Les données se perdent encore de nos jours
Toutes les données actuelles sont créées et stockées sur un système informatique. La virtualisation de l'information a permis des progrès dans tous les domaines de l'exploitation des données, sauf celui de leur pérennité. Peu - pas ! - d'utilisateurs informatiques peuvent prétendre n'avoir jamais perdu de données, ne serait-ce qu'un fichier en cours d'édition.
PublicitéLa perte de données informatiques est une réalité quotidienne, parfois dramatique lorsqu'elle touche le(s) disque(s) dur(s) complet(s) d'une station de travail ou d'un serveur. A toute perte de données est associée une valeur (perte d'exploitation, valeur sentimentale...) et des possibilités de restauration à partir de sauvegardes, voire de recréation de ces données. En l'absence de sauvegarde, la récupération des données perdues s'inscrit en alternative économiquement rentable et plus rapide par rapport à la recréation. Selon le cas de figure, des outils logiciels ou une intervention en laboratoire spécialisé seront nécessaires. Le choix entre un logiciel ou un prestataire externe sera fait en fonction du type d'incident. Il est dicté par une évidence : ne pas altérer les données plus qu'elles ne le sont déjà... Lorsque le média ne présente aucun problème physique, et qu'il s'agit d'un système plutôt simple (typiquement une station de travail), utilisez un logiciel spécialisé. Pour les systèmes complexes (structure RAID, OS rare, bandes magnétiques...), il est préférable de faire appel à un prestataire, à moins d'être particulièrement expert sur le système traité. Si vous avez le moindre soupçon d'incident physique sur le disque, ne prenez aucun risque : stoppez immédiatement le système et faites appel à un prestataire externe. La moindre manipulation peut avoir des répercussions irréparables et irréversibles. Certains cas sont parfois délicats. Il est typique qu'après la perte de données des utilitaires soient utilisés sans succès pour réparer la structure de fichiers. Certains d'entre eux modifient la structure originale du disque. Ces modifications irréversibles diminuent voire interdisent toute récupération ultérieure avec des méthodes plus adaptées. La meilleure des précautions après toute perte de données est donc de ne laisser intervenir que des spécialistes, qui connaissent les logiciels à utiliser, ou des prestataires spécialisés. La récupération de données perdues consiste à accéder à des données qui ne sont plus accessibles, suite à une panne matérielle et/ou un incident sur les structures de fichiers. Les problèmes physiques sur les médias étant au préalable résolus, la récupération des systèmes de fichiers est structurée en plusieurs phases : vérification de la partition / du volume ; balayage de la partie logique des structures, recherche des erreurs, réparation. Parfois balayage des blocs de données en l'absence complète des structures. Rapport d'analyse des volumes. Ces opérations ont une durée très variable - quelques heures à plusieurs semaines - fonction de la disponibilité des pièces détachées, de la difficulté à lire les plateaux des disques durs s'ils sont fortement endommagés, de la complexité de la reconstruction de certains systèmes. Certaines applications (SQL, serveurs Exchange...) nécessitent un niveau supplémentaire de reconstruction, très consommateur de temps lui aussi. Outre le paramètre durée, la qualité de la récupération est variable elle aussi. Lors d'effacement de fichiers, les systèmes de type Windows ne modifient que des entrées dans les structures, sans altérer les blocs de données eux-mêmes. Par contre d'autres systèmes, en particulier Unix et Linux, altèrent plus profondément les structures voire les blocs de données lors de l'effacement. Il s'ensuit que les récupérations de données sont plus souvent possibles sur les systèmes Windows que sur ces systèmes. Lorsque les structures de données sont fortement altérées, il devient difficile de récupérer les fichiers complets, leurs noms, etc. Ce travail se concentrera alors sur les blocs de données plutôt que les structures de fichiers. On peut tenter d'identifier les types et emplacements des fichiers en balayant les blocs du disque dur. Les méthodes couramment utilisées sont la recherche des signatures de fichiers. Il s'agit de chaines hexadécimales écrites à un offset donné dans un secteur de données. Ils permettent d'identifier la nature d'un secteur de donnée ou d'un fichier de donnée (par exemple d0 cf 11 e0 a1 b1 1a e1, offset 0 pour certains fichiers Word). Une fois les signatures identifiées, on pourra tenter de reconstituer la structure de fichiers, ou les fichiers eux-mêmes. Le résultat sera de qualité moyenne car l'absence de structure signifie l'absence d'informations telles noms et adresses des secteurs constituant le fichier (où le fichier se termine-t-il ? Comporte-t-il un seul ou plusieurs segments de données ?). La reconstruction à partir des signatures n'est acceptable que sur des disques peu fragmentés, et le plus souvent avec des fichiers de petite taille. Dans les cas les plus extrêmes une lecture directe du disque sera faite en mode ASCII, afin d'extraire du texte brut. Ce type de récupération donne des résultats satisfaisants pour des fichiers qui ne contenaient que du texte ASCII plutôt que de l'information binaire (certaines bases de données, emails...). Les incidents physiques sur les disques durs détruisent tant les blocs de données que les blocs contenant les structures de fichiers. Les grappes RAID (1, 5, 6, etc..) protègent des conséquences des incidents physiques grâce à la redondance des informations qu'ils contiennent. Si trop de disques durs tombent en panne simultanément, on revient au cas général du disque simple, la structure de fichiers n'étant pas liée à la structure physique du média. Les technologies de récupération de données perdues continuent à se développer. Il ne faut cependant pas croire au miracle dans ce domaine ; les atterrissages de têtes en particulier détruisent irrémédiablement les données. Mieux vaut développer une politique de sauvegarde saine, certes onéreuse, mais bon marché à côté des conséquences d'une perte de données.
Article rédigé par
Yves Grandmontagne
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire