Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé MBR. Afficher tous les messages
Aucun message portant le libellé MBR. Afficher tous les messages

mardi 21 novembre 2023

GPT fdisk – L’outil ultime pour gérer vos disques GPT

 GPT fdisk – L’outil ultime pour gérer vos disques GPT

@KORBEN  —  12 NOVEMBRE 2023


Si vous cherchez un outil qui va vous aider à vous débarrasser de vos vieux MBR et à embrasser l’ère moderne des disques GPT, j’ai ce qu’il vous faut !!


Vous vous demandez peut-être de quoi je parle ?


Le format de table de partition GPT (GUID Partition Table) est le successeur des tables de partition de type Master Boot Record (MBR) utilisées depuis les années 1980. Les GPT offrent des avantages importants, comme une meilleure gestion des partitions et une meilleure prise en charge des disques de grande capacité.


En passant, je ne sais pas si vous avez vu mais l’hébergeur Hostinger propose des offres super intéressantes en matière d’hébergement web. C’est pas trop cher pour démarrer et s’auto-héberger. (Lien affilié)


GPT fdisk est donc un clone de fdisk qui embarque plusieurs outils (gdisk, cgdisk, sgdisk, et fixparts) et qui va vous permettre de réaliser différentes opérations très cool avec vos disques GPT (ou MBR).



Vous pourrez par exemple convertir un disque MBR en GPT sans aucune perte de données (ni de sommeil ^^) et même convertir les disklabels BSD en GPT sans rien casser. Vous pourrez également éditer les tables de partitions GPT aussi bien sous Linux que FreeBSD, macOS ou encore Windows.


Mais là où cet outil devient vraiment incontournable, c’est qu’il va vous permettre de réparer les structures de données GPT (ou MBR) malencontreusement endommagées.


Gardez quand même à l’esprit que si vous êtes sous macOS, la protection de l’intégrité du système (SIP) sur macOS 10.11 ou supérieur limitera les capacités de l’outil. Et si vous êtes sous Windows, votre machine devra être compatible UEFI pour pouvoir booter sur un disque GPT. Autrement, toute la documentation se trouve ici ! Je vous recommande d’y jeter un oeil pour comprendre comment vous servir des différents outils.


Bref, un super outil pour les administrateurs système qui pourront effectuer des opérations de maintenance directement depuis l’interface de GPT fdisk ou simplement en ligne de commande.


REF.: https://korben.info/gpt-fdisk-guide-conversion-mbr-gpt-partitionnement-disques-modernes.html?fbclid=IwAR2rlk8VFBjs3sob8ZuS841pUoIIZKnWhB21rYG-IrT_lB1uRq5nsCzaKMc

vendredi 12 octobre 2018

Comment récupérer ou réparer une partition en RAW


Comment récupérer ou réparer une partition en RAW



hdd, UEFI, MBR, récupération de donné

Lorsque votre ordinateur rencontre des dysfonctionnements, les partitions de disque peuvent passer en RAW.
Les données comme vos dossiers, fichiers, images ou vidéos deviennent alors inaccessibles.
Des erreurs peuvent s’afficher lorsque vous cliquez sur le lecteur de disque depuis l’explorateur de fichiers.
Cette page vous explique ce sont les partitions RAW et comment éventuellement récupérer les données qui s’y trouvent.

La structure des partitions de disque

Lorsque vous souhaitez copier des fichiers sur une partition ou un disque, le système d’exploitation formatage la partition.
Le formatage consiste à préparer le système de fichiers (en NTFS pour Windows) afin que l’OS puisse utiliser la partition de disque.
Suite à des problèmes physiques sur le disque, une coupure de courant ou un retrait trop brutal d’un disque dur externe, la partition peut alors passer en RAW.
En clair, le système de fichiers est corrompu et le système d’exploitation n’est plus capable d’exploiter les fichiers qui s’y trouvent.
La partition de disque est alors considérée en données brutes illisibles directement.
Dans la gestion des disques de Windows ou sur diskpart, la partition de disque est marqué comme RAW.
Par exemple, dans la capture d’écran ci-dessous, on peut voir :
  • Le volume 1, partition C de Windows qui est en RAW
  • La partition D formatée en NTFS
  • La partition EFI (system, en volume 3) en FAT32.
  • Une partition de récupération en I (volume 4)
  • puis deux partitions en RAW qui semblent être des partitions de récupération vu la taille.
Comment récupérer ou réparer une partition en RAW
Puisque la partition C où Windows est installé est en RAW, le système est illisible par l’ordinateur.
De ce fait, au démarrage, l’ordinateur affiche une erreur BCD 0X000000F.
Ici il s’agit d’un problème matériel sur le disque dur.
Autre exemple dans la gestion des disques avec cette partition en RAW.
Comment récupérer ou réparer une partition en RAWLa tentative d’accès au disque depuis l’explorateur de fichier donne une erreur :
Emplacement non disponible
E:\ est inaccessible.
Paramètre incorrect.
Comment récupérer ou réparer une partition en RAW

Disque dur endommagé VS problème logiciel

Comprenez donc bien que si une partition passe en RAW, ce n’est pas normal du tout.
La partition peut avoir été endommagée à la suite d’une coupure de courant, une mise à jour importante de Windows qui s’est mal passé.
Dans le cas d’un support externe, le retrait trop rapide durant une copie de fichiers par exemple, peut aussi causer des dommages.
Par contre, si du jour au lendemain, une ou plusieurs partitions de disque passent en RAW.
il faut envisager un problème matériel sur le disque dur.
A ce moment là, une vérification des informations S.M.A.R.T est recommandée à l’aide d’un utilitaire.
Se reporter pour cela, à la page : Comment vérifier la santé de tes disques dur.

Comment récupérer les données d’une partition RAW

La première chose à faire est de ne rien toucher sur la partition et éviter les écritures et modifications sur la partition endommagée.
Vous pouvez tenter d’utiliser des utilitaires pour récupérer les données et les mettre à l’abri sur un autre disque dur.
Une fois les données récupérées, vous pouvez tenter de réparer la partition de disque.
Testdisk et Photorec sont les deux utilitaires de réparation et récupération de données sont probablement les deux utilitaires gratuits les plus efficaces.
Photorec permet de récupérer les données alors que testdisk lui peut tenter de réparer la partition de disque.
Notez que Testdisk est aussi capable de récupérer les données mais c’est moins pratique.)
Vous trouverez deux tutoriels sur le site qui explique comment utiliser ces deux utilitaires :

Récupération RAW avec Testdisk

Une fois les données récupérées, vous pouvez tenter de réparer la partition avec Testdisk ou checkdisk.
TestDisk est un utilitaire un peu geek avec des termes techniques donc il n’est pas forcément simple à comprendre.
Le lien suivant vous permet de télécharger Testdisk et photorec : Télécharger Testdisk
Le déplacement des options sur Testdisk se font avec les flèches de direction haut et bas et on valide l’action par la touche entrée.

Comprenez bien que selon les cas et ce qui est endommagée comme information de partition de disque, la réparation peut ne pas être possible.
Testdisk n’est pas un outil magique.

Lancer l’analyse Testdisk

Lancez testdisk_win et sélectionnez Create pour créer le fichier journal.
Comment récupérer ou réparer une partition en RAW
La liste des disques et partitions s’ouvrent, sélectionnez la partition de disque qui est endommagée puis appuyez sur entrée.Comment récupérer ou réparer une partition en RAWDans la liste, sélectionnez EFI GPT si votre ordinateur a moins de 3 ans et Intel pour les autres ordinateurs plus anciens à base de MBR.
Plus d’informations : Les différences entre GPT et MBR
Comment récupérer ou réparer une partition en RAWSélectionnez et validez l’option Analyse.
Comment récupérer ou réparer une partition en RAWEn bas laissez sur Quick Search puis validez pour lancer l’analyse de la partition de disque.
Comment récupérer ou réparer une partition en RAWLa recherche et analyse s’effectue, cela peut prendre beaucoup de temps selon la taille de la partition.
Des écritures et erreurs peuvent parfois s’afficher.
Comment récupérer ou réparer une partition en RAW
Comment récupérer ou réparer une partition en RAW
La table de partitionnement de disque s’affiche.
La première partition est listée deux fois ce qui indique que le système de fichier est corrompu ou que l’entrée de table de partition est invalide,

Comment récupérer ou réparer une partition en RAWComment récupérer ou réparer une partition en RAWLister les partitions et fichiers

En vert les partitions EFI et les secteurs de boot qui peuvent contenir des informations sur le système de fichiers.
La première lettre D indique les partitions supprimées (Delete) et P pour primaire.
Comment récupérer ou réparer une partition en RAW
Vous pouvez sélectionner les partitions puis appuyez sur p pour visualiser les fichiers.
Par exemple, ci-dessous, on peut voir qu’ils sont corrompus.
Avec la touche c vous pouvez copier les fichiers dans un autre emplacement.
Vous pouvez revenir à la page précédente avec la touche q.Comment récupérer ou réparer une partition en RAW

Réécrire les partitions

Sur une partition EFI, on trouve bien le contenu et le dossier EFI.
Cela est probablement le reste d’une ancienne installation de Windows.
Comment récupérer ou réparer une partition en RAWPour écrire les modifications, il faut sélectionner write sinon il est possible d’effectuer une recherche plus approfondies (Deep Search).
Comment récupérer ou réparer une partition en RAWEnfin appuyez sur y pour valider l’écriture et il vous sera demandé de redémarrer l’ordinateur pour prendre en compte les changements.
Comment récupérer ou réparer une partition en RAWLa difficulté ici est de s’y retrouver dans toutes ces partitions pour effectuer la bonne opération.
Encore une fois, en effectuant des modifications et de mauvaises modifications vous diminuez vos chances de récupérer la partition.

Récupération de partition RAW en vidéo

Pour réparer une partition RAW avec testdisk, la vidéo suivante peut vous aider :

Checkdisk (chkdsk)

Effectuer un checkdisk depuis l’invite de commandes de Windows qui doit être exécuté en administrateur.
  • Sur Windows 7,
    • Cliquez sur le Menu Démarrer
    • Saisissez cmd dans la barre de recherche
    • Faites un clic droit / exécuter en tant qu’administrateur sur l’icône cmd.exe
  • Sur Windows 8 : Ouvrez une invite de commandes de Windows en administrateur par un clic droit sur le menu Démarrer puis invite de commandes (admin).
  • Sur Windows 10 : Faites une recherche sur l’invite de commandes depuis Cortana, si vous avez besoin d’aide pour ouvrir l’invite de commandes de Windows : Comment ouvrir l’invite de commandes sur Windows 10 
Une fois dans l’invite de commandes, saisissez la commande suivante :
chkdsk X: /F/R
Remplacez X: par la lettre de lecteur endommagée qui est en RAW.
Par exemple si le MFT est endommagé, chkdsk peut indiquer le message : LES DESCRIPTEURS OUVERTS SUR CE VOLUME NE SERONT PLUS VALIDES.
Comment récupérer ou réparer une partition en RAW
Si cela n’aboutit pas, le mieux est de supprimer la partition, la recréer et la formater.
Vous pouvez faire cela avec diskpart ou la gestion des disques de Windows.

Cas de la partition C en RAW

Enfin, dans le cas où la partition C est passé en RAW, Windows ne va pas plus démarrer.
Les choses se compliquent donc, même si Testdisk est disponible depuis des Live CD comme le Live CD Malekal.
Dans ce cas, il vous faudra réinstaller Windows, reportez-vous alors au menu installation de Windows du site pour avoir toutes les explications pour effectuer cette opération : Comment réinstaller Windows.
Dans tous les cas, il est recommandé d’effectuer une vérification matériel de la santé de vos disques dur :
Se reporter pour cela, à la page : Comment vérifier la santé de tes disques dur.

Sauvegardez vos données

Afin de prévenir de toute perte de données, pensez à sauvegarder régulièrement vos données.
Pour des tutoriels sur des logiciels de sauvegardes, n’hésitez pas à consulter la page dédiée : La sauvegarde sur Windows
Vérifiez régulièrement tous les trois mois par exemple, l’état matériel de votre disque dur, plus d’informations : Comment vérifier la santé de tes disques dur.

REF.:

samedi 25 août 2018

Conversion disque Windows de MBR vers GPT sans réinstallation


Conversion disque Windows de MBR vers GPT sans réinstallation



hdd, SSD, MBR, MBR2GPT, GPT
 
Dans cet article, nous allons énumérer les solutions qui existent pour convertir un disque MBR vers GPT lorsque Windows est installé.
Vous possédez un ordinateur compatible UEFI et pour X raisons; Windows a été installé sur un disque MBR en mode BIOS hérité.
Vous souhaitez convertir un disque MBR où Windows est installé vers un disque GPT sans perte de données et réinstallation de Windows.
Cela est impossible avec des solutions payantes ou gratuites.
Voici les solutions qui existent avec les avantages et inconvénients.

Introduction

Dans un premier temps, si vous n’avez aucune idée de ce que sont les type de disque MBR et GPT, vous pouvez lire l’article : Différences MBR et GPT
Pour rappel, l’utilitaire diskpart permet de convertir un disque GPT en MBR et inversement.
Cette conversion nécessite de supprimer l’intégralité des données sur le disque afin de changer le type.
La page suivante explique comment opérer cette conversion de type de disque avec diskpart : Convertir un disque GPT en MBR et inversement avec diskpart
Dans cette page, nous allons voir comment convertir un disque MBR en GPT sans perte de données, ni réinstallation de Windows.
La procédure de conversion de disque consiste à :
  1. Effectuer la conversion de disque MBR vers GPT
  2. Arrêter l’ordinateur puis se rendre sur dans le BIOS pour activer le mode UEFI
    1. il faut accéder au BIOS, pour cela suivre, la page : comment accéder au BIOS de Windows
    2. Réglez ce dernier en UEFI. En général, cela se fait dans le menu Security Boot. Se reporter aussi à la page :Activer ou Désactiver l’option CSM dans le BIOS
    3. Quitter et enregistrer les modifications du BIOS.
  3. Redémarrez l’ordinateur puis Windows doit démarrer comme habituellement.
Cette opération est plutôt donc à destination d’utilisateurs avancés et confirmés.
Cette conversion n’est pas sans risque comme d’ailleurs toutes opérations qui visent à modifier les partitions de disque.
La première chose à faire est donc d’effectuer des sauvegardes surtout si des documents importants se trouvent sur votre ordinateur.
Dans le cas où votre ordinateur sert pour travailler, faites l’opération un jour où vous avez du temps dans le cas où cela se passe mal.
Encore une fois faites des sauvegardes avant de vous lancer.

Conversion disque Windows de MBR vers GPT

A noter que dans ces démonstrations, nous avons une installation de Windows des plus simple avec un disque et une seule partition de disque principale.
Cela doit réduire les chances de problèmes de conversion.

mbr2GPT

mbr2GPT est une solution incluse dans Windows 10 qui permet de convertir un disque MBR en GPT.
Cet outil de Windows est gratuit puisqu’il est inclut dans Windows.
Le désavantage et qu’il s’utilise en invite de commandes et donc cela peut paraître compliqué.
La page suivante explique le fonctionnement et syntaxe de MBR2GPT : MBR2GPT : conversion disque GPT sans perte de données
Voici une vidéo illustrative d’une conversion de disque MBR vers GPT avec mbr2GPT.
La commande utilisée est la suivante qui demande à convertir le disque 0 :
mbr2gpt /convert /disk:0 /allowfullos
Une fois la conversion de disque effectuée, on change dans le BIOS le type MBR (BIOS hérité) vers UEFI.

AOMEI Partition Assistant

AOMEI Partition Assistant est un outil qui permet de créer, supprimer, agrandir, réduire, fusionner les partitions de Windows.
Une fonction de conversion de disque MBR en GPT est disponible dans l’édition payante.
Celle-ci fonctionne sans problème comme le montre la vidéo suivante :
  • On convertit le disque MBR en GPT
  • On change le réglage dans le BIOS de BIOS hérité vers UEFI.
  • Enfin, au redémarrage de l’ordinateur, Windows se lance sans problème.
Lecteur vidéo
00:00
02:49

Minitool Partition Wizard

Minitool Partition Wizard est un autre utilitaire de gestion des disques pour Windows.
Ce dernier possède dans sa version payante une fonction pour convertir un disque MBR en GPT.
Le principe est le même, on sélectionne le disque puis on utilise la fonction Convert MBR to GPT Disk
Conversion disque Windows de MBR vers GPT sans réinstallation
puis on applique la modification de disque.
Conversion disque Windows de MBR vers GPT sans réinstallation
Comme la fonction n’est disponible que sur la version payante, je n’ai pas pu tester celle-ci entièrement.

Liens autour de GPT et UEFI

Les liens du site autour des disques MBR et GPT.
REF.:

mardi 30 mai 2017

Win 10 : MBR2GPT pour convertir un disque MBR en GPT sans perte de données.

MBR2GPT : conversion disque GPT sans perte de données


MBR2GPT est tout nouvel outil disponible dans la version Windows 10 1703 (Creators Update) qui permet de convertir un disque MBR en GPT sans perte de données.
Jusqu’ici il n’était possible de convertir le type de disque à travers l’utilitaire diskpart mais cela nécessitait de supprimer toutes les données du disque.
Cet article vous présente MBR2GPT à travers quelques exemples de conversion de disque.


  • EFI (Extensible Firmware Interface) : Nouveau système présent sur les ordinateur, il s’agit d’un logiciel intermédiaire entre le micrologiciel (firmware) et le système d’exploitation (OS) d’un ordinateur. EFI permet d’amorçage du système d’exploitation sur des disques GPT.
  • GPT (GUID Partition Table)  : Nouveau standard de table de partition, et permet l’amorçage des ordinateurs EFI. Cette nouvelle norme permet aussi de gérer des partitions pouvant aller jusqu’à 9,4 Zo
  • MBR (Master Boot Record) : Le MBR est la zone de disque contenant les informations d’amorçage de disque dur ainsi que la table des partitions. Par opposition, au partitionnement GPT et ordinateur EFI. on peut aussi parler de disque MBR.

Introduction

Comme évoqué dans l’introduction, la conversion de disque GPT <> MBR pouvait se faire jusqu’ici avec l’utilitaire diskpart qui obligeait à supprimer toutes les données.
MBR2GPT permet de convertir le type de disque sans aucune perte de données.
Afin de bien comprendre les types de disque et les enjeux, vous pouvez lire les pages suivantes :
Rapidement, les disque GPT fonctionnent sur des BIOS UEFI, alors que les disques MBR fonctionnent sur les anciens BIOS.
Les BIOS UEFI peuvent fonctionner dans l’ancien mode et accueillir des disques MBR.
Si vous tentez d’installer Windows sur un disque MBR alors que le BIOS est en EFI, un message d’erreur vous indiquera que l’installation n’est pas possible.
Exemple de conversion avec Diskpart qui supprime toutes les données :

L’utilitaire ne semble fonctionner que sur des disques ayant Windows installés (ayant un secteur de boot).
Se reporter au paragraphe plus bas dans la partie conversion.

Syntaxe de MBR2GPT

MBR2GPT est accessible depuis l’invite de commandes de Windows (à lancer en administrateur bien entendu).

Ainsi MBR2GPT accueillir les paramètres suivantes :
  • /validate : permet de valider la conversion, rien n’est touché, il s’agit de tester la structure du disque.
  • /convert : lance la conversion du type de disque
  • /disk : indique le numéro du disque
  • /logs : permet de créer un fichier journal, ce dernier est créé par défaut dans le dossier %windir% – le fichier se nomme setupac et Setuperr
  • /map : permet d’indiquer le type de partition GPT, exemple /map:42={af9b60a0-1431-4f62-bc68-3311714a69ad}., vous pouvez utiliser plusieurs fois le paramètre map pour chaque type de partition
  • /AllowFullOS : permet d’utiliser MBR2GPT depuis Windows. Par défaut, ce dernier fonctionnement depuis un environnement WinPE (Windows Preinstallation Environment).
En clair donc, si vous désirez convertir un disque, il faut utiliser le paramètre /convert et /disk en indiquant le numéro de disque.
Ce qui donne :
mbr2gpt /convert /disk:1 /allowfullos
(AllowFullOs c’est si vous tentez la conversion depuis Windows, depuis le support d’installation ce paramètre n’est pas nécessaire)
Le numéro de disque peut-être récupéré depuis la gestion de disque de Windows ou l’utilitaire Diskpart.

Comme le montre le résultat du list disk de diskpart, une étoile indique au bout si le disque est en GPT ou non.
De la gestion de disque de Windows, un clic droit propriéés puis onglet Volumes indique s’il s’agit d’un format GPT ou MBR (secteur de démarrage principale).
Dans tous les cas, le nombre de partitions et notamment la présence d’une partition de 100Mo en FAT32 (la partition EFI) vous indique le type de disque.



Une fois tout ceci est compris, vous pouvez jouer avec mbr2gpt pour convertir le type de disque.

Conversion de disque MBR vers GPT

Dans les exemples, on souhaite convertir le disque 1.

Disque de données VS disque installation Windows

D’après mes tests la conversion ne fonctionne que sur les disques dur ayant un secteur de boot, en clair où vous avez pu installer Windows.
La conversion ne fonctionne pas si vous tentez de convertir un disque de données.
L’utilitaire MB2GPT est donc intéressant seulement si vous souhaitez installer Windows sur un nouveau disque dur.
C:\WINDOWS\system32>mbr2gpt /convert /disk:1 /allowfullos

MBR2GPT will now attempt to convert disk 1.
If conversion is successful the disk can only be booted in GPT mode.
These changes cannot be undone!

MBR2GPT: Attempting to convert disk 1
MBR2GPT: Retrieving layout of disk
MBR2GPT: Validating layout, disk sector size is: 512 bytes
Disk layout validation failed for disk 1


Conversion GPT réussie

avec une partition ayant un secteur de boot, ça passe :
MBR2GPT will now attempt to convert disk 1.
If conversion is successful the disk can only be booted in GPT mode.
These changes cannot be undone!

MBR2GPT: Attempting to convert disk 1
MBR2GPT: Retrieving layout of disk
MBR2GPT: Validating layout, disk sector size is: 512 bytes
MBR2GPT: Trying to shrink the system partition
MBR2GPT: Creating the EFI system partition
MBR2GPT: Installing the new boot files
MBR2GPT: Performing the layout conversion
MBR2GPT: Migrating default boot entry
MBR2GPT: Adding recovery boot entry
MBR2GPT: Fixing drive letter mapping
MBR2GPT: Conversion completed successfully
MBR2GPT: Before the new system can boot properly you need to switch
 the firmware to boot to UEFI mode!



Un ordinateur EFI peut-il démarrer sur un disque MBR ?
Oui cela est possible, les ordinateurs EFI peuvent être compatibles “BIOS Legacy”.
En général, il faut aller dans le BIOS EFI et désactiver le Secure Boot. Cela doit permettre de passer en BIOS Legacy.
Est-il possible de convertir un disque MBR en GPT sans perdre les données ?
Non, la conversion nécessite un repartitionnement. Vous allez donc perdre les données au passage.
Il faut sauvegarder les données, convertir le disque, réinstaller le ou les systèmes d’exploitation.
Plus d’informations : Partition disque sur Windows (GPT/MBR)
Est-il possible de recréer la partition EFI si celle-ci a été supprimée ?
Oui les systèmes d’exploitations embarquent des outils qui sont capables de recréer la partition EFI.
Cet aspect est décrit sur la page : La partition EFI a été supprimée.
* Il est possible de convertir une partition MBR en GPT à l’aide de l’utilitaire diskpart, cela supprime toutes les données.
Depuis Windows 10 1703 (Creators Update), l’utilitaire MBR2GPT peut convertir un disque sans perte de données, plus d’informations : MBR2GPT : conversion disque GPT sans perte de données

Le passage en Legacy permet de booter sur des CD Live traditionnels non UEFI...
[!] Mais en passant en Legacy, Windows 8 ou Windows 10 ne démarrera pas, il faudra revenir en UEFI !
Vous l'aurez compris, UEFI est une vraie plaie pour les utilisateurs de systèmes alternatifs.

Liens autour de GPT et EFI

REF.:

mardi 17 février 2015

La NSA est capable de reprogrammer n’importe quel disque dur




L’éditeur Kaspersky a mis la main sur un arsenal de malwares ultrasophistiqués dont les traces remontent à l’agence d’espionnage américaine. C’est une plongée étourdissante dans l’art de la guerre numérique.


Le roi est nu, enfin presque. Après des mois d’enquête, les chercheurs en sécurité de Kasperky ont mis la main sur une série de logiciels d’espionnage aussi complexes que Stuxnet, utilisés par un groupe qu’ils ont baptisé « Equation Group ». Celui-ci est actif depuis au moins 2001, utilise un vaste réseau de serveurs de commande et contrôle (plus d’une centaine) et a infecté plusieurs dizaines de milliers postes partout dans le monde. Vous l’aurez compris : derrière « Equation Group » se cache en réalité... la NSA. Kaspersky ne peut pas l’affirmer à partir des éléments en sa possession, même si beaucoup d’indices pointent dans cette direction. Toutefois, cela a été confirmé auprès de Reuters par un ancien membre de l’agence américaine. Le doute n’est donc pas possible.
Kaspersky a découvert environ 500 victimes dans le monde , mais estime le nombre total à plusieurs dizaines de milliers.
Kaspersky a découvert environ 500 victimes dans le monde , mais estime le nombre total à plusieurs dizaines de milliers.
agrandir la photo
Parmi la demi-douzaine de logiciels d’espionnage analysés, il y en a un qui surpasse tous les autres, car il est capable de reprogrammer (« flasher ») les firmwares de presque tous les disques durs du marché : Maxtor, Western Digital, Samsung, Toshiba, Seagate, Hitachi, IBM, Micron Technologies, etc. Dans quel but ? Pour y installer un mouchard ultrarésistant, impossible à supprimer pour le commun des mortels. Et qui reste opérationnel même après un formatage complet du disque dur ou une réinstallation du système d’exploitation. Ce module de reprogrammation de disque dur ne sert visiblement pas pour une surveillance de masse. Selon Kaspersky, sa présence est « extrêmement rare ». Son utilisation est probablement réservée à l’espionnage de quelques cibles très particulières.

Un système de fichier caché dans la base de registre

Mais cette fonction hors du commun n’est qu’un module d’une plateforme d’espionnage bien plus large, que Kaspersky a baptisé GreyFish. Une fois qu’un ordinateur Windows a été pénétré, celui-ci s’installe en toute douceur et reste quasi invisible. En effet, pour prendre pied dans le système, GrayFish infecte le Master Boot Record, ce qui lui permet de prendre le contrôle de toute la phase de démarrage de Windows. L’ordinateur est compromis avant même qu’il même que son système ne soit lancé. Mieux : lorsque Windows a démarré, GrayFish installe dans la base de registre un système de fichier autonome et virtuel, dans lequel viendront se loger tous les modules d’espionnage et les données à récupérer. Evidemment, tout est chiffré en permanence,  même les exécutables, ce qui permet de ne pas se faire repérer par les logiciels antivirus. En cas de pépin, GrayFish s’autodétruit. Au niveau du codage, c’est donc un vrai travail d’orfèvre.




agrandir la photo
Pour infecter leurs victimes, Equation Group/NSA a plusieurs moyens à disposition, à commencer par un ver informatique baptisé « Fanny ». Créé en 2008, celui-ci a utilisé deux failles zero-day qui ont été découvertes plus tard dans... Stuxnet, le célèbre logiciel de sabotage qui a permis à la NSA de saboter le programme nucléaire iranien. Pour se propager, Fanny infecte des clés USB en y créant un espace de stockage caché. Une technique similaire à BadUSB, la faille découverte par les chercheurs de SRLabs.
Les CD-Rom sont un autre canal d’infection. Les espions d’Equation Group ont la capacité d’intercepter les disques optiques envoyés par voie postale à leurs victimes. Kaspersky cite deux exemples. Dans un cas, la victime a commandé les transcriptions audio/vidéo d’une conférence professionnelle à Houston. A l’arrivée, un pack de CD-Rom vérolés. Dans un autre cas, le malware était logé sur un CD d’installation d’Oracle Database. Au total, Kaspersky a dénombré sept failles permettant d'infecter les postes ciblés, dont quatre étaient à l’époque des zero-day. L’éditeur mentionne également l’exploitation de failles inconnues à ce jour - probablement zero-day - dans Firefox 17 et le navigateur Tor Browser Bundle.    
Lire aussi:
La NSA et le GCHQ piratent les hackers pour voler les données qu'ils ont dérobées, le 05/02/2015
Source:
Kaspersky