Récupération de données

En informatique, en l'absence de sauvegardes, la récupération de données (ou restauration de données) consiste à retrouver les données perdues à la suite d'une erreur malencontreuse, ou à cause d'un support ayant subi des défaillances, ou ayant été endommagé. Il s'agit d'une opération difficile et délicate.

Les supports peuvent être des disques durs, des bandes magnétiques, etc.

On distingue les défaillances logicielles et matérielles. Évidemment, les défaillances logicielles appellent des solutions logicielles tandis que les défaillances matérielles appellent une intervention matérielle. Les interventions matérielles permettent souvent de récupérer une partie des données mais elles aboutissent aussi souvent à la destruction du média. Les solutions de récupération logicielle bien mises en œuvre n'altèrent pas le medium. C'est pourquoi, quand la cause de la défaillance n'est pas identifiée, il est recommandé d'essayer les solutions de récupération logicielle avant l'approche matérielle. En général, le coût très élevé des approches matérielles de récupération de données et la valeur des informations stockées sur le média limitent la récupération aux seules solutions logicielles.

Approche logicielle

La récupération de données par logiciel a de multiple motivations : les plus courantes vont de l'erreur humaine involontaire aux virus, en passant par les différents degrés de malveillance, d'espionnage et d'enquêtes policières. Par exemple, dans l'affaire Clearstream, une partie de l'enquête s'est appuyée sur les données récupérées sur l'ordinateur du général Rondeau, données que ce dernier avait simplement effacées^[1].

En informatique, le système d'exploitation découpe en morceaux les ressources auxquels il accède, et les retrouve grâce à un index. Ainsi, un système d'exploitation voit un disque dur comme une encyclopédie où chaque demande de l'utilisateur correspond à utiliser la table des matières de l'encyclopédie. Quand l'utilisateur demande d'effacer une structure (un fichier ou une partition par exemple), le système d'exploitation ne le détruit pas directement : il se contente de modifier l'index ; effacer un article équivaut à retirer l'article de la table des matières. L'article effacé est cependant toujours présent au milieu des pages de l'encyclopédie.

Les espaces libres ne sont remplacés que lorsqu'un autre contenu y est déposé.

On peut classer les outils logiciels de récupération en trois familles :

Les outils basés sur le système d'exploitation

L'idée de base de ces approches est de travailler au niveau des index maintenus par le système d'exploitation. Grossièrement, ces approches vont essayer de détecter les altérations récentes apportées à la table des matières de l'encyclopédie et d'en déduire les structures (fichiers ou partitions) récupérables. Par exemple, MS-DOS offrait le programmes de restauration "undelete" et "unformat".

Les outils basés sur la structure effacée

L'idée de base consiste à parcourir la totalité du média en essayant de détecter le début et la fin des structures qu'on cherche à récupérer. Grossièrement, ces approches vont donc ouvrir chaque tome de l'encyclopédie, parcourir chaque page et essayer de déterminer le début et la fin de chaque article.

Les outils mixtes

Les outils mixtes mélangent les deux approches : dans un premier temps, ils explorent les index du système d'exploitation afin d'en déduire une première approximation sur l'emplacement des données effacées. Dans un second temps, ils scannent le voisinage correspondant au début et à la fin des structures à restaurer afin d'arriver à affiner la première approximation.

Les outils basés sur le système d'exploitation

Les outils basés sur le système d'exploitation sont rapides et permettent d'accéder à des informations — comme le nom du fichier — qui ne sont pas contenus pas dans le fichier proprement dit mais maintenus par le système d'exploitation lui-même. Le désavantage de cet approche est qu'elle n'est pas exhaustive ; ainsi, il n'est possible de récupérer qu'une partie des données, car ces outils s'appuient sur des structures de données propres au système d'exploitation et ces structures n'ont pas été conçues afin de faciliter la récupération de données. Toutefois, la journalisation oblige les systèmes à maintenir une quantité plus importante d'information que par le passé.

Le type de système de fichiers — qu'on peut comprendre grossièrement comme la manière dont est structurée la table des matières dans notre métaphore encyclopédique — caractérise les outils basés sur le système d'exploitation. Les principaux outils sont :

• FilesLost.com est service gratuit de récupération de fichiers à travers Internet pour les systèmes de fichiers NTFS et FAT.
• le paquet ntfsprogs (Linux et Windows) permet de récupérer des fichiers effacés sur une NTFS.
• recover (Linux) permet de récupérer des fichiers effacés sur un système de fichier ext2.
• Restoration de Brian Kato (Windows) permet de récupérer des fichiers effacés sur une NTFS et FAT.
• TestDisk (Dos, Windows, Linux, Mac OS X) permet de récupérer des fichiers effacés sur une partition NTFS, FAT, exFAT et ext2.

Enfin, certains auteurs ont proposés des outils qui vont fonctionner en tâche de fonds afin de faciliter la récupération de fichiers. Parmi eux, on peut citer:

• e2undel (Linux) pour les systèmes de fichiers ext2.
• giis (Linux) pour les systèmes de fichiers ext2 et ext3.

La corbeille

La plupart des systèmes d'exploitation dotés d'une interface graphique incluent une corbeille. Il s'agit en fait d'un répertoire dans lequel les fichiers sont temporairement déplacés lorsqu'ils sont supprimés par l'utilisateur. Ce répertoire permet en fait de trier ses données, celles qui s'y trouvent sont dans l'attente d'être supprimées du support ou d'être restaurées.

On retrouve ainsi dans les systèmes d'exploitation une commande permettant de « restaurer les éléments » qui s'y trouvent (replace les fichiers dans les répertoires dans lesquelles il se trouvaient avant leur suppression) et une autre permettant de « vider la corbeille » (En fait, lorsque cette opération est effectuée, les données ne sont pas physiquement supprimées du support de données : l'espace du disque qu'occupe ces données est marqué par le système d'exploitation comme pouvant être réutilisé pour que de nouvelles données soient inscrites à leurs places.).

Les outils basés sur la structure effacée

Les outils basés sur la structure effacée permettent une recherche exhaustive. Ils ont cependant plusieurs inconvénients :

ils sont limités à quelques types de structure.

Métaphoriquement, ces outils vont parcourir toutes les pages de l'encyclopédie et essayer de détecter le début et la fin de chaque article composant l'encyclopédie. Cela signifie que le programme va détecter le début et la fin d'un article en utilisant les conventions typographiques de l'encyclopédie (titre de l'article en gras etc...). Un article ne suivant pas les conventions typographiques ne sera donc pas retrouvé. Or le système d'exploitation n'impose pas une "convention typographique" particulière aux applications, celles-ci sont libres d'utiliser le format de données qu'elles souhaitent. Ils sont le plus souvent limités à quelques types de fichiers prédéfinis.

ils ignorent le système d'exploitation.

Cette ignorance a un double impact. La première est qu'ils ne savent pas retrouver le nom original du fichier. La seconde conséquence est qu'ils ne savent pas distinguer un fichier qui n'a pas été effacé d'un fichier qui a été effacé. Ces outils vont donc générer une quantité importante de fichiers dont la taille cumulée peut être plusieurs fois supérieures à la taille du media analysé.

Ces inconvénients peuvent se transformer en avantage dans les cas où le système d'exploitation n'arrive plus à maintenir la cohérence des données qu'il stocke. Dans notre métaphore encyclopédique, ce cas correspondrait à une encyclopédie sans table des matières et dont les pages seraient dans le désordre et/ou manquantes. En pratique, ce cas correspond le plus souvent à une défaillance matérielle.

Les principaux outils basés sur la structure sont :

• EasyRecovery (Windows) de la société Ontrack^[2].
• Foremost (Linux) est capable de retrouver plusieurs types de fichiers images, vidéos, OLE, html et pdf.
• MagicRescue (Linux) est similaire à Foremost mais il peut être étendu à volonté afin de détecter de nouveaux types de fichiers (notions de "recipe" ).
• PhotoRec fonctionne sous la plupart des systèmes d'exploitation (Linux, Dos, Windows et Mac OS X) et permet de récupérer un grand nombre de type de fichiers images, mais aussi des documents de type office.
• TestDisk est un outil fonctionnant sur la plupart des systèmes d'exploitation (Linux, Dos, Windows et Mac OS X). Contrairement aux autres outils qui recherchent des fichiers, TestDisk permet de retrouver des partitions effacées.

Les outils mixtes

Les outils mixtes tentent de marier les deux approches afin de n'en conserver que les avantages sans les inconvénients.

On peut citer :

• fatback (Linux) permet de récupérer les fichiers effacés sur une FAT (et donc en général les fichiers effacés sur une clef usb ou sur une carte mémoire d'appareil photo).
• numa permet de récupérer des fichiers effacés sur une ext3. Il est toujours en cours de développement et ne peut récupérer que des fichiers de moins de 48 Ko.
• The Sleuthkit (Linux) est un outil destiné aux experts qui laisse l'utilisateur déterminer comment marier la récupération basé sur le système d'exploitation et la récupération basée sur la structure effacée.

Approche matérielle

Bien que chaque fabricant de media ou presque propose son service de récupération de données, le volume d’information publique sur les approches matérielles de récupération reste faible. En général un média de stockage est composé d'une carte contrôleur et d'un support physique de stockage. Par exemple, un disque dur est composé d'un contrôleur gérant les moteurs qui vont positionner les têtes de lectures/écritures sur les plateaux ; une clef USB contient typiquement un contrôleur gérant le bus USB et une puce de mémoire NAND. Si le contrôleur est endommagé, il suffit en général de le remplacer pour pouvoir accéder aux données. En revanche, si la défaillance est ailleurs, les techniques varient et les coûts explosent : le plus souvent il faut ouvrir le media en salle blanche pour déterminer la conduite à tenir. Le lecteur intéressé pourra se référer aux publications de Peter Gutmann.

Usages illégitimes

La récupération de données répond à un besoin légitime, simplement parce qu'il est impossible d'éliminer complètement les erreurs humaines. Cependant au-delà des aspects techniques, l'utilisateur devrait réfléchir aux conséquences que ces techniques peuvent avoir. Sans tomber dans une grandiloquence paranoïaque (état policier, agence d'espionnage etc...), quand on voit qu'il suffit d'aller sur un site web pour bénéficier d'un service de récupération de données basiques, on peut s'interroger sur ceux qui vendent en ligne leurs vieux disques durs sans prendre un minimum de précautions.

Bibliographie

• (en) Secure Deletion of Data from Magnetic and Solid-State Memory, Peter Gutmann, Sixth USENIX Security Symposium, July 22-25, 1996, San Jose, California
• (en) Data Remanence in Semiconductor Devices, Peter Gutmann, 10th USENIX Security Symposium, August 13-17, 2001, Washington, D.C.
• (en) File System Forensic Analysis, Brian Carrier, Addison Wesley Professional, ISBN 0-321-26817-2

Notes et références

Voir aussi

Articles connexes

• Suppression de fichier
• Informatique légale

Liens externes

• Article sur la récupération de données perdues

• Portail de la sécurité informatique