LogiCL |
---|
Services Informatiques |
LogiCL Services Informatiques
Récupération de données
Phases
La récupération de données d'un support se divise en quatre parties, qu'il s'agisse de disques durs, de bandes magnétiques, etc.
Que ce soit une clef usb, un disque dur ou un disque SSD, la réparation est la première étape. Souvent temporaire, la réparation fait appel à des solutions matérielles donc
chères et en général effectuées par des professionnels.
Cette phase fait appel soit à une solution matérielle (par exemple Deepspar disk imager) soit à une solution logicielle (par exemple dd_rescue sous linux). En fonction du
médium, certaines options sont plus efficaces que d'autres. Le but étant de travailler ensuite sur une copie du médium et non pas directement sur celui-ci de façon à le
solliciter un minimum et ainsi éviter sa destruction définitive.
L'approche est logicielle. Ce sont typiquement les solutions les plus vendues sur le marché. Allant de la simple récupération de partitions à la récupération complète des
données.
La dernière phase se fait soit à la main soit à l'aide de logiciels. C'est une activité très importante pour les sociétés qui travaillent sur les recherches de preuves
informatiques.
La récupération de données par logiciel a de multiples motivations : les plus courantes vont de l'erreur humaine involontaire aux virus, en passant par les
différents degrés de malveillance, d'espionnage et d'enquêtes policières. Par exemple, dans l'affaire Clearstream, une partie de l'enquête s'est appuyée sur les données
récupérées sur l'ordinateur du général Rondot, données que ce dernier avait simplement effacées.
L'idée de base de ces approches est de travailler au niveau des index maintenus par le système d'exploitation. Grossièrement, ces approches vont essayer de détecter les
altérations récentes apportées à la table des matières de l'encyclopédie et d'en déduire les structures (fichiers ou partitions) récupérables. Par exemple, MS-DOS offrait le
programme de restauration "undelete" et "unformat".
L'idée de base consiste à parcourir la totalité du média en essayant de détecter le début et la fin des structures qu'on cherche à récupérer. Grossièrement, ces approches
vont donc ouvrir chaque tome de l'encyclopédie, parcourir chaque page et essayer de déterminer le début et la fin de chaque article.
Les outils mixtes mélangent les deux approches : dans un premier temps, ils explorent les index du système d'exploitation afin d'en déduire une première approximation sur
l'emplacement des données effacées. Dans un second temps, ils scannent le voisinage correspondant au début et à la fin des structures à restaurer afin d'arriver à affiner la
première approximation.
Les outils basés sur le système d'exploitation sont rapides et permettent d'accéder à des informations — comme le nom du fichier — qui ne sont pas contenues dans le
fichier proprement dit mais maintenues par le système d'exploitation lui-même. Le désavantage de cette approche est qu'elle n'est pas exhaustive ; ainsi, il n'est possible de
récupérer qu'une partie des données, car ces outils s'appuient sur des structures de données propres au système d'exploitation et ces structures n'ont pas été conçues afin
de faciliter la récupération de données. Toutefois, la journalisation oblige les systèmes à maintenir une quantité plus importante d'information que par le passé.
Wise Data Recovery, est un service gratuit de récupération de fichiers à travers Internet pour les systèmes de fichiers NTFS et FAT.
e2undel(Linux), pour les systèmes de fichiers ext2.
La plupart des systèmes d'exploitation dotés d'une interface graphique incluent une corbeille. Il s'agit en fait d'un répertoire dans lequel les fichiers sont temporairement déplacés
lorsqu'ils sont supprimés par l'utilisateur. Ce répertoire permet en fait de trier ses données, celles qui s'y trouvent sont dans l'attente d'être supprimées du support ou d'être
restaurées.
Les outils basés sur la structure effacée permettent une recherche exhaustive. Ils ont cependant plusieurs inconvénients car ils sont limités à quelques types de structure.
EasyRecovery(Windows), de la société Ontrack2.
Les outils mixtes tentent de marier les deux approches afin de n'en conserver que les avantages sans les inconvénients.
Fatback(Linux), permet de récupérer les fichiers effacés sur une FAT (et donc en général les fichiers effacés sur une clef usb ou sur une carte mémoire d'appareil photo).
Bien que chaque fabricant de media ou presque propose son service de récupération de données, le volume d’information publique sur les approches matérielles de
récupération reste faible. En général, un média de stockage est composé d'une carte contrôleur et d'un support physique de stockage. Par exemple, un disque dur est composé
d'un contrôleur gérant les moteurs qui vont positionner les têtes de lectures/écritures sur les plateaux ; une clef USB contient typiquement un contrôleur gérant le bus USB et une
puce de mémoire NAND.
Le contrôleur PCB ou circuit imprimé.
On distingue les défaillances logicielles et matérielles. Évidemment, les défaillances logicielles appellent des solutions logicielles tandis que les défaillances matérielles appellent
une intervention matérielle. Les interventions matérielles permettent souvent de récupérer une partie des données mais elles aboutissent aussi souvent à la destruction du
média. Les solutions de récupération logicielles bien mises en œuvre n'altèrent pas le medium. C'est pourquoi, il est important de pouvoir faire un diagnostic précis pour savoir
s'il faut aborder le problème de manière logicielle ou matérielle. Une approche logicielle sur une panne matérielle peut mettre en péril vos données et rendre toute récupération
ultérieure impossible.
En informatique, le système d'exploitation découpe en morceaux les ressources auxquelles il accède, et les retrouve grâce à un index. Ainsi, un système d'exploitation voit un
disque dur comme une encyclopédie où chaque demande de l'utilisateur correspond à utiliser la table des matières de l'encyclopédie. Quand l'utilisateur demande d'effacer une
structure (un fichier ou une partition par exemple), le système d'exploitation ne le détruit pas directement : il se contente de modifier l'index ; effacer un article équivaut à retirer
l'article de la table des matières. L'article effacé est cependant toujours présent au milieu des pages de l'encyclopédie.
Les espaces libres ne sont remplacés que lorsqu'un autre contenu y est déposé.
Les outils basés sur le système d'exploitation
Les principaux outils sont :
Le paquet ntfsprogs(Linux et Windows), permet de récupérer des fichiers effacés sur une NTFS.
Recover(Linux), permet de récupérer des fichiers effacés sur un système de fichier ext2.
Restoration de Brian Kato(Windows), permet de récupérer des fichiers effacés sur une NTFS et FAT.
TestDisk(Dos, Windows, Linux, Mac OS X), permet de récupérer des fichiers effacés sur une partition NTFS, FAT, exFAT et ext2.
giis(Linux), pour les systèmes de fichiers ext2 et ext3.
On retrouve ainsi dans les systèmes d'exploitation une commande permettant de « restaurer les éléments » qui s'y trouvent (replace les fichiers dans les répertoires
dans lesquelles il se trouvaient avant leur suppression) et une autre permettant de « vider la corbeille » (En fait, lorsque cette opération est effectuée, les données ne sont pas
physiquement supprimées du support de données : l'espace du disque qu'occupe ces données est marqué par le système d'exploitation comme pouvant être réutilisé pour que
de nouvelles données soient inscrites à leur place).
Métaphoriquement, ces outils vont parcourir toutes les pages de l'encyclopédie et essayer de détecter le début et la fin de chaque article composant l'encyclopédie.
Cela signifie que le programme va détecter le début et la fin d'un article en utilisant les conventions typographiques de l'encyclopédie (titre de l'article en gras etc...).
Un article ne suivant pas les conventions typographiques ne sera donc pas retrouvé. Or le système d'exploitation n'impose pas une "convention
typographique" particulière aux applications, celles-ci sont libres d'utiliser le format de données qu'elles souhaitent. Ils sont le plus souvent limités à quelques types de
fichiers prédéfinis, ils ignorent le système d'exploitation.
Cette ignorance a un double impact. La première est qu'ils ne savent pas retrouver le nom original du fichier. La seconde conséquence est qu'ils ne savent pas distinguer un
fichier qui n'a pas été effacé d'un fichier qui a été effacé. Ces outils vont donc générer une quantité importante de fichiers dont la taille cumulée peut être plusieurs fois
supérieures à la taille du média analysé.
Les principaux outils basés sur la structure sont:
Foremost(Linux ), est capable de retrouver plusieurs types de fichiers images, vidéos, OLE, html et pdf.
MagicRescue(Linux), est similaire à Foremost mais il peut être étendu à volonté afin de détecter de nouveaux types de fichiers (notions de "recipe" ).
PhotoRec, fonctionne sous la plupart des systèmes d'exploitation (Linux, Dos, Windows et Mac OS X) et permet de récupérer un grand nombre de type de fichiers images,
mais aussi des documents de type office.
TestDisk est un outil fonctionnant sur la plupart des systèmes d'exploitation (Linux, Dos, Windows et Mac OS X).
Contrairement aux autres outils qui recherchent des fichiers, TestDisk permet de retrouver des partitions effacées.
Numa, permet de récupérer des fichiers effacés sur une ext3. Il est toujours en cours de développement et ne peut récupérer que des fichiers de moins de 48 Ko.
The Sleuthkit(Linux), est un outil destiné aux experts qui laisse l'utilisateur déterminer comment marier la récupération basée sur le système d'exploitation et la récupération
basée sur la structure effacée.
Les têtes de lectures
Le préamplificateur
Le moteur
Le changement de PCB nécessite un PCB donneur identique. Il faudra cependant transférer certains composants de l'ancien PCB sur le nouveau, celui ci étant propre à chaque
disque dur. Un simple changement de PCB ne marche pas dans la plupart des cas.
Les têtes de lectures sont changées en salle blanche pour éviter toute contamination des plateaux magnétiques.
Le préamplificateur se répare aussi en changeant le bloc de tête de lecture. Il tombe en général en panne lors d'une surtension ou d'une chute du disque dur.
Le moteur, lui, ne se change pas ni se répare. En général, on transfère les plateaux magnétiques sur un nouveau disque dur. Il est très important d'utiliser un extracteur de
plateaux pour garder leur alignement. Si jamais il ne le sont plus, la récupération des données est alors impossible.
En cas de corruption ou rayure de la zone système d'un disque dur (le disque fait un bruit de claquement des têtes de lectures), il est possible d'effectuer un changement de
PCB à chaud, ce qui permet d'éviter la lecture impossible de la zone système du disque défectueux.
De Wikipedia, L'encyclopédie libre.