Le mystère du .HPIMAGE.VFS

Chez moi j'ai une nouvelle imprimante HP avec fonction scanner. En dehors de son écran tactile pour être a la mode (smart-printer), elle possède un port USB permettant d'enregistrer le résultat du scan directement sur la clef, sans devoir passer par les habituels pourriciels. Vraiment pratique pour numériser des choses et autres. Par contre, je n'arrive toujours pas à la faire fonctionner sous Linux mais là n'est pas le sujet.

Seulement cette merveilleuse imprimante me produit également, lors du scan, un fichier caché .HPIMAGE.VFS de 161Mo. En cherchant sur internet, j’apprends que ce fichier permet a l'imprimante de mieux gérer les miniatures. Sauf qu'on ne me la fait pas à moi. Je trouve déjà limite qu'elle stocke son bordel sur ma clef mais surtout je n'ai jamais autant de miniatures que pour occuper 161Mo !

Première étape, la.commande file m'indique qu'il.s'agit d'une partition en FAT et il est donc possible de le monter pour en explorer le contenu.

Cette imprimante indiscrète a analysé le contenu de ma clef et a copié, en plus des deux scans dans HPSCANS/, deux images qui étaient présentes sur la clef dans le dossier images/. Au passage, on ne peut pas vraiment parler de miniatures puisque, par rapport à l'original, la taille des images a presque doublé pour une (de 44k à 81k) et un peu diminué pour l'autre (de 191k à 176k). La résolution est inchangée pour les deux.

Concernant la taille trop volumineuse, un coup de hexdump me montre que des fichiers présents sur ma clefs le sont également dans ce fichier. Et en vidant le contenu de la clef, certains fichiers sont encore présents dans le .HPIMAGE.VFS. Nom de...

Après plusieurs tests et conseils de PostBlue me disant de faire un formatage bas niveau, je comprend ce qui s'est passé : le fichier contenant les miniatures est mal finalisé et englobe également une copie des fichiers encore présents sur la partition. Vous n'êtes pas sans savoir que les fichiers ne sont pas réellement supprimés du disque en pressant la touche delete mais que seules les références sont retirées. Le contenu même du fichier est toujours présent tant qu'on a rien écrit par dessus. Visiblement, cette imprimante récupère un morceau de la partition avec elle.

Quelles sont les conséquences de ce bug ? Tout d'abord de la place est inutilement utilisée sur ma clef (160Mo sur 8Go ça va encore mais c'est pas une raison). Et puis, d'un point de vue vie privée ce n'est pas parfait non plus. Il est très facile de récupérer ce fichier (un simple explorateur de fichier suffit, pas besoin d'outils spéciaux) et de l'analyser par après, avec un peu de chance, quelques documents sensibles se trouve la dedans. Comment ? Voici un exemple avec PhotoRec. J'ai fais un test en remplissant ma clef de fichiers divers avant de tous supprimer et de scanner une image.

Dans l'exemples ci-dessus, 15 fichiers supplémentaires (sans compter l'image scannée) ont pu être donc récupérés. J'ai fais toute une série de tests et les résultats étaient assez aléatoires. J'ai déjà observé du texte, parfois juste des images, parfois rien alors que la clef était remplie. On ne récupére pas à tous les coups des fichiers effacés mais ça arrive.

Les conclusions :

• en supprimant vos fichiers, ils sont toujours récupérables, souvenez vous en avant de prêter vos clefs USB
• un bon formatage se fait à coup de /dev/zero (ou plusieurs réécritures si vous êtes inutilement parano)
• les fuites ne viennent pas forcement d'où on le pense (une imprimante)
• HP bouge toi a mettre ça a jour !

Bien entendu, s'ils publiaient une mise a jour il n'y aurait que 6 pellés dans le monde, moi compris, a appliquer la mise a jour. C'était un peu ma conclusion avec les cameras de surveillance d'ailleurs. By the way, si quelqu'un me trouve le code source du firmware de la HP Officejet 8600 (logiciel sous GPL, etc.), faites moi signe, j'y jetterais très volontiers un œil, je suis sur qu'on trouvera d'autres perles ;-)