Récupération de données de disque dur

Récupération de données de disque dur

Dans cette page, le sujet de la récupération de données de disque dur sera abordé de deux points de vu : d'amateur de l'informatique et de professionnel spécialisé en récupération de données. L'objectif principal sera les données et non pas le support de stockage. De ce point de vu, la récupération de données optimise les processus pour sécuriser les données au détriment du support de stockage lui-même n'ayant pas de valeur marchande ou sentimental à priori.

La récupération de données sur disque dur, est-elle toujours possible ?

La réussite de la récupération de données sur disque dur dépend de beaucoup de paramètres dont les principaux sont :
  1. L'état physique du disque dur : le disque dur doit être en état physique lui permettant d'être exploitable. 
  2. L'état logique du disque dur : le contenu du disque dur doit intelligible et doit avoir un sens.
Ces deux conditions doivent être parfaitement remplie avant de démarrer une procédure de récupération de données sur un disque dur. Car commencer à l'envers n'est qu'une perte de temps d'une part et une exposition du disque à une sur-exploitation d'autre part. La réussite de la récupération de données doit commencer par une connaissance fine du problème qui empêche l'accès aux données.   

Prérequis pour la récupération de données sur disque dur

Avant de commencer une procédure de récupération de données sur un disque dur, l'utilisateur, l'informaticien ou l'expert doit disposer des éléments suivants :
  1. Parfaite connaissance sur l'état physique du disque dur.
  2. Connaissance sur l'origine du problème empêchant l'accès aux données.
  3. Outils logiciels permettant :
    • L'accès au disque en bas-niveau (éditeur de disque).
    • Le clonage du disque secteur-à-secteur avec la possibilité de gestion des secteurs et zones défectueux.
    • Logiciel de récupération de données pour d'analyse du contenu du disque et l'extraction des données.

Identification de l'état physique du disque dur

Avant de s'attaquer à la question de la récupération de données sur disque dur, il est impératif d'identifier l'état physique du disque par le biais d'un diagnostic technique précis et complet. L'identification de cet état aura pour objectif de déterminer :
  • Si le disque est exploitable directement.
  • Si le clonage est nécessaire.
  • Si le disque n'est pas du tout exploitable.
Quant est-ce qu'un disque dur peut être exploitable directement ?
Un disque dur est exploitable directement pour une analyse et extraction de données si et seulement si :
  1. Le disque est détecté et reconnu en tant que périphérique de stockage avec sa pleine capacité.
  2. Le disque est accessible, son état SMART est "OK" et ne contient pas de secteurs défectueux.
Afin de connaitre ces informations, voir cette section.

Quant est-ce que le clonage du disque dur est nécessaire ?
Le clonage est nécessaire, voire impératifs lorsqu'on pense que le disque dur pourrait contenir des secteurs défectueux. Mais comment juger que le disque pourrait contenir des secteurs défectueux ? La réponse est simple. Lors du diagnostic du disque :
  1. Si le disque est détecté et reconnu en tant que périphérique de stockage avec sa pleine capacité.
  2. Et l'état SMART n'est pas "OK" mais alerte "Warning" ou en échec "Failed".
  3. Ou lors du scan du disque, certains secteurs sont en endommagés "en rouge, Damaged".
On peut juger que le disque contient des secteurs défectueux et le clonage est nécessaire, car le disque ne peut supporter une exploitation directe et la probabilité d'une panne sévère est élevée.

Quant est-ce que le disque dur ne peut pas être exploitable ?
Le disque dur ne peut pas être exploitable si e disque n'est pas détecté et reconnu en tant que périphérique de stockage avec sa pleine capacité. Dan certains cas, le disque peut être détecté mais sa capacité ne correspond pas à sa capacité réelle. Par exemple un disque de 500GO peut être vue comme 32MO, ou un disque de 1TO peut être vu comme 0GO, etc. C'est le problème typique d'un Firmware corrompu. Si le disque n'est pas exploitable, il faut abandonner l'idée de la tentative de récupération de données par soi-même et s'adresser à un laboratoire spécialisé en compétent en récupération de données. Certains pseudo-spécialistes n'ont pas les compétences et/ou les équipements nécessaire pour traiter ce type de cas. Ils informent le client que son disque n'est pas récupérable alors qu'il l'est parfaitement. Ne pas hésiter de consulter plusieurs professionnels de récupération de données sur disque dur avant d'abandonner définitivement. 

Clonage du disque dur

Le clonage d'un disque est la création d'une copie secteur-à-secteur (ou bit-à-bit) sur un disque sain sur un disque de même capacité ou d'une capacité supérieure. C'est une espèce de cartographie complète du disque dur sauf les secteurs défectueux. Ce type de copie a les avantages suivants :
  • La conservation de l'historique des activités sur le disque.
  • Le passage d'un disque en échec à un disque sain.
  • Si le disque défectueux d'origine contient un système d'exploitation pouvant démarrer un ordinateur, le clone a une très forte chance de démarrer l'ordinateur avec tous les logiciels installés, à la condition que le système de fichiers ne soit pas corrompu et le MBR et le secteur de démarrage ne contiennent pas d'erreurs en raison des secteurs défectueux.
  • Le clone permet un gain de temps et de coût considérable.
  • Le clone permet une analyse et une extraction des données comme s'il était le disque d'origine.
Comment créer un clone d'un disque dur ayant des secteurs défectueux ?

Pour créer ce clone, on aura besoin :
  1. D'un disque dur sain e même capacité ou d'une capacité supérieure.
  2. D'un logiciel de clonage ayant la particularité de pouvoir gérer les secteurs défectueux.
La fonction de gestion des secteurs défectueux est super importante car on a besoin de cloner un disque car il contient à priori des secteurs défectueux. Le seul logiciel gratuit de clonage de disque dur ayant cette possibilité de gestion de secteurs défectueux est "ddrescue" sous Linux. Il n'y a pas d'équivalent gratuit sous Windows ou Mac. Le logiciel "ddrescue" est en ligne de commande.Mais il y a une version (Graphic User Interface) GUI avec interface graphique d'utilisateur. Cette version fournit une méthode graphique simple pour l'usage de "ddrescue", notamment pour les débutant sous Linux. Cette version GUI a été développée également pour Mac OS X. Vous pouvez télécharger les dernières versions gratuitement sur cette page. Un bon paramétrage du logiciel permet de cloner un disque contenant beaucoup de secteurs défectueux.

Processus de récupération de données sur disque dur

Proprement parlant , pour s'attaquer à la récupération de données sur un disque dur, il faut que le disque dur traité soit entièrement sain, reconnu et accessible (autrement dit : en panne logique). Sinon, il faut disposer d'un clone du disque à traiter. A partir de ce point, nous avons transformé le problème d'un problème complexe (panne physique) concernant l'état physique du disque en problème simple concernant le contenu du disque (panne logique). Dans la suite, on parle du disque s'il est sain ou du clone si le disque a été cloné en raison de la présence des secteurs défectueux.

Récupération de données sur disque dur sain

La perte de données sur un disque sain peut être suite à une action volontaire ou involontaire. Voici quelques situation ou le disque est toujours sain mais les données sont inaccessibles :
  1. Effacement involontaire (sans réécriture) des données en raison d'une erreur humaine.
  2. Effacement volontaire de données.
  3. Effacement sécurisé de données.
  4. Attaque de virus ou de malware.
  5. Attaque de Ransomware.
  6. Vol de données.
  7. Corruption causée par un logiciel.
  8. Formatage rapide de partition ou de disque.
  9. Formatage lent, sécurisé, bas-niveau du disque dur.
  10. Formatage et réécriture par la suite.
  11. Une mise à jour mal terminé.
  12. Une réinstallation du système d'exploitation.
  13. Corruption du système de fichiers.
  14. Corruption de la table de partition.
  15. Verrouillage du disque dur par un mot de passe au niveau du Bios.
  16. Cryptage du disque (Bitlocker, VeraCrypt, etc) et perte du mot de passe.
  17. Tentative de récupération de données avec réécriture sur le même disque.
  18. ... etc.
En examinant toutes ces raisons de perte de données, on peut les classer en 4 catégories selon le résultat attendu de la récupération de données :
  1. Récupération de données impossible : en cas de formatage bas-niveau, effacement sécurisé des données, cryptage avec perte du mot de passe, formatage et réécriture complète du disque dur, attaque de Ransomware.
  2. Récupération de données avec arborescence d'origine intacte : en cas d'effacement volontaire ou involontaire sans réécriture, corruption de la table de partition, une mise à jour mal terminée, verrouillage du disque par un mot de passe au niveau du Bios.
  3. Récupération de données avec arborescence d'origine éclatée partiellement et des données hors arborescence (en vrac) : en cas d'effacement avec réécriture, attaque de virus ou malware, vol de données, corruption du système de fichiers ou par un logiciel, une réinstallation du système d'exploitation.
  4. Récupération de données sans arborescence d'origine (entièrement en vrac) :  en cas d'effacement de donnés avec réécriture longue,  attaque de virus ou malware, corruption profonde du système de fichier, une tentative de récupération de données avec réécriture sur le même disque, recherche de données très anciennes ou après formatage et réutilisation longue du disque dur.

Récupération de données sur un clone de disque dur

En supposant que le disque d'origine n'ait pas subit une perte de données pour une des raisons citées précédemment, avant de se dégrader physiquement, la réussite de la récupération de données sur un clone dépend notamment de l'état logique du clone. C'est à dire :
  1. De la quantité des erreurs de lecture commises pendant le processus de clonage.
  2. De l'emplacement des ces erreurs. 

    Influence des erreurs de lecture sur la qualité de récupération de données de disque dur

    Lors du clonage de disque en panne matérielle physique, contenant des secteurs défectueux, la présence des secteurs illisible est inévitable. Le contenu d'un secteur illisible sur le disque d'origine sera remplacé par un vide ou zéro au même emplacement selon le schéma ci-dessous.


    A la fin du processus du clonage on peut obtenir un clone une certaine quantité d'erreurs de lecture distribuée aléatoirement selon la figure ci-dessous.


    Ces erreurs de lectures selon peuvent toucher quatre types de zones dans le disque dur d'origine :
    1. Zones vides : ni données de l’utilisateur ni la table d'allocation de fichier (File Allocation Table FAT), ou table principal de fichiers (Master File Table MFT). Dans ce cas, ces erreurs de lecture n'auront aucune influence sur la quantité et la qualité des données récupérées sur le disque dur.
    2. Zones de données de l'utilisateur. Dans ce cas la FAT ou MFT seront conservées (arborescence intacte de dossiers et fichiers). Mais lors de l'ouverture des données touchées par les erreurs, soit les fichiers s'ouvre mais corrompus (par exemple une image avec des ligne de couleurs différentes, ou fichier texte avec un contenu différent, etc), soit les fichiers ne peuvent pas s'ouvrir (si leurs entêtes est touchées par les erreurs).
    3. Zones de la FAT ou MFT seulement. Dans ce cas, l'arborescence sera éclatée partiellement ou complètement selon la quantité des erreurs de lecture. Certains dossiers parents peuvent disparaitre, des dossier enfants ou fichiers peuvent changer de nom mais, ils restent parfaitement fonctionnels et exploitable. 
    4. Zones mixtes : zones FAT ou MFT et zones de données. Dans ce cas, on obtient des effets expliqués par les deux points précédents.

      Amélioration de la qualité des données récupérées sur un disque dur par compensation

      Afin d'atténuer les inconvénients causés par les erreurs de lectures, on peut penser à exploiter les zones hors arborescence définie par la FAT ou MFT. Certaines options d'analyse du logiciel de récupération de données sur disque dur peuvent aider :
      • Option de recherche approfondie : permet de récupérer les fichiers et dossiers orphelins détacher de l'arborescence d'origine touchée par des erreurs de lecture.
      • Option de recherche de données effacées : permet de récupérer des versions effacées des données corrompues en raison des erreurs de lecture. Ces données peuvent être fonctionnelles ou non. Question de chance.

      Fonctionnement des logiciels de récupération de données

      Un logiciel de récupération de données est le dernier outil à utiliser dans le processus de récupération de données. C'est exactement le sens de son utilisation, lorsque le contenu est touché par une corruption partielle ou total des zones FAT, MFT et/ou de données de l'utilisateur. Des précautions à prendre en compte avant de pense à utiliser un logiciel de récupération de données sur disque dur :
      • Un logiciel de récupération de données ne peut être utilisé que sur un disque sain physiquement.
      • Le disque à analyser ne doit être utiliser qu'en lecture uniquement.
      • Les données trouvées après l'analyse et recherche dans le disque ne doivent jamais être enregistrées sur le disque même.
      Les logiciels de récupération de données recherchent les données selon deux principes :
      1. En prenant en compte les partitions du disque, leurs FAT et MFT. Ce sont les logiciels utilisés par les professionnels. Ces logiciels permettent de récupérer les données avec l'arborescence d'origine.
      2. En ignorant les partitions, FAT et MFT. Les données sont récupérées en vrac et mélangées sans structure t arborescence d'origine. Ce sont des logiciels en version allégée des logiciels professionnels ou des logiciels non aboutis que l'on trouve sur internet gratuitement. 
      Les logiciels professionnels de récupération de données effectuent une analyse du disque selon la logique suivante :
      • Recherche des partitions présentes (principales et effacées) sur le disque.
      • Recherche des FAT/MFT correspondantes et les données y attachées.
      • Recherches les données n'ayant aucun lien avec les arborescences trouvées (données en vrac).
      Ces recherches peuvent être effectuée en une seule étape ou deux étapes (partitions d'abord ensuite données).

      Particularités des logiciels de récupération de données

      Un logiciel de récupération de données est un outil avec un certain nombre de particularité. Cela étant dit qu'un certain logiciel peut être excellent dans un cas et très médiocre dans un autre cas. Un logiciel de récupération de données quelconque ne peut pas aider dans une situation quelconque. Lors du choix du logiciel de récupération de données, il faut prendre en compte les points suivants :
      1. Le système de fichiers du disque analysé : si le système de fichier n'est pas pris en charge par le logiciel, il ne faut pas rêver de trouver l'arborescence d'origine. Toutes les données seront en vrac, éventuellement rangées par catégorie (images ensembles, documents ensembles, ainsi de suite). Il y a des logiciels très spécialisés pour un seul système de fichiers et d'autres pouvant prendre en charge plusieurs système de fichiers. Il n'y a pas un logiciels généraliste pour tous les systèmes de fichiers présents dans la nature.
      2. Le type de données recherchées : chaque logiciel de recherche de fichiers possède un dictionnaire (ou catalogue) recensant les signatures de chaque type de fichiers. De cette manière le logiciel reconnait et fait différence entre une image *.jpg d'une autre *.png ou d'un document *.doc. Ce dictionnaire est plus ou moins riche selon l'éditeur du logiciel. Un logiciel bien fait laisse son dictionnaire ouvert et donne la possibilité d'ajouter une signature au cas où le dictionnaire ne contient pas la signature du fichier recherché. Très souvent, tous les dictionnaire possèdent les signatures des fichiers les plus communs. Mais si vous pensez que votre fichier est exotique et que le dictionnaire peut ne pas l'avoir, le logiciel ne sera pas en mesure de trouver les fichiers recherchés, même s'ils sont présents sur le disque dur. Dans ce cas, il y a deux solutions. Si le dictionnaire du logiciel est ouvert,la signature peut être ajoutée. Sinon, il faut changer de logiciel de récupération de données pour un logiciel pouvant prendre en charge le fichier recherché. La première solution est plus adaptée.  

      Conclusions

      La récupération de données sur un disque dur s'improvise pas à la hâte, la raison pour laquelle ce service est généralement onéreux. Un professionnel respectueux doit prendre en compte tous les points mentionnés précédemment, que l'on peut résumer par :
      • L'état physique du disque : sain ou non.
      • Clonage si le disque n'est pas totalement sain.
      • Connaissances sur les conditions de la perte de données .
      • Connaissances sur le système des fichiers du disque dur.
      • Connaissances sur les données recherchées.
      • Possession de l'outil logiciel adéquat au cas traité avec des paramètres réglables afin d'optimiser la recherche.
      • Respect des règles de sécurité des données.
      Un seul manquement à un ou plusieurs points peut conduire à un scénario catastrophe que seul le client en subira les conséquences sans en comprendre ni les tenants ni les aboutissants.
      Share by: