Pourquoi des millions de disques durs utilisables sont détruits
Des millions de périphériques de stockage sont détruits chaque année, même s'ils pourraient être réutilisés. "Vous n'avez pas besoin d'un diplôme d'ingénieur pour comprendre que c'est une mauvaise chose", déclare Jonmichael Hands.
Il est secrétaire et trésorier de la Circular Drive Initiative (CDI), un partenariat d'entreprises technologiques promouvant la réutilisation sécurisée du matériel de stockage. Il travaille également chez Chia Network, qui fournit une technologie blockchain.
Chia Network pourrait facilement réutiliser les périphériques de stockage dont les grands centres de données ont décidé qu'ils n'avaient plus besoin. En 2021, l'entreprise a approché les entreprises IT Asset Disposition (ITAD), qui se débarrassent de l'ancienne technologie pour les entreprises qui n'en ont plus besoin. La réponse est revenue : "Désolé, nous devons déchiqueter les anciens disques."
"Qu'est-ce que tu veux dire, tu les détruis ?" dit M. Hands, racontant l'histoire. "Il suffit d'effacer les données, puis de les vendre ! Ils ont dit que les clients ne les laisseraient pas faire cela. Un fournisseur d'ITAD a déclaré qu'il détruisait cinq millions de disques pour un seul client."
Les périphériques de stockage sont généralement vendus avec une garantie de cinq ans, et les grands centres de données les retirent lorsque la garantie expire. Les disques qui stockent des données moins sensibles sont épargnés, mais le CDI estime que 90 % des disques durs sont détruits lorsqu'ils sont retirés.
La raison? "Les fournisseurs de services cloud à qui nous avons parlé parlaient de sécurité, mais ils parlaient en fait de gestion des risques", explique M. Hands. "Ils ont une politique de risque zéro. Cela ne peut pas être un disque sur un million, un disque sur 10 millions, un disque sur 100 millions qui fuit. Il doit être zéro."
L'ironie est que les dispositifs de déchiquetage sont relativement risqués aujourd'hui. Les derniers disques ont 500 000 pistes de données par pouce carré. Une personne sophistiquée en récupération de données pourrait prendre un morceau aussi petit que 3 mm et lire les données, dit M. Hands.
L'année dernière, l'IEEE Standards Association a approuvé sa norme pour la désinfection du stockage. Il décrit trois méthodes pour supprimer les données des appareils, un processus connu sous le nom de désinfection.
La méthode la moins sécurisée est "clear". Toutes les données sont supprimées, mais elles pourraient être récupérées à l'aide d'outils spécialisés. C'est suffisant si vous souhaitez réutiliser le lecteur au sein de votre entreprise.
La méthode la plus extrême consiste à détruire les disques par fusion ou incinération. Les données ne peuvent jamais être récupérées, pas plus que le lecteur ou ses matériaux.
Entre les deux se trouve une option sécurisée de réutilisation : la purge. Lorsque le disque est purgé, la récupération des données est impossible à l'aide d'outils et de techniques de pointe.
Il existe plusieurs façons de purger un lecteur. Les disques durs peuvent être écrasés par de nouveaux modèles de données, par exemple, qui peuvent ensuite être vérifiés pour s'assurer que les données d'origine ont disparu. Avec les capacités de stockage actuelles, cela peut prendre un jour ou deux.
En comparaison, un effacement cryptographique ne prend que quelques secondes. De nombreux disques modernes ont un cryptage intégré, de sorte que les données qu'ils contiennent ne peuvent être lues que si vous disposez de la clé de cryptage. Si cette clé est supprimée, toutes les données sont brouillées. C'est toujours là, mais c'est impossible à lire. Le lecteur peut être revendu en toute sécurité.
Seagate est l'un des principaux fournisseurs de solutions de stockage de données et l'un des membres fondateurs du CDI. "Si nous pouvons universellement, parmi tous nos clients, avoir confiance que nous avons un effacement sécurisé, alors les disques peuvent être réutilisés", déclare Amy Zuckerman, directrice de la durabilité et de la transformation chez Seagate. "Cela se produit, mais à très petite échelle."
Au cours de son exercice 2022, Seagate a remis à neuf et revendu 1,16 million de disques durs et de disques SSD, évitant ainsi plus de 540 tonnes de déchets électroniques (e-waste). Cela inclut les disques qui ont été retournés sous leur garantie et les disques qui ont été rachetés aux clients.
Un programme pilote de reprise à Taïwan a permis de récupérer trois tonnes de déchets électroniques. Le défi maintenant, dit Mme Zuckerman, est d'étendre le programme.
Les disques reconditionnés sont testés, recertifiés et vendus avec une garantie de cinq ou sept ans. "Nous voyons de petits centres de données et des opérations d'extraction de crypto-monnaie les récupérer", dit-elle. "Nos succès ont été à plus petite échelle, et je pense que c'est probablement vrai pour d'autres personnes engagées dans ce travail également."
Il n'y a aucune projection sur le nombre de fois que chaque disque peut être remis à neuf et réutilisé. "Pour le moment, nous examinons simplement cette double utilisation", a déclaré Mme Zuckerman.
Il existe un énorme potentiel pour de tels programmes. Une grande partie des 375 millions de disques durs vendus par toutes les entreprises en 2018 arrivent désormais en fin de garantie.
Pour les disques qui ne peuvent pas être réutilisés, Seagate se penche d'abord sur l'extraction des pièces, puis sur le recyclage des matériaux. Dans le programme pilote de Taïwan, 57 % du matériau a été recyclé, composé d'aimants et d'aluminium. L'innovation est nécessaire dans l'ensemble de l'industrie pour aider à récupérer davantage des 61 éléments chimiques utilisés dans les disques, déclare Mme Zuckerman.
Le principe de désinfection et de réutilisation du matériel s'applique également à d'autres appareils, y compris les routeurs. "Ce n'est pas parce qu'une entreprise a pour politique de remplacer quelque chose sur trois ans qu'elle est obsolète pour le monde entier", déclare Tony Anscombe, évangéliste en chef de la sécurité chez ESET, société de sécurité informatique.
"Un grand fournisseur de services Internet (FAI) pourrait bien mettre hors service certains routeurs de niveau entreprise qu'un petit FAI rêverait d'avoir."
Plus de technologie d'entreprise:
Cependant, il est important d'avoir un processus de mise hors service qui sécurise les appareils. ESET a acheté des routeurs centraux d'occasion, du type utilisé dans les réseaux d'entreprise. Seuls cinq routeurs sur 18 avaient été correctement effacés. Le reste contenait des informations sur le réseau, les applications ou les clients qui pourraient être utiles aux pirates. Tous disposaient de suffisamment de données pour identifier les propriétaires d'origine.
L'un des routeurs avait été envoyé à une entreprise d'élimination des déchets électroniques, qui l'avait apparemment revendu sans supprimer les données. ESET a contacté le propriétaire d'origine. "Ils ont été très choqués", déclare M. Anscombe. "Les entreprises doivent désinfecter elles-mêmes les appareils du mieux qu'elles peuvent, même si elles font appel à une entreprise de désinfection et de déchets électroniques."
M. Anscombe recommande aux entreprises de tester le processus de désinfection des appareils pendant qu'ils sont encore sous assistance. Si quelque chose n'est pas clair, une aide est alors disponible auprès du fabricant. Il suggère également de conserver toute la documentation nécessaire au processus au cas où le fabricant la supprimerait de son site Web.
Avant la désinfection, M. Anscombe dit que les entreprises devraient créer et stocker une sauvegarde de l'appareil. Si des données fuient, il est plus facile de comprendre ce qui a été perdu.
Enfin, les entreprises devraient faciliter le signalement des failles de sécurité. M. Anscombe dit qu'il était difficile d'informer les entreprises de ce qu'elles avaient trouvé sur leurs anciens routeurs.
Comment les entreprises peuvent-elles être sûres que les données ont disparu d'un appareil ? "Donnez-le à un chercheur en sécurité et demandez-lui ce qu'il peut trouver", explique M. Anscombe. "De nombreuses équipes de cybersécurité auront quelqu'un qui comprendra comment retirer le couvercle et voir si l'appareil a été entièrement désinfecté."
En sachant comment nettoyer les données des appareils, les entreprises peuvent les envoyer pour réutilisation ou recyclage en toute confiance. « L'époque de l'économie linéaire « prendre-faire-gaspiller » doit être révolue », déclare Mme Zuckerman de Seagate.