Effacement de données : pourquoi il ne faut pas (toujours) craindre le pire
La suppression des fichiers est souvent vécue comme un cauchemar. Une erreur humaine ou un dysfonctionnement matériel ou logiciel peut être à l’origine de cette perte de données. Or, il est possible de récupérer des données effacées sur le support où elles étaient stockées. Car contrairement à ce que l’on pourrait penser, il y a peu de chance que cet effacement ait été définitif.
Des données aux blocs : l’organisation des fichiers dans votre disque dur
FAT32, NTFS, EXT4 : il existe de très nombreux systèmes de fichiers : leur rôle consiste à gérer l’organisation des informations mémorisées sur les périphériques de stockage de l’ordinateur. Pour schématiser, on peut présenter ces systèmes de fichiers comme des classeurs (ou des index) avec, à l’intérieur, des répertoires thématiques et bien rangés.
Sur un disque dur, l’équivalent de ces répertoires s’appelle des clusters (ou blocs). Et à la place de lettres et de chiffres que vous auriez à la main sur des feuilles perforées, en informatique, un fichier est représenté sous des suites de 1 et de 0. Le but ? Permettre au système d’exploitation d’identifier rapidement un fichier précis. Vous pouvez aussi les retrouver plus facilement grâce à l’explorateur de fichier (dans Poste de Travail sous Windows), sorte d’index.
À une différence près : quand vous n’avez plus de place sur une feuille papier, vous pouvez en ajouter une autre juste à côté dans le classeur. Ce n’est pas la même chose en informatique. L’ordinateur va écrire là où il trouve de l’espace disponible. Si la taille d’un fichier nécessite plusieurs blocs mais qu’il n’y a pas suffisamment de blocs libres à la suite, le système de fichiers va découper le fichier en deux (ou plus) et l’écrire sur plusieurs emplacements. Cette opération se nomme la fragmentation des fichiers.
Lorsqu’on lance une défragmentation, il s’agit de regrouper les morceaux d’un fichier qui sont éparpillés un peu n’importe où pour les positionner à la suite. L’objectif est qu’un document sous Word s’ouvre plus vite par exemple. Le système de fichiers n’a en effet pas besoin de « scanner » l’intégralité de la liste chaînée des clusters pour relier chaque morceau mais peut lire linéairement les blocs pour accéder au fichier complet, moins de mouvement des têtes de lecture donc.
Comment FAT réagit à un effacement des données ?
S’il existe en effet de multiples systèmes de fichiers, tout le monde connaît FAT32 (File Allocation Table) et NTFS (New Technology File System) puisqu’ils ont été développés par Microsoft pour optimiser l’usage de ces différentes versions de Windows. Les personnes utilisant des distributions GNU/Linux sur leur poste de travail (Debian, Ubuntu, Opensuse) ou pour leurs serveurs connaissent les ext3 ext4, voire le Btrfs.
Windows étant le système d’exploitation majoritaire dans les entreprises et chez les particuliers, nous allons expliquer les principes de FAT et ce qui se passe lorsqu’on supprime des documents.
Le nom de FAT, qui a eu différentes versions (nommées en fonction du nombre de bits), s’explique par sa méthode d’organisation. Cette table d’allocation de fichiers, placée au début du volume, est en double au cas où l’une d’entre elles serait endommagée. Celle-ci comprend notamment le nom et la taille ainsi que le numéro du premier cluster du fichier. FAT se compose d’une série de numéros de grappe de 4 octets.
C’est bien connu, le risque zéro n’existe pas. Quatre principales raisons peuvent être à l’origine de la perte de fichiers FAT32 :
1. Des pertes lors d’une conversion : pour dépasser la limite du FAT32 et obtenir de meilleures performances, des personnes décident de remplacer leur ancienne partition FAT32 par une en NTFS. Et cette option passe très souvent par le formatage.
2. La suppression accidentelle : contrairement à une idée reçue, l’erreur humaine reste la principale cause de pertes de données. Cela peut arriver à n’importe qui et en quelques secondes. Heureusement, nous verrons que la récupération de fichiers FAT32 après un effacement involontaire n’est pas impossible !
3. Un piratage informatique : des fichiers ou même des partitions sur un disque dur peuvent être endommagés. Selon le type de code malveillant, il est parfois possible de récupérer ses précieuses informations. C’est par contre rarement le cas avec les dernières versions de ransomwares, des virus chiffrant les données sur des ordinateurs. Le cauchemar pour les entreprises dont les collaborateurs se partagent en permanence des documents !
4. La mauvaise gestion du disque : cette cause peut s’expliquer par l’utilisation d’un logiciel censé résoudre les problèmes de disque défectueux et améliorer ses performances.
Corbeille et formatage rapide ne détruisent pas vos données
Et la fameuse Corbeille ? Quand on supprime un fichier, qu’il se trouve à la poubelle et qu’on la vide, sont-ils réellement effacés ? En réalité, ils sont toujours là jusqu’à ce que d’autres fichiers viennent prendre leurs places dans la bibliothèque de l’OS, c’est-à-dire dans le système de fichiers.
Mettre à la poubelle ou faire un formatage rapide (à la différence du formatage bas niveau) signifie donc simplement que l’espace occupé par ce document est libéré. C’est comme dans un livre, le sommaire n’affiche plus certaines pages ; elles sont disponibles pour une nouvelle écriture.
La situation n’est donc pas toujours désespérée. Contrairement à une idée reçue, un fichier supprimé reste toujours présent. Seules les structures sont modifiées (un caractère spécial (symbole hexadécimal) apparaît au début du nom du fichier) de façon à ce que Windows l’ignore. Comme si la table FAT affichait un panneau « disponible » (ou « vide »).
Cela signifie qu’un laboratoire spécialisé dans la récupération de données peut retrouver ces documents en recherchant les marques de suppression pour reconstituer des noms de dossier et des structures complètes d’annuaire. À condition toutefois de ne pas avoir créé de nouveaux fichiers entre le moment de la suppression et la tentative de récupération. Attention, même la consultation d’e-mails ou d’un site web crée des écritures d’informations et donc détruit les anciens fichiers effacés!
Linux et données effacées
Linux, où ext4 a remplacé le système de fichiers ext3, présente quelques différences avec Windows. Ainsi les fichiers sont indexés selon un numéro, appelé inode ou i-node (contraction de l’anglais index et node). Chacun possède de nombreux attributs associés (droits d’accès selon des groupes comme Sudo notamment), la date et le jour de création et de modification du fichier, sa taille, etc.).
Lorsqu’on supprime un fichier, son inode est « délié » ; il n’est plus indexé par le système de fichiers. Mais si, par exemple, un document texte est ouvert par LibreOffice, il reste un lien et ledit fichier continue d’être actualisé. Il n’a pas été supprimé. Pour que la suppression soit réelle, il faut que tous les liens soient coupés. Mais là aussi, il peut être possible de récupérer des données, car elles sont encore présentes sur le disque dur. L’opération sera par contre plus complexe, car elles ne sont plus indexées.
On comprend mieux pourquoi la suppression définitive de fichiers implique d’utiliser des logiciels spécifiques pouvant utiliser différentes méthodes et notamment l’algorithme de Guttmann pour remplir plusieurs fois les fameuses cases « vides ».
