Que ce soit par les films ou par l'emploi de logiciels tels que PC Inspector Recovry ou encore Recuva, chacun sait que des données même effacées et supprimées de la corbeille peuvent être retrouvées. Mais savez-vous pourquoi et comment cela est-il possible?

 

 

 

Un disque dur, une clef USB, un CD-ROM; toutes ces mémoires secondaires contiennent physiquement les données stockées en binaire (sous forme de 0 et de 1...). Suivant la méthode de stockage des fichiers, un même fichier peut ne pas être écrit d'un seul bloc contigu mais être découpé en plusieurs morceaux disséminés sur le support de stockage et liés entre eux par sous forme d'une liste chaînée. On appelle ce phénomène la fragmentation, d'où découle sous Windows l'opération de défragmentation.

Lors de l'enregistrement d'un fichier, un emplacement lui est attribué selon sa taille. Si plus tard des informations sont ajoutées à ce fichier et que l'espace initial ne suffit plus à le stocker en entier, le fichier sera coupé en deux morceaux: l'emplacement initial et un second emplacement. La défragmentation est l'opération consistant à regrouper les données en un seul fragment, puis à le reloger dans un espace de taille suffisante. Remarquons que le système d'exploitation Linux -du fait de la conception de son sytème de gestion de la mémoire-  n'est pas affecté par ce phénomène.

 

Le système de fichier est une structure de données particulière permettant de s'abstraire du traitement physique des fichiers (enregistrement, lecture, emplacement sur le disque). Plus concrètement il fournit à l'utilisateur un système de gestion virtuel abstrait où les données sont représentés par des fichiers accessibles via un chemin d'accès et regroupés dans des répertoires ou dossier.

Lorsque l'utilisateur ouvre un fichier, une image, une musique en cliquant sur sa représentation (son icône), le système de fichier est capable de faire correspondre les données physiques sur le disque et de suivre la liste chaînée afin de récupérer tous les fragments du fichier, le charger en mémoire et l'ouvrir.

 

Supprimer un fichier, c'est tout simplement détruire cette correspondance entre l'espace physique et le fichier abstrait correpondant dans le gestionnaire de fichier. En supprimant le fichier de la poubelle, le système d'exploitation ne réinitialise pas les données physique sur le disque. Pour aller plus vite, il considère simplement qu'elles ne correspondent plus à rien et que, s'il a besoin d'espace, il pourra y réinscrire un nouveau fichier.

Certains logiciels, comme ceux présentés dans l'introduction de la question sont capables d'aller lire sur le disque sans passer par le gestionnaire de fichier du système d'exploitation. Du coup, ils peuvent consulter les données restées sur le disque et considérées comme obsolètes: ce sont les fichiers effacés.

Formater un disque peut se faire de deux façons: un formatage haut niveau et bas niveau. Le formatage haut niveau consiste à supprimer la correspondance avec les données physiques et à reconstruire un index vierge. Dans le cas d'un formatage de bas niveau, il s'agit réellement de réécrire toute la mémoire en plaçant tous les bits à la même polarité - en général tous à 0 - et de reconstruire un système de fichier vierge.

Ceux qui ont tout suivi auront compris que dans le cas d'un formatage de haut niveau, il est toujours possible de retrouver les données. Quid du bas niveau? Il faut savoir que des phénomènes électro-magnétique complexes font que les blocs ont une mémoire électro-magnétique permettant de retrouver une information même après plusieurs réécritures. Même un formatage bas niveau n'en vient donc pas à bout!! Relativisons cependant: une solution logicielle ne permettra plus de retrouver ces données. Il faut alors faire une inspection physique du disque avec des appareils spéciaux. On entend souvent dire qu'un champ magnétique efface un disque dur. La culture populaire préconise donc de détruire son disque en le soumettant à un aimant. Il faut savoir que ce champ magnétisme va modifier la polarité des plots et par là va réécrire les données. Du coup, elle seront comme effacés et réécrites, mais par le phénomène de mémoire, il est toujours possible de retrouver ces données. des entreprises spécialisées vous proposent -pour un prix cependant très dissuasif!- de récupérer vos données depuis un disque formaté, magnétisé, perforé ou même brûlé. (ex: l'entreprise CBL)

Après avoir inquiété les lecteurs les plus paranos, voici venu le moment de nuancer tous ces propos: du fait de la complexité des méthodes mises en jeu, la récupération des données est très incomplète, fragmentaire, aléatoire.

Cependant, pour éviter toute probabilité de retrouver des informations confidentielles, les administrations à risques disposent de méthodes sûres. L'une des plus connue est la méthode Guttman, du nom du mathématicien l'ayant inventé. Cet algorithme permet la suppression sécurisée des données notamment par la réécriture aléatoire de données 35 fois sur la région à effacer. Des utilitaires gratuit, comme par exemple Eraser permettent une telle supression.

 

 

- Système de fichier