? 2.10. Récupération des données
Sur un PC, un MAC, une clé USB, un disque dur, une
carte SD, un disque dur externe ou un téléphone portable, la
suppression involontaire des fichiers reste la première cause de la
perte des données ou encore la suppression volontaire pour cacher
certaines informations à la justice en cas de délit
numérique. D'où, il sera nécessaire de pouvoir faire une
récupération de données avec des outils appropriés
enfin d'en avoir clair pendant l'investigation par les enquêteurs
forensiques. Quelle que soit l'origine de la perte des fichiers et le type de
support concerné, découvrez comment récupérer des
données effacées.
Il nous arrive parfois de supprimer certains de nos dossiers
ou fichiers pour pouvoir libérer l'espace dans votre disque dur.
Rassurez-vous, nous pouvons encore les récupérer à partir
de la corbeille. Il se peut encore que vous vidiez cette dernière, cela
devient une suppression permanente mais soyez en sûr et certain, vos
données se trouvent toujours sur votre ordinateur et c'est toujours
possible de les récupérer, c'est juste que vous n'y avez pas
accès.
Si vous avez vidé la corbeille de votre MAC ou PC voire
même un téléphone portable, l'utilisation d'un logiciel de
récupération vous permettra également de
récupérer des données effacées. La méthode
reste la même pour récupérer des données
effacées sur n'importe quel support de stockage ; il suffit
d'utiliser un outil performant, par exemple : Ontrack EasyRecovery,
Recuva, etc.
? 2.11. Récupération de fichiers
supprimés de la MFT
La partition NTFS peut afficher un message d'erreur disant
« la structure du disque est corrompue et illisible » Cela
se produit lorsque votre partition NTFS est devenue RAW ou corrompue. L'outil
de gestion de disque affichera également la partition NTFS au format RAW
et lorsque vous exécutez CHKDSK pour résoudre le problème,
il renverra un message indiquant que le MFT est corrompu.
Quelle que soit la raison de la corruption de la table
MFT ; comme ici, dans le cadre d'investigations numériques, nous
pouvons effectuer une récupération complète des
données de la partition NTFS à l'aide d'un outil de
récupération de données efficace comme Remo Partition
Recovery.
? 2.11.1. Sculpture de fichiers
La sculpture de fichiers se réfère à la
reconstruction de fichiers informatiques qui a lieu sans indicateurs de
métadonnées utiles ou autres conseils spécifiques. En
l'absence de cette information directive, les systèmes logiciels
utilisent des outils d'heuristique et de traitement des probabilités
sophistiqués afin de rassembler avec succès les fichiers.
Certains experts présentent l'idée selon
laquelle les systèmes logiciels doivent collecter avec précision
des informations sur les fichiers à partir d'un ensemble de
données "homogène" plus grand sur un lecteur de disque ou une
autre zone de stockage. Les logiciels de gravure de fichiers peuvent utiliser
des marqueurs tels que des en-têtes et des pieds de page pour essayer
d'identifier des parties d'un fichier. Au-delà de cela, des algorithmes
spécialisés peuvent également aider à
améliorer les résultats de la récupération de
fichiers.
Il est important de noter que d'autres pratiques de
récupération de fichiers reposent sur des informations
système plus disponibles. En revanche, la sculpture de fichiers se fait
en grande partie sur la base de suppositions, c'est pourquoi ces
systèmes logiciels ont besoin de fonctionnalités avancées
qui peuvent plus efficacement mettre de l'ordre dans le chaos.
| 
