02/2020 à 06h02
Cela arrive régulièrement que des constructeurs veuillent mettre en avant tel ou tel aspect de leur phase de conception/recyclage et ouvre la porte de ses usines.
" />
On est rarement preneur, surtout que les sujets tournent vite en rond et on se retrouve souvent à ne publier que de grosses photos de machines obscures, mais là on avait quelques éléments qui pouvaient être intéressants à évoquer (notamment ce qui est dans ce papier sur la question de la sécurité), en plus de montrer aux lecteurs comment sont traités ces sujets par l’industrie, etc.
Pour la mention de fin d’article, elle n’est pas nouvelle. On la précise à chaque fois que l’on participe à un évènement presse où l’on ne prend pas tout à notre charge
Le 13/02/2020 à 08h24
sympa le reportage !
au passage vous pouviez également aller voir ce que fait AfB (il y a des centres en France), avec la touche économie circulaire, locale, sociale et solidaire en plus
Le 13/02/2020 à 08h28
Je me souviens avoir utilisé une société avec un camion broyeur pour détruire nos cassettes, disques durs disquettes etc
Le camion se gare devant la société et le broyeur flingue tout devant le client.
Nous avions plusieurs mètres cubes et on les a ‘a utilisé pendant 2 jours et ce qui était assez remarquable était que cela ne faisait pas autant de bruit que ça.
Efficace
Le 13/02/2020 à 09h12
Super article, par contre par quel grossiste/revendeur trouver ces machines ? Je pense à des PC de CAO HP qui sont ultra cher neuf mais dont les vieilles versions sont largement suffisant pour des usages de base…
Si quelqu’un peut éclairer ma lanterne :)
Le 13/02/2020 à 09h24
Le 13/02/2020 à 09h31
Tu en trouves des tonnes entiers ou en pièces détachées, ce qui intéressent plus les brokers qui font de la maintenance de parcs serveurs, chez les brokers notamment mais aussi sur les Markets Places Amazon, CDiscount et consorts comme ici par exemple.
Tu trouves plus facilement par la référence …
Le 13/02/2020 à 10h57
Le 13/02/2020 à 11h06