Preuves : Les données effacées sur un disque dur

Les disques durs regorgent de preuves exploitables devant les tribunaux qu’il s’agisse d’affaires civiles ou pénales ou même prud’homales. Leur collecte, leur analyse et leur conservation répondent à des règles de l’art très précises qui lorsqu’elles ne sont pas respectées peuvent conduire à l’annulation des procédures ou affecter leur qualité probatoire . La parfaite maîtrise des concepts liés au fonctionnement des disques durs constitue le point de départ de toute contradiction que peut apporter un avocat spécialisé en droit de l’informatique à ce type de preuves numériques. La parfaite maîtrise de ces concepts dans le cadre d’un contentieux ou d’une expertise judiciaire est un atout sérieux. Nous allons expliquer dans cet article pourquoi les services de polices ou les experts peuvent retrouver des données qui ont été effacées des disques durs.

A retenir

Tout ce qui s’est affiché sur votre écran a été potentiellement stocké sur votre disque dur, tout ce qui a été stocké sur votre disque, peut potentiellement être restauré, même après une suppression via la corbeille ou l’option « supprimer » de votre système d’exploitation.

Pourquoi les données effacées peuvent-elles être restaurées ?

Avant d’étudier en détail les raisons pour lesquelles des données supprimées peuvent être restaurées, il nous faut commencer par évoquer rapidement le mode de fonctionnement des disques durs. Ces disques appartiennent à la famille des supports électro-magnétiques. Ils sont composés d’un ou plusieurs plateaux rigides empilés les uns sur les autres autour d’un axe. A la surface de ces plateaux, des données sont stockées sous forme de polarisation avant d’être transformées en code binaire par la tête de lecture-écriture qui agit alors en qualité de convertisseur analogique numérique. Ces plateaux sont classiquement organisés en pistes, cylindres, secteurs. Les pistes sont des sillons concentriques gravés à la surface des plateaux. Lorsque des données sont situées sur les mêmes pistes de plusieurs plateaux, on parle de cylindres. Ces pistes sont également divisées en secteurs.

axe

Il nous faut ensuite introduire la notion de clusters et de table d’allocation des fichiers. Le cluster pouvant se définir comme la plus petite unité d’espace disque occupée par un fichier. On parle également d’unité d’allocation. Il en existe des milliers sur un disque dur. Ces clusters sont répertoriés par la table d’allocation des fichiers qui définit leur statut. Ainsi les clusters peuvent avoir trois états principaux (disponible, réservé, défectueux). Lorsqu’un cluster est disponible, le système est autorisé à utiliser l’espace qu’il occupe pour une opération d’écriture. Lorsqu’il est réservé ou défectueux, aucun processus d’écriture sur cet espace n’est autorisé ou possible. La table d’allocation des fichiers maille éventuellement les clusters entre eux lorsqu’un fichier est stocké sur plusieurs clusters.

cluster.

Les principales stratégies d’allocation des fichiers :

On distingue traditionnellement 3 méthodes d’allocation que sont la méthode d’allocation contigüe, la méthode d’allocation par lien et la méthode d’allocation avec index.

Avec la méthode d’allocation contigüe, les unités logiques se suivent les unes après les autres. Cette méthode est aujourd’hui considéré comme obsoléte elle se retrouvent néamoins encore sur des OS industriel. Elle suppose de pré-allouer des cluters pour prévoir l’augmentation de la taille des fichiers ce qui entraine non seulement une perte d’espace mais des difficultés lorsque la préalocation a été sous-estimée.

Avec la méthode d’allocation dite « liée » chaque unité logique contient un pointeur vers la prochaine unité logique avec laquelle elle est en relation. Cette prochaine unité logique n’est pas nécessairement contigüe.

Enfin dans la méthode d’allocation indexée, le système d’exploitation géré une table qui indexe chaque unité logique d’un même ensemble. Ici encore les unités logique n’ont pas être contigües et c’est aujourd’hui la méthode la plus répandue.

a- allocation contigüe

Fichier AFichier AFichier AFichier AFichier AFichier BFichier BFichier BFichier BFichier CFichier C
Cluster1Cluster 2Cluster 3Cluster 4Cluster 5Cluster 6Cluster 7Cluster 8Cluster 9Cluster10Cluster 11

b- Allocation par lien

Fichier AFichier AFichier BFichier  AFichier CFichier BFichier BFichier BFichier C
Cluster1

voir cluster 2

Cluster 2

voir cluster 3

Cluster 3

voir cluster 6

Cluster 4

voir cluster 2

Cluster 5

voir cluster 9

Cluster 6

voir cluster 7

Cluster 7

voir cluster 8

Cluster 8

Fin de fichier

Cluster 9

voir cluster 2

c- Allocation par index

Index
Fichier ACluster 1,2,4
Fcihier BCluster 3, 6, 7, 8
Fichier CCluster 5, 9

 

Fichier

A

Fichier

A

Fichier

B

Fichier

A

Fichier

C

Fichier

B

Fichier

B

Fichier

B

Fichier

C

Cluster1Cluster 2Cluster 3Cluster 4Cluster 5Cluster 6Cluster 7Cluster 8Cluster 9

Il convient également de s’intéresser à la façon dont l’OS alloue l’espace disponible.

Il faut savoir que les fichiers sont stockés selon trois principales stratégies d’allocation que sont le premier emplacement disponible, le prochain emplacement disponible et le meilleur emplacement disponible.

Alloué AllouéDernier Alloué  AllouéAlloué   
Cluster1Cluster 2Cluster 3Cluster 4Cluster 5Cluster 6Cluster 7Cluster 8Cluster 9Cluster10Cluster 11

Si un fichier occupe 3 cluster avec la stratégie du premier emplacement disponible il placera le fichier au cluster 2 puis aux cluster 5 et 6. Avec la stratégie du dernier emplacement disponible, le fichier sera placé aux cluster 5 et 6 puis probablement au cluster 9. Enfin dans la stratégie du meilleur emplacement l’OS choisira le plus petit emplacement disponible ou le fichier ne sera pas fragmenté à savoir aux clusters 9, 10 et 11.

Réserve faite du type de disque dur utilisé, le système d’exploitation FAT utilise la stratégie du prochain emplacement disponible pour l’utilisation des clusters et la stratégie du premier emplacement disponible dans les entrées de la table des fichiers maîtres. NTFS utilise principalement la stratégie du meilleur emplacement disponible puis à défaut selon les cas la stratégie du premier ou dernier emplacement disponible pour l’allocation des clusters et la stratégie du premier emplacement disponible pour les entrées de la MFT. Lorsque les stratégies du premier emplacement disponible sont mises en oeuvre les premières unités logiques ont tendances à être plus souvent réallouées que les dernières et donc à être incidement les données supprimée présentent à ces emplacements moins « facile » à restaurer puisque qu’un processus de réécriture à ces emplacements est fréquent.
Ces stratégies sont importantes car elles peuvent permettre de se livrer à des analyses de cohérence principalement pour détecter une falsification de dates, lorsque l’utilisateur à changer la date et l’heure de son horloge système.

Comme nous allons le voir maintenant, les possibilités de restauration des données varient en fonction de la méthode de suppression utilisée. Nous distinguerons d’une part, les processus de suppression qui agissent au niveau de la table d’allocation des fichiers, on parlera alors de suppression de type logique, et d’autre part, les suppressions qui agissent au niveau de l’espace disque occupé par les données, on parlera alors de suppression de type physique.

Mais gardez dès à présent à l’esprit une chose. Un disque dur ne sait pas effacer. Il sait uniquement lire ou écrire.

Les suppressions logiques :

L’exemple type de la suppression logique est le fait, par exemple, de vider la corbeille de son bureau. Pour comprendre néanmoins plus en détail ce qu’est une suppression de type logique, il nous faut revenir aux notions de clusters et de table d’allocation de fichier. Supposons qu’un disque dur soit formaté avec des clusters d’une taille de 8192 octets. Un fichier A de 16384 octets occupera donc deux clusters. Ces clusters seront référencés dans la table d’allocation des fichiers comme réservés.

forensic1

Si le fichier A est supprimé, le système d’exploitation modifiera l’entrée correspondante de la table d’allocation des fichiers de façon à ce que les clusters occupés par le fichier A soient référencés comme disponibles. Dans ce cas les clusters pourront être réutilisés pour un processus d’écriture ultérieur.

forensic2

Dans notre exemple les données de l’ancien fichier A sont conservées telles quelles sur le disque dur. Seul la table d’allocation des fichiers a été modifiée. Concrètement sur les clusters il ne s’est rien passé. Il suffit donc de les restaurer à l’aide de procédures ad hoc pour qu’elles deviennent de nouveau accessibles (il suffit de modifier la variable correspondante dans la table d’allocation des fichiers, c’est ainsi que procèdent les logiciels type Encase). Il n’est pas inutile de souligner que le formatage simple du disque agit également au niveau de la table d’allocation des fichiers et non au niveau de l’espace occupé par ces données. En ce sens, il peut être considéré comme une suppression de type logique. De même, il n’est pas sans intérêt de relever que la défragmentation d’un disque peut produire des effets identiques à ceux précédemment décrits lors d’une suppression logique. Ceci apparaît dans l’exemple ci-après :

Soit 3 fichiers occupant chacun 1 cluster.

forensic3

Suppression du fichier B.

forensic4

Opération de défragmentation. Le fichier C prend alors la place de l’ancien fichier B.

forensic55

Suppression du fichier C. Ce fichier est remplacé par un fichier D. On constate que le fichier C est toujours sur le disque dur.

forensic6

La défragmentation d’un disque dur supprime donc des données mais que par incidences.

Comme nous venons de le voir, dans les cas de suppression logique évoqués, l’action de supprimer a un effet direct au niveau de la table d’allocation des fichiers et non au niveau de l’espace disque occupé par les données elles-mêmes. Dès lors, nous sommes en face de données « cachées », « enfouies », et non en présence de données détruites. Seule la table d’allocation des fichiers a été modifiée. 

Les suppressions physiques :

La suppression de type physique est généralement beaucoup plus radicale que la suppression de type logique, dans le sens où non seulement la donnée disparaît mais cesse également d’être. Il convient cependant de distinguer les procédures de suppression par réécriture, et les procédures de suppression par destruction ou par démagnétisation du support.

Suppressions par réécriture

La réécriture partielle ou totale peut se définir comme une action de polarisation d’un support magnétique où étaient enregistrées d’autres données.

-> Suppressions par réécriture partielle

Pour comprendre comment une opération de réécriture peut-être partielle, il nous faut introduire la notion de fragment. Nous sommes en présence d’un fragment lorsqu’un fichier n’occupe pas l’intégralité d’un cluster ou s’étend sur plusieurs clusters sans complètement remplir le dernier. Supposons un disque dont les clusters permettent de stocker 8192 octets. Un fichier A de 15000 octets occupera un premier cluster entièrement et 6808 octets d’un deuxième cluster. Un fragment rebus de 1384 octets du deuxième cluster sera généré.

forensic7
Si l’utilisateur efface le fichier A, les deux clusters sont à nouveau considérés comme disponibles.

forensic8
Supposons maintenant qu’un nouveau fichier B de 8192 octets soit enregistré sur ce même emplacement. Le premier cluster sera complètement réécrit. Sur le deuxième cluster, 6808 octets demeureront sous forme de fragment de l’ancien fichier A.

forensic9

Ce fragment de l’ancien fichier A pourra être restauré, la suppression n’a été que partielle.

-> Suppressions par réécriture totale

Il y a réécriture totale lorsque l’ensemble de l’espace occupé par des données a été réécrit. Le processus de réécriture total peut être le fait d’une utilisation normale de l’ordinateur dont le système d’exploitation autorise l’écriture sur les clusters disponibles. Au bout d’un certain temps d’utilisation du disque dur, les clusters disponibles sont tous progressivement réutilisés effaçant ainsi les ancienne données. Il peut aussi être le résultat d’un processus volontaire et systématique qui résulte de l’utilisation d’outils de stérilisation de disques durs visant à les rendre exempts de toutes données dans des espaces disponibles grâce à des méthodes plus ou moins complexes de réécriture. Leur efficacité varie d’un produit à l’autre. Pour qu’ils soient pleinement efficaces, il faut qu’ils soient en mesure de calculer la capacité réelle du disque dur, de gérer correctement les clusters défectueux, qu’ils nettoient correctement la table d’allocation des fichiers, qu’ils prennent en compte les effets de rémanence, au besoin, en réécrivant plusieurs fois sur l’endroit occupé par les données à supprimer. Pour que cette dernière opération soit efficace il faut également que ces outils soient en mesure de gérer les codages de type RLL (run-length limited) ou MFM ou autres, implémentés par les constructeurs de disques pour limiter les périodes d’horloge sans inversion de flux ( consécutives aux suite longues de polarisation identiques). Utilisés et conçus dans les règles de l’art, ces processus aboutissent à la suppression définitive des données qui cessent alors d’être (encore que se pose le problème des informations de dites de bord de piste dues aux micro-oscillation de la tête de lecture-écriture du disque dur  et qui peuvent alors donner vie à des « palimpsestes informatiques ».

Suppression par démagnétisation du disque dur

Il s’agit ici de démagnétiser un disque dur à l’aide d’un dégausseur (démagnétiseur). Le disque est soumis à un champ magnétique autre que celui produit par la tête de lecture-écriture de façon à faire disparaître tout ce qui est enregistré  sur le disque. Pour que cette opération soit efficace, il convient de prendre en compte la coercivité du disque dur, c’est-à-dire l’intensité du champ magnétique nécessaire pour supprimer l’induction magnétique existante. Elle s’exprime en oersted du nom du physicien Danois Christian Oersted. On admet que le champ magnétique doit être au moins cinq fois supérieur à la coercivité du disque. La coercivité d’un disque varie en fonction des modèles (généralement entre 500 oe à 3000 Oe). ces opérations nécessitent un matériel et un savoir-faire spécialisé. Il s’agit là encore d’une opération qui lorsqu’elle est correctement mise en œuvre peut se révéler extrêmement efficace.

Suppression par destruction du disque dur :

Pour détruire un disque dur, il faut ouvrir le boîtier. Seul les plateaux contiennent des données (parfois un mot de passe au niveau du contrôleur peut être stocké). Compte tenu de la toxicité des matériaux, plutôt que de les brûler, il est recommandé de les piler en petit morceau.

* * *

La possibilité de restaurer des données enregistrées sur un disque dur, dépend donc, comme nous l’avons vu, de la façon dont celles-ci ont été supprimées. Parfois les données sont seulement cachées mais restent intactes, parfois elles subsistent sous forme de fragment ou de trace. Dans certains cas elles sont définitivement perdues. Dans la pratique, nous serons souvent en présence de suppressions de type logique car il s’agit des suppressions les plus courantes. La donnée aura donc « disparu », suite à une modification de la table d’allocation des fichiers, mais elle n’aura pas pour autant cessé d’être.

Ambroise Soreau
Avocat à la Cour