Plusieurs questions nous sont régulièrement adressées concernant la récupération de fichiers supprimés. Que se passe-t-il lorsqu'un fichier est supprimé sur un système Windows et pourquoi ces fichiers sont perdus et deviennent donc impossibles à récupérer ? Aurais-je pu faire quelque chose pour empêcher leur perte ? Pour répondre à ces questions, nous devons d'abord répondre à une autre question très importante :
Comment Windows enregistre-t-il les données des fichiers sur un volume NTFS ?
Lorsque vous créez un nouveau fichier, comme une photo de vos vacances (vacances.jpg), et que vous l'enregistrez sur votre disque dur (formaté avec le système de fichiers NTFS), Windows exécute deux tâches. Il identifie un enregistrement de fichier libre dans la zone du disque dédiée aux métadonnées (appelée table de fichiers maîtres, ou MFT) et y inscrit des informations sur le fichier, telles que le nom de fichier et la date. S'il n'y a pas d'enregistrement de fichier disponible, Windows enrichit la MFT en créant un nouvel enregistrement de fichier.
Ensuite, Windows identifie des blocs de données libres sur le volume pour y écrire les données du fichier proprement dites. Une fois ces blocs de données identifiés, Windows relie le nouvel enregistrement de fichier aux blocs de données et écrit les données sur le disque.
Que se passe-t-il alors lorsqu'un fichier est supprimé (à supposer qu'il n'aille pas dans la corbeille) ? Deux choses très importantes se produisent du point de vue de la récupération de données :
- l'enregistrement de fichier est marqué comme supprimé et rendu disponible pour une utilisation future,
- la zone dédiée aux données est marquée comme de l'espace libre et rendue disponible elle aussi à la réutilisation.
L'image ci-dessus montre que les zones du disque qui contiennent les données pour le fichier vacances.jpg sont désormais marquées comme de l'espace libre et sont disponibles à l'utilisation pour de nouveaux fichiers ou pour étendre les fichiers existants. Pour sa part, l'enregistrement de fichier est marqué comme supprimé et est disponible à la réutilisation par le système de fichiers.
Pour récupérer les données supprimées, votre logiciel de récupération de données doit pouvoir trouver les enregistrements de fichiers supprimés qui n'ont pas été écrasés et les blocs de données qui se rapportent à ces fichiers. Le logiciel ou l'expert doit également analyser l'espace non alloué sur le disque pour retrouver les blocs de données qui étaient utilisés, mais dont les enregistrements de fichiers ont été écrasés.
Le processus se déroule de la manière suivante :
- Limitation de l'accès au disque (écriture interdite),
- Analyse des métadonnées du volume pour retrouver les enregistrements de fichiers marqués comme supprimés,
- Récupération des enregistrements de fichiers supprimés et de leurs blocs de données associés dans de nouveaux fichiers,
- Analyse du volume pour retrouver les données brutes qui résident actuellement dans des zones libres ou non allouées du disque,
- Récupération des blocs de données brutes dans de nouveaux fichiers.
Pour quelles raisons des données supprimées ne pourraient-elles pas être récupérées ?
- L'enregistrement de fichier a été écrasé et :
- il n'existe pas de signature pour les données du fichier,
- les données sont fragmentées.
- Les données sont totalement écrasées,
- Les données sont partiellement écrasées.
La figure ci-dessous illustre un fichier qui a été supprimé, son enregistrement de fichier écrasé par un nouveau fichier et ses données fragmentées sur le disque.
Notre fichier d'exemple (vacances.jpg) a été supprimé et l'enregistrement de fichier a été écrasé par un nouveau fichier (anniversaire.jpg). La seule récupération possible pour le fichier vacances.jpg consiste à trouver et assembler les blocs de données brutes (à supposer qu'il n'existe pas une autre copie de l'enregistrement de fichier ailleurs sur le volume). Le taux de réussite pour ce type de récupération est très élevé, puisque les blocs de données (blocs 1 à 4) dans notre exemple n'ont pas été écrasés par de nouvelles données.
Si le nouveau fichier (anniversaire.jpg) avait écrasé une partie des blocs de données comme dans l'exemple ci-dessous, le fichier n'aurait été récupérable que partiellement (blocs 2 et 3 écrasés).
Si tous les blocs de données avaient été écrasés, le fichier n'aurait pas été récupérable (blocs 1 à 4 écrasés).
Que pouvez-vous donc faire pour vous assurer que cela ne vous arrive pas ?
- Sauvegardez / répliquez vos données. Cela peut faire cliché, mais une simple sauvegarde / réplication peut vous épargner bien des problèmes,
- Si vous supprimez un fichier par mégarde et que vous n'avez pas de sauvegarde, cessez au plus vite d'utiliser le système. Si vous continuez à travailler ou naviguez sur internet, des données supplémentaires viennent s'écrire sur le disque et peuvent écraser les blocs de données,
- Restaurez une sauvegarde sur un autre lecteur que celui d’origine,
- Si vous voulez tenter la récupération vous-même, effectuez une copie du lecteur si possible et travaillez sur la copie. S'il n'est pas possible de faire une copie, assurez-vous que le lecteur est asservi au système en tant que disque secondaire. N'installez pas de logiciel de récupération sur le lecteur que vous voulez récupérer,
- Demandez l'aide d'un professionnel de la récupération de fichiers.
Récupération de fichiers