Prise d'image rapide d'un disque dur

Je voudrais vous faire part d'un retour d'expérience sur le sujet de la prise d'image de disque dur. J'en ai déjà parlé un peu sur ce blog, ici et là.

Lorsque l'on me confie un scellé à analyser, la première étape technique consiste à faire une image du disque dur à analyser. Il faut bien sur que l'image soit parfaitement fidèle, car c'est elle (et elle seule) qui sera étudiée ensuite. La prise d'image doit garantir l'accès en lecture seule du disque dur, afin de ne rien écrire sur celui-ci pour ne pas compromettre la preuve.

A ce stade du récit, je me permets de rappeler que cette précaution ne vaut pas pour certains cas, comme par exemple avec les disques durs SSD. En effet, ceux-ci disposent d'un algorithme d'égalisation de l'usure qui peut entraîner le déplacement de données dès la mise sous tension (donc techniquement, les données du disque dur sont modifiées avant même qu'on cherche à y accéder). Mais comme à l'impossible nul n'est tenu...

En pratique, il suffit d'extraire le disque dur du scellé et de le placer dans un duplicateur de disque dur. Sauf, que ces appareils coûtent plusieurs milliers d'euros et qu'aucun tribunal n'a encore accepté de m'équiper... Il me faut donc fabriquer moi-même mon duplicateur, ce que j'ai détaillé dans ce billet intitulé "La nuit, à travers le réseau".

Mais cette technique me posait plusieurs problèmes: ma station de prise d'image est relativement volumineuse et les temps de copie sont très longs. Ces problèmes ne sont pas gênants lorsque je travaille chez moi, mais deviennent rédhibitoires lors d'une intervention en extérieur où la mobilité et le temps sont des facteurs clefs. De plus, la technique demande de démonter le disque dur à copier, ce qui n'est pas toujours facile à faire, surtout dans le cas d'ordinateurs portables.

Voici donc la méthode que j'utilise, et qui pourrait intéresser des confrères, ou des lecteurs souhaitant faire une copie rapide d'un disque dur complet (sauvegarde, récupération de données...). Elle a été testé sur des ordinateurs de type PC, sous Linux ou Windows.

Je dispose d'un ordinateur portable muni d'un port USB3. Ce type de port USB est 10 fois plus rapide que les ports USB2 encore très fréquents sur les ordinateurs. Mais à l'époque d'écriture du présent billet, de plus en plus de portables disposent de ce type de port, à des prix abordables. Il faut également s'assurer de la présence d'une carte réseau gigabit.

Il faut faire l'acquisition d'un disque dur externe USB3 de grosse capacité pour pouvoir stocker l'image obtenue lors de la copie. J'ai choisi un disque de 3To premier prix (en fait, j'en ai plusieurs en stock car parfois je suis amené à les mettre eux-mêmes sous scellés, mais c'est une autre histoire).

Je me suis acheté un petit switch gigabit et deux câbles réseaux gigabits. Là aussi, un premier prix suffira. 5 ports, c'est très bien.

Il faut disposer d'un lecteur de cédérom USB, très pratique maintenant que beaucoup de portables sont livrés sans lecteur. J'ai opté pour un graveur de DVD premier prix, ce qui me permettra de réaliser des gravures de CD ou de DVD pour réaliser des scellés facilement lorsque le volume de données est relativement faible.

Enfin, il faut télécharger et graver le liveCD DEFT que se doit de disposer tout expert informatique.

Procédure :

1) Vous allumez votre ordinateur portable et branchez votre disque dur externe USB3 (sur le bon port USB, celui qui est bleu à l'intérieur).

2) Vous configurez une adresse IP fixe sur la carte réseau giga (par exemple 192.168.63.1) que vous branchez sur le switch giga.

3) Vous désactivez votre firewall

4) Vous créez un répertoire "partage" sur votre disque dur externe, que vous configurez en partage pour tous #PartagePourTous.

5) Vous branchez votre lecteur de cédérom sur l'ordinateur à copier, que vous branchez lui sur le switch giga.

6) Vous bootez l'ordinateur à copier sur le LiveCD DEFT (en général, le choix du boot se fait par l'appui répété de la touche "Echap")

7) Sur l'ordinateur à copier, vous tapez:

% ifconfig eth0 192.168.63.100

% ifconfig eth0 up

% mkdir /root/toto

% mount -t cifs //192.168.63.1/partage  -o username=zythom   /root/toto

% dd_rescue  /dev/sda  /root/toto/hd.dd

Avec un peu de chance, si la carte réseau du pc à copier supporte le gigabit/s (ce qui est le cas de beaucoup de cartes aujourd'hui), et si la distribution DEFT reconnaît les différents composants du pc à copier, alors vous aurez réalisé en un temps record, une copie du disque dur de la machine visée. Par exemple, un disque dur d'1 To en moins de 3h. La dernière commande de l'étape 7 crée un fichier nommé "hd.dd" dans le répertoire "partage" situé sur votre disque dur externe USB3. Ce fichier contient une image fidèle (aux erreurs de segments près) du disque dur du pc que vous deviez copier.

Bien sur, plusieurs étapes ont des chausses trappes:

- à l'étape 6, le démarrage sur le LiveCD peut nécessiter le choix de paramètres de boot particuliers (noapic, nolapic, nodmraid, vga=xxx...)

- la configuration du réseau à l'étape 7 peut être plus complexe et demande une bonne maîtrise des paramétrages, surtout en cas de carte réseau particulière.

- la commande "mount" indiquée à l'étape 7 suppose que votre ordinateur portable est une machine Windows avec un compte protégé par mot de passe (demandé lors de l'exécution de mount). Il faut adapter la commande si vous êtes sous Linux ou Mac OS.

Cette procédure ne fonctionnera pas à tous les coups, mais permettra dans un grand nombre de cas, d'avoir une copie rapide de disque dur, à un coup raisonnable.

N'hésitez pas à me faire part de vos améliorations en commentaires.

----------------------------------------------

Source image Megaportail