Table des matières
Si vos données sont réellement importantes ou précieuses, ne tentez rien vous-mêmes! Contactez des professionnels du genre d'Ibas: vous pouvez en trouver en cherchant "récupération de données" ou "data recovery" dans Google.
Dans le cas contraire, le recours à de tels professionnels étant très coûteux (compter environ 150 € de l'heure) pour un particulier, nous pouvons essayer de nous débrouiller sans eux... Cette page a pour but de donner quelques conseils et pistes pour récupérer vous-mêmes des données, mais ne donne pas une solution miracle prête à appliquer
Les manipulations décrites doivent être adaptées au cas par cas et peuvent être dangereuses pour vos données. L'auteur ne pourra en aucun cas être tenu pour responsable des nuisances pouvant résulter des dites manipulations.
Bien entendu, les susdits professionnels, de même que les services secrets très certainement, disposent d'un matériel autrement plus sophistiqué que l'utilisateur lambda et ainsi, en utilisant par exemple un microscope à effet tunnel, il serait possible de récupérer des données même si d'autres données ont été réécrites par dessus. Pour plus d'information sur le sujet, vous pouvez consulter l'article désormais classique de Peter Gutmann intitulé "Secure Deletion of Data from Magnetic and Solid-State Memory" disponible sur sa page web. De même l'utilisation de salles blanches, d'une propreté à faire pâlir un chirurgien d'envie, leur permet d'ouvrir un disque dur pour récupérer ses données, ce qui est fort utile lorque celui-ci a un problème mécanique.
Néanmoins, avec les "moyens du bord", il est généralement possible d'obtenir des résultats intéressants pour peu que l'on sache ce que l'on cherche. Nous avons ainsi pu récupérer des fichiers intacts sur un disque qui avait pourtant été repartitionné, reformaté, et partiellement recouvert avec de nouvelles données...
Avant de commencer, précisons que les techniques que nous présentons ont été essayées sous Linux. Nous supposons cependant qu'elles devraient fonctionner sur la majorité des systèmes Unix, avec peut-être parfois une adaptation des paramètres des commandes.
Il vous faut une machine tournant sous Unix (différente de celle où se trouvent les données) sur laquelle vous pourrez monter (au sens physique) le disque dur à analyser, possédant beaucoup d'espace disque (typiquement plusieurs fois la taille du disque contenant les données).
Sur le plan logiciel, outre un Unix que nous supposerons installé avec des outils de développement (C et Perl notamment), voici quelques programmes qui pourront vous être utiles:
The Coroner Toolkit (TCT) est une suite d'outils développée par Dan Farmer et Wietse Venema, disponible sur le site de l'un comme de l'autre. Vous trouverez également sur ces pages les transparents d'un intéressant cours de computer forensics.
Notons également TASK (The @stake Sleuth Kit) qui est une version modifiée et améliorée de TCT par Brian Carrier ainsi qu'Autopsy qui lui fournit une interface web.
Dans ce genre de situation il est toujours utile d'avoir un éditeur hexadécimal. Citons hexedit et biew. A défaut, rappelons l'existence du "hexl-mode" d'Emacs. Il doit également y avoir des éditeurs hexadécimaux en mode graphique pour KDE et Gnome.
LDE (Linux Disk Editor) peut également vous rendre des services.
gpart est utile si la table des partitions est détruite.
Parmi les utilitaires normalement fournis en standard avec votre distribution de Linux, il y en a un certain nombre qui sont indispensables, d'autres simplement utiles. Citons en vrac et de manière non exhaustive: dd, script, od, hexdump...