Petites copies entre amis

Je sors d'une intervention en accompagnement d'huissier, afin de procéder à des copies de disques d'ordinateurs. Ces copies ont été demandées par la société chez laquelle nous sommes intervenus, qui soupçonne certains de ses collaborateurs de diverses malversations.

Faire des copies de disques, bit-à-bit pour pouvoir récupérer d'éventuels documents effacés, n'est pas sorcier. Il faut du matériel[1]. Rien de bien transcendant ni d'inconcevablement onéreux. Il faut aussi savoir utiliser quelques outils[2]. De nouveau, rien qui soit hors de portée de plein de gens.

Et il faut... le reste. De la patience, de l'obstination et un peu d'imagination parfois (ou d'expérience, c'est selon vos préférences). La patience est utile car le débit moyen, lors d'une copie en USB2, est d'approximativement 1Go par minute. Un disque de 200 Go nécessite donc environ trois heures pour être intégralement copié. Il vaut mieux venir avec des livres[3]. L'obstination et l'imagination sont nécessaires quand les copies ne se passent pas bien ou qu'il y a un problème[4].

Pour notre intervention, nous étions trois : un huissier et deux experts, dont votre serviteur. La ciblé était composée de six ordinateurs, totalisant sept disques de capacité raisonnable, sachant qu'il fallait réaliser une double copie de chaque support[5]. Ajoutons à cela l'absolue nécessité que l'intervention reste confidentielle, ce qui signifie d'arriver quand plus personne n'est là, après 20 heure, et de repartir au plus tard lorsque le personnel de nettoyage prend son service, à 6 heures du matin.

Faire une double copie est facile quand on a le temps : on copie deux fois le support, en comparant les condensats numériques de chaque copie et de l'original. Cela double la durée des opérations mais, quand on est au chaud à son bureau, ce n'est pas un problème. Sur site, c'est plus délicat. Sur site, de nuit, en devant avoir tout terminé pour une heure bien précise, ça devient acrobatique. Il faut faire les deux copies en parallèle, pour ne lire qu'une seule fois chaque support. Le chaînage logique des opérations ne pose aucune difficulté, grâce au shell Unix.

Physiquement, c'est différent. Si on s'organise mal, il risque d'y avoir une forte contention sur les bus de données, qui peut faire s'effondrer la vitesse de copie. Typiquement, il faut exclure l'utilisation d'un concentrateur USB sur lequel connecter la source et la ou les destinations. Le câble reliant le concentrateur à l'ordinateur devra véhiculer des données dans les deux sens (disque à copier vers UC, UC vers disque de destination). Pour une double copie, ce sera encore pire.

Donc, examiner le chemin des données pour éviter d'avoir un échange bi-directionnel à fort volume sur un même lien. Dans l'idéal, utiliser du SATA ou eSata, qui disposent de broches différentes pour la lecture ou l'écriture. Sinon, savoir comment la carte mère est organisée[6] et faire avec.

J'ai connecté le disque source[7] sur un port USB2 (le bloqueur d'écriture dont je dispose n'étant pas plus performant), le premier disque cible sur un second port USB2 attaché à un contrôleur différent sur la carte mère, et le second disque cible sur le seul port USB3 de l'ordinateur (et un autre contrôleur). Ca donnait la photo ci-dessous.

Une source, un bloqueur et deux cibles

Débit obtenu voisin de 30 Mo/s, soit le débit nominal habituel sur de l'USB2. Si l'on considère les deux cibles, la bande passante totale en écriture était de l'ordre de 60 Mo/s. Pas si mal, finalement.

La dernière copie s'est terminée à 5:50 du matin, pour un départ en catimini vers 6 heures et quelque. Personne ne nous a vus, au-delà évidemment des responsables qui nous ont ouvert les portes la veille au soir, mais qui ne sont pas restés toute la nuit.

Notes

[1] Bloqueurs d'écriture, disques pour recevoir les copies, ce genre de choses.

[2] Pour moi, c'est dd et associés, plus des bricoles liées au shell Unix.

[3] J'ai amené des partiels à corriger.

[4] Un classique : comment ouvrir le boîtier de l'ordinateur ? Ce ne sont pas toujours des vis qui tiennent le tout.

[5] Une copie pour séquestre par l'huissier, une copie pour pré-analyse.

[6] Plusieurs connecteurs USB pouvant en réalité être ramenés sur un concentrateur interne unique.

[7] En réalité, le bloqueur auquel le disque source est relié.