Re: fichier écraser par erreur récupération
Vendredi 4 novembre 2005, 00:07:39 CET, Leopold BAILLY a écrit :
>[...]
> Il y a toujours moyen de récupérer en lecture bloc à bloc sur le
> périphérique ; les données ne sont jamais supprimés par le fs, l'espace
> occupé est simplement mis à diposition.
>
> Bon évidemment si on attend 3 mois il y a des chance[s] que ça soit
> écrasé.
>
> [Quoique] avec du matériel spécialisé, j'ai entendu dire que la police
> pouvait récupérer des données écrasées jusqu'à 20 fois.
Attention, ne pas confondre : il s'agit là de retrouver les données au
niveau physique en utilisant le fait qu'une tête de lecture/écriture
magnétique n'écrit jamais deux fois exactement au même endroit, il y a un
petit décalage à chaque fois qui fait qu'une partie du support est encore
magnétisé avec les anciennes données (il y a des « trous » entre les
données sur le support). Avec du matériel assez précis, ces petites zones
peuvent être lues et permettent donc de reconstituer bit à bit les
données. C'est donc de la récupération physique.
Pour éviter cela : démagnétiser complètement le disque avec un gros
aimant.
Cela n'a rien à voir avec le fait que les zones libérées sont simplement
marquées comme libérées mais pas écrasées par /dev/zero ou /dev/random.
Simplement pour gagner du temps (mais perdre de la sécurité).
Pour rappel, sous DOS, il était très facile de récupérer les fichiers
car seul le nom du fichier était modifié (= perte du premier caractère).
Pas de nom = pas d'accès simple au fichier. Mais toutes les données
étaient là. Avec des systèmes plus complexes comme ext2fs, les structures
d'accès aux données sont plus lourdes et, une fois perdues, difficiles à
reconstituer. Mais grâce à la faible fragmentation des fichiers,
recouvrer les données est possible si l'on en connaît un bout (on cherche
la chaîne d'octets et on prend ce qu'il y a autour).
Mais franchement, une sauvegarde est bien plus simple.
--
Sylvain Sauvage
Reply to: