Données et sécurité : dans les coulisses d'un centre de « renouvellement technologique »

Avec un coup de Blancco 21
Accès libre
image dediée
Crédits : Sébastien Gavois
Nouvelle Techno
Sébastien Gavois

La récupération, le recyclage et l'économie circulaire sont au centre des préoccupations de l'entreprise « moderne ». Mais dans le domaine informatique, cela a des conséquences, notamment pour les données et la sécurité. Ainsi, que deviennent les HDD/SSD des millions d’ordinateurs, de portables et de serveurs remis en circulation ?

Recycler les machines, dans un secteur informatique où certains considèrent des appareils obsolètes au bout de moins d'un an, c'est bien. Le faire correctement, c'est mieux. Mais dans la pratique, comment cela se passe ?

Pour le savoir, nous avons échangé avec les équipes de Hewlett Packard Entreprise (alias HPE) qui est plutôt active sur ce terrain et a accepté de répondre à nos questions, notamment pour ce qui concerne la gestion des données, leur sécurité et le cas des environnement sensibles. La société dispose de deux centres de « renouvellement technologique » : un à Andover dans la région de Boston aux États-Unis et l'autre à Erskine dans la banlieue de Glasgow en Écosse.

Notre dossier sur la réutilisation et le recyclage des produits informatique : 

Nous avons eu l'occasion de visiter ce dernier.

Un traitement entièrement internalisé

Pour rappel, HPE est une « jeune » société créée fin 2015, suite à la scission de HP en deux entités indépendantes. Elle s’occupe des professionnels et de l'offre datacenter, tandis que HP Inc se focalise sur le grand public.

Parmi les engagements de la marque, on trouve plusieurs grandes causes du moment comme l’économie circulaire et l’écologie, deux éléments devant être incarnés par le « fameux » rectangle vert du logo de la marque. Mais elle l'assure, cela va bien au-delà des mots, avec des engagements concrets.

Pour l’entreprise, une bonne transition vers l’économie circulaire doit respecter trois points complémentaires : « une chaîne d’approvisionnement responsable, des produits et solutions durables et enfin une gestion responsable des actifs en fin de vie ou d’utilisation », ce que doivent lui apporter ses deux centres.

« En général les compétiteurs choisissent des partenaires pour faire ce genre de service, HPE a décidé d’internaliser cette expertise, de l’avoir depuis des années et du coup d’avoir un contrôle total sur ces flux » nous explique Mateo Dugand, responsable développement durable EMEA.

Visite usine renouvellement technologique Erskine
Crédits : Sébastien Gavois (licence: CC by SA 4.0)

Dans ses entrepôts, la société « remet à neuf et recycle les technologies d'entreprise de n'importe quel fournisseur ; des serveurs et du stockage, des ordinateurs portables, tablettes et imprimantes… ». Dans le centre écossais, nous avons pu échanger avec plusieurs responsables de la marque, dont Jackie Rafferty, directeur de l’usine.

Nous avons pu évoquer avec lui et ses équipes un point qui nous semblait particulièrement important : la gestion des données éventuellement encore présentes (ou récupérables) sur les disques durs et SSD, et la sécurité des composants. 

L’importance d’effacer les données le plus rapidement possible 

Les produits « usés » des partenaires de HPE arrivent par camions au centre de renouvellement. Une fois déchargés ils sont entreposés sur des palettes en attendant d’être triés.

La première étape consiste à classer les produits suivant différentes catégories. Elles sont nombreuses, mais deux d’entre elles tirent leur épingle du jeu : les PC représentent environ 60 % des arrivages, contre près de 40 % pour les serveurs, tandis que la mobilité ne représente que 2 à 3 %. Il y a aussi des imprimantes, y compris 3D professionnelles qui disposent désormais d’une pièce dédiée pour leur reconditionnement, les écrans, photocopieurs, etc. 

Lorsque des ordinateurs/serveurs avec des périphériques de stockages arrivent dans l’entrepôt, la priorité est d’effacer l’intégralité des données. HPE ne regarde évidemment pas s’il y en a, ni de quelle nature elles sont : un effacement préventif est systématiquement mis en place. « La durée de traitement des périphériques de stockage doit être aussi courte que possible » afin de limiter les risques, nous explique le directeur de l’usine.

Plusieurs niveaux de services sont proposés aux clients en fonction de leurs besoins. Ils peuvent ainsi décider de :

  • garder les périphériques de stockage et envoyer les ordinateurs sans disques durs ou SSD, 
  • demander un effacement des données sur site (des techniciens HPE se déplacent),
  • envoyer les HDD/SSD avec un effacement des données dans l’usine d’Erskine,
  • envoyer les HDD/SSD pour destruction dans l’usine d’Erskine. 
  • Arrivée des produits dans l’usine renouvellement technologique d’Erskine
  • Arrivée des produits dans l’usine renouvellement technologique d’Erskine
  • Un lot d’écrans à inspecter
  • Des imprimantes aussi

Point à point sécurisé, jusqu’à 7 passes de réécriture, destruction des plateaux…

Dans les deuxième et troisième cas, une à sept passes de réécriture complètes sont réalisées via le logiciel Blancco. HPE nous précise ne pas avoir de partenariat particulier avec cette société, mais qu’il s’agit pour le moment du logiciel répondant le mieux à ses besoins. Rien n’est gravé dans le marbre pour autant.

« Par défaut, pour notre propre matériel [des retours de location par exemple, ndlr], c’est une passe. Pour le matériel que l’on rachète aux clients, c’est trois passes, systématiquement. Si le client demande un service supérieur, c’est sept passes », nous explique Guy Collet, responsable des ventes et des cessions d’actifs chez HPE. Il ajoute qu’il « y a de plus en plus de demandes pour la sécurisation » avec sept passes de réécriture complètes. Conséquence logique : cette procédure est... sept fois plus longue.

Si le client l'exige, les HDD/SSD peuvent être détruits. Pour les plus tatillons, HPE propose de broyer les plateaux afin que les morceaux ne fassent pas plus de quelques millimètres d’envergure… « explosés façon puzzle » comme dirait Raoul.

Dans l’enceinte sécurisée de l’usine de reconditionnement (protégée par une clôture métallique, des portes avec digicodes et 29 caméras) se trouve une enclave grise – hermétique aux regards indiscrets, nous n’avons d’ailleurs pas pu y pénétrer – dont l’accès est protégé par un second système de sécurité. Ici, les périphériques de stockage de grandes institutions sont méticuleusement broyés. 

HPE délivre un certificat de destruction des données

Il est aussi possible de demander à bénéficier d’un service – payant – d’enlèvement des produits sur site avec du « point à point sécurisé ». Le transport est alors effectué via un camion avec deux chauffeurs et une balise GPS permettant de suivre ses déplacements. Et n’allez pas croire que seules des entreprises liées à la « défense » par exemple demandent ce genre de service, des « sociétés comme les banques et les assurances » le font également régulièrement.

Les périphériques de stockage des serveurs ont droit à une salle sécurisée, avec une machine particulière : un démagnétiseur (degausseur) produisant un champ magnétique qui efface l’intégralité des données présentes, une technique bien utile pour s’assurer que plus aucune information sensible n’est présente même sur des composants HS.

Dans tous les cas, HPE s’engage auprès de ses clients et fournit un certificat de destruction des données présentes sur les périphériques de stockage. Jackie Rafferty nous affirme qu’il n’a jamais eu le moindre incident lié à une fuite de donnée. 

  • Des disques durs en train d’être effacés avec le logiciel Blancco
  • Des disques durs en train d’être effacés avec le logiciel Blancco
  • Des disques durs de serveurs étiquetés et triés

Vérification de l’intégrité des cartes mères et des contrefaçons

Avec l’affaire Supermicro en tête, nous interrogeons le directeur de l’usine sur d’éventuelles protections mises en place afin de vérifier qu’un BIOS/UEFI « empoisonné » ne soit pas installé par les anciens propriétaires afin de mettre en place des portes dérobées, ou pour s’assurer que des composants « espions » n’ont pas été ajoutés sur les cartes mères.

En effet, des personnes malveillantes pourraient infecter des centaines/milliers de machines, les retourner à HPE pour ensuite attendre qu’elles soient remises en circulation et espérer qu’elles arrivent chez des clients « intéressants » à pirater. Une pêche au gros à l'aveugle en quelque sorte.

Jackie Rafferty affirme que ces problématiques sont « évidemment prises en compte » et que des contrôles sont opérés dans l'usine, ajoutant que ses équipes vérifient également que les composants récupérés ne sont pas des contrefaçons. Nous n’aurons pas plus de détails sur les procédures en place, il faudra donc se contenter de le croire sur parole. 

Des produits testés et étiquetés, mais pas réparés

Une fois les données effacées et les questions de sécurités évacuées, HPE procède à différents tests pour qualifier les produits récupérés. Il s’agit là d’un cadre général : l’ordinateur démarre-t-il ? Les batteries des portables tiennent-elles la charge ? Le chargeur/transformateur est-il présent ? Les écrans présentent-ils des pixels défectueux ? Etc. 

En tout plusieurs dizaines de points sont vérifiés et consignés dans un rapport individualisé. HPE ne procède par contre à aucune réparation dans son usine : les produits sont ensuite revendus en l’état, avec leur bilan personnalisé, à l’acheteur (un grossiste, une entreprise, mais pas un particulier) de s’en accommoder ensuite.

Après l’opération de nettoyage des données, aucun système d’exploitation ni logiciel n’est réinstallé. Les ordinateurs portables et fixes sont ainsi revendus nus par HPE, les « stickers des licences sont enlevés », nous précisent les représentants de la société. Le cas des serveurs est un peu particulier : ils sont démontés et stockés sous forme de pièces détachées dans la mesure du possible : carte mère, disques durs/SSD, mémoire, cartes réseau…

Chaque composant est isolé, puis étiqueté pour savoir exactement de quelle machine il provient, et à quel partenaire il appartenait. Les ordinateurs et pièces détachées sont ensuite revendus, mais c’est une autre histoire.

  • Des lots d’ordinateurs portables, certains HS
  • Des lots d’ordianteurs, portables et cables récupérés par HPE
  • Dans le fond, l’arrivée, puis des premiers lots triés
  • Des pièces de serveurs démontés et triés
  • Des pièces de serveurs démontés et triés
  • Des pièces de serveurs démontés et triés
  • Quelques barrettes de mémoire
  • Des pièces de serveurs démontés et triés

Et le Brexit dans tout ça ?

Lors de notre visite, une question nous taraudait. Le centre est situé en écosse, il récupère et traite du matériel de toute l’Europe, en étant en partenariat avec un centre de recyclage en Allemagne (TBO) : comment tout ce petit monde va s’organiser maintenant que le Brexit est acté et qu’il devrait entrer en vigueur à la fin de l’année ? Réponse courte de Mateo Dugand : « on ne sait pas du tout ».

Il détaille le flou de la situation actuelle : « On a une équipe qui travaille dessus depuis le début "du problème", mais on ne connaît aucune des conditions de sortie du Brexit, personne ne les connaît aujourd’hui. Ce qu’on peut faire pour le moment, c’est se préparer pour n’importe quel scénario… et de fait on est prêt pour n’importe quel scénario ».

Faudra-t-il délocaliser l’usine pour la réintégrer dans l’Union européenne ? Impossible à dire pour le moment, « tout va dépendre des accords » de sortie. Rendez-vous l'année prochaine ?


À noter :

Dans le cadre de la réalisation de cet article, nous sommes allés dans l’usine d’Erskine. HPE a pris en charge une partie de notre transport, hébergement et restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, sans ingérence de la part de HPE.


chargement
Chargement des commentaires...