Beaucoup d’articles traitent le sujet de la récupération de données supprimées ou de l’effacement total de données sur un support de stockage, seulement peu expliquent comment cela fonctionne.
En langage informatique, une donnée est la représentation d’une information, pouvant être conservée et classée sous différentes formes : textuelles, images, sons, etc…
Chaque donnée informatique est stockée et gérée par une partition NTFS (New Technology File System) pour les systèmes Windows NT. Pour les systèmes MacOs, GNU/Linux et BSD, d’autres systèmes de fichiers sont utilisés par défaut.
Une partition est une section d’un support de stockage.
Le partitionnement est l’opération qui consiste à diviser ce support en plusieurs parties dans lesquelles le système d’exploitation peut gérer les informations de manière séparée et en y créant un système de fichiers. C’est une manière d’organiser l’espace disponible.
Avant de comprendre comment fonctionne la récupération de fichier supprimé ou l’effacement total de données sur un support de stockage, il faut comprendre comment fonctionne un système de fichiers.
Parlons du système de fichiers NTFS utilisé sur les systèmes Windows NT.
Le NTFS utilise un fichier qui s’appelle $MFT (Master File Table), qui est le premier fichier présent. Il contient la liste de tous les fichiers stockés dans la partition. Cette liste est stockée sous la forme d’une série d’enregistrements.
L’enregistrement qui décrit un fichier effacé est marqué comme libre. Cela permet de gagner du temps lors de la suppression de fichiers qui pourra être réutilisé lors de la création d’un nouveau fichier, sans être effacé du disque.
Pour illustrer le propos, comparons un support de stockage à un livre, un fichier représentant un chapitre.
Pour trouver un passage précis, deux possibilités. Lire entièrement le livre ou se reporter au sommaire pour y trouver directement l’emplacement de l’information.
Tout d’abord, un système de fichiers va lire la MFT afin de trouver le nom et l’emplacement du fichier afin de l’ouvrir.
Ensuite, un fichier supprimé le sera de la MFT mais pas du disque.
Précédemment, nous avons vu qu’un fichier supprimé de la MFT (pour le NTFS) ne l’est pas du disque.
En conséquence, pour le récupérer il suffit de lire l’intégralité du disque.
Des outils de récupération connus permettront de lire l’intégralité du disque afin de trouver les fichiers encore présents.
Grâce au wiping, qui est une méthode logicielle de suppression des données d’un support de stockage, ayant pour objectif d’éliminer toutes traces de données. Cette méthode permet de rendre impossible la récupération de données, le plus souvent afin d’en préserver la confidentialité.
Copyright 2023 SECURITY DATA NETWORK WEAV
