Go to Top

La complexité des récupérations de données sur disque Apple

La « politique de la porte fermée » d’Apple sur ses appareils a toujours eu pour effet de rendre les récupérations sur iOS fondamentalement plus complexes que celles sur Windows. Cependant, les équipes d’ingénieurs de Kroll Ontrack sont toujours parvenues à avoir un temps d’avance sur les derniers développements au sein de cet écosystème bien particulier.


En 2015, nous avons observé une hausse notable du nombre de demandes de récupération sur appareils Apple chiffrés par rapport à 2014. Les entreprises et les individus n’ont pas attendu pour tirer profit de la sécurité apporté par le chiffrement, en réponse à la menace grandissante du vol de données ou du piratage.

Nous nous sommes alors rendu compte que les méthodes de récupération traditionnelles sont inefficaces sur les disques durs chiffrés, à moins qu’une opération de déchiffrement ait eu lieu en amont. Heureusement, nos ingénieurs bénéficient d’une expertise poussée pour les technologies de stockage d’Apple, et sont capables de déchiffrer des appareils avant de procéder aux tentatives de récupération, afin d’écarter tout risque de dégâts et de pertes de données supplémentaires.

Échec de mise à jour

Lors d’un projet récent, nous avons été sollicités par un possesseur d’ordinateur portable Apple, qui avait essayé d’effectuer une mise à jour vers le nouvel OSX. Son disque dur était tombé en panne au milieu de l’opération, devenant complètement inaccessible par la suite.

Une fois l’ordinateur arrivé dans notre laboratoire, nous avons été capables d’imager 99% du disque en salle blanche. Nous avons pu observer que le disque contenait Apple Core Storage ainsi que le nouveau Logical Volume Manager d’Apple. Pour reconstruire le système fichier, nous avions besoin de déchiffrer le disque, qui avait été chiffré par FireVault 2. Pendant le processus, nous avons découvert que le disque contenait de nombreuses erreurs. Heureusement, nous avons pu les surmonter pour accéder au niveau de stockage Apple Core et ainsi déchiffrer le disque.

Une fois le disque déchiffré, nous avons effectué la récupération sur le système de fichiers HFS et sommes parvenus à récupérer les données de l’utilisateur, tout en nous assurant que l’ordinateur était stable et prêt à être de nouveau utilisé.

Les Fusion drives augmentent encore la complexité des récupérations

Bien que les demandes de récupération soient de plus en plus courantes, elles peuvent varier en complexité. Nos capacités avancées entrent vraiment en jeu lorsque l’on nous demande assistance sur des disques Apple formatés et supprimés, qui doivent être déchiffrés à l’aide d’outils spéciaux.

En novembre dernier, nous sommes allés encore plus loin en annonçant des capacités accrues pour la récupération de données à partir de disques Fusion et des appareils chiffrés d’Apple.  Cela signifie que nous pouvons désormais effectuer des récupérations sur tous les disques Apple sur le marché. Pour parvenir à un tel niveau, notre équipe d’experts internationaux a développé des outils sur mesure pour effectuer une rétro-ingénierie des disques Apple, y compris des Fusion drives, constitués de disques SSD et HDD.

 

Lire aussi : Récupération de données sur disques
Apple Fusion et périphériques chiffrés

 

Nous pensons que l’afflux grandissant des disques Fusion sur le marché continuera d’engendrer des problèmes significatifs quant à la récupération de données basique, étant donné que ces nouveaux disques fonctionnent différemment des anciens disques iOS, à partir desquels il est plus simple d’effectuer une récupération. Pour parvenir à récupérer des données, les deux composantes des disques Fusion (les disques SSD et l’HDD) doivent être fonctionnels, nécessitant le déploiement d’un niveau encore plus élevé de compétences et d’expertise.

L’infrastructure des appareils étant en perpétuelle évolution, il est conseillé aux utilisateurs d’effectuer des recherches et de demander conseil avant d’essayer de réparer leurs appareils. Les disques sont souvent fragiles et les méthodes de récupération plus anciennes pourraient endommager irrémédiablement les appareils plus récents. L’idéal reste de demander l’aide d’un expert – peu importe la technologie que vous utilisez.

Laisser un commentaire