lun, 09/11/2009 - 18:31 par Dom
Type:
Sujet:
Pourquoi peut-on retrouver les données supprimées d'un disque dur ?
La question
Que ce soit par les films ou par l'emploi de logiciels tels que PC Inspector Recovry ou encore Recuva, chacun sait que des données même effacées et supprimées de la corbeille peuvent être retrouvées. Mais savez-vous pourquoi et comment cela est-il possible?
La réponse
Un disque dur, une clef USB, un CD-ROM; toutes ces mémoires secondaires sont les supports physiques des données stockées en binaire (sous forme de 0 et de 1...). Selon la méthode de stockage des fichiers, un même fichier peut ne pas être écrit d'un seul bloc contigu mais être découpé en plusieurs morceaux disséminés sur le support de stockage et liés entre eux par sous forme d'une liste chaînée. On appelle ce phénomène la fragmentation, d'où découle sous Windows la nécessité de défragmenter.
Lors de l'enregistrement d'un fichier, un emplacement lui est attribué selon sa taille. Si plus tard des informations sont ajoutées à ce fichier et que l'espace initial ne suffit plus à le stocker en entier, le fichier sera coupé en deux morceaux: l'emplacement initial et un second emplacement. La défragmentation est l'opération consistant à regrouper les données en un seul fragment, puis à le reloger dans un espace de taille suffisante. Remarquons que le système d'exploitation Linux -du fait de la conception de son système de gestion de la mémoire- n'est pas affecté par ce phénomène.
Le système de fichier est une structure de données particulière permettant de s'abstraire du traitement physique des fichiers (enregistrement, lecture, emplacement sur le disque). Plus concrètement il permet à l'utilisateur de voir ses données comme des fichiers regroupés dans des répertoires ou dossier.
Lorsque l'utilisateur ouvre un fichier, une image, une musique en cliquant sur sa représentation (son icône), le système de fichier est capable de faire correspondre les données physiques sur le disque et d'aller récupérer tous les fragments du fichier, le charger en mémoire et l'ouvrir.
Qu'est-ce que supprimer un fichier?
Supprimer un fichier, c'est tout simplement détruire cette correspondance entre l'espace physique et le fichier correspondant dans le gestionnaire de fichier. En supprimant le fichier de la poubelle, le système d'exploitation ne réinitialise pas les données physiques sur le disque. Pour aller plus vite, il considère simplement que l'emplacement ne correspond plus à rien et que, s'il a besoin d'espace, il pourra y réinscrire un nouveau fichier.
Simplifions: Le système d'exploitation ne supprime pas vraiment les fichiers: il ne les montre simplement plus à l'utilisateur et considère désormais leur emplacement comme vide pour y écrire d'autres données. Comme si pour supprimer un chapitre d'un livre, l'auteur n'effaçait pas réellement les pages mais supprimait juste la référence du chapitre dans le sommaire.
Comment retrouve-t-on des données?
Certains logiciels, comme ceux présentés dans l'introduction de la question sont capables d'aller lire sur le disque sans passer par le gestionnaire de fichier du système d'exploitation. Du coup, ils peuvent consulter les données restées sur le disque et considérées comme obsolètes: ce sont les fichiers effacés.
Formater, c'est quoi?
Formater un disque peut se faire de deux façons: un formatage haut niveau et bas niveau. Le formatage haut niveau consiste à supprimer la correspondance avec les données physiques et à reconstruire un index vierge: le système d'exploitation n'efface rien, mais considère tout l'espace comme libre. Dans le cas d'un formatage de bas niveau, il s'agit réellement de réécrire toute la mémoire en plaçant tous les bits à la même polarité - en général tous à 0 - et de reconstruire un système de fichier vierge.
Un formatage rapide n'efface rien: le système d'exploitation considère juste tous les emplacements comme libre. Certains logiciels peuvent alors analyser le disque dur et reconstituer les fichiers.
Un formatage de bas niveau efface réellement les données en remettant tout à zéro.
Peut-on retrouver des données après un formatage?
Ceux qui ont tout suivi auront compris que dans le cas d'un formatage de haut niveau, il est toujours possible de retrouver les données. Quid du bas niveau? Il faut savoir que des phénomènes électro-magnétique complexes font que les blocs ont une mémoire électro-magnétique permettant de retrouver une information même après plusieurs réécritures. Même un formatage bas niveau n'en vient donc pas à bout!!
Relativisons cependant: les logiciels ne permettront plus de retrouver ces données. Il faut alors faire une inspection physique du disque avec des appareils spéciaux.
On entend souvent dire qu'un champ magnétique efface un disque dur. La culture populaire préconise donc de détruire son disque en le soumettant à un aimant. Il faut savoir que ce champ magnétisme va modifier la polarité des plots et par là va réécrire les données. Du coup, elles seront comme effacés et réécrites, mais par le phénomène de mémoire, il est toujours possible de retrouver ces données. Des entreprises spécialisées vous proposent -pour un prix cependant très dissuasif!- de récupérer vos données depuis un disque formaté, magnétisé, perforé ou même brûlé. (ex: l'entreprise CBL)
Comment vraiment détruire des données?
Après avoir inquiété les lecteurs les plus paranos, voici venu le moment de nuancer tous ces propos: du fait de la complexité des méthodes mises en jeu, la récupération des données est très incomplète, fragmentaire, aléatoire.
Cependant, pour éviter toute probabilité de retrouver des informations confidentielles, les administrations à risques disposent de méthodes sûres. L'une des plus connue est la méthode Guttman, du nom du mathématicien l'ayant inventé. Cet algorithme permet la suppression sécurisée des données notamment par la réécriture aléatoire de données 35 fois sur la région à effacer! Des utilitaires gratuits, comme par exemple Eraser permettent une telle suppression.
En résumé...
Les fichiers et dossiers ne sont qu'une vue simplifiée des données de l'ordinateur crée pour l'utilisateur par le système de gestion de fichier. Celui-ci établit alors une sorte d'index: une table de correspondance entre le fichier utilisateur et l'emplacement physique réel sur le disque dur. Le système de gestion de fichier est comme l'auteur d'un grand livre. Cependant, pour effacer un chapitre du livre (ie un fichier de l'ordinateur), au lieu d'effacer le texte du chapitre, il supprime simplement sa référence dans le sommaire. Certains logiciels spécialisés peuvent alors lire directement les données du disque dur sans passer par le sommaire et donc retrouver ainsi les fichiers.
Pour aller plus loin...
- Le système de fichier : découvrez comment sont gérés les fichiers de votre ordinateur.
Vous avez aimé ? Offrez-nous le café !
Pas tout compris? Laissez un commentaire ou contactez-nous !
Imprimer
Envoyer
Bug ou erreur ?
