Expert en récupération et expert en investigation

Written By: Ontrack

Date Published: 2 mai 2018

Expert en récupération et expert en investigation

Il y a de grandes différences, mais aussi des points communs, entre la profession de spécialiste de la récupération de données et la profession d'expert en investigation informatique. Les deux sont à la recherche de données qui ne peuvent plus être récupérées à la suite d'un accident ou à la suite d’un acte de suppression volontaire.

Selon la cause de la perte de données et du type de support de stockage impliqué, la manière de récupérer les données va être différente. S'il est possible de réparer les dommages matériels, la récupération des données est relativement simple. Les professionnels de la récupération de données possèdent bien sûr de nombreux contrôleurs et têtes de lecture, mais certains nouent également de très bons contacts avec les fabricants pour permettre la préservation de la garantie même après une réparation.

Les SSD peuvent poser problème. Les HDD aussi.

Avec les disques SSD, il n'est pas toujours facile de remplacer des pièces sur la base du même numéro de série, les fabricants ayant utilisé des pièces différentes pour un même numéro de série. Si un disque dur HDD doit être ouvert pour accéder aux données, cela doit se faire impérativement dans une salle blanche . Toute particule de poussière qui viendrait de déposer entre les plateaux, à la vitesse de rotation élevée, et les têtes de lecture/écriture, rayerait les plateaux et endommagerait les données. A titre de comparaison si les têtes de lecture étaient un Airbus, il volerait à pleine vitesse à 1 mètre du sol. Le grain de poussière aurait les dimensions d'un gros rocher...

Un expert en récupération de données doit être en mesure de gérer des programmes très différents et des technologies spécifiques, parfois développées en propre. Sur le plan logiciel, beaucoup de choses peuvent ne pas fonctionner, et doivent être corrigées : métadonnées corrompues ou informations de bas niveau erronées nécessaires au fonctionnement de base du disque. Cela devient un problème avec un SSD avec un contrôleur chiffré. Si la clé de déchiffrement est manquante, le professionnel en récupération de données n'est en général pas en mesure de sauver les données.

Le professionnel de la récupération de données, contrairement à l'expert en investigation informatique, est dans une position plus confortable car les clients coopèrent beaucoup mieux. Quand il s'agit d'un crime, ce n'est généralement pas le cas, il arrive que des méthodes de type piratage soient utilisées pour permettre l'accès au support de stockage. Aussi, contrairement à l’expert en récupération de données - qui n'est pas intéressé par le contenu des données sauvées – l’expert en investigation doit mener une enquête structurée, documentant les preuves qui permettent au tribunal de déterminer ce qui s'est passé sur un système informatique, pour définir qui en est responsable. Par exemple, un rapport d’expertise peut inclure des informations sur l'identité ou l'identification du délinquant, la période et l'étendue du crime, mais aussi des informations sur la motivation et l'exécution du crime.

Dans les affaires judiciaires, l'expert en cybercriminalité doit être capable d'agir en tant qu'analyste afin de pouvoir décrire et expliquer clairement son travail à des non-initiés lors d’un procès par exemple.

Newsletter

KLDiscovery Ontrack Sarl, 2, impasse de la Noisette, 91370 Verrières-le-Buisson, France (voir tous nos bureaux)