secouss a écrit :



formater un disque doit prendre un peu de temps non ? Alors formater TOUS les disques de TOUTES les machines y compris les serveurs de sauvegarde ne dois pas se faire en 10 minutes ?





Ça dépend de la technique utilisée.

Sur Windows par exemple, tu le choix entre “formatage rapide” et “formatage complet”.

Le “complet”, en 2008 sur un disque de 1 ou 2 To m’avait pris un paquet d’heures, parce qu’il fait une réécriture complète du disque.

Le “rapide”, il réécrit juste certains secteurs pour indiquer que le disque est vide, c’est extrêmement rapide.



Une fois que l’attaquant s’est introduit dans le réseau, il a probablement pris son temps sans laisser de trace de passage trop visibles pour s’assurer qu’il pouvait contrôler toutes les machines, et une fois qu’il avait la main sur tout, il lance les formatage partout, personne n’aura le temps de réagir assez rapidement pour stopper l’attaque.



Après, concernant la récupération de données, une fois j’ai eu le droit à une corruption de la “FAT” (l’annuaire qui indique ou trouver les fichiers/fragments de fichiers), je suppose que ça fait la même chose que le formatage rapide, j’ai tout perdu instantanément.

J’ai tenté un logiciel de récupération qui avait bonne réputation (il marche bien pour récupérer 1-2 fichiers effacés avec Shift-Suppr, et j’avais pu récupérer des trucs d’un formatage) en pensant pouvoir retrouver facilement mes fichiers vu qu’il n’y avait pas eu de réécriture, ça m’a donné un dossier contenant des 500 000 fichiers en pagaille, zéro arborescence, la majorité des noms n’avaient pas pu être récupérés, et dans le tas j’avais par exemple un “PDF” qui faisait 800Mo qui m’indiquait assez clairement que les “fichiers” étaient pas forcément fiables.



Avec une récupération pro qui coute bien cher (il faut bien payer le mec qui vas regarder les bits un par un), il y a peut être moyen d’avoir une récupération efficace, mais ça risque d’avoir un coût prohibitif.

En SSD oui, ça peut aller vite de faire une réécriture complète, mais sur un disque à plateau, réécrire >1 To avec un débit de l’ordre de 100Mo/s, ça prends un temps assez conséquent. Ça fait longtemps que j’ai pas utilisé de disque à plateau, mais je crois que les débits ont pas beaucoup changé, donc je pense que ça compte en heures la réécriture complète.



Pour l’effacement d’inode, je suis aller voir ce qu’est exactement un inode, mais je vois pas bien la différence entre effacer un inode sur Linux, ou supprimer la référence dans la FAT (table d’allocation des fichiers) côté Windows.

Si c’est juste l’inode qui est touché, mais pas le vrai fichier, ça veut dire qu’il est perdu et qu’il faut scanner le disque entier pour le retrouver, mais il est pas effacé pour autant, donc avec suffisamment de temps et d’effort on peut retrouver le fichier.

Ça je veux bien, mais je vois pas en quoi ça fait une différence majeure avec Windows.

La table d’allocation en FAT fait à peu près la même chose : pointer vers les blocs qui contiennent le fichier.

Si tu efface la table d’allocation, tu te retrouves dans la même situation, avec des blocs de 4ko éparpillés sur le disque, sans trop savoir à qui ils appartiennent et comment les réassembler.