Récupération
de données

La récupération de données est l'ensemble des techniques permettant de retrouver des informations rendues inaccessibles sur un support de stockage. La discipline mobilise quatre familles de compétences : physique des matériaux (magnétisme pour les disques durs, électronique à grille flottante pour les mémoires NAND), algorithmique des systèmes de fichiers, ingénierie inverse de contrôleurs propriétaires, et rigueur procédurale forensique.

On la distingue soigneusement de la restauration de sauvegarde, qui relève de la prévention. La récupération intervient après la perte, sur un support qui n'a pas de copie utilisable. C'est, par construction, une discipline d'urgence où l'on fait avec ce qu'il reste.

Deux mondes, jamais à confondre

Récupération logique : le support est physiquement intact et détecté par la machine. Le problème est dans le logiciel — système de fichiers corrompu, partition supprimée, fichiers effacés, chiffrement par ransomware. Les données brutes sont presque toujours encore là ; il faut juste savoir les lire.

Récupération physique : panne matérielle. Le support n'est plus détecté, ou émet des bruits anormaux, ou son contrôleur ne répond plus. L'intervention demande un environnement spécialisé : salle blanche pour les disques durs mécaniques, station de micro-soudure pour les SSD.

L'évolution depuis 1990

Pendant trois décennies, la récupération s'est faite sur disques durs magnétiques. Le principe était stable : tant que les plateaux n'étaient pas physiquement réécrits, les données restaient en place. Suppression, formatage rapide, corruption logique : tout cela n'affectait que la table d'allocation, pas le contenu.

L'arrivée massive des SSD à partir de 2010 a fait basculer la discipline. La mémoire NAND ne se comporte pas comme un disque magnétique. Avec la commande TRIM (Windows 7, macOS 10.6.8, Linux 2.6.33), supprimer un fichier déclenche un effacement physique des cellules concernées, souvent en quelques secondes à minutes. Sur SSD moderne en bonne santé, la fenêtre de récupération logique se réduit dramatiquement.

Parallèlement, la généralisation du chiffrement matériel (SED, TCG Opal, BitLocker, FileVault) et l'explosion des attaques par ransomware ont reconfiguré le paysage. Le Verizon DBIR 2025 chiffre cette dernière tendance : le ransomware est impliqué dans 44 % des compromissions de données documentées en 2024, en hausse de 37 % sur un an.

Avertissement et méthode

Ce manuel respecte trois règles : chaque pourcentage est sourcé ou explicitement étiqueté comme ordre de grandeur ; aucun cas n'est inventé (les études de cas sont des incidents publics référencés — NotPetya/Maersk 2017, Code Spaces 2014, etc.) ; les versions de logiciels ne sont mentionnées que lorsqu'elles sont vérifiables auprès de l'éditeur.

1.1 Vue d'ensemble

Un disque dur (HDD) est une mécanique de précision miniaturisée. Sous son boîtier hermétique : un ou plusieurs plateaux rigides revêtus d'une couche magnétique, un moteur spindle qui les fait tourner à vitesse constante, des têtes de lecture/écriture portées par un bras actionneur, et un circuit imprimé (PCB) extérieur qui contient le contrôleur, la ROM de firmware et l'interface SATA ou SAS.

1.2 Comment une donnée est écrite

La couche magnétique du plateau est divisée en milliards de petits domaines magnétiques. La tête d'écriture oriente la polarisation d'un domaine dans un sens (bit 1) ou dans l'autre (bit 0). Tant que rien ne réécrit la zone, ces polarisations sont stables sur des décennies. C'est la propriété fondamentale qui rend les HDD si récupérables : effacer un fichier au niveau du système de fichiers ne touche pas aux domaines magnétiques eux-mêmes.

1.3 PMR, CMR, SMR, HAMR

PMR (Perpendicular Magnetic Recording) : depuis 2005, base de tous les HDD modernes. CMR : pistes écrites côte à côte sans recouvrement — permet de réécrire n'importe quelle piste sans toucher aux voisines. SMR (Shingled Magnetic Recording) : depuis 2013, les pistes se recouvrent comme des tuiles. Gain de densité de 20-25 % mais chaque modification d'une piste oblige à réécrire toute la bande adjacente. HAMR (Heat-Assisted) : commercialisé à partir de 2024 sur les disques entreprise 30 To+.

1.4 Causes typiques de panne mécanique

1. Head crash. Une tête entre en contact avec la surface du plateau. Symptôme : clics répétés.
2. Stiction. Les têtes restent collées au plateau. Symptôme : bourdonnement court puis silence.
3. Moteur spindle HS. Les paliers s'usent. Symptôme : plateau qui ne tourne plus du tout.
4. PCB grillé. Surtension détruit le circuit imprimé. Le disque n'est plus détecté.
5. Corruption firmware. La zone de service des plateaux devient illisible. Le disque tourne mais ne se monte pas.

2.1 Architecture générale

Un SSD repose sur trois composants : les puces de mémoire NAND Flash (le stockage physique), le contrôleur (un processeur propriétaire qui gère la traduction d'adresses, le wear leveling, la correction d'erreur et le chiffrement), et la DRAM cache (présente sur la plupart des SSD, absente sur les entrées de gamme DRAM-less). S'y ajoute sur certains modèles une mémoire SLC cache pour les écritures rapides.

2.2 La FTL — Flash Translation Layer

La FTL est le logiciel qui fait ressembler le SSD à un disque magnétique depuis l'extérieur. Elle maintient une table de correspondance entre les adresses logiques (LBA, celles que l'OS voit) et les adresses physiques dans les puces NAND. C'est cette couche qui implémente le wear leveling (répartir les écritures uniformément) et le garbage collection (récupérer les blocs libérés).

2.3 TRIM et ses conséquences

La commande TRIM (SATA) ou Dataset Management (NVMe) permet à l'OS de signaler au contrôleur les blocs qui ne contiennent plus de données utiles. Le contrôleur peut alors les effacer proactivement, avant que de nouvelles données y soient écrites. Sur SSD moderne en bonne santé avec TRIM actif, la fenêtre de récupération logique est très courte : quelques secondes à quelques minutes après la suppression d'un fichier.

2.4 Générations de cellules NAND

Plus une cellule stocke de bits, plus elle se dégrade vite. Les SSD TLC et QLC grand public peuvent présenter des phénomènes de Bit Rot — dégradation spontanée des cellules chargées non relues pendant plusieurs mois — avec des données non sauvegardées à la clé.

Un système de fichiers est la couche logique qui organise les blocs bruts d'un support en arborescence de fichiers et répertoires. Il définit comment les données sont écrites, référencées et supprimées. Comprendre ce mécanisme est indispensable pour récupérer des données : la suppression d'un fichier n'efface presque jamais les données brutes — elle ne fait que marquer l'espace comme disponible.

3.1 NTFS (Windows)

NTFS organise tout autour de la MFT (Master File Table). Chaque fichier est décrit par un enregistrement MFT de 1 024 octets. La suppression d'un fichier en NTFS effectue trois opérations : le bit de présence dans l'enregistrement MFT est mis à 0, les clusters sont marqués libres dans la $Bitmap, et les pointeurs vers les blocs dans l'inode sont partiellement effacés. Les données brutes restent intactes jusqu'à réécriture.

3.2 ext4 (Linux)

L'inode est dépointée du répertoire et marquée libre dans le block group bitmap. Contrairement à NTFS, ext4 efface partiellement les pointeurs vers les blocs dans l'inode elle-même — ce qui rend la récupération de fichiers supprimés plus difficile qu'en NTFS. La récupération passe souvent par le carving (voir chapitre 8).

3.3 APFS (macOS)

APFS utilise un B-Tree de conteneur pour indexer les fichiers. Il supporte nativement le chiffrement (un ou plusieurs mots de passe), les snapshots, le clonage instantané, et la compression transparente. La suppression est rapide et les chunks libérés peuvent être réutilisés immédiatement. L'imbrication du chiffrement complique la récupération sans la clé.

3.4 Btrfs et ZFS — les systèmes modernes

Btrfs (Linux) et ZFS (FreeBSD, TrueNAS, Solaris) sont des systèmes Copy-on-Write. Chaque écriture produit une nouvelle copie des données plutôt que d'écraser l'ancienne. Leurs snapshots sont des images instantanées, peu coûteuses en espace, qui préservent l'état du volume à un instant T. C'est pour cette raison que les attaques par ransomware sur NAS Synology/QNAP (Btrfs) peuvent souvent être contrées par exploitation des snapshots antérieurs à l'infection.

4.1 Quatre familles de causes

• Humaines et logiques : suppression accidentelle, formatage, mauvaise manipulation. Le support est sain ; les données sont logiquement inaccessibles mais physiquement présentes.
• Cyber : ransomware, malware destructeur, wiper, suppression malveillante. Le ransomware ajoute une couche de chiffrement ; les wipers (NotPetya) détruisent réellement.
• Matérielles : panne mécanique HDD, défaillance électronique PCB, usure NAND SSD.
• Environnementales : incendie, inondation, surtension, vol, destruction physique.

4.2 Le ransomware, la nouvelle norme

Le rapport Verizon DBIR 2025 est la référence statistique sur les compromissions de données. Sur la période couverte (novembre 2023 à octobre 2024), Verizon a analysé plus de 22 000 incidents et 12 195 compromissions confirmées.

Deux lectures opposées du même rapport. La pessimiste : le ransomware est devenu un mode opératoire dominant, particulièrement dévastateur pour les PME (neuf cas sur dix). L'optimiste : la médiane des rançons baisse, deux victimes sur trois refusent désormais de payer.

4.3 L'erreur humaine, toujours majoritaire

L'élément humain reste impliqué dans une part dominante des compromissions. Le DBIR 2025 chiffre cela à 60 % sur l'ensemble des breaches étudiés. Pour la récupération de données spécifiquement, les causes humaines les plus fréquentes sont : la suppression accidentelle de fichiers ou de partitions, le formatage d'un mauvais support, et l'écrasement de données par une restauration mal ciblée.

Avant toute intervention, le diagnostic sert à répondre à une question unique : de quelle nature est la panne ? La réponse détermine entièrement la méthode à appliquer — et les erreurs à ne pas commettre.

5.1 Les trois questions du triage

1. Le support est-il détecté ? Si non → panne physique probable (mécanique ou électronique). Ne pas insister, ne pas redémarrer.
2. Le support est détecté mais le volume est inaccessible ? → Panne logique ou firmware. Stopper toute activité sur le support.
3. Le volume est accessible mais des fichiers manquent ? → Suppression accidentelle ou corruption partielle. Ne rien écrire sur le support.

5.2 Les outils du diagnostic

En laboratoire, le diagnostic passe par : la lecture des attributs SMART (état interne du disque), le test de détection en mode terminal série (pour les HDD avec firmware corrompu), l'écoute acoustique (clics, bruits de rotation), et la mesure des rails d'alimentation (PCB, pour les SSD).

5.3 Ce que révèle le SMART

Les attributs SMART les plus critiques : Reallocated Sectors Count (secteurs défectueux réalloués — en hausse = dégradation physique), Pending Sector Count (secteurs instables non encore réalloués — signe d'imminence de panne), Uncorrectable Sector Count (secteurs définitivement illisibles), et Power-On Hours (âge effectif du disque).

Avant toute intervention sur les données, on crée une image forensique du support source. C'est la règle absolue. L'image est une copie bit-à-bit — chaque secteur, y compris les secteurs défectueux et les zones non allouées. Toute intervention ultérieure se fait sur l'image, jamais sur le support original.

6.1 Bloqueur d'écriture

Le bloqueur d'écriture (hardware write blocker) est un dispositif matériel qui s'interpose entre le support source et la station de travail. Il laisse passer les commandes de lecture, bloque toutes les commandes d'écriture. Outils de référence : Tableau Forensic Bridge, WiebeTech, Atola Insight Forensic, DeepSpar Disk Imager.

6.2 ddrescue — le standard open source

GNU ddrescue est l'outil de clonage de référence pour les supports dégradés. Sa force : il mappe les zones lisibles et les zones défectueuses dans un fichier de log, et permet de reprendre l'opération après interruption. Stratégie recommandée : passe 1 sur les zones saines (rapide), passe 2 sur les zones difficiles avec retries progressifs.

6.3 Intégrité — hash SHA-256

Après création de l'image, on calcule un hash SHA-256 de l'image complète et on le consigne. Avant toute analyse, on recalcule et compare. Si les hashs correspondent, l'image est intègre. C'est la preuve cryptographique que l'image est une copie exacte du support — indispensable pour les dossiers judiciaires (voir chapitre 14).

L'analyse logique opère sur l'image forensique du support. Elle cherche à reconstruire l'arborescence de fichiers à partir des structures du système de fichiers — MFT en NTFS, inodes en ext4, B-Tree en APFS, chunk tree en Btrfs. Les outils de référence : The Sleuth Kit (open source), R-Studio, UFS Explorer, Disk Drill. Le principe est universel : parcourir les structures d'index, identifier les entrées supprimées (bit de présence à 0), retrouver les blocs associés.

7.1 La réparation du système de fichiers

Quand le FS est corrompu (superbloc endommagé, journal corrompu, MFT partiellement écrasée), on peut tenter une réparation. Règle absolue : on ne répare jamais le FS sur le support original. On travaille toujours sur une copie de l'image. En NTFS : NTFSFix, chkdsk sur une copie. En ext4 : fsck.ext4 sur la copie. En Btrfs : btrfs check --repair en dernier recours.

Le data carving est une technique de récupération aveugle : on scanne le flux brut de données à la recherche de signatures de formats de fichiers (magic bytes), sans s'appuyer sur le système de fichiers. Quand le FS est trop corrompu ou trop effacé pour être analysé, c'est souvent la seule option.

8.1 Signatures de fichiers

Chaque format de fichier commence par une séquence de bytes caractéristique. Exemples : JPEG commence par FF D8 FF, PDF par 25 50 44 46 (%PDF), ZIP (et Office .docx/.xlsx) par 50 4B 03 04, MP4 par un offset variable avec ftyp. L'outil PhotoRec (CGSecurity) contient plus de 480 signatures et reste la référence open source.

8.2 Limites du carving

Le carving ne récupère pas les noms de fichiers ni l'arborescence (on obtient des fichiers numérotés). Il échoue sur les fichiers fragmentés (un seul fragment contigu récupérable). Il est inefficace sur SSD avec TRIM actif. Et il produit beaucoup de faux positifs — des fichiers corrompus ou des fragments qui ressemblent à un format valide mais ne l'ont pas.

Les interventions physiques sur HDD exigent une salle blanche ISO 5 (moins de 3 520 particules ≥ 0,5 µm par m³). Une seule particule de poussière sur un plateau en rotation à 7 200 tr/min provoque un head crash immédiat. Toute ouverture hors environnement contrôlé est une erreur fatale irréversible.

9.1 Greffe HSA (Head Stack Assembly)

La greffe de têtes consiste à remplacer le bloc de têtes défaillant par un bloc prélevé sur un disque donneur. Le jumelage est critique : même modèle, même révision firmware, même semaine de production si possible. Après la greffe, il faut reprogrammer les modules adaptatifs (paramètres spécifiques au plateau physique), sans quoi le disque tourne mais ne lit rien.

9.2 Reconstruction firmware — Service Area

Le firmware des HDD modernes est stocké partiellement sur les plateaux (zone de service) et partiellement dans la ROM du PCB. La corruption de la zone de service rend le disque illisible même si les plateaux sont intacts. La correction passe par un accès en mode terminal série (mode usine) pour patcher les modules défectueux — G-List, P-List, Translator — sans toucher aux données utilisateur.

9.3 Platter swap

Le transfert de plateaux est l'intervention la plus délicate du métier. Il consiste à démonter les plateaux d'un disque source endommagé et à les réinstaller dans le boîtier mécanique d'un disque donneur compatible. Le moindre désalignement angulaire (inférieur à 0,1°) rend les plateaux illisibles. C'est une intervention de dernier recours, réservée aux cas où toutes les autres options ont échoué.

Les interventions physiques sur SSD sont fondamentalement différentes des HDD. Il n'y a pas de pièces en mouvement, mais la complexité vient de la FTL propriétaire, des schémas de chiffrement matériel et de la diversité des architectures de puces.

10.1 Contournement du contrôleur — Safe Mode

Quand le contrôleur SSD est défaillant (panne firmware, mode Busy, SATAFIRM S11), on peut forcer le disque en mode Safe/Tech/ROM en court-circuitant certaines broches de la puce contrôleur. Ce mode bypass permet de charger un loader externe en RAM qui reconstruit la FTL à partir des métadonnées résiduelles des pages NAND. Les outils PC-3000 SSD (AceLab) sont la référence professionnelle.

10.2 Chip-off NAND

Le chip-off consiste à dessouder les puces NAND du PCB, les lire directement avec un adaptateur, puis reconstruire les données en tenant compte de la FTL. Le dessoudage exige une station de rework BGA avec profil thermique calibré (station Pace ThermoStream ou équivalent). Un fer à souder classique détruira la puce avant qu'elle soit lue.

10.3 Spider Web — supports Monolith

Les supports Monolith (microSD compactes, certaines clés USB) intègrent la NAND et le contrôleur dans un seul bloc de résine époxy. La technique Spider Web consiste à abraser mécaniquement ou chimiquement la résine pour exposer les pistes NAND, puis micro-souder des fils de 0,02 mm sur les broches data (15 à 30 fils selon la puce). C'est une intervention quasi-artisanale de plusieurs heures.

Un RAID (Redundant Array of Independent Disks) répartit les données sur plusieurs disques selon un schéma défini par le niveau RAID. La récupération sur RAID combine tous les défis du disque individuel avec la complexité de la reconstruction logique multi-disques.

11.1 Principes du de-striping

Avant toute reconstruction RAID, on clone chaque disque membre individuellement. Le de-striping consiste à identifier : la taille de bande (stripe size, souvent 64 ou 128 Ko), l'ordre des disques dans l'array, le schéma de rotation de la parité (left-symmetric, right-asymmetric, etc.), et l'offset de départ. Ces paramètres sont rarement documentés après une panne de contrôleur — on les retrouve par analyse hexadécimale de l'entropie des données.

11.2 RAID 5 — la configuration la plus répandue

Le RAID 5 répartit données et parité sur N disques (minimum 3). Il tolère la panne d'un disque : les données de ce disque se reconstituent par XOR des données et de la parité des autres membres. La règle absolue : ne jamais lancer de reconstruction automatique sur un array dégradé. Si un second disque est défaillant ou instable, la reconstruction le sollicitera massivement et peut provoquer sa défaillance définitive.

11.3 NAS et Btrfs/ZFS — récupération post-ransomware

Les NAS Synology (SHR, basé sur mdraid + Btrfs) et QNAP (LVM + ext4 ou Btrfs) maintiennent des snapshots qui ne sont généralement pas chiffrés par les ransomwares courants (eCh0raix, Deadbolt, Rorschach). La reconstruction passe par : imagerie individuelle de chaque disque, reconstruction du volume hors NAS, montage en lecture seule, identification des snapshots antérieurs à l'infection, extraction des données non chiffrées.

Le chiffrement matériel moderne est conçu pour être inviolable sans la clé. Sur un support chiffré sans la clé, les données brutes sont du bruit aléatoire — le carving ne fonctionne pas, l'analyse FS non plus. La récupération sur support chiffré dépend entièrement de la disponibilité d'une clé ou d'un mécanisme de déverrouillage.

12.1 BitLocker

BitLocker chiffre le volume avec AES-128 ou AES-256. La clé de volume (FVEK) est elle-même chiffrée par le TPM et/ou un mot de passe. La clé de récupération (Recovery Key, 48 chiffres) est la seule alternative si le TPM est défaillant ou si le disque est déplacé dans une autre machine. Sans elle, les données sont inaccessibles.

12.2 Apple FileVault et T2/Apple Silicon

Sur les Mac fabriqués depuis 2018, le SSD est chiffré par le Secure Enclave (puce T2 ou intégrée à l'Apple Silicon M1-M4). La clé de déchiffrement ne quitte jamais l'enclave. La récupération nécessite le mot de passe de l'utilisateur ou la clé FileVault stockée dans le trousseau iCloud. Sans l'une ou l'autre, les données physiques sont inaccessibles quelle que soit la sophistication de l'intervention.

12.3 Ransomware — cas récupérables

Les ransomwares modernes utilisent un chiffrement asymétrique (RSA) combiné à un chiffrement symétrique par fichier (AES). La récupération sans payer est possible dans plusieurs cas : clé de déchiffrement rendue publique (ex : Gandcrab, TeslaCrypt — cas rares), implémentation défaillante laissant la clé en mémoire vive, ou exploitation des snapshots VSS (Windows) et Btrfs/ZFS (NAS) antérieurs à l'infection.

Les smartphones modernes présentent deux contraintes majeures pour la récupération : le chiffrement matériel (la puce mémoire est « mariée » au processeur) et la miniaturisation extrême (BGA, composants invisibles à l'œil nu). La récupération passe quasi-systématiquement par de la réparation board-level.

13.1 iOS — Secure Enclave

Sur iPhone (puce A11 à A18 Pro), le Secure Enclave gère la clé de chiffrement des données. Sans le code PIN/FaceID/TouchID, les données sont inaccessibles même avec un accès physique aux puces NAND. La récupération se concentre donc sur la réparation de la carte mère pour permettre le déverrouillage normal de l'appareil : réparation des rails d'alimentation, des circuits de charge, du connecteur Lightning/USB-C.

13.2 Android — TrustZone et CPU Swap

L'équivalent Android du Secure Enclave est TrustZone, intégré dans le SOC (Qualcomm, MediaTek, Samsung Exynos). La puce NAND est cryptographiquement liée au SOC. Quand la carte mère est brisée mais la NAND intacte, la technique du CPU Swap consiste à dessouder le SOC et la NAND et à les retransplanter sur une carte mère donneuse identique — en préservant leur liaison cryptographique.

La forensique judiciaire numérique est la récupération et l'analyse de preuves numériques dans un cadre légal, avec des exigences de traçabilité et d'intégrité qui s'ajoutent aux contraintes techniques habituelles. La norme de référence est ISO/IEC 27037:2012.

14.1 La chaîne de custody

La chaîne de custody (chain of custody) est la documentation continue de qui a eu accès au support, quand et dans quel but. Elle commence au moment de la saisie et se termine à la restitution. Toute rupture dans la chaîne peut remettre en cause la recevabilité des éléments numériques. Éléments documentés : horodatage, identité du manipulateur, état du support avant et après, outils utilisés, hashs calculés.

14.2 Imagerie forensique — principes légaux

L'imagerie forensique conforme à ISO/IEC 27037 exige : l'utilisation d'un bloqueur d'écriture matériel certifié, la création d'une image bit-à-bit du support original (secteur par secteur, y compris espaces non alloués), le calcul et la consignation de hash SHA-256 de l'original et de l'image (dits hash de scellement), et la conservation de l'original sans modification.

14.3 Rapport technique exploitable en contentieux

Un rapport forensique exploitable en contentieux comprend : la description précise du support (marque, modèle, numéro de série, état physique), la méthode d'imagerie utilisée (outil, version, paramètres), les hashs calculés et leur concordance, la liste des fichiers récupérés avec métadonnées (dates, tailles, chemins), et les limitations techniques de l'intervention (zones non récupérables, secteurs défectueux).

Le marché des outils de récupération est divisé en deux segments : les outils professionnels de laboratoire (PC-3000, DeepSpar, Atola) conçus pour les techniciens qui interviennent sur des supports physiquement défaillants, et les outils logiciels (R-Studio, UFS Explorer, PhotoRec, TestDisk) qui opèrent sur des images forensiques.

15.1 Outils de laboratoire

• PC-3000 (AceLab) : la référence professionnelle mondiale. Modules HDD par famille (Seagate, WD, Toshiba, Hitachi, Samsung), modules SSD, modules RAID. Accès en mode terminal série aux zones de service des HDD. Investissement significatif (licence + matériel).
• DeepSpar Disk Imager : spécialisé dans l'imagerie de disques dégradés avec gestion fine des secteurs défectueux. Interface matérielle avec contrôle précis des timeouts.
• Atola Insight Forensic : combine imagerie forensique (bloqueur d'écriture intégré, hash automatique) et outils de diagnostic avancés. Certifié pour usage judiciaire.

15.2 Outils logiciels open source

• GNU ddrescue : clonage de disques dégradés avec reprise sur interruption. Standard de fait pour l'imagerie en laboratoire.
• TestDisk & PhotoRec (CGSecurity) : TestDisk pour reconstruire les tables de partition et les structures FS, PhotoRec pour le data carving (480+ signatures). Gratuits, maintenus.
• The Sleuth Kit & Autopsy : analyse forensique complète d'images disque. Utilisés par les forces de l'ordre et les laboratoires privés.

15.3 Limites des logiciels grand public

Recuva, EaseUS, Disk Drill sont efficaces pour les pannes logiques simples sur supports sains. Ils deviennent dangereux sur les pannes physiques : ils forcent des milliers d'opérations de lecture sur un disque dont les têtes sont endommagées, aggravant les rayures à chaque passe. Sur SSD, monter le support déclenche TRIM. Ce n'est pas un défaut de ces outils — c'est une inadéquation fondamentale.

16.1 Les sept erreurs qui tuent les données

1. Installer un logiciel de récupération sur le support source. L'installation écrit physiquement sur le support, souvent à des endroits stratégiques (zone libre récemment désallouée — c'est-à-dire exactement là où sont vos fichiers supprimés).
2. Récupérer les fichiers sur le support source. Variante de la précédente, et tout aussi catastrophique.
3. Laisser un SSD sous tension après l'incident. TRIM et garbage collection continuent leur travail. Sur SSD moderne, chaque minute compte.
4. Accepter la réparation automatique de Windows. chkdsk /f, autorepair, démarrage répété sur un FS corrompu : Windows écrit, déplace, supprime activement des structures pour « réparer ». Sur un FS qu'on veut récupérer, c'est le contraire de ce qu'on veut.
5. Ouvrir un HDD hors salle blanche. Une particule de poussière sur le plateau en rotation provoque un head crash immédiat.
6. Tenter de dessouder une puce NAND avec un fer à souder. Sans station de rework et profil thermique calibré, la puce est détruite avant d'être lue.
7. Conserver les sauvegardes dans le même environnement que la production. Le ransomware moderne cible explicitement les sauvegardes accessibles. Cas Code Spaces (ci-dessous).

16.2 Étude de cas — Code Spaces (juin 2014)

Code Spaces était une plateforme de code hosting (Subversion et Git) intégralement hébergée sur AWS, basée à Coventry. Le 17 juin 2014, l'entreprise subit une attaque DDoS accompagnée d'une demande de rançon déposée dans la console EC2. L'attaquant avait obtenu l'accès au panneau de contrôle Amazon.

Code Spaces refuse de payer et tente de reprendre le contrôle. Réalisant cela, l'attaquant lance une suppression méthodique : EBS snapshots, S3 buckets, AMI, instances EC2. Le point critique : les sauvegardes étaient dans le même compte AWS que la production. L'attaquant a pu tout supprimer simultanément.

Le 18 juin 2014 — 12 heures après le début de l'attaque — Code Spaces annonce la cessation définitive d'activité. Sources : Threatpost (juin 2014) ; eSecurity Planet (2014) ; InfoWorld (2014) ; Wiz breaches.cloud (2023).

16.3 Étude de cas — NotPetya / Maersk (juin 2017)

NotPetya était initialement un wiper déguisé en ransomware — il détruisait réellement les données sans possibilité de déchiffrement. Il s'est propagé via le mécanisme EternalBlue (exploit NSA) et le mécanisme de mise à jour du logiciel comptable ukrainien M.E.Doc. En quelques heures, il a touché des milliers d'organisations dans 65 pays.

Pour Maersk, le premier armateur mondial, cela a signifié : 45 000 PCs hors service, 4 000 serveurs détruits, 1 000 applications neutralisées, 10 jours d'arrêt partiel, et une perte estimée à 300 millions de dollars. Maersk a dû réinstaller son infrastructure complète en 10 jours — 45 000 PCs, 4 000 serveurs — grâce à un seul contrôleur de domaine survivant au Ghana, resté hors ligne par accident. Sources : ControlEngineering (2025) ; CSO Online (2019) ; Wired.

17.1 La règle 3-2-1 et son extension 3-2-1-1-0

La règle 3-2-1 a été formulée en 2005 par Peter Krogh dans The DAM Book : 3 copies de chaque donnée, sur 2 supports différents, dont 1 hors site. Vingt ans plus tard, l'omniprésence du ransomware a poussé Veeam à proposer l'extension :

• +1 : une copie immuable ou air-gappée — qu'un attaquant ayant compromis les comptes ne puisse pas supprimer.
• +0 : zéro erreur à la restauration, vérifiée par tests réguliers.

17.2 Mettre en œuvre l'immutabilité

• Object Lock S3 (AWS, Backblaze B2, Wasabi, MinIO). Mode compliance : une fois la donnée écrite, elle ne peut être ni modifiée ni supprimée avant l'expiration de la rétention — même par le propriétaire du bucket.
• Hardened Linux Repository : un serveur Linux avec attribut chattr +i sur les fichiers de sauvegarde et SSH désactivé pour root. Faisable maison avec rsync et cron.
• Snapshots NAS immuables : Synology SnapLock, QNAP WORM. À condition de protéger le NAS (mot de passe fort, MFA, pas d'accès domaine joint).

17.3 L'air-gap

Un support air-gappé est physiquement déconnecté du réseau pendant la majorité du temps. Variantes : bande LTO sortie du robot et stockée dans un coffre (solution historique, toujours pertinente pour les volumes importants), disque USB connecté uniquement pour la sauvegarde puis rangé dans un tiroir verrouillé, ou rotation de plusieurs disques externes avec stockage hors site rotatif.

L'air-gap garantit une chose simple : si l'attaquant prend le contrôle du système un mardi à 14h, il ne peut pas supprimer la sauvegarde du mardi précédent qui dort dans un tiroir éteint.

17.4 La vérification de restauration

Le 0 de 3-2-1-1-0 est sans doute le plus négligé. Beaucoup d'organisations ont des sauvegardes qui n'ont jamais été testées. Le résultat typique : au moment de l'incident, la restauration échoue sur corruption silencieuse, sur incompatibilité de version, ou sur absence de la clé de déchiffrement. Test recommandé : une restauration complète par trimestre dans un environnement isolé, avec vérification fonctionnelle.

La récupération de données a des limites réelles qu'il est important de nommer honnêtement, sans les minimiser pour des raisons commerciales.

18.1 Ce qui est définitivement perdu

• SSD avec TRIM complet : si les cellules ont été effacées électriquement, les données sont physiquement détruites. Il n'existe aucune technique de lecture résiduelle sur NAND (contrairement au mythe de la récupération magnétique résiduelle sur HDD).
• Chiffrement sans clé : AES-256 correctement implémenté est inviolable. Sans la clé et sans la possibilité d'accéder au système via son mécanisme normal de déverrouillage, les données sont inaccessibles.
• Plateaux rayés au-delà de la couche magnétique : un head crash qui a abrasé la couche magnétique d'un plateau a détruit physiquement l'information. Aucune technique ne récupère ce qui n'existe plus.
• NAND détruite thermiquement : les puces NAND exposées à plus de 200-250°C subissent une destruction irréversible de leurs cellules flottantes.

18.2 Ce qui devient possible en 2026

Plusieurs évolutions récentes ont étendu le champ des possibles : les modules PC-3000 pour les disques SMR (depuis 2020) et pour les nouvelles générations HAMR (en développement), les techniques de Read Retry adaptatives qui récupèrent des données sur des cellules NAND très dégradées, la reconstruction Btrfs/ZFS post-ransomware via snapshots qui a un taux de réussite élevé quand les snapshots sont préservés, et les techniques de réparation board-level sur les Apple Silicon M3-M4 qui progressent.

Imagerie et clonage

Analyse et récupération logique

SMART et diagnostic HDD

Toutes les sources ont été vérifiées au moment de la rédaction (mai 2026). Chaque affirmation chiffrée dans ce manuel est étayée par l'une de ces références.

Statistiques et rapports

• Verizon Business — 2025 Data Breach Investigations Report, publié le 23 avril 2025. verizon.com
• Backblaze — Drive Stats for 2025, 12 février 2026. backblaze.com
• IBM Security — Cost of a Data Breach Report 2024. ibm.com
• ANOZR WAY — Fuites de données 2025 : +2,6 milliards de données compromises, janvier 2026.

Normes et standards

• ISO — ISO 14644-1:2015 — Cleanrooms and associated controlled environments. iso.org
• ISO — ISO/IEC 27037:2012 — Guidelines for identification, collection, acquisition and preservation of digital evidence. iso.org
• Trusted Computing Group — TCG Storage Architecture Core Specification, Opal 2.0.

Études de cas publiques

• Control Engineering — Throwback Attack: How NotPetya Ransomware Took Down Maersk, mise à jour août 2025.
• Threatpost — Hacker Puts Hosting Service Code Spaces Out of Business, juin 2014.
• Wiz / breaches.cloud — Codespaces (2014) - Public Cloud Security Breaches, 2023.

Sauvegarde et prévention

• Veeam — 3-2-1 Backup Rule Explained, 2025. veeam.com
• Object First — 3-2-1-1-0 Backup Rule: How Object First and Veeam Implement It, 2025.

Outils

• GNU project — GNU ddrescue manual. gnu.org
• CGSecurity — TestDisk & PhotoRec. cgsecurity.org
• Sleuth Kit — The Sleuth Kit and Autopsy. sleuthkit.org