Présentation des fonctions avancées des SSD

Lors de la mise sous tension du support SSD les données sont réorganisées.

Intégrés dans les SSD modernes, les algorithmes sophistiqués de la « gestion de

l’usure » et du « Garbage Collector » rendent la récupération des données très

difficiles.

La commande « TRIM » compatible également avec certains systèmes d’exploitation complique la reconstitution des données sur ce type de supports de stockage.

2.3.2.1 Algorithmes de gestion de l’usure:

Un disque SSD utilise des algorithmes de gestion de l’usure implémentés par les constructeurs, dans le but de limiter l’usure de la mémoire flash et d’augmenter la durée de vie du support.

Cette technique permet de répartir le nombre d’écritures et d’effacements sur la totalité de la mémoire.

En effet, une utilisation fréquente des mêmes cellules risquerait de les rendre inutilisables.

Ce processus de gestion des données consiste à minimiser l’usure en diminuant le nombre d’effacements de chaque bloc. Il permet de s'assurer que chaque cellule contient des données de manière uniforme.

Pour éviter que les écritures interviennent toujours sur les mêmes blocs, le contrôleur va répertorier leur nombre et déterminer leur fréquence d’utilisation.

Avant l’effacement d’un bloc de données, son contenu doit être lu dans une mémoire temporaire et les informations vont prioritairement être écrites sur les blocs les moins utilisés.

Ce mécanisme qui contribue à la longévité des disques SSD, représente néanmoins un frein pour la récupération des données supprimées.

La technique dite d'«Over-Provisioning» permet également de redimensionner l’espace non-alloué de la mémoire et d'augmenter la durée de vie des SSD.

Ainsi, une partie de la capacité du disque peut être réservée au niveau du contrôleur par le fabricant ou être allouée par l’utilisateur en effaçant l’espace préalablement prédéfini.

La fonction de nettoyage du disque utilise l’Overprovisioning pour gérer les blocs contenant des données invalides.

Ce processus profite des périodes de faible activité du disque pour redimensionner les partitions.. L’intérêt étant de garder un espace disponible en mémoire et d'ajuster la quantité d’espace non-alloué réservée sur un disque.

2.3.2.2 Algorithme de « Garbage Collector » :

Depuis plusieurs années, les spécialistes soutiennent que les supports SSD autodétruisent définitivement la preuve informatique.

Le terme anglais "Garbage Collector" traduit en français par les expressions « ramasse-miettes » ou « algorithme de nettoyage de la mémoire » est un mécanisme incorporé dans certains contrôleurs de disques SSD dont le rôle consiste à identifier les blocs de mémoires non-utilisés pour rendre l’espace de stockage accessible. C’est une tâche automatisée, exécutée en arrière-plan des disques permettant de détecter les pages à effacer pour libérer des blocs.

Ce procédé, assez proche des programmes de défragmentation, intervient en arrière plan pour réorganiser les données au sein de la mémoire Flash. Il profite de ses périodes de moindre activité pour accélérer la vitesse d’écritures et d’optimiser l’espace libre du disque.

Sur un disque dur magnétique, un fichier effacé n'est pas réellement supprimé, le système de fichier indique seulement que son emplacement est disponible.

Sur un disque SSD, dès l'instant où le fichier est effacé, le « Garbage Collector » procède à un effacement permanent du fichier destiné à être supprimé.

Le bloc contenant l’ancien fichier sera entièrement effacé et devient disponible par le processus de "Grabage Collector".

De nombreux auteurs font état de la perte des données sur un SSD même pendant la copie physique du support.

Ils constatent que le fait de connecter un SSD à un dispositif de blocage en écriture peut représenter un risque d’altération des données durant le processus d’acquisition.

D'autres spécialistes ont tendance aujourd'hui à soutenir le contraire de ces affirmations89.

De interrogations sont alors soulevées concernant la préservation de la preuve durant la phase d'acquisition des données.

Ces affirmations doivent néanmoins être nuancées en ce sens que tous les supports SSD n’ont pas un comportement similaire et cela peut dépendre particulièrement du modèle ou du contrôleur de disque utilisé90.

La configuration de la commande « TRIM » renforce également ce processus d’effacement fragilisant ainsi la préservation des données.

2.3.2.3 La commande TRIM :

Il s’agit d’une commande ATA créée afin d’augmenter la vitesse en écriture et d’améliorer les performances des supports SSD.

La « TRIM » est envoyée au contrôleur de disque par le système d’exploitation qui lui permet d’indiquer quels sont les blocs de données inutilisés et si le disque peut procéder à leur effacement.

Sur les disques SSD, la table d’allocation n’étant pas synchronisée avec le système de fichier, il est donc difficile de connaître l’emplacement d’écriture sur le support. La commande « TRIM » permet au SSD de mettre à jour sa table et connaître les cellules vides.

Elle permet au système d'exploitation de prévenir le SSD lorsqu'une plage de mémoire est effacée et c’est le « Garbage Collector » qui procédera à la suppression des données.

Mais la « TRIM » ne fonctionne que si elle est supportée par le système d’exploitation et les pilotes du contrôleur de la carte mère doivent également être compatibles.

Les interfaces SATA et eSATA supportent la commande tandis que les connexions USB, LAN ou FireWire ne sont pas compatibles.

Sous Windows, les versions antérieures à Windows Sept ne supportent pas

89 _{"La récupération de données sur SSD: un défi", Thomas Souvignet, Matthieu Regnery, mars 2013.} 90 _{"Recovering Evidence from SSD Drives in 2014...", Belkasoft, 23 novembre 2014.}

nativement la « TRIM ».

Les systèmes de fichiers formatés sous NTFS sont compatibles avec cette technologie tandis que les systèmes FAT ne la supportent pas.

Linux reconnaît toutefois cette commande même sur les volumes formatés en FAT.

Tous les SSD ne détruisent pas la preuve numérique. Il faut faire une distinction entre les supports récents disposant de la fonction de « Garbage Collection » et ceux qui en sont dépourvus qui n’effacent pas les données de façon automatique.

2.3.3 Recommandations techniques de recherche de preuves sur les supports