Anatomie des supports, méthodes professionnelles, outils ouverts et commerciaux, forensique et prévention. Toutes les affirmations chiffrées sont sourcées. Aucun cas n'est inventé.
Par Mhessan Kouassi, expert en récupération de données — Laboratoire DAFOTEC, Roubaix
84 pages · 19 chapitres 5 annexes 22 ans d'expertise 120 000+ cas traités★ 4,9/5 · 797 avis CC BY-NC-ND 4.0
Une urgence active ? Éteignez le support, n'écrivez rien dessus, et appelez le 09 83 70 00 00. Diagnostic gratuit.
Introduction
La récupération de données en 2026
Ce manuel n'a pas été écrit pour promettre une récupération partout, mais pour éviter les erreurs qui la rendent impossible. En récupération de données, la première mauvaise décision coûte presque toujours plus cher que la panne elle-même.
La récupération de données regroupe les techniques permettant de retrouver des informations rendues inaccessibles sur un support de stockage. C'est une discipline d'urgence, à l'intersection de quatre métiers : physique des matériaux (magnétisme des disques durs, électronique à piégeage de charge des mémoires NAND), algorithmique des systèmes de fichiers, ingénierie inverse de contrôleurs propriétaires, et rigueur procédurale forensique. On la distingue de la restauration de sauvegarde, qui relève de la prévention : la récupération intervient après la perte, sur un support qui n'a pas de copie utilisable.
Ce document est signé par Mhessan Kouassi, expert chez DAFOTEC depuis la création du laboratoire à Roubaix en 2004. Il s'appuie sur 22 ans de pratique et plus de 120 000 supports ouverts, diagnostiqués et imagés — disques durs claqués, SSD mutiques, RAID dégradés après surtension, smartphones écrasés, NAS chiffrés par ransomware.
La méthode du manuel — trois règles
Chaque pourcentage est sourcé ou explicitement présenté comme un ordre de grandeur. Aucun cas n'est inventé : les incidents cités (NotPetya/Maersk 2017, Code Spaces 2014) sont publics et référencés, les retours de laboratoire sont des interventions réelles anonymisées publiées sur dafotec.fr. Les versions de logiciels ne sont citées que lorsqu'elles sont vérifiables auprès de l'éditeur.
Récupération logique ou physique : deux mondes à ne jamais confondre
Récupération logique : le support est physiquement intact et détecté par la machine. Le problème est dans le logiciel — système de fichiers corrompu, partition supprimée, fichiers effacés, chiffrement par ransomware. Les données brutes sont presque toujours encore là ; il faut juste savoir les lire.
Récupération physique : panne matérielle. Le support n'est plus détecté, émet des bruits anormaux, ou son contrôleur ne répond plus. L'intervention exige un environnement spécialisé : salle blanche pour les disques durs mécaniques, station de micro-soudure pour les SSD.
Tout commence par un diagnostic qui tranche entre ces deux mondes. Se tromper de monde coûte des données — le chapitre 5 détaille cette étape.
Pourquoi les réflexes d'hier ne marchent plus
Pendant trois décennies, la récupération s'est faite sur disques magnétiques : tant que les plateaux n'étaient pas réécrits, les données restaient en place. L'arrivée massive des SSD à partir de 2010 a fait basculer la discipline. Avec la commande TRIM (Windows 7, macOS 10.6.8, noyau Linux 2.6.33), supprimer un fichier déclenche un effacement physique des cellules, souvent en quelques secondes. Sur un HDD des années 2000, on avait des jours ; sur un SSD NVMe sain, la fenêtre se mesure parfois en secondes.
Parallèlement, la généralisation du chiffrement matériel (SED, TCG Opal, BitLocker, FileVault) et l'explosion des ransomwares ont reconfiguré le paysage. Le Verizon DBIR 2025 chiffre cette tendance : le ransomware est impliqué dans 44 % des compromissions de données documentées en 2024, en hausse de 37 % sur un an.
Sur les taux de réussite
Aucune statistique publique consolidée ne donne le taux de réussite global de la récupération. DAFOTEC publie les siens, par type de panne, sur 120 000+ cas depuis 2004 : 95 % sur panne logique HDD, 88 % sur panne électronique HDD, 78 % sur panne mécanique HDD, 82 % sur SSD firmware, 61 % sur SSD panne NAND, 91 % sur RAID 5 dégradé, 69 % sur smartphone. Ces chiffres ne valent que pour DAFOTEC et pour des supports non aggravés par des tentatives préalables.
À qui s'adresse ce manuel ?
Aux techniciens IT qui gèrent des incidents de perte de données ; aux étudiants en forensique numérique qui cherchent une vue d'ensemble ; aux particuliers avancés qui veulent comprendre avant d'agir ; aux juristes et experts judiciaires qui évaluent la recevabilité d'éléments numériques ; aux DSI qui veulent jauger leur posture de prévention. Il ne s'adresse pas à quelqu'un qui a une urgence active : dans ce cas, la règle est simple — débrancher le support, ne rien y écrire, et soit lire le chapitre 5, soit contacter directement un laboratoire.
Avant toute méthode, il faut comprendre comment une donnée est écrite, lue et supprimée. Trois chapitres : un disque dur mécanique, une mémoire NAND, un système de fichiers. Sans cette base, les méthodes des chapitres suivants ne sont que de la magie.
Partie I — Fondations physiques · Chapitre 1
Anatomie d'un disque dur mécanique
Un disque dur (HDD) est une mécanique de précision miniaturisée. Sous son boîtier hermétique : un ou plusieurs plateaux rigides revêtus d'une couche magnétique, un moteur spindle qui les fait tourner à vitesse constante, des têtes de lecture/écriture portées par un bras actionneur, et un circuit imprimé (PCB) extérieur contenant le contrôleur, la ROM de firmware et l'interface SATA ou SAS.
Anatomie d'un HDD 3,5" : plateaux magnétiques, bras actionneur, têtes en vol nanométrique et circuit imprimé. Une poussière atmosphérique (5–50 µm) sous une tête provoque un head crash.
Paramètre
Valeur typique (HDD 3,5" grand public, 2026)
Vitesse de rotation
5 400 ou 7 200 tr/min ; jusqu'à 15 000 (entreprise SAS)
Capacité par plateau
2 à 4 To
Nombre de plateaux
1 à 10 selon la capacité totale
Densité linéaire
plus d'1 million de bits par pouce de piste
Vol des têtes (fly height)
quelques nanomètres au-dessus du plateau
Débit séquentiel
150 à 300 Mo/s
Latence d'accès aléatoire
5 à 15 ms
Comment une donnée est-elle écrite sur un disque dur ?
La couche magnétique du plateau est divisée en milliards de domaines magnétiques. La tête d'écriture, par un champ local très fort et très bref, oriente la polarisation d'un domaine dans un sens (bit 1) ou dans l'autre (bit 0). La tête de lecture détecte ensuite les transitions, par induction ou par effet tunnel magnétorésistif (TMR). Tant que rien ne réécrit la zone, ces polarisations sont stables des décennies. C'est la propriété fondamentale qui rend les HDD si récupérables : effacer un fichier au niveau du système de fichiers ne touche pas aux domaines magnétiques.
PMR (Perpendicular Magnetic Recording) : depuis 2005, base de tous les HDD modernes — domaines orientés perpendiculairement à la surface.
CMR : le PMR « classique » avec des pistes écrites côte à côte sans recouvrement ; on peut réécrire n'importe quelle piste sans toucher aux voisines.
SMR (Shingled Magnetic Recording) : depuis 2013, les pistes se recouvrent comme des tuiles. Gain de densité de 20 à 25 %, mais chaque modification oblige à réécrire toute la bande adjacente — le firmware gère un cache et un garbage collection comparable à celui d'un SSD.
HAMR (Heat-Assisted) : chauffe ponctuellement le domaine par laser pendant l'écriture ; commercialisé depuis 2024 sur les disques entreprise 30 To et plus.
SMR et récupération
Le SMR est sensiblement plus complexe à récupérer en cas de panne firmware : la translation entre adresses logiques (LBA) et emplacements physiques est gérée par le contrôleur, et un firmware corrompu peut rendre le contenu illisible même sur des plateaux intacts. Les laboratoires utilisent des modules spécialisés (PC-3000 publie des modules SMR depuis 2020). Source : Rossmann Group, « CMR vs SMR: How Recording Technology Affects Recovery », 2026.
Quelles sont les pannes mécaniques typiques ?
Head crash. Une tête entre en contact avec la surface — choc, vibration, défaut de fly height. Souvent une rayure progressive qui détruit la couche magnétique. Symptôme : clics répétés.
Stiction. Les têtes restent collées au plateau et le moteur n'arrive plus à lancer la rotation. Symptôme : bourdonnement court puis silence.
Moteur spindle HS. Les paliers s'usent. Symptôme : plateau qui ne tourne plus, ou par à-coups.
PCB grillé. Une surtension détruit le circuit (souvent le TVS de protection). Le disque n'est plus détecté.
Corruption firmware. La ROM du PCB ou la zone de service des plateaux devient illisible. Le disque tourne mais ne se monte pas, ou affiche une capacité absurde (0 Go, 8 Mo).
Attention
Un HDD qui claque doit être éteint immédiatement. Chaque rotation supplémentaire quand les têtes touchent la surface étend la zone rayée — chaque seconde, on perd des données. C'est l'une des rares vraies urgences en récupération.
Pourquoi un HDD reste-t-il très récupérable ?
Quand un système de fichiers supprime un fichier, il modifie seulement ses propres tables internes (MFT pour NTFS, inodes pour ext4, table FAT pour FAT32/exFAT). Les secteurs physiques ne sont ni effacés ni démagnétisés ; ils le seront seulement quand un nouveau fichier écrira par-dessus. Conséquence : un fichier supprimé reste récupérable tant que ses secteurs n'ont pas été réutilisés ; un formatage rapide ne réinitialise que les structures de base ; seul un formatage complet (des heures, presque jamais accidentel) détruit vraiment les données.
Quelle est la fiabilité moyenne d'un HDD en 2026 ?
Backblaze publie depuis 2013 les statistiques de panne de son parc. Le rapport 2025 (février 2026) couvre 344 196 disques sur 30 modèles : AFR annuel 2025 de 1,36 % (en baisse depuis 1,55 % en 2024), AFR sur la vie complète de 1,30 %, et un Q4 2025 à 1,13 % — le plus bas depuis 2022. Pour un particulier qui a un seul disque, cela ne dit rien d'individuel ; mais sur un parc, la panne est statistiquement certaine. Source : Backblaze, Drive Stats for 2025.
Zone de service, modules firmware, translator
Une part cruciale de l'intelligence d'un HDD se trouve dans une zone particulière des plateaux : la Service Area (SA, zone de service), invisible pour le système d'exploitation, qui contient plus d'une centaine de modules de firmware. Quatre familles méritent d'être nommées :
P-List (defauts d'usine) : secteurs défectueux identifiés à la fabrication, remappés dès le départ.
G-List (defauts acquis) : secteurs devenus défectueux pendant la vie du disque, réalloués automatiquement.
Translator : traduit les adresses logiques (LBA) en adresses physiques (cylindre, tête, secteur). Sa corruption rend un disque mécaniquement sain totalement illisible.
Adaptives : paramètres de calibration des têtes, propres à chaque exemplaire — c'est ce qui rend impossible un simple PCB swap sans transfert de ces paramètres.
Diagnostiquer une panne de Service Area
Symptôme typique : le disque est détecté par le BIOS mais affiche une capacité absurde (0 Go, 8 Mo), ou un nom générique du fabricant. Il tourne normalement, sans bruit anormal — la panne est purement logique côté firmware interne. Diagnostic réservé au laboratoire : un terminal série TTL sur le PCB est nécessaire pour accéder à la SA. Sources : ACE Lab (documentation PC-3000), Rossmann Group, ISA Group.
Retour de labo — DAFOTEC · Disque dur WD Blue 2 To, têtes HS
Support : WD Blue 2 To 3,5" · Délai : 72 h · Forfait : 650 € HT
Symptôme. Clics répétés toutes les 3 secondes, disque non détecté, après une chute de 80 cm sur carrelage du boîtier externe.
Intervention. Ouverture en salle blanche ISO 5, remplacement du bloc de têtes (HSA) par un disque donneur identique de même révision firmware, alignement micrométrique < 0,3 µm. Clonage secteur par secteur avec timeout réduit pour ménager la nouvelle combinaison têtes/plateaux.
Résultat. 1,94 To récupérés sur 2 To. 3 vidéos 4K partiellement corrompues par une zone de plateau légèrement rayée à la chute.
Photographe professionnel, Paris — 4 ans d'archives sauvées. Cas publié sur dafotec.fr.
Pourquoi le SSD est-il plus difficile à récupérer qu'un disque dur ?
Un SSD n'a aucune pièce mécanique : toute la complexité est dans l'électronique. Cela paraît une simplification, mais c'est l'inverse pour la récupération : la mémoire NAND impose des contraintes physiques qui forcent le contrôleur à effacer activement les données supprimées. Sur un HDD, supprimer ne détruit rien ; sur un SSD moderne, supprimer détruit dans les minutes qui suivent.
L'unité fondamentale est la cellule NAND. Historiquement un transistor à grille flottante : une charge piégée entre deux couches isolantes modifie la tension de seuil, qu'on mesure pour lire la valeur. Depuis la 3D NAND (2013, massivement à partir de 2017), la technologie est passée au charge-trap flash (CTF) : un isolant piège les électrons — meilleure résistance à l'usure, fabrication 3D plus simple, moins de fuites. La quasi-totalité des SSD grand public 2026 (176 à 232 couches) utilisent du charge-trap.
Type
Bits/cellule
Niveaux
Endurance (cycles P/E)
Usage typique
SLC
1
2
50 000 à 100 000
Industriel, entreprise critique
MLC
2
4
3 000 à 10 000
Entreprise (en voie de disparition)
TLC
3
8
1 000 à 3 000
SSD grand public courant 2026
QLC
4
16
150 à 1 000
Grande capacité bon marché
PLC
5
32
< 150 (estim.)
En développement, peu commercialisé
Plus une cellule stocke de bits, plus les niveaux de tension se rapprochent, plus les erreurs de lecture sont fréquentes, plus le contrôleur applique de correction d'erreur (ECC), et plus la cellule s'use vite. Sources : Kingston, Lexar Enterprise, TechTarget — valeurs hautes de fourchette 2024-2026.
Du SLC au QLC, le nombre de niveaux de tension distingués dans une même cellule double à chaque génération — d'où une fiabilité et une endurance décroissantes.
ECC, LDPC et read-retry adaptatif
À mesure que les marges se resserrent, les codes correcteurs ont évolué : des codes BCH simples des premiers MLC aux codes LDPC (Low-Density Parity-Check) des TLC/QLC modernes, qui décodent en plusieurs itérations probabilistes. Quand la lecture brute donne trop d'erreurs, le contrôleur déclenche le read-retry : il décale le seuil de tension de référence et relit la même page, parfois dix ou quinze fois — combiné au décodage LDPC « soft », cela récupère des données qu'une lecture initiale aurait abandonnées.
ECC et chip-off
Pour la récupération par chip-off (chapitre 10), lire la NAND brute hors de son contrôleur, c'est obtenir des données après scrambling et avant décodage ECC. Il faut reverse-engineerer à la fois le scrambler et le pipeline ECC du contrôleur d'origine. C'est pourquoi les laboratoires sérieux maintiennent des bases de profils par contrôleur et par firmware.
La contrainte fondamentale : écrire à la page, effacer au bloc
C'est le détail qui explique tout le reste. La NAND se lit et s'écrit au niveau de la page (4, 8 ou 16 Ko) mais ne s'efface qu'au niveau du bloc (256 à 512 pages, soit 1 à 8 Mo). On ne peut pas réécrire en place. Quand on modifie un fichier, le contrôleur : (1) écrit la nouvelle version dans une page libre ailleurs ; (2) met à jour sa table de correspondance (FTL) ; (3) marque l'ancienne page « invalide » sans l'effacer ; (4) plus tard, le garbage collector consolide les pages valides et efface les blocs vidés.
Qu'est-ce que la FTL, et pourquoi est-elle un mur ?
La Flash Translation Layer est le logiciel du contrôleur qui fait ressembler le SSD à un disque magnétique. Elle maintient la table de correspondance LBA logique → page physique NAND, et implémente le wear leveling (répartir les écritures) et le garbage collection. Elle est propriétaire et non documentée : Phison, Silicon Motion, Marvell, Samsung, Kioxia ont chacun leur implémentation. Élément critique souvent ignoré : sur la majorité des SSD modernes, tout le contenu de la NAND est chiffré matériellement en AES-256, même sans mot de passe, par une clé dérivée d'un identifiant unique du contrôleur. Quand le contrôleur meurt, on perd à la fois la FTL et la clé — le chip-off ne donne alors que du chiffré illisible.
Que fait la commande TRIM ?
Sans TRIM, le contrôleur ignore quelles pages sont encore utilisées côté système de fichiers. TRIM (commande ATA DATA SET MANAGEMENT, ou DEALLOCATE en NVMe) informe le contrôleur des LBA libérés par l'OS. Le contrôleur peut alors mettre à jour sa table immédiatement et programmer ces blocs pour effacement physique au prochain garbage collection. Sur les SSD implémentant DRAT/DZAT (Deterministic Read/Zero After Trim), toute lecture ultérieure des LBA trimés renvoie une valeur déterministe ou des zéros : les outils de récupération logique ne voient plus rien.
Sur SSD NVMe sain avec TRIM actif, la fenêtre de récupération logique se mesure en secondes à minutes. Première règle : débrancher tôt vaut mieux que diagnostiquer tard.
Combien de temps a-t-on pour récupérer un fichier supprimé sur SSD ?
Sur un SSD NVMe moderne avec TRIM actif : à la suppression d'un fichier monté en NTFS/APFS/ext4, TRIM part en quelques millisecondes ; le garbage collector peut s'activer dès la prochaine période d'inactivité, donc en quelques secondes à minutes ; une fois le bloc effacé, aucun chip-off ne récupère quoi que ce soit.
Attention
Si vous avez supprimé un fichier important sur un SSD : débranchez le support immédiatement, ne le rebranchez pas sur la même machine, envoyez-le pour analyse. Chaque seconde sous tension réduit les chances. Et même en agissant vite, considérez la perte comme probable.
Quand TRIM ne fonctionne-t-il pas ?
La récupération SSD reste possible là où TRIM est court-circuité (documenté par Belkasoft, Recovering Evidence from SSD Drives) :
RAID matériel : la plupart des contrôleurs ne passent pas TRIM aux disques.
Vieux ponts USB-SATA (JMicron JMS539, ASMedia ASM1051 anciens) ne passent pas TRIM ; les ponts UASP récents oui.
NAS : selon le firmware, TRIM peut être absent ou différé.
Pseudo-SSD bas de gamme (clés USB, cartes SD « SSD ») sans TRIM.
Firmware buggé (certains Crucial M4, OCZ Vertex, Intel 320) avec TRIM cassé en sortie d'usine.
Petits fichiers résidents (~700 octets ou moins) stockés directement dans l'entrée MFT NTFS, jamais affectés par TRIM.
Fragments dans des blocs encore partiellement utilisés : tant qu'un bloc contient une page valide, il n'est pas effacé.
Comment vérifier si TRIM est activé ?
Vérifier TRIM
# Windows
fsutil behavior query DisableDeleteNotify
# 0 = TRIM activé · 1 = TRIM désactivé# Linux
cat /sys/block/sdX/queue/discard_max_bytes
# 0 = pas de support TRIM · valeur non nulle = disponible
systemctl status fstrim.timer
# macOS
system_profiler SPSerialATADataType | grep -i 'TRIM Support'
Pourquoi le système de fichiers décide-t-il de la récupération ?
Le système de fichiers (FS) transforme une succession de secteurs bruts en arborescence de fichiers nommés, via des structures internes qui lient nom, métadonnées et localisation physique. Quand on supprime un fichier, le FS modifie deux ou trois de ces structures — mais le contenu n'est pas touché. C'est cette dissymétrie qui rend possible la récupération logique. Or chaque FS gère cette « carte » différemment : NTFS est très bavard (journaux), ext4 libère les inodes agressivement — d'où des chances de récupération très différentes.
FAT32 et exFAT : la simplicité
Les FS les plus simples encore massivement utilisés, surtout sur supports amovibles (clés USB, cartes SD, dashcams). À la suppression, le premier caractère de l'entrée de répertoire passe à 0xE5, les clusters sont marqués libres dans la table FAT, mais le contenu reste intact jusqu'à réécriture. La récupération est très efficace, surtout sur fichiers contigus ; limite principale : la première lettre du nom est perdue (les outils mettent un caractère générique).
NTFS : la richesse forensique
NTFS (Windows depuis NT) est techniquement le FS le plus généreux en métadonnées résiduelles, donc le plus récupérable logiquement. Sa structure centrale est la Master File Table ($MFT) : une entrée de 1 024 octets par fichier, comprenant un en-tête avec un drapeau « utilisé/supprimé », un attribut $STANDARD_INFORMATION (timestamps MACB), un attribut $FILE_NAME (nom + parent), et un attribut $DATA (contenu directement si < ~700 octets — attribut résident — sinon une liste de runs vers les clusters).
Comment NTFS permet-il une corrélation temporelle multi-sources ?
La vraie puissance forensique de NTFS apparaît en corrélant plusieurs sources : les deux jeux de timestamps de la MFT (dont la divergence trahit une manipulation d'horodatage), le journal transactionnel $LogFile, le journal d'USN $UsnJrnl:$J, les journaux d'événements Windows (.evtx) et le registre (UserAssist, ShellBags, MUICache). Workflow type : exporter ces flux en CSV (MFTECmd, LogFileParser, UsnJrnl2Csv d'Eric Zimmerman), les fusionner dans un outil de timeline (Timeline Explorer, Plaso) et reconstruire la séquence. Indispensable dès qu'il y a enjeu judiciaire : un flux peut être falsifié, plusieurs flux concordants beaucoup plus difficilement.
NTFS slack space
Hors enjeu judiciaire, NTFS reste le FS le plus permissif : l'entrée MFT survit à la suppression, avec ses attributs et souvent ses pointeurs. Des outils comme MFTECmd récupèrent en plus des fragments dans le MFT slack space. Référence : Sygnia, « The Forensic Value of MFT Slack Space », 2025.
ext4 : la spécificité Linux
FS par défaut de la plupart des distributions Linux. Trois éléments clés : le superblock (paramètres globaux), la table d'inodes, et les extents (plages contiguës de blocs). À la suppression : l'inode est marqué libre, les extents libérés, et — contrairement à ext3 — ext4 efface partiellement les pointeurs vers les blocs dans l'inode, ce qui rend la récupération plus difficile. L'outil de référence est extundelete (qui exploite le journal) ; quand il échoue, debugfs permet d'examiner la structure manuellement.
Attention
Sur ext4, si vous venez de supprimer quelque chose d'important, remontez immédiatement la partition en lecture seule : sudo mount -o remount,ro /dev/sdXY. Toute écriture, même un log système, peut réutiliser les inodes ou les blocs libérés.
APFS : copy-on-write et snapshots
APFS (Apple, 2017) a remplacé HFS+ sur macOS et iOS. Deux principes : copy-on-write (toute modification écrit ailleurs et met à jour les pointeurs) et snapshots (images instantanées à coût quasi nul, exploitées par Time Machine). Conséquence : sur un APFS non chiffré, des fichiers supprimés depuis des semaines peuvent vivre dans un snapshot local (R-Studio, UFS Explorer, Disk Drill savent les exploiter). Le mur, c'est FileVault : activé par défaut sur Apple Silicon, il chiffre tout le volume en AES-256, clé protégée par la Secure Enclave — sans le mot de passe, la donnée physique n'est que du bruit.
Btrfs et ZFS : robustesse maximale
Btrfs (Linux) et ZFS (OpenZFS) sont des FS « copy-on-write + checksums + snapshots », pensés pour la résilience — on les retrouve sur les NAS (Synology, QNAP) et serveurs. Les checksums détectent la corruption silencieuse (bit rot) ; le self-healing réécrit un bloc corrompu depuis une copie saine sur miroir/RAID-Z ; les snapshots sont exploités par les NAS. Point critique post-ransomware : la plupart des ransomwares NAS chiffrent les fichiers visibles mais ne touchent pas aux snapshots Btrfs/ZFS. Pour la récupération, ces FS sont peu vulnérables à la corruption simple mais très sensibles à la fragmentation — l'approche productive passe presque toujours par les snapshots, pas par le carving.
FS
Plateformes
À la suppression
Qualité de récup. logique
FAT32
USB, SD, anciens systèmes
Entrée marquée 0xE5, FAT remise à zéro
Très bonne (perte 1re lettre)
exFAT
USB, SD haute capacité
Idem FAT32, capacité étendue
Très bonne
NTFS
Windows
MFT marquée supprimée ; $LogFile/$UsnJrnl conservent les traces
Excellente — la plus riche
ext4
Linux
Inode libéré, extents effacés agressivement
Moyenne — fenêtre courte
APFS
macOS, iOS
Copy-on-write, snapshots selon politique
Excellente via snapshots ; nulle si FileVault sans clé
Avant d'agir, comprendre. Un panorama chiffré des causes de perte en 2025-2026 (données Verizon DBIR 2025), puis une méthode de triage pour décider si vous êtes face à un cas logique ou physique — et si vous pouvez intervenir vous-même ou s'il faut un laboratoire.
Partie II — Diagnostic · Chapitre 4
Causes de perte : les chiffres 2025-2026
Quelles sont les quatre familles de causes ?
Humaines et logiques : suppression accidentelle, formatage, mauvaise manipulation. Le support est sain ; les données sont logiquement inaccessibles mais physiquement présentes.
Cyber : ransomware, malware destructeur, wiper, suppression malveillante. Le ransomware ajoute une couche de chiffrement ; les wipers (NotPetya) détruisent réellement.
Pourquoi le ransomware est-il devenu la nouvelle norme ?
Le Verizon DBIR 2025 est la référence statistique sur les compromissions de données. Sur la période couverte (novembre 2023 à octobre 2024), Verizon a analysé plus de 22 000 incidents et 12 195 compromissions confirmées.
Indicateur
Valeur 2024 (DBIR 2025)
Tendance
Ransomware dans les breaches
44 %
+37 % vs DBIR 2024
Ransomware dans les breaches PME
88 %
Aggravation des inégalités
Ransomware dans les grandes entreprises
39 %
Stable
Identifiants volés (vecteur initial)
22 %
Toujours n° 1
Vulnérabilités exploitées
20 %
+34 %
Implication d'un tiers (supply chain)
30 %
Doublé vs DBIR 2024
Médiane des rançons payées
115 000 $
En baisse (150 k$ en 2023)
Refus de payer la rançon
64 % des victimes
vs 50 % deux ans plus tôt
Deux lectures opposées du même rapport. La pessimiste : le ransomware est un mode opératoire dominant, dévastateur pour les PME (neuf cas sur dix). L'optimiste : la médiane des rançons baisse, deux victimes sur trois refusent désormais de payer. Source : Verizon Business, 2025 Data Breach Investigations Report, 23 avril 2025.
L'erreur humaine reste-t-elle majoritaire ?
Oui. L'élément humain reste impliqué dans une part dominante des compromissions — le DBIR 2025 le chiffre à 60 % de l'ensemble des breaches (jusqu'à 95 % selon les définitions). Pour la récupération spécifiquement, les causes humaines les plus fréquentes sont la suppression accidentelle de fichiers ou de partitions, le formatage d'un mauvais support, et l'écrasement par une restauration mal ciblée. Côté matériel, Backblaze donne un AFR HDD de 1,36 % en 2025 ; pour les SSD, la panne vient plus souvent d'un contrôleur ou d'un firmware défaillant que de l'usure des cellules.
Le diagnostic décide de tout : intervention logicielle ou physique, tentative personnelle ou envoi en laboratoire, coût et délai prévisibles, et souvent le résultat lui-même. Un mauvais diagnostic conduit à des actions inadaptées qui aggravent la situation.
Attention
Tant que le diagnostic n'est pas posé, ne touchez à rien. Surtout, ne lancez aucun outil de récupération « pour voir » : beaucoup écrivent sur le support source dès l'installation ou le premier scan.
Que faire en premier après une perte de données ?
Une procédure de triage en cinq étapes :
Observer. Le support est-il alimenté ? Émet-il du bruit ? Est-il chaud ? Le BIOS/UEFI le détecte-t-il ? L'OS l'affiche-t-il ? Notez tout sans rien modifier.
Classer. Physique (non détecté, bruits anormaux, surchauffe), logique (détecté mais inaccessible, fichiers manquants), ou hybride (détection intermittente).
Décider du chemin. Selon type / enjeu / compétences : intervention personnelle, technicien IT généraliste, ou laboratoire spécialisé.
Documenter. Si l'enjeu peut devenir judiciaire, photographier l'état, noter les numéros de série, tracer chaque manipulation (chaîne de custody, chapitre 14).
Cinq questions tranchent la suite. La règle commune à tous les cas physiques : ne rien forcer, ne rien réécrire, et imager avant d'agir.
Quel symptôme correspond à quelle panne — et quelle action immédiate ?
Symptôme observé
Diagnostic probable
Action immédiate
Clics répétés sur HDD
Têtes HS — physique
Éteindre, ne pas rebrancher
HDD silencieux, non détecté
PCB ou moteur HS — physique
Éteindre, envoi labo
HDD détecté, capacité absurde (0, 8 Mo)
Service Area corrompue
Envoi labo (PC-3000)
HDD détecté, grandes lenteurs
Secteurs défectueux — physique évolutif
Imagerie d'urgence (ddrescue)
SSD non détecté du tout
Contrôleur HS — physique
Éteindre, envoi labo (JTAG/chip-off)
SSD détecté, capacité bizarre
Firmware corrompu — physique
Envoi labo
Partition manquante, table corrompue
Logique
Image ddrescue puis TestDisk
Fichiers supprimés sur HDD
Logique — fenêtre large
Débrancher, image, R-Studio
Fichiers supprimés sur SSD
Logique — fenêtre courte (TRIM)
Débrancher immédiatement
Volume RAW (NTFS/exFAT corrompu)
Logique
Image puis R-Studio / UFS Explorer
Fichiers chiffrés, extensions inconnues
Ransomware
Voir chapitre 12
Mot de passe demandé sur tout le disque
BitLocker / FileVault / LUKS
Trouver la clé de récupération
Quand faut-il passer par un laboratoire ?
Trois critères, dont un seul suffit : le support n'est pas détecté ou émet des bruits anormaux (physique → labo) ; les données sont irremplaçables et critiques (médical, judiciaire, professionnel à fort enjeu — labo même si le cas semble simple) ; vous avez déjà tenté quelque chose qui a aggravé la situation (arrêtez et laissez un pro évaluer ce qui reste).
Comment reconnaître un laboratoire sérieux ?
Critères à vérifier : salle blanche ISO 5 certifiée (demander le certificat ISO 14644-1) ; diagnostic gratuit et paiement au résultat (standard de marché en 2026) ; liste des fichiers récupérables communiquée avant paiement (chez DAFOTEC, le service « VeriFiles » : le client valide la liste avant facturation) ; confidentialité écrite (NDA) ; réputation vérifiable. Références internationales : Ontrack, Kroll, DriveSavers, Gillware, Secure Data Recovery. En France : DAFOTEC à Roubaix (laboratoire ISO 5 depuis 2004 ; clients institutionnels Gendarmerie Nationale, CHU Tourcoing, CNRS, INSERM, universités).
Signes d'un laboratoire douteux
Si on vous demande un règlement intégral avant diagnostic, ou qu'on vous promet un taux de succès garanti, partez. Aucun laboratoire sérieux ne promet une récupération avant d'avoir ouvert le support.
Le cœur opérationnel : imager un support (la fondation de tout), analyser la couche logique, sculpter des fichiers par carving, intervenir physiquement sur HDD et SSD, et gérer les configurations RAID.
Trois règles d'or, valables pour tous ces chapitres
(1) Imager d'abord, travailler ensuite sur l'image. (2) Ne jamais écrire sur le support source — ni installer un logiciel dessus, ni y récupérer des fichiers. (3) Sur SSD avec TRIM, chaque seconde sous tension réduit la fenêtre : débrancher tôt vaut mieux que diagnostiquer tard.
Partie III — Méthodes · Chapitre 6
Imagerie sécurisée : la fondation de tout
Pourquoi imager avant toute intervention ?
L'imagerie consiste à créer une copie bit à bit du support source vers un fichier image, puis à travailler exclusivement sur cette image. L'original est mis de côté. Trois raisons : sauvegarder ce qui peut l'être (la première lecture peut être la dernière qui réussit) ; travailler sereinement (autant d'essais qu'on veut sur l'image) ; préserver la preuve (l'original scellé avec son hash, tout travail sur copie hashée — recevable en justice, norme ISO 27037).
ddrescue : l'outil de référence open source
GNU ddrescue surpasse dd par trois éléments : un mapfile qui enregistre les zones copiées/à recopier/échouées et permet de reprendre exactement ; une stratégie en plusieurs passes (rapide d'abord, agressive ensuite) ; une gestion fine des secteurs en erreur. Première étape impérative : identifier le périphérique avec certitude — une erreur de lettre, et c'est un disque sain qui est écrasé.
Workflow ddrescue
# 1. Identifier le bon disque (le serial confirme la cible)
lsblk -o NAME,SIZE,MODEL,SERIAL,TRAN
# 2. Première passe rapide : on copie le facile, on saute le reste
sudo ddrescue -f -n -d /dev/sdX image.img image.map
# 3. Deuxième passe ciblée, 3 tentatives par secteur
sudo ddrescue -f -d -r3 /dev/sdX image.img image.map
# Passe inverse pour les cas sévères
sudo ddrescue -f -d -R -r3 /dev/sdX image.img image.map
# 4. Sceller, puis explorer l'image en lecture seule
sha256sum image.img > image.img.sha256
sudo losetup --read-only --find --show image.img
sudo mount -o ro,noload /dev/loop0p1 /mnt/recup # ext4
sudo mount -t ntfs-3g -o ro,norecover /dev/loop0p1 /mnt/recup # NTFS
Attention
Sur un disque qui claque (têtes HS), ne pas dépasser -r3 : chaque tentative supplémentaire peut endommager la surface. Sur un problème purement électronique, on peut aller jusqu'à -r10. Et stockez toujours le mapfile et l'image sur un support distinct du source.
Quelles alternatives à ddrescue ?
FTK Imager (gratuit, Windows) : images E01 ou DD brut, hash MD5/SHA automatique, support des write blockers. Guymager (Linux, GUI) : pratique pour l'imagerie forensique occasionnelle. dc3dd : variante de dd pour la forensique (hash à la volée, journalisation). Côté matériel, PC-3000 Disk Imager, DeepSpar et Atola gèrent les supports gravement endommagés mieux que le logiciel pur (contrôle du contrôleur, gestion des resets, masquage des têtes HS) — réservés aux laboratoires.
Write blockers
Pour les cas forensiques, on intercale un write blocker matériel entre le support et la machine : il laisse passer les lectures, bloque physiquement les écritures (Tableau, WiebeTech). Pour un usage prudent non forensique, le blocage logiciel blockdev --setro sous Linux suffit en pratique.
Analyse logique et réparation du système de fichiers
Quel est le principe ?
Sur l'image obtenue, l'analyse logique cherche à réparer ou interpréter les structures du FS plutôt que de chercher directement des fichiers dans les données brutes. C'est presque toujours plus efficace que le carving : on récupère non seulement le contenu, mais aussi les noms, les dates et l'arborescence. Règle absolue : on ne répare jamais le FS sur le support original — toujours sur une copie de l'image.
TestDisk : reconstruire la table de partition
TestDisk (CGSecurity) est la référence pour réparer les tables MBR/GPT et récupérer des partitions effacées. Workflow : testdisk image.img → « None » pour le log → sélectionner le disque et le type de table → « Analyse » puis « Quick Search » → « Deeper Search » si nécessaire → vérifier puis « Write ».
NTFS, ext4, APFS, Btrfs : les outils par FS
Analyse logique — exemples
# NTFS — The Sleuth Kit : lister (dont supprimés) puis extraire par inode
fls -r -p image.img > fichiers.txt
icat image.img 12345 > fichier_recup.bin
# Références commerciales : R-Studio, UFS Explorer ; gratuits : MFTECmd (Zimmerman)# ext4 — extundelete / debugfs
sudo extundelete --restore-file 'home/user/important.pdf' /dev/sdb1
sudo extundelete --restore-all /dev/sdb1
sudo debugfs /dev/sdb1 # puis : lsdel · stat <inode> · dump <inode> /tmp/out# APFS — exploiter les snapshots
tmutil listlocalsnapshots /
diskutil apfs listSnapshots /Volumes/data
# Btrfs / ZFS — restaurer depuis un snapshot
sudo btrfs subvolume list /volume1
zfs list -t snapshot
Le principe est universel : parcourir les structures d'index (MFT en NTFS, inodes en ext4, B-Tree en APFS, chunk tree en Btrfs), identifier les entrées supprimées (bit de présence à 0) et retrouver les blocs associés. Sur les NAS Synology DSM 7 / QNAP QTS 5, les snapshots Btrfs activés par défaut sont la raison pour laquelle de nombreuses attaques ransomware (eCh0raix, QlockerBunny, DeadBolt) se contournent sans payer.
Le data carving reconstitue des fichiers en cherchant leurs signatures binaires dans les données brutes, sans utiliser le système de fichiers. C'est une opération de dernier recours, quand la couche logique est trop endommagée : formatage complet, image brute issue d'un chip-off, réinstallation d'OS par-dessus l'ancien, support tellement corrompu que les outils logiques ne trouvent rien.
Quatre niveaux de sophistication
Niveau 1 — signature simple (header/footer) : on cherche un magic number de début puis on lit jusqu'à la fin du format. Très efficace sur fichiers non fragmentés, échoue dès qu'un fichier est fragmenté. Niveau 2 — carving sémantique : on exploite la structure interne (table xref d'un PDF, central directory d'un ZIP) pour reconstituer des fichiers fragmentés. Niveau 3 — analyse d'entropie : l'entropie de Shannon par bloc distingue texte / compressé / chiffré. Niveau 4 — apprentissage automatique : Belkasoft X et Magnet AXIOM annoncent des modules ML depuis 2024-2025, prometteurs mais limités en pratique.
Format
Header (hex)
Footer / fin
JPEG (JFIF)
FF D8 FF E0
FF D9
PNG
89 50 4E 47 0D 0A 1A 0A
49 45 4E 44 AE 42 60 82
PDF
25 50 44 46 (%PDF)
25 25 45 4F 46 (%%EOF)
ZIP / DOCX / XLSX
50 4B 03 04
Variable
MP4 / MOV (offset 4)
66 74 79 70 (ftyp)
Pas de footer fixe
SQLite
53 51 4C 69 74 65 …
—
PhotoRec : le standard open source
PhotoRec (CGSecurity) reconnaît plus de 480 formats et reste la référence du carving signature. Lancer photorec image.img, choisir le support, le type de table, le FS d'origine, restreindre les types via « File Opt », puis le dossier de sortie. Compter plusieurs heures pour 1 To.
Attention
PhotoRec ne récupère jamais les noms d'origine (il renomme en f0000001.jpg). Pour un usage forensique sérieux, préférer une approche FS-aware (chapitre 7) quand c'est possible.
Les limites dures du carving
Fragmentation : sur FS très fragmentés, le carving signature récupère le premier fragment puis du bruit.
Chiffrement : un contenu chiffré a une entropie maximale et ne ressemble à aucun format.
Compression : un fichier compressé qui a perdu ses premiers blocs est irrécupérable même si le reste est intact.
Faux positifs : sur 1 To de NAND brute, le carving peut produire des millions de fichiers, dont 99 % de bruit.
La salle blanche : pourquoi est-elle non négociable ?
Les têtes volent à quelques nanomètres au-dessus de la couche magnétique. Une poussière atmosphérique (5 à 50 µm) coincée sous une tête en mouvement, c'est l'équivalent d'une voiture à 200 km/h heurtant un mur : la couche magnétique est rayée, souvent irrémédiablement. La norme ISO 14644-1 classe les salles blanches par concentration de particules :
Classe ISO
Particules ≥ 0,5 µm / m³
Usage typique
ISO 3
1 000
Salle blanche avancée
ISO 4
10 000
Fabrication semi-conducteurs standard
ISO 5
100 000
Récupération HDD professionnelle
ISO 6
1 000 000
Insuffisant pour HDD
Air ambiant
~35 000 000
Hors-sujet
La norme pour la récupération HDD est ISO 5 — ce qu'on trouve chez les laboratoires sérieux (DriveSavers, SalvageData, Gillware, Secure Data Recovery, Ontrack) et en France chez DAFOTEC à Roubaix.
Attention
Ouvrir un HDD dans une pièce ordinaire, même propre, est une garantie quasi certaine de destruction supplémentaire. Les vidéos d'amateurs faisant un head swap dans leur garage sont irresponsables : elles ignorent l'environnement à 35 millions de particules par m³.
Head swap : la greffe de têtes
Quand les têtes sont HS, on les remplace par celles d'un disque donneur physiquement identique. Procédure : diagnostic confirmant que les plateaux sont sains ; sourcing d'un donneur strictement identique (les labos gardent des centaines de modèles en stock) ; ouverture des deux disques sous flux laminaire, démontage avec outils dédiés et séparateurs de têtes ; transfert de l'ensemble têtes/bras ; refermeture ; imagerie immédiate avant que la nouvelle combinaison ne s'use. Le donneur doit être identique jusqu'à la révision firmware — sinon le disque tourne mais ne lit rien (calibration têtes/firmware figée à l'usine).
PCB swap et reprogrammation ROM
Si la panne est sur le circuit imprimé (surtension, TVS grillé), on remplace le PCB par celui d'un donneur. Mais sur la plupart des disques modernes, des paramètres de calibration spécifiques sont stockés dans une ROM sur le PCB : sans transfert de cette ROM (dessoudage/resoudage, ou PC-3000 via connexion COM/UART aux points de test), le disque produira des données illisibles.
Cas particuliers : SMR, stiction, plateaux rayés
Sur un disque SMR avec firmware ou zone de translation corrompue, il faut reconstruire le mapping LBA → emplacement physique en tenant compte du cache et des bandes (modules PC-3000 SMR depuis 2020 ; taux de succès inférieur au CMR). La stiction peut parfois se « décoller » manuellement en salle blanche — très délicat, on risque d'arracher la couche. Pour des plateaux rayés localement, on récupère ce qui est hors de la zone rayée ; si la rayure est profonde, c'est terminal. Le platter swap (transfert de plateaux vers un boîtier donneur) est l'intervention la plus délicate du métier, à réserver aux cas extrêmes : le moindre désalignement angulaire (< 0,1°) rend les plateaux illisibles.
Plateformes hardware professionnelles
Trois plateformes dominent : PC-3000 (ACE Lab) — standard de facto, modules HDD/SSD/Flash/RAID/mobile et base par contrôleur/firmware ; DeepSpar Disk Imager — imagerie HDD avec contrôle bas niveau ; Atola Insight Forensic — forensique avancée, détection automatique des têtes défaillantes. L'équipement complet d'un laboratoire (PC-3000 + adaptateurs + micro-soudure + salle blanche ISO 5) représente plusieurs dizaines de milliers d'euros : c'est la raison principale pour laquelle la récupération physique est facturée à plusieurs centaines d'euros minimum.
Sur un HDD, la donnée est magnétique et persistante : si on fait tourner et lire les plateaux, on y accède telle quelle. Sur un SSD, la donnée est électrique (charge piégée, volatile dans le temps), embrouillée (scrambled par le contrôleur), codée par un ECC propriétaire, mappée par une FTL que seul le contrôleur d'origine connaît, et souvent chiffrée matériellement. Trois techniques, de la moins à la plus destructive :
JTAG / ISP : la voie non destructive
Les contrôleurs SSD exposent souvent des points de test de débogage (JTAG, ou ISP — In-System Programming). En soudant temporairement des fils fins et en connectant un programmeur dédié, on lit le firmware, on injecte un loader de récupération qui court-circuite le firmware mort et accède à la NAND via le contrôleur, ou on fait parler le contrôleur normalement et on image via SATA/NVMe. Avantage majeur : la NAND est lue par son contrôleur d'origine — désembrouillage, ECC et déchiffrement (si la clé est présente) sont gérés automatiquement, sans détruire le support. Outils : PC-3000 Flash (adaptateurs JTAG), RTPro, Medusa Pro.
Chip-off : la technique de dernier recours
Si JTAG échoue (contrôleur mort, points de test absents), on dessoude les puces NAND pour les lire indépendamment. La dépose exige une station de rework à air chaud calibré (profil thermique précis), une protection thermique du PCB et un microscope binoculaire. La lecture se fait sur un programmeur NAND universel (PC-3000 Flash, FlashExtractor). Mais le vrai défi est la reconstruction logique :
Désembrouiller les pages : inverser le XOR pseudo-aléatoire du contrôleur (LFSR) — impossible sans connaître son polynôme.
Décoder l'ECC : reproduire le pipeline LDPC à plusieurs centaines de bits de parité par page.
Réassembler les pages selon le schéma d'entrelacement multi-puces propre au contrôleur.
Reconstruire la FTL à partir des métadonnées de chaque page (spare area) — le travail le plus complexe.
Si le SSD était chiffré matériellement et que la clé du contrôleur n'a pas pu être récupérée : c'est fini, le contenu lisible est du chiffré.
Cette reconstruction explique qu'un chip-off complet sur SSD moderne puisse prendre des semaines, et que le coût soit élevé (forfaits jusqu'à 950 € HT pour les pannes complexes).
Le cas Apple Silicon : la difficulté maximale
Les Mac à puce T2 (2018+) ou Apple Silicon M1-M4 intègrent le contrôleur SSD dans le SoC, la NAND est soudée à la carte mère, le chiffrement est lié à la Secure Enclave et FileVault est actif par défaut. Sans le mot de passe utilisateur, c'est impossible. Avec le mot de passe mais une carte mère défaillante, les labos spécialisés peuvent, en dernier recours, transplanter les composants critiques (SoC contenant la Secure Enclave) sur une carte mère donneuse vierge pour préserver la cohérence cryptographique, puis lire les NAND.
Un RAID combine plusieurs disques pour la performance, la résilience, ou les deux. Les niveaux courants en 2026 :
RAID 0 ne tolère aucune panne ; RAID 5 reconstitue un disque manquant par calcul de parité. Règle d'or : ne jamais relancer de reconstruction automatique sur un array dégradé — imager chaque disque d'abord.
Niveau
Description
Tolérance
Usage
RAID 0
Striping pur, performance
Aucune
Caches, scratch — jamais pour des données
RAID 1
Mirroring
1 disque
Petits serveurs, simplicité
RAID 5
Striping + parité distribuée
1 disque
NAS, serveurs PME — courant
RAID 6
Striping + double parité
2 disques
Stockage grande capacité
RAID 10
Miroir de stripes
Jusqu'à N/2
Performance + redondance
SHR
Synology Hybrid RAID, taille variable
1 (SHR) ou 2 (SHR-2)
NAS Synology
La règle d'or RAID : imager AVANT toute chose
Le piège mortel, c'est la reconstruction automatique (rebuild) sur un array dégradé : elle écrit massivement sur les disques restants, et si un autre disque mourait silencieusement, la charge peut le faire basculer.
Attention
Sur un RAID dégradé contenant des données importantes : arrêter le serveur, étiqueter physiquement chaque disque avec sa position dans la baie, et imager chaque disque individuellement avant toute autre opération. La reconstruction se fera plus tard, sur les images, dans un environnement isolé.
Reconstruction logicielle : retrouver les bons paramètres
Une fois chaque disque imagé en lecture seule, on reconstruit le RAID virtuellement (R-Studio Network, UFS Explorer RAID, ReclaiMe Pro, ou mdadm en open source). Le défi est de retrouver l'ordre des disques, la taille de bande (64/128/256 Ko), le schéma de rotation de parité (left-symmetric, etc.), l'offset initial, et le parity delay sur certains Dell PERC / HP Smart Array. Quand les métadonnées sont corrompues, on devine les paramètres par analyse entropique.
Support : RAID 5 / 6 disques de 4 To · Délai : 48 h (astreinte) · Forfait : 2 700 € HT
Symptôme. Coupure de courant et surtension. Au redémarrage, le contrôleur PERC H730 signale 3 disques « Foreign » et refuse de monter l'array. La reconstruction automatique avait heureusement été désactivée.
Intervention. Étiquetage physique de chaque disque, clonage forensique des 6 disques (ddrescue + write blocker) vers des disques identiques. Reconstruction virtuelle de la parité XOR sans aucune écriture sur les originaux ; identification de l'ordre et du parity delay du PERC H730 par analyse entropique.
Résultat. 22 To de données comptables récupérés intégralement. Reprise d'activité en moins de 48 h.
Cabinet comptable (38 collaborateurs), Lyon — arrêt d'activité évité. Cas publié sur dafotec.fr.
NAS Synology / QNAP : la voie des snapshots
Les NAS utilisent des FS modernes (Btrfs sur Synology, ZFS sur certains QNAP) avec leurs métadonnées propres (SHR, SHR-2). Quand un NAS tombe : ne jamais le réinitialiser (la config RAID est sur les disques), extraire les disques en notant leur ordre, examiner avec mdadm --examine. Face à un ransomware NAS, la procédure type est : clonage forensique → assemblage en lecture seule (mdadm --assemble --readonly) → montage btrfs -o ro,recovery → btrfs subvolume list -s pour identifier les snapshots antérieurs à l'attaque → extraction des données propres. Sur de nombreuses attaques eCh0raix, QlockerBunny et DeadBolt, cela évite tout paiement.
Support monolith (microSD, clé USB tout-en-un) : la technique Spider Web
Les supports monolith noient la NAND, le contrôleur et l'interface dans une même résine époxy. Quand le composant est endommagé, on ne peut ni dessouder ni accéder au contrôleur classiquement. La technique : (1) abraser au laser ou chimiquement la résine pour exposer les pistes ; (2) identifier au microscope les broches data de la NAND ; (3) micro-souder des fils de cuivre de 0,02 mm (15 à 30 fils) ; (4) dump brut au programmeur NAND ; (5) reconstruction logique. DAFOTEC documente publiquement cette procédure sous le nom Spider Web — très peu de laboratoires français la maîtrisent.
Retour de labo — DAFOTEC · Carte microSD de drone DJI Mavic 3
Support : microSD 256 Go UHS-II (monolith) · Délai : 4 jours · Forfait : 320 € HT
Symptôme. Drone crashé d'environ 40 m. Carte non reconnue, contacts oxydés, résine fissurée sur le bord supérieur.
Intervention. Spider Web : abrasion laser de la résine au niveau des broches NAND, identification au microscope, micro-soudure de 28 fils de cuivre de 0,02 mm. Dump brut puis reconstruction logique (descrambling, ECC, réassemblage).
Résultat. 240 Go récupérés sur 256 — 4 h 20 de vidéos 4K. Les 16 Go manquants correspondaient à des secteurs physiquement écrasés à l'impact.
Vidéaste professionnel, Nice — tournage commercial sauvé. Cas publié sur dafotec.fr.
Trois domaines où les techniques générales se heurtent à des contraintes spécifiques : le chiffrement (qui peut transformer un cas trivial en impossible), les supports mobiles, et le contexte judiciaire où la procédure compte autant que la technique.
Partie IV — Cas spéciaux · Chapitre 12
Chiffrement et récupération
Pourquoi le chiffrement change-t-il tout ?
Quand un support n'est pas chiffré, la donnée est lisible par quiconque accède au stockage. Quand il est chiffré, la donnée n'est plus une information : c'est une suite de bits indistinguable de bruit aléatoire. La récupération devient un problème de cryptanalyse — c'est-à-dire, en pratique, impossible sans la clé.
BitLocker (Windows)
BitLocker chiffre le volume en AES-128 ou AES-256. La clé maître (FVEK) est protégée par un ou plusieurs protecteurs : TPM (libérée au démarrage si l'état système est conforme), mot de passe, clé de récupération à 48 chiffres, clé USB. Sans protecteur, l'AES correctement implémenté résiste à toute attaque connue. La bonne piste systématique : la clé de récupération sauvegardée dans le compte Microsoft (account.microsoft.com) ou chez l'administrateur AD/Azure.
FileVault (macOS) et LUKS (Linux)
FileVault 2 chiffre tout le volume APFS en AES-XTS ; sur Apple Silicon, c'est activé par défaut et géré par la Secure Enclave. Voies : mot de passe utilisateur, clé de récupération à 24 caractères (iCloud), ou clé institutionnelle (Mac d'entreprise). LUKS (standard Linux, cryptsetup) stocke jusqu'à 8 slots de passphrase ; avec passphrase connue, cryptsetup open ; en-tête corrompu mais sauvegardé, on restaure ; sans rien, Argon2/PBKDF2 rendent le brute force impraticable.
Conseil de prévention
Sauvegarder l'en-tête LUKS dès l'installation (cryptsetup luksHeaderBackup) est une bonne pratique : une corruption des premiers secteurs sans sauvegarde rend le volume définitivement illisible.
Self-Encrypting Drives (SED, TCG Opal)
Le chiffrement matériel intégré au contrôleur est de plus en plus la norme : toujours actif (clé par défaut si aucun mot de passe), activable via BIOS/UEFI ou TCG Opal Manager, et effaçable instantanément par crypto erase. Plusieurs SSD ont eu des implémentations Opal défaillantes (Crucial MX100/MX200, Samsung 840/850 EVO avant firmware EMT02B6Q) — mais compter là-dessus, c'est jouer au loto.
Ransomware : qu'est-ce qui est réellement possible ?
Les fichiers sont chiffrés avec une clé (AES) elle-même chiffrée par la clé publique de l'attaquant ; sans la clé privée, le déchiffrement est mathématiquement impossible. Voies à examiner avant de céder au désespoir :
Decryptor public ? No More Ransom (nomoreransom.org), porté par Europol — plus de 200 outils en 2026.
Machine encore allumée ? La clé AES en clair peut être en mémoire vive (Volatility, DumpIt).
Shadow Copies ? Sur Windows, vssadmin list shadows peut révéler des clichés que le ransomware n'a pas supprimés.
Snapshots Btrfs/ZFS sur NAS ? La plupart des ransomwares NAS oublient les snapshots en lecture seule (procédure au chapitre 11).
Sauvegardes immuables ou air-gappées ? Question primordiale (chapitre 17).
Faut-il payer ? 64 % des victimes refusaient en 2024 (DBIR 2025). Payer n'offre aucune garantie de déchiffrement.
Attention — conserver les fichiers chiffrés
Même si on ne peut pas les déchiffrer aujourd'hui : les clés des ransomwares historiques sont régulièrement saisies (LockBit, Hive, REvil) et publiées des mois ou des années après. Stockez les fichiers chiffrés sur un disque hors-ligne ; un jour, vous pourrez peut-être les déchiffrer.
Retour de labo — DAFOTEC · NAS Synology DS920+ chiffré par eCh0raix
Support : NAS RAID 5 / 4 disques de 8 To · Délai : 7 jours · Forfait : 1 800 € HT
Symptôme. Attaque eCh0raix sur un NAS exposé à Internet. Tous les fichiers chiffrés (extension .encrypt). Deux disques membres également en erreur côté contrôleur.
Intervention. Clonage forensique des 4 disques (ddrescue), assemblage en lecture seule du volume SHR Btrfs via mdadm, analyse des snapshots Btrfs, identification du dernier snapshot antérieur à l'attaque (nuit précédente), extraction du subvolume sain par btrfs send/receive.
Résultat. 24 To récupérés via le snapshot Btrfs J-1. Aucune rançon payée.
PME e-commerce (12 salariés), Lille — base de données produits intacte. Cas publié sur dafotec.fr.
Étude de cas — Maersk & NotPetya (juin 2017)
Le 27 juin 2017, Maersk est touché par NotPetya, malware destructeur déguisé en ransomware, propagé via une mise à jour piégée du logiciel comptable ukrainien M.E.Doc. En 7 minutes : 45 000–49 000 postes et 4 000 serveurs détruits, dont la totalité des ~150 contrôleurs de domaine Active Directory. NotPetya n'est pas réversible. Maersk avait des sauvegardes des serveurs, mais aucune des contrôleurs de domaine — l'architecture supposait qu'ils se répliquaient mutuellement. Or ils ont tous été détruits en même temps.
Salut inattendu : un contrôleur de domaine au Ghana était hors ligne au moment de l'attaque (panne de courant locale). Il a survécu, a été acheminé physiquement à Londres, et a servi de base pour reconstruire toute l'infrastructure. Bilan : 10 jours de paralysie, 250-300 M$ de pertes pour Maersk (~10 Md$ au global avec Merck, FedEx/TNT, Mondelez, Saint-Gobain).
Leçon. Des sauvegardes en ligne et synchrones entre elles ne protègent pas contre une attaque qui les détruit toutes simultanément. La survie est venue d'un hasard ; une sauvegarde air-gappée l'aurait remplacé. Sources : Wired (2018) ; Control Engineering (2025).
Pourquoi un smartphone est-il si difficile à récupérer ?
Un smartphone moderne contient souvent plus de données personnelles qu'un PC, mais c'est l'un des supports les plus difficiles : chiffrement par défaut (iPhone depuis 2010, Android 6 depuis 2015), stockage eMMC/UFS monolithique (NAND et contrôleur dans une même puce), et liaison forte avec un compte cloud. La récupération passe quasi systématiquement par de la réparation board-level.
iPhone : la Secure Enclave
Depuis l'iPhone 5s (2013), la Secure Enclave stocke les clés et applique une politique stricte. Toute donnée NAND est chiffrée par une clé liée au code et à un UID matériel. Le chip-off donne du chiffré ininterprétable. Les outils forensiques pros (Cellebrite UFED, GrayKey) exploitent des failles non publiques de certaines versions iOS — fenêtres qui se ferment à chaque mise à jour. Pour le particulier : sauvegarde iTunes/Finder ou iCloud.
Android : TrustZone et CPU swap
L'équivalent Android de la Secure Enclave est TrustZone, intégré au SoC (Qualcomm, MediaTek, Exynos). La NAND est cryptographiquement liée au SoC. Quand la carte mère est brisée mais la NAND intacte, le CPU swap consiste à dessouder le SoC et la NAND et à les retransplanter sur une carte mère donneuse identique, en préservant leur liaison cryptographique. Pour un Android verrouillé perdu, la voie la plus praticable reste la sauvegarde Google.
Smartphones physiquement détruits
Quand le téléphone est détruit (chute, écrasement, carte mère cassée), des techniques avancées existent en laboratoire : micro-soudure board-level (réparation des pistes, remplacement PMIC/U2), CPU swap mobile (transplantation du processeur contenant la Secure Enclave/TEE), ou lecture directe de la NAND désoudée — mais sans la Secure Enclave, on n'obtient que du chiffré.
Retour de labo — DAFOTEC · iPhone 15 Pro écrasé par un tracteur
Support : iPhone 15 Pro · Délai : 10 jours · Forfait : 380 € HT
Symptôme. iPhone passé sous les roues d'un tracteur. Châssis plié à 90°, carte mère fissurée transversalement en deux, écran pulvérisé, aucune réponse à l'alimentation.
Intervention. Micro-soudure forensique de la carte mère sous microscope : reconnexion des pistes de part et d'autre de la fissure. Transplantation du processeur A17 Pro (CPU swap mobile, contenant la Secure Enclave et donc les clés) sur une carte mère donneuse vierge en station BGA. Préservation de la chaîne cryptographique, extraction de l'image UFS en mode DFU.
Résultat. 100 % des contacts, SMS, photos, calendrier et données applicatives (WhatsApp, banque) récupérés.
Agriculteur, Normandie — carnet de contacts professionnel sauvé. Cas publié sur dafotec.fr.
Mac Apple Silicon : T2 et M1-M4
SSD soudé, contrôleur dans le SoC, FileVault par défaut : une panne d'alimentation board-level suffit à rendre l'appareil non démarrable malgré une NAND intacte. Procédure type (mot de passe FileVault connu) : analyse aux schematics pour identifier les rails morts, réparation au niveau composant des MOSFET/PMIC grillés, transplantation des composants critiques si nécessaire, lecture du SSD via interface DFU matérielle, déchiffrement par le mot de passe, extraction sur support neuf.
Retour de labo — DAFOTEC · MacBook Pro M2, SSD soudé, mise à jour bloquée
Support : MacBook Pro 14" M2 (2023) · Délai : 5 jours · Forfait : 480 € HT
Symptôme. Bloqué au logo Apple après une mise à jour macOS 14.4. Mode recovery impossible, aucune lecture par DFU standard. Cliente en possession du mot de passe FileVault.
Intervention. Extraction de la carte mère, analyse au boardview, identification d'un rail d'alimentation défectueux côté SSD soudé. Lecture directe des puces NAND Apple via interface DFU matérielle après réparation board-level, déchiffrement via le mot de passe fourni.
Résultat. 890 Go récupérés sur 1 To — bibliothèque Lightroom, projets Final Cut Pro et documents professionnels intacts.
Réalisatrice indépendante, Bordeaux — 3 ans de rushes sauvés. Cas publié sur dafotec.fr.
Le rôle des sauvegardes cloud
Pour les supports mobiles, c'est presque toujours la voie la plus productive : iCloud (photos, contacts, mail, sauvegardes iOS), Google (Photos, contacts, agenda, sauvegardes Android), WhatsApp/Signal/Telegram. La majorité des particuliers ignorent ce qu'ils ont sauvegardé automatiquement.
Qu'est-ce qui la distingue de la récupération classique ?
La récupération classique veut récupérer ce qui peut l'être ; la forensique judiciaire ajoute un second objectif : produire un résultat recevable devant un tribunal. La procédure devient aussi importante que la technique : documentation continue (chain of custody), vérification d'intégrité par hash à chaque étape, write blockers, reproductibilité, outils reconnus.
ISO/IEC 27037 : la norme de référence
La norme définit le cadre international en quatre phases : identification (localiser les supports), collecte (prise de possession documentée), acquisition (copie forensique vérifiée), préservation (intégrité dans le temps, chaîne de custody). En France, l'expert judiciaire opère dans le cadre du Code de procédure pénale et doit être inscrit près une cour d'appel ; les saisies sont effectuées par la PJ avec l'appui d'experts.
La chaîne de custody, pas à pas
Documentation à la réception : photos haute résolution sous tous les angles, fabricant/modèle/n° de série/capacité, état physique, procès-verbal signé daté à la minute.
Étiquetage et scellement : sachet scellé numéroté, numéro tracé dans un registre maître.
Conservation : coffre ou armoire verrouillée, accès tracé.
Vérification croisée : hash sur la source via le write blocker, comparé au hash de l'image — concordance bit à bit.
Re-scellement immédiat de la source, photo, registre.
Analyse exclusivement sur copies de l'image, chaque outil et version journalisés.
Rapport : support, procédure, hashs, outils, méthodologie, conclusions, artefacts, signature et date.
Attention
Ne jamais démarrer la machine cible sur son OS d'origine : tout démarrage modifie des centaines de fichiers (timestamps, logs, registre) et peut suffire à invalider la preuve. Toujours retirer le disque ou démarrer sur un live forensique en lecture seule (CAINE, Tsurugi). Une chaîne de custody défaillante peut rendre l'ensemble des conclusions non recevables, quelle que soit la qualité technique.
Outils et artefacts Windows à analyser
Outils : EnCase, FTK (FTK Imager gratuit), X-Ways Forensics, Magnet AXIOM, Belkasoft X, The Sleuth Kit + Autopsy (open source). Artefacts Windows : registre (NTUSER.DAT, SOFTWARE, SYSTEM, SAM — USB connectés, programmes via UserAssist/ShellBags/MUICache), Prefetch, ShellBags, Corbeille, $LogFile et $UsnJrnl, Event Logs (.evtx), navigateurs (historique, cache, téléchargements).
De la théorie aux choix concrets : quels outils dans quelle situation, et quels pièges éviter — avec deux études de cas historiques sourcées et quatre scénarios pas-à-pas qui couvrent les cas les plus fréquents.
Partie V — Pratique · Chapitre 15
Outils 2026 : panorama réaliste
Ce chapitre ne donne ni « note sur 5 » ni « taux de récupération » chiffré : ces classements sont presque toujours issus de sites affiliés, basés sur des tests non reproductibles, ou copiés d'année en année. Ce qui suit est une description fonctionnelle et un positionnement honnête.
Outils open source
ddrescue (imagerie, voir ch. 6) · TestDisk (tables de partition — souvent tout ce dont on a besoin pour un cas logique) · PhotoRec (carving, 480+ formats) · The Sleuth Kit + Autopsy (suite forensique complète) · extundelete / ext4magic / debugfs (triade ext4) · outils d'Eric Zimmerman (MFTECmd, RECmd, PECmd, Timeline Explorer — devenus références du DFIR Windows).
Outils grand public, PME et professionnels
Grand public / PME : Disk Drill, EaseUS Data Recovery Wizard, Recuva (suppressions récentes simples), Stellar. Professionnels : R-Studio (référence technicien, très bon sur NTFS/ext4/APFS/RAID), UFS Explorer (excellent sur APFS, ZFS, Btrfs, NAS, RAID complexes), ReclaiMe Pro (reconstruction RAID et configs propriétaires SHR/ZFS/Storage Spaces).
Outils forensiques et plateformes hardware
Forensiques (institutions, entreprises spécialisées) : EnCase, FTK, X-Ways, Magnet AXIOM, Belkasoft X, Cellebrite UFED, Oxygen Forensic, MSAB XRY. Hardware de laboratoire : PC-3000 (ACE Lab, standard de facto), DeepSpar, Atola — plusieurs dizaines de milliers d'euros d'investissement.
Matrice de décision : quel outil pour quelle situation ?
Situation
Premiers outils à essayer
Suppression récente sur HDD
TestDisk + PhotoRec (gratuit) ou Disk Drill / EaseUS
Suppression sur SSD (TRIM probable)
Recuva/EaseUS sans grand espoir ; SSD débranché → labo
Volume devenu RAW (NTFS/exFAT)
TestDisk pour la partition, R-Studio / UFS Explorer pour le FS
NAS Synology/QNAP HS
Sortir les disques, UFS Explorer Professional ou ReclaiMe Pro
RAID 5 dégradé
Imager d'abord, puis R-Studio Network / UFS Explorer RAID
Mac FileVault, clé connue
Target disk mode + copie, ou R-Studio for Mac
Mac FileVault, clé inconnue
Vérifier iCloud ; sinon renoncer
HDD qui claque
Éteindre → labo (jamais soi-même)
SSD non détecté
Labo (JTAG / chip-off)
Cas judiciaire
FTK Imager + Autopsy, ou suite pro (X-Ways, EnCase, AXIOM)
Recuva, EaseUS, Disk Drill sont efficaces sur les pannes logiques simples de supports sains. Ils deviennent dangereux sur les pannes physiques : ils forcent des milliers de lectures sur un disque aux têtes endommagées, aggravant les rayures. Sur SSD, monter le support déclenche TRIM. Ce n'est pas un défaut des outils — c'est une inadéquation fondamentale.
Installer un logiciel de récupération sur le support source — l'installation écrit là où sont les fichiers supprimés.
Récupérer les fichiers sur le support source — variante tout aussi catastrophique.
Laisser un SSD sous tension après l'incident — TRIM et garbage collection continuent.
Accepter la réparation automatique de Windows — chkdsk /f, autorepair : Windows écrit, déplace, supprime activement.
Ouvrir un HDD hors salle blanche — une poussière provoque un head crash immédiat.
Dessouder une puce NAND au fer à souder — sans station de rework calibrée, la puce est détruite.
Conserver les sauvegardes dans le même environnement que la production — le ransomware cible les sauvegardes accessibles (cas Code Spaces ci-dessous).
Étude de cas — Code Spaces (juin 2014)
Plateforme de code hosting (SVN et Git) avec 7 ans d'historique, intégralement hébergée sur AWS. Le 17 juin 2014, attaque DDoS suivie d'une demande de rançon dans la console EC2 : l'attaquant avait obtenu l'accès au panneau AWS (credentials compromis, sans MFA). Code Spaces refuse de payer et tente de reprendre la main ; l'attaquant lance alors une suppression méthodique — EBS snapshots, S3 buckets, AMI, instances EC2. Point critique : les sauvegardes étaient dans le même compte AWS que la production. Tout a été supprimé simultanément. Le 18 juin, 12 heures après le début de l'attaque, Code Spaces annonce sa cessation d'activité.
Leçons. Ne jamais stocker les sauvegardes dans le même compte/domaine que la production ; MFA obligatoire sur tout compte d'administration cloud ; principe du moindre privilège ; plan de réponse à incident testé. Sources : Threatpost (2014) ; InfoWorld ; Wiz breaches.cloud (2023).
Quatre scénarios pas à pas
A — Clé USB exFAT formatée par erreur (logique). Le formatage rapide a réécrit la table FAT, pas les clusters. Débrancher → imager (ddrescue) → TestDisk sur l'image → si besoin PhotoRec → récupérer ailleurs. Issue typique : récupération complète, noms souvent intacts.
B — SSD NVMe, suppression 30 min plus tôt (logique, TRIM). Éteindre immédiatement (bouton physique) ; si SSD soudé, ne pas rallumer → labo ; sinon connecter en lecture seule (blockdev --setro), imager, tenter R-Studio/TestDisk. Issue : aléatoire — si le GC est passé, peu ou rien.
C — RAID 5 dégradé après mauvaise manipulation. Arrêter le serveur, ne plus lancer de rebuild, étiqueter chaque disque, les imager individuellement avec write blockers, travailler sur les images (R-Studio Network / UFS Explorer, ou labo). Issue : récupérable dans la majorité des cas si aucun second rebuild n'a écrasé les données.
D — NAS Synology chiffré par ransomware. Isoler du réseau (débrancher l'Ethernet), arrêt normal, sortir les disques en notant l'ordre, assembler en lecture seule sous Linux (mdadm --assemble --readonly), monter Btrfs en recovery, lister les snapshots, extraire depuis le dernier snapshot antérieur à l'attaque. Issue : souvent 100 % sans payer si les snapshots étaient configurés ; sinon vérifier nomoreransom.org.
Quand savoir s'arrêter ?
Quatre signes imposent de passer la main : support physiquement détérioré ; plusieurs tentatives infructueuses ; enjeu supérieur au coût d'un professionnel ; enjeu judiciaire.
La meilleure récupération est celle qu'on n'a jamais à faire. Les stratégies de sauvegarde modernes, et un point honnête sur ce qui reste hors d'atteinte en 2026.
Partie VI — Prévention · Chapitre 17
Stratégies de sauvegarde modernes
La règle 3-2-1 et son extension 3-2-1-1-0
Formulée en 2005 par Peter Krogh dans The DAM Book : 3 copies, sur 2 supports différents, dont 1 hors site. Vingt ans plus tard, l'omniprésence du ransomware a poussé Veeam à proposer l'extension : +1 copie immuable ou air-gappée (qu'un attaquant ne puisse pas supprimer) et +0 erreur de restauration, vérifiée par des tests réguliers.
La règle 3-2-1 (Peter Krogh, 2005) étendue en 3-2-1-1-0 face au ransomware moderne : une copie immuable/air-gap, et zéro erreur de restauration vérifiée par des tests.
Sur l'origine
La règle 3-2-1-1-0 est du marketing Veeam, pas un standard ANSSI ou NIST. Cela ne lui enlève rien sur le fond : l'immutabilité et l'air-gap sont devenues incontournables face au ransomware moderne. Les principes sont repris par Object First, Wasabi, Backblaze B2 (Object Lock), Azure Blob, Synology SnapLock.
Mettre en œuvre l'immutabilité et l'air-gap
Object Lock S3 (AWS, Backblaze B2, Wasabi, MinIO) — mode compliance : une donnée écrite ne peut être ni modifiée ni supprimée avant l'expiration de la rétention, même par le propriétaire du bucket. Hardened Linux Repository (chattr +i, SSH désactivé pour root). Snapshots NAS immuables (Synology SnapLock, QNAP WORM). L'air-gap déconnecte physiquement le support : bande LTO en coffre, disque USB rangé après sauvegarde, rotation de disques hors site. Sa garantie est simple : si l'attaquant prend le contrôle un mardi à 14 h, il ne peut pas supprimer la sauvegarde du mardi précédent qui dort dans un tiroir éteint.
La vérification de restauration : le « 0 » négligé
Beaucoup d'organisations ont des sauvegardes jamais testées. Causes fréquentes d'échec : corruption silencieuse (bit rot), chaîne incrémentale cassée, agent planté depuis des mois, application qui ne démarre pas depuis la sauvegarde. Bonne pratique : test de restauration trimestriel minimum (mensuel pour les systèmes critiques), documenté.
Pour le particulier, pour la PME
Particulier : un disque externe (Time Machine / File History), un cloud personnel (iCloud, Google One, Backblaze Personal), une troisième copie sur clé USB chez un proche pour l'irremplaçable, et un test annuel. PME : sauvegarde quotidienne automatique (Veeam, Acronis, Datto, Synology Active Backup), au moins une copie cloud immuable et une copie air-gappée hebdomadaire, MFA sur tous les comptes d'admin, test de restauration mensuel documenté, et un plan de reprise écrit testé une fois par an.
SSD avec TRIM passé et GC effectuée : les cellules sont à leur état neutre, aucune technique ne récupère.
Données chiffrées par AES-256 sans la clé : mathématiquement irréalisable. L'ordinateur quantique pourrait affaiblir AES-128 (Grover) mais pas AES-256, et n'existe pas à l'échelle utile en 2026.
Plateaux HDD avec la couche magnétique arrachée : l'information était dans le métal.
Fichiers chiffrés par ransomware moderne sans la clé et sans erreur d'implémentation.
RAID 5 avec plus d'un disque HS (RAID 6 avec plus de deux) : la parité ne suffit plus.
Données écrasées par réécriture complète : le mythe de la rémanence magnétique est démenti — un seul passage de zéros sur un HDD moderne rend la donnée irrécupérable.
Qu'est-ce qui devient difficile ?
La récupération mobile (Secure Enclave, TEE, chiffrement par défaut — Cellebrite et GrayKey exploitent des failles qui se ferment à chaque mise à jour) ; le SSD classique (TRIM fiable, chiffrement matériel généralisé, fenêtre raccourcie) ; le cloud (suppression définitive côté provider de plus en plus rigide).
Le message à retenir
La récupération de données est une discipline réelle, techniquement complexe, qui a fait d'énormes progrès mais se heurte à des limites physiques et mathématiques de plus en plus serrées. Les méthodes des chapitres 6 à 11 fonctionnent dans une majorité de cas, mais dépendent presque toujours du temps entre l'incident et la première bonne décision. La meilleure stratégie reste de ne pas avoir à récupérer : prévention, sauvegarde réelle testée, discipline opérationnelle. Le chapitre 17 est, en pratique, le plus utile du livre.
Où va la discipline dans les cinq à dix prochaines années ? Quelles technologies de stockage vont la remodeler, quelles approches émergentes (IA, post-quantique) vont changer le terrain ? Sans promesses : des tendances qu'on voit déjà se dessiner.
Partie VII — Horizon · Chapitre 19
Horizon 2030 : où va la discipline
Côté supports : densité et complexité croissantes
La PLC NAND (5 bits/cellule, 32 niveaux) annoncée par Solidigm et Kioxia se commercialise progressivement sur 2026-2028 pour les SSD de très grande capacité : marges entre niveaux sous les 100 mV, endurance en chute, lecture brute par chip-off encore plus difficile — la voie JTAG/ISP via contrôleur vivant restera la principale option. Le HAMR (Seagate Mozaic, 30 To+) se généralisera : pas de changement fondamental de méthode (head swap, PCB swap restent applicables) mais des marges techniques resserrées et une Service Area encore plus critique. Le stockage ADN, holographique et optique 5D reste de la R&D : densités et durées de vie spectaculaires, mais lire une donnée ADN dans 50 ans sans le séquenceur original n'est plus le même métier.
Côté méthodes : l'IA aide en aval, pas en amont
Magnet AXIOM, Belkasoft X et Cellebrite annoncent depuis 2024-2025 des modules ML (classification d'images, réassemblage de fragments, résumé de conversations). Ces approches accélèrent la classification post-extraction sur de gros volumes, mais ne font pas de miracle au niveau du carving low-level : récupérer des fichiers fragmentés depuis de la NAND brute reste un problème combinatoire dur. Des publications académiques (USENIX, FAST) explorent l'usage de réseaux de neurones pour identifier le scrambling et le pipeline ECC d'un contrôleur — encore expérimental, à surveiller à 3-5 ans.
Côté cryptographie : le post-quantique
Le NIST a finalisé en 2024 ses premiers standards post-quantiques (CRYSTALS-Kyber, Dilithium, SPHINCS+). AES-256 reste robuste contre Grover ; les remplacements post-quantiques pour le chiffrement matériel (TCG Opal) arriveront probablement à partir de 2028-2030. Comme toujours, des erreurs d'implémentation rouvriront temporairement des fenêtres de récupération inattendues — surveiller les avis CVE/CERT-FR.
Côté juridique et économique
NIS2 (UE, depuis octobre 2024) et DORA (secteur financier, depuis janvier 2025) imposent des obligations renforcées de sauvegarde, de continuité et de tests de reprise : la récupération devient un point réglementaire. Côté marché, trois tendances : la tarification publique s'impose comme norme (DAFOTEC publie une grille complète, d'autres suivent) ; le paiement au résultat devient standard ; la validation avant paiement (VeriFiles et équivalents) devient une attente client explicite.
Le métier disparaît-il ?
Non. Trois éléments convergent : le volume total de stockage croît exponentiellement (le résiduel non protégé augmente en valeur absolue) ; les pannes matérielles restent inéluctables (AFR HDD ~1,3 %/an, durée de vie SSD finie) ; les exigences réglementaires imposent des récupérations documentées de plus en plus rigoureuses. Ce qui change : le métier devient plus technique, plus normé et plus concentré. La discipline ne disparaît pas — elle se professionnalise.
Le manuel inclut en outre deux parsers Python pédagogiques : un analyseur de mapfile ddrescue (statistiques par catégorie de blocs) et un extracteur d'entrées MFT supprimées. Exemple du premier :
parse_ddrescue_mapfile.py (extrait)
import sys
from collections import Counter
STATUS = {'+':'rescued','?':'non-tried','*':'non-trimmed',
'/':'non-scraped','-':'bad-sector','F':'finished','L':'slow'}
def parse(path):
totals = Counter()
for line in open(path):
line = line.strip()
if not line or line.startswith('#'): continue
parts = line.split()
if len(parts) < 3 or parts[2] not in STATUS: continue
totals[parts[2]] += int(parts[1], 16)
return totals
# Usage : python3 parse_ddrescue_mapfile.py image.map
Avertissement
Ces scripts sont pédagogiques et minimalistes. Pour un usage sérieux, préférer MFTECmd (Zimmerman) côté NTFS et The Sleuth Kit côté générique : ils servent à comprendre la structure, pas à remplacer les outils éprouvés.
Advanced Encryption Standard. Chiffrement symétrique standardisé NIST (2001). AES-128 et AES-256 résistent à toutes les attaques connues avec les moyens classiques.
AFR
Annualized Failure Rate — taux de panne annualisé d'un parc de disques.
Air-gap
Isolation physique d'un système ou support du réseau, rendant impossible sa suppression à distance.
APFS
Apple File System (2017). Copy-on-write, snapshots, support FileVault natif.
BGA
Ball Grid Array — boîtier à matrice de billes de soudure sous le composant, courant pour les puces NAND.
Bit Rot (NAND)
Dégradation spontanée de cellules chargées non relues pendant des mois, source d'erreurs non corrigibles par l'ECC.
Carving
Récupération aveugle par détection de signatures de formats dans le flux brut, sans utiliser le système de fichiers.
Chaîne de custody
Documentation continue de chaque manipulation d'une preuve numérique, de la saisie à la restitution.
Charge-trap (CTF)
Cellule NAND moderne où la charge est piégée dans un isolant. Adoptée massivement depuis 2017.
Chip-off
Dessoudage physique d'une puce NAND pour la lire indépendamment de son contrôleur.
CMR / PMR
Conventional / Perpendicular Magnetic Recording — écriture HDD à pistes séparées, réécriture indépendante de chaque piste.
CPU Swap mobile
Transplantation du processeur d'un smartphone (avec sa Secure Enclave/TEE) sur une carte donneuse, préservant la liaison cryptographique. Documenté publiquement par DAFOTEC.
De-striping
Reconstruction des paramètres d'un array RAID (taille de bande, ordre, rotation de parité) par analyse des données brutes.
ECC
Error-Correcting Code — correction d'erreur appliquée par le contrôleur SSD à chaque page NAND.
eMMC / UFS
Mémoires flash à contrôleur intégré pour smartphones (UFS, haut de gamme, succède à l'eMMC).
ext4
Système de fichiers Linux par défaut depuis 2008.
FileVault
Chiffrement de volume macOS. Géré par la Secure Enclave sur Apple Silicon.
FTL
Flash Translation Layer — couche du contrôleur SSD qui mappe les LBA logiques aux pages physiques NAND et gère wear leveling et garbage collection.
Garbage collection
Processus de fond du contrôleur SSD qui efface physiquement les blocs marqués libres.
Greffe HSA
Transplantation du bloc complet de têtes depuis un disque donneur jumeau, en salle blanche ISO 5, alignement < 0,3 µm.
HAMR
Heat-Assisted Magnetic Recording — écriture HDD assistée par laser. Commercialisée depuis 2024 sur les très gros disques.
ISO 14644-1
Norme des classes de salle blanche par concentration de particules.
ISO/IEC 27037
Norme pour l'identification, la collecte, l'acquisition et la préservation de preuves numériques.
JTAG / ISP
Protocole de débogage interne des contrôleurs SSD, exploité en récupération non destructive.
LBA
Logical Block Address — adresse logique exposée par l'interface SATA/NVMe.
LDPC
Low-Density Parity-Check — code correcteur des contrôleurs SSD modernes, succédant aux codes BCH.
LUKS
Linux Unified Key Setup — standard de chiffrement de volume Linux.
MFT
Master File Table — structure centrale de NTFS (une entrée de 1 024 octets par fichier).
Object Lock S3
Immuabilité d'un objet pour une durée définie sur stockage compatible S3 — protège les sauvegardes contre les ransomwares.
Over-provisioning
Espace NAND réservé par le contrôleur SSD, invisible à l'utilisateur.
PC-3000
Plateforme matérielle ACE Lab, standard de facto de la récupération professionnelle.
DAFOTEC est un laboratoire français de récupération de données fondé à Roubaix en 2004. Ce manuel a été rédigé par Mhessan Kouassi, expert chez DAFOTEC depuis la création du laboratoire, fort de 22 années de pratique et de plus de 120 000 cas traités.
Identité
Laboratoire 59 Bis rue du Curoir, CS 40082, 59052 Roubaix Cedex (France)
Couverture 36 centres de dépôt en France, enlèvement national, laboratoire unique à Roubaix
Certifications et conformité
Salle blanche ISO 5 (ISO 14644-1) à Roubaix.
Conformité RGPD pour le traitement des données personnelles.
Conformité ISO 27001 pour la sécurité de l'information.
Traitement des supports sensibles sur réseau physiquement isolé d'Internet (air-gapped).
Clients institutionnels
DAFOTEC est régulièrement retenu, sous accord de confidentialité, par des organismes publics et institutions scientifiques (cités avec leur autorisation) : Gendarmerie Nationale, Centre Hospitalier de Tourcoing, CNRS, INSERM, universités françaises.
Modèle commercial
Diagnostic gratuit sous 24 heures en laboratoire.
Paiement au résultat : le forfait n'est facturé qu'en cas de succès. En cas d'échec ou de refus du devis, seuls 25 € de reconditionnement et de retour sont dus.
VeriFiles : la liste complète des fichiers récupérables est communiquée avant tout paiement ; le client valide puis accepte ou refuse le devis sans frais.
Grille tarifaire publique : 300 € HT pour un disque dur, 400 € HT pour un SSD, 300 € HT pour un smartphone, 550 € HT par disque pour un NAS, 700 € HT par disque pour un RAID. Jusqu'à 950 € HT pour les pannes les plus complexes.
4,9/5 sur 797 avis vérifiés Ekomi à la date de publication (mai 2026).
Pourquoi ce manuel est gratuit
Distribué gratuitement sous licence Creative Commons BY-NC-ND 4.0, téléchargeable sans inscription depuis dafotec.fr et dafotec.be. La raison est cohérente avec sa mission : réduire la désinformation du secteur, éviter aux particuliers, PME et administrations les mauvaises premières décisions qui rendent la récupération impossible, et donner aux techniciens et étudiants une base francophone solide et sourcée. DAFOTEC est un laboratoire commercial, mais l'effort de vulgarisation a une valeur en soi : si ce manuel évite une mauvaise manipulation, sa rédaction est justifiée.
Questions fréquentes sur la récupération de données
Quelle est la différence entre récupération logique et physique ?
En récupération logique, le support est intact et détecté : le problème est dans le logiciel (système de fichiers corrompu, partition supprimée, fichiers effacés, ransomware) et les données brutes sont presque toujours encore là. En récupération physique, le matériel est en panne (support non détecté, bruits anormaux, contrôleur mort) et l'intervention exige une salle blanche pour les disques durs ou une station de micro-soudure pour les SSD.
Mon disque dur fait des clics : que dois-je faire ?
Éteignez-le immédiatement et ne le rebranchez pas. Les clics signalent presque toujours des têtes de lecture défaillantes : chaque rotation supplémentaire étend la zone rayée sur les plateaux et détruit davantage de données. C'est l'une des rares vraies urgences — confiez le disque à un laboratoire équipé d'une salle blanche, sans tenter de logiciel.
J'ai supprimé un fichier sur un SSD, est-il récupérable ?
Peut-être, mais la fenêtre est très courte. Sur un SSD moderne avec TRIM actif, la suppression déclenche un effacement physique des cellules en quelques secondes à minutes. Débranchez le support immédiatement, ne le rebranchez pas sur la même machine, et faites-le analyser au plus vite. Considérez toutefois la perte comme probable, contrairement à un disque dur où le fichier survit jusqu'à réécriture.
Combien de temps a-t-on pour récupérer un fichier supprimé ?
Cela dépend du support. Sur un disque dur, un fichier supprimé reste récupérable tant que ses secteurs n'ont pas été réécrits — souvent des jours ou des semaines. Sur un SSD avec TRIM, la fenêtre se mesure en secondes à minutes après la suppression. Dans tous les cas, la règle est : cesser d'utiliser le support et agir vite.
Peut-on récupérer des données sur un disque chiffré sans le mot de passe ?
Non, si le chiffrement (AES-256, BitLocker, FileVault, LUKS) est correctement implémenté : sans la clé, les données sont du bruit aléatoire et la récupération est mathématiquement impossible. La seule voie est de retrouver un moyen de déverrouillage : mot de passe, clé de récupération (compte Microsoft, trousseau iCloud), ou clé institutionnelle en entreprise.
Faut-il payer la rançon en cas de ransomware ?
Payer n'offre aucune garantie de déchiffrement, et 64 % des victimes refusaient en 2024. Avant tout, examinez les decryptors publics (No More Ransom), la mémoire vive si la machine est encore allumée, les Shadow Copies Windows, et surtout les snapshots Btrfs/ZFS sur NAS — que la plupart des ransomwares oublient. Conservez aussi les fichiers chiffrés : les clés sont parfois publiées des mois plus tard.
Peut-on ouvrir un disque dur soi-même pour le réparer ?
Non. Les têtes volent à quelques nanomètres au-dessus des plateaux ; une seule poussière atmosphérique provoque un head crash irréversible. L'ouverture exige une salle blanche ISO 5. Les vidéos d'amateurs ouvrant un disque dans un garage ignorent un environnement à 35 millions de particules par m³ et détruisent presque toujours davantage de données.
Comment savoir si TRIM est activé sur mon SSD ?
Sous Windows : « fsutil behavior query DisableDeleteNotify » (0 = TRIM activé). Sous Linux : « cat /sys/block/sdX/queue/discard_max_bytes » (valeur non nulle = TRIM disponible) et « systemctl status fstrim.timer ». Sous macOS : « system_profiler SPSerialATADataType | grep -i 'TRIM Support' ».
Que faire face à un RAID 5 dégradé ?
N'enclenchez aucune reconstruction automatique : elle écrit massivement sur les disques restants et peut achever un disque qui mourait silencieusement. Arrêtez le serveur, étiquetez physiquement chaque disque avec sa position, et faites imager chaque disque individuellement avant toute reconstruction, qui se fera ensuite sur les images dans un environnement isolé.
Comment reconnaître un laboratoire de récupération sérieux ?
Vérifiez une salle blanche ISO 5 certifiée (certificat ISO 14644-1), un diagnostic gratuit et un paiement au résultat, la communication de la liste des fichiers récupérables avant paiement, une confidentialité écrite (NDA) et une réputation vérifiable. Fuyez tout laboratoire qui exige un règlement intégral avant diagnostic ou promet un taux de succès garanti.
Combien coûte une récupération de données chez DAFOTEC ?
Le diagnostic est gratuit et le paiement se fait au résultat. La grille publique : 300 € HT pour un disque dur, 400 € HT pour un SSD, 300 € HT pour un smartphone, 550 € HT par disque pour un NAS et 700 € HT par disque pour un RAID, jusqu'à 950 € HT pour les pannes les plus complexes. En cas d'échec ou de refus du devis, seuls 25 € de reconditionnement et de retour sont dus.
Les logiciels de récupération grand public sont-ils dangereux ?
Ils sont utiles sur les pannes logiques simples de supports sains, mais dangereux sur les pannes physiques : ils forcent des milliers de lectures sur un disque aux têtes endommagées, aggravant les rayures, et sur SSD, monter le support déclenche TRIM. Ne les installez jamais sur le support source et ne récupérez jamais les fichiers vers ce même support.
Une perte de données ? Ne prenez pas le risque d'une mauvaise première décision.
Le laboratoire DAFOTEC diagnostique gratuitement votre support sous 24 h, en salle blanche ISO 5. Vous validez la liste des fichiers récupérables (VeriFiles) avant tout paiement — et vous ne payez qu'en cas de succès.