Les disques durs regorgent de preuves exploitables devant les tribunaux. Leur collecte, leur analyse et leur conservation répondent cependant à des régles précises qui lorsqu'elles ne sont pas respectées peuvent conduire à l'annulation des procédures.

Notre cabinet intervient régulièrement pour organiser des saisies de disque dur dans des conditions probatoires satisfaisantes. Notre cabinet sollicite les meilleurs experts et huissiers pour ce type de mission. Nous sommes en mesure de conduire l'expertise du début à la fin pour une parfaite exploitation des résultats.

Nous intervenons également en défense pour souligner les vices probatoires qui affectent les procédures. L'annulation des procès-verbaux et des expertises ou le fait qu'ils soient écartés des débats peut conduire directement à une relaxe ou un acquitement.

ll a mainte fois été démontré que la parfaite maîtrise des concepts de l'expertise de disque dur est un atoût incontestable lors de la phase d'instruction et de jugement.

Pourquoi les données effacées peuvent-elles être restaurées ?

 Avant d’étudier en détail les raisons pour lesquelles des données supprimées peuvent être restaurées et voir quelles conséquences nous pouvons en tirer d’un point de vue juridique, il nous faut commencer par évoquer rapidement le mode de fonctionnement des disques durs. Ces disques appartiennent à la famille des supports magnétiques. Ils sont composés d’un ou plusieurs plateaux rigides empilés les uns sur les autres autour d’un axe. A la surface de ces plateaux, des données sont stockées sous forme de polarisation avant d’être transformées en code binaire par la tête de lecture-écriture qui agit alors en qualité de convertisseur analogique numérique. Ces plateaux sont classiquement organisés en pistes, cylindres, secteurs. Les pistes sont des sillons concentriques gravés à la surface des plateaux. Lorsque des données sont situées sur les mêmes pistes de plusieurs plateaux, on parle de cylindres. Ces pistes sont également divisées en secteurs (généralement de 512 octets)

Il nous faut ensuite introduire la notion de clusters et de table d’allocation des fichiers [5]. Le cluster pouvant se définir comme la plus petite unité d’espace disque occupée par un fichier. On parle également d’unité d’allocation. Il en existe des milliers sur un disque dur. Ces clusters sont répertoriés par la table d’allocation des fichiers qui définit leur statut. Ainsi les clusters peuvent avoir trois états principaux (disponible, réservé, défectueux). Lorsqu’un cluster est disponible, le système est autorisé à utiliser l’espace qu’il occupe pour une opération d’écriture. Lorsqu’il est réservé ou défectueux, aucun processus d’écriture sur cet espace n’est autorisé ou possible. La table d’allocation des fichiers maille éventuellement les clusters entre eux lorsqu’un fichier est stocké sur plusieurs clusters.

Les principales stratégies d'allocation des fichiers :

On distingue traditionnellement 3 méthodes d'allocation que sont la méthode d'allocation contigüe, la méthode d'allocation par lien et la méthode d'allocation avec index.

Avec la méthode d'allocation contigüe, les unités logiques se suivent les unes après les autres. Cette méthode est aujourd'hui considéré comme obsoléte elle se retrouvent néamoins encore sur des OS industriel. Elle suppose de pré-allouer des cluters pour prévoir l'augmentation de la taille des fichiers ce qui entraine non seulement une perte d'espace mais des difficultés lorsque la préalocation a été sous-estimée. Avec la méthode d'allocation liée chaque unité logique contient un pointeur vers la prochaine unité logique avec laquelle elle est en relation. Cette prochaine unité logique n'est pas nécessairement contigüe. Enfin dans la méthode d'allocation indexée, le système d'exploitation gére une table qui indexe chaque unité logique d'un même ensemble. Ici encore les unités logique n'ont pas être contigües. Il est souvent dit que FAT utilise la méthode des fichiers liés en réalité FAT est une méthode d'indexation si on considére que la table d'allocation des fichiers regroupe comme nous le verrons l'ensemble des cluster relatifs à un fichier dans un endroit unique. En ce sens il y a indexation. Pour ce qui est de NTFS c'est une méthode d'indexation si on considére que l'attribut $DATA contient la listes des clusters.

a- allocation contigüe

b- Allocation par lien

b- Allocation par index

Une deuxième approche est de s'intéresser à la façon dont l'OS alloue l'espace disponible.

Les fichiers sont stockés selon trois principales stratégies d'allocation que sont le premier emplacement disponible, le prochain emplacement disponible et le meilleur emplacement disponible.

Si un fichier occupe 3 cluster avec la stratégie du premier emplacement disponible il placera le fichier au cluster 2 puis aux cluster 5 et 6. Avec la stratégie du dernier emplacement disponible, le fichier sera placé aux cluster 5 et 6 puis probablement au cluster 9. Enfin dans la stratégie du meilleur emplacement l'OS choisira le plus petit emplacement disponible ou le fichier ne sera pas fragmenté à savoir aux clusters 9, 10 et 11.

Le système d'exploitation FAT utilise la stratégie du prochain emplacement disponible pour l'utilisation des clusters et la stratégie du premier emplacement disponible dans les entrées de la table des fichiers maîtres. NTFS utilise principalement la stratégie du meilleur emplacement disponible puis à défaut selon les cas la stratégie du premier ou dernier emplacement disponible pour l'allocation des clusters et la stratégie du premier emplacement disponilbe pour les entrées de la MFT. Lorsque les stratégies du premier emplacement disponible sont mises en oeuvre les premières unités logiques ont tendances à être plus souvent réallouées que les dernières et donc à être incidement moins facile à restaurer.

Ces stratégies sont importantes car elles peuvent permettre de se livrer à des analyses de cohérence principalement en matière de falsification de dates.

Comme nous allons le voir maintenant, les possibilités de restauration des données varient en fonction de la méthode de suppression utilisée. Nous distinguerons d’une part, les processus de suppression qui agissent au niveau de la table d’allocation des fichiers, on parlera alors de suppression de type logique, et d’autre part, les suppressions qui agissent au niveau de l’espace disque occupé par les données, on parlera alors de suppression de type physique.

Les suppressions logiques :

L’exemple type de la suppression logique est le fait, par exemple, de vider la corbeille de son bureau. Pour comprendre néanmoins plus en détail ce qu’est une suppression de type logique, il nous faut revenir aux notions de clusters et de table d’allocation de fichier. Supposons qu’un disque dur soit formaté avec des clusters d’une taille de 8192 octets. Un fichier A de 16384 octets occupera donc deux clusters. Ces clusters seront référencés dans la table d’allocation des fichiers comme réservés.

Si le fichier A est supprimé, le système d’exploitation modifiera l’entrée correspondante de la table d’allocation des fichiers de façon à ce que les clusters occupés par le fichier A soient référencés comme disponibles. Dans ce cas les clusters pourront être réutilisés pour un processus d’écriture ultérieur.

Dans notre exemple les données de l’ancien fichier A sont conservées telles quelles sur le disque dur. Il suffit de les restaurer à l’aide de procédures ad hoc pour qu’elles deviennent de nouveau accessibles. Il n’est pas inutile de souligner que le formatage du disque agit également au niveau de la table d’allocation des fichiers et non au niveau de l’espace occupé par ces données. En ce sens, il peut être considéré comme une suppression de type logique. De même, il n’est pas sans intérêt de relever que la défragmentation [7] d’un disque peut produire des effets identiques à ceux précédemment décrits lors d’une suppression logique. Ceci apparaît dans l’exemple ci-après :

Soit 3 fichiers occupant chacun 1 cluster.

Suppression du fichier B.

Opération de défragmentation. Le fichier C prend alors la place de l’ancien fichier B.

Suppression du fichier C. Ce fichier est remplacé par un fichier D. On constate que le fichier C est toujours sur le disque dur.

Comme nous venons de le voir, dans les cas de suppression logique évoqués, l’action de supprimer a un effet direct au niveau de la table d’allocation des fichiers et non au niveau de l’espace disque occupé par les données elles-mêmes. Dès lors, nous sommes en face de données "cachées", "enfouies", et non en présence de données détruites. Seule la table d’allocation des fichiers a été modifiée. C’est de ce type de suppression qu’avait eu à connaître la cour d’appel de Paris dans la célèbre affaire du virus "Frodo". Il ressort en effet de la lecture de l’arrêt que ce virus agissait directement au niveau de la FAT pour opérer la destruction progressive des fichiers de l’ordinateur contaminé.

Les suppressions physiques :

La suppression de type physique est généralement beaucoup plus radicale que la suppression de type logique, dans le sens où non seulement la donnée disparaît mais cesse également d’être. Il convient cependant de distinguer les procédures de suppression par réécriture, et les procédures de suppression par destruction ou par démagnétisation du support.

Suppressions par réécriture

La réécriture partielle ou totale peut se définir comme une action de polarisation d’un support magnétique où étaient enregistrées d’autres données.

-> Suppressions par réécriture partielle

Pour comprendre comment une opération de réécriture peut-être partielle, il nous faut introduire la notion de fragment. Nous sommes en présence d’un fragment lorsqu’un fichier n’occupe pas l’intégralité d’un cluster ou s’étend sur plusieurs clusters sans complètement remplir le dernier. Supposons un disque dont les clusters permettent de stocker 8192 octets. Un fichier A de 15000 octets occupera un premier cluster entièrement et 6808 octets d’un deuxième cluster. Un fragment rebus de 1384 octets du deuxième cluster sera généré.

Si l’utilisateur efface le fichier A, les deux clusters sont à nouveau considérés comme disponibles.

Supposons maintenant qu’un nouveau fichier B de 8192 octets soit enregistré sur ce même emplacement. Le premier cluster sera complètement réécrit. Sur le deuxième cluster, 6808 octets demeureront sous forme de fragment de l’ancien fichier A.

Ce fragment de l’ancien fichier A pourra être restauré.

-> Suppressions par réécriture totale

Il y a réécriture totale lorsque l’ensemble de l’espace occupé par des données a été réécrit. Le processus de réécriture total peut être le fait d’une utilisation normale de l’ordinateur dont le système d’exploitation autorise l’écriture sur les clusters disponibles. Au bout d’un certain temps d’utilisation du disque dur, les clusters disponibles sont tous progressivement réutilisés. Il peut aussi être le résultat d’un processus volontaire et systématique qui résulte de l’utilisation d’outils de stérilisation de disques durs visant à les rendre exempts de toutes données dans des espaces disponibles grâce à des méthodes plus ou moins complexes de réécriture. Leur efficacité varie d’un produit à l’autre. Pour qu’ils soient pleinement efficaces, il faut qu’ils soient en mesure de calculer la capacité réelle du disque dur, de gérer correctement les clusters défectueux, qu’ils nettoient correctement la table d’allocation des fichiers, qu’ils prennent en compte les effets de rémanence, au besoin, en réécrivant plusieurs fois sur l’endroit occupé par les données à supprimer. Pour que cette dernière opération soit efficace il faut que ces outils soient en mesure de gérer les codages de type RLL (run-length limited) ou MFM implémentés par les constructeurs de disques pour limiter les périodes d’horloge sans inversion de flux ( consécutives aux suite longues de polarisation identiques). Utilisés et conçus dans les règles de l’art, ces processus aboutissent à la suppression définitive des données qui cessent alors d’être. A défaut, ils peuvent donner vie à des palimpsestes informatiques.

Suppression par destruction et démagnétisation du disque dur

La suppression par destruction du support est sans doute la plus efficace des méthodes. Elle permet d’exclure toute restauration suite à un processus de réécriture défaillant, voire à certains problèmes auxquels se heurtent les logiciels de réécriture comme par exemple les informations de bord de pistes induites par une micro-oscillation de la tête de lecture-écriture. Le seconde technique est la démagnétisation du disque dur à l’aide d’un dégausseur (démagnétiseur). Il s’agit de soumettre le disque à un champ magnétique autre que celui produit par la tête de lecture-écriture de façon à faire disparaître tout ce qui est enregistré sur le disque. Pour que cette opération soit efficace, il convient de prendre en compte la coercivité du disque dur, c’est-à-dire l’intensité du champ magnétique nécessaire pour supprimer l’induction magnétique existante. Elle s’exprime en oersted du nom du physicien Danois Christian Oersted. On admet que le champ magnétique doit être au moins cinq fois supérieur à la coercivité du disque. La coercivité d’un disque varie en fonction des modèles (généralement entre 500 oe à 3000 Oe). ces opérations nécessitent un matériel et un savoir-faire spécialisé. Il s’agit là encore d’une opération qui lorsqu’elle est correctement mise en œuvre peut se révéler extrêmement efficace.

Suppression par destruction du disque dur :

Pour détruire un disque dur, il faut ouvrir le boîtier. Seul les plateaux contiennent des données (parfois un mot de passe au niveau du controleur). Compte tenu de la toxicité des matériaux, plutôt que de les brûler, il est recommandé de les piler en petit morceau voir en poudre.

* * *

La possibilité de restaurer des données enregistrées sur un disque dur, dépend, comme nous l’avons vu, de la façon dont celles-ci ont été supprimées. Parfois les données sont seulement cachées mais restent intactes, parfois elles subsistent sous forme de fragment ou de trace. Dans certains cas elles sont définitivement perdues. Dans la pratique, nous serons souvent en présence de suppressions de type logique car il s’agit des suppressions les plus courantes. La donnée aura donc "disparu", suite à une modification de la table d’allocation des fichiers, mais elle n’aura pas pour autant cessé d’être.

La parfaite maîtrise de ces concepts dans le cadre d'un contentieux est un atoût.

Avertissement  : Nous avons circonscrit nos exemples aux systèmes de type FAT pour Windows dans un souci de simplification.