Comment les données de votre disque dur sont récupérées par les experts

comment les experts enregistrent votre disque dur panne de données crash bug expertdriverecovery

L'ère numérique a apporté un faux sentiment de sécurité. Toutes les informations présentes sur nos ordinateurs, tablettes et disques durs peuvent sembler magiques, presque immortelles. Contrairement au papier, il ne se déchire pas, ne se plisse pas, ne retient pas la poussière et ne jaunit pas avec l'âge. Au lieu de cela, il reste inchangé et intact, à l'abri de l'usure qui peut si facilement détruire les enregistrements physiques.

Jusqu'au jour où votre disque dur ne fonctionnera pas. En un instant, tout disparaît.

C'est plus probable que vous ne le pensez. Une étude récente publiée par l'Université Carnegie Mellon a révélé que vingt pour cent des lecteurs mécaniques échouent au cours des quatre premières années et, étonnamment, un peu plus de 5% échouent au cours des 18 premiers mois. Et ne pensez pas que les disques SSD sont une panacée; les tests limités réalisés jusqu'à présent montrent qu'ils échouent à peu près au même rythme que les entraînements mécaniques, mais pour des raisons différentes.

flashbackdata

Tout cela signifie que vous devez sauvegarder vos données. Maintenant. Pourtant, beaucoup de gens ne le font pas, ce qui fournit des laboratoires comme Flashback Data sans pénurie de clients. Situé à Austin, au Texas, Flashback Data gère des centaines de disques chaque mois et est le seul laboratoire non gouvernemental d'Amérique à répondre aux normes établies par l'American Society of Crime Laboratory Directors. Nous avons discuté avec Russell Chozick, l'un des techniciens de l'entreprise, pour savoir comment des données perdues peuvent être récupérées à partir d'un disque apparemment mort.

Appeler les experts

La récupération de données par un expert peut être intimidante au début. L'utilisateur moyen, qui n'a aucune idée de la façon de récupérer un lecteur, envisage probablement un processus long, exténuant et coûteux. En fait, le diagnostic du problème d'un lecteur est généralement rapide, c'est pourquoi Flashback Data fournit des évaluations gratuites. «La plupart de nos techniciens travaillent depuis des années», dit M. Chozick, «il ne faut donc pas grand-chose pour savoir ce qui ne va pas. Avec certaines pannes mécaniques, ils connaissent le problème par l'odeur. Bien que les lecteurs mécaniques soient le périphérique le plus couramment envoyé pour la restauration, tous les types de lecteurs imaginables peuvent être réparés, y compris non seulement les lecteurs SSD modernes, mais également les formats hérités tels que les lecteurs de bande et les disquettes. Une fois l'évaluation terminée, un rapport est mis à disposition du client via un rapport en ligne, qui comprend à la fois le diagnostic et un devis. Si c'est accepté,la récupération des données commence; si le client refuse, le lecteur est simplement renvoyé.

expertdatarecovery-1

Les disques mécaniques sont généralement envoyés non seulement en raison de leur popularité, mais aussi parce que les pannes mécaniques sont la principale raison d'une panne soudaine et désastreuse du disque dur. Dans la plupart des cas, le problème survient en raison de l'âge ou d'un défaut du lecteur plutôt que d'un facteur externe, ce qui signifie qu'il n'y a guère d'indication que le lecteur est sur le point de mourir avant qu'il ne se détériore. Les dommages accidentels sont moins courants, mais lorsqu'ils se produisent, ils sont généralement le résultat d'une chute ou d'une bosse au lieu d'un événement plus dramatique, comme un incendie ou une inondation. Les données Flashback regroupent ces destructions accidentelles assistées par l'homme dans la catégorie «erreur de l'utilisateur».

La sécurité des disques reçus par Flashback Data est bien entendu une préoccupation majeure. Flashback Data ne fonctionne pas seulement pour les particuliers, mais aussi pour les entreprises et même les services de police, dont aucun ne veut craindre qu'un étranger puisse fouiner pendant le processus de récupération. Le risque de vol ou d'accès non autorisé est pratiquement éliminé grâce à une configuration de sécurité à trois zones de lourdes portes verrouillées sécurisées avec des lecteurs d'empreintes digitales, qui sont toutes surveillées par une surveillance 24 heures sur 24. La dernière zone de sécurité, le laboratoire lui-même, n'est accessible que par un «piège à homme» - une pièce communicante qui ne permet d'ouvrir qu'une seule porte à la fois. Les livraisons sont laissées dans cette salle et ne peuvent être récupérées par le personnel du laboratoire qu'après le départ du livreur et la fermeture de la porte derrière lui.

expertdatarecovery-6

Même si un ninja réussissait à échapper au piège de l'homme, il aurait du mal à trouver quoi que ce soit d'utile. Les lecteurs ne sont identifiés que par leur numéro de travail, il est donc impossible d'identifier un lecteur sans accéder à la base de données de l'entreprise, qui n'est ouverte qu'aux techniciens de laboratoire via des ordinateurs sur site. Les travaux envoyés pour une enquête médico-légale sont en outre sécurisés par une autre zone verrouillée à l'intérieur du laboratoire, accessible uniquement par une poignée d'enquêteurs autorisés, et les lecteurs impliqués dans une enquête sont stockés dans une cage verrouillée avec des capteurs de mouvement qui surveillent toute tentative d'entrée par le bas ou au dessus.  

Chirurgie du disque dur 

Une fois qu'un lecteur est livré et diagnostiqué et que le client a approuvé le projet de récupération, l'équipe du laboratoire se met au travail. Ce que ce travail implique dépend du lecteur - et de ce qui ne va pas avec lui.

De nombreuses pannes sont de nature mécanique, ce qui signifie que la récupération des données est impossible tant que le disque n'a pas été physiquement réparé. «Lorsqu'un disque est en panne mécaniquement», explique Chozick, «la première étape consiste à se procurer des pièces. Habituellement, nous les avons en interne. Nous avons généralement entre trois et quatre mille pièces sous la main et, au besoin, nous en commanderons encore plus. » Une fois les pièces obtenues, la réparation commence. Les adaptateurs, têtes de lecture / écriture et autres composants qui ont cessé de fonctionner sont remplacés à l'intérieur d'un «poste de travail propre» qui empêche la poussière et autres objets étrangers de pénétrer dans le lecteur ouvert. Bien qu'il s'agisse d'un travail délicat, c'est une seconde nature pour ces experts, qui ont effectué des milliers de réparations.

expertdatarecovery-2

Les pièces mécaniques sont souvent la cause, mais l'électronique peut aussi tomber en panne. La carte mère, par exemple, peut rencontrer des problèmes tels qu'une soudure défectueuse ou des dommages dus à une surtension qui frite des éclats ou fait fondre les contacts. Des problèmes comme ceux-ci sont résolus à l'aide d'un microscope stéréoscopique et d'un équipement de soudage spécialisé, un processus délicat et chronophage rendu plus difficile par la petite taille du matériel moderne.

Une fois qu'un lecteur est opérationnel, l'étape suivante consiste à créer une image du lecteur. Une copie exacte secteur par secteur est faite, ou du moins tentée; des secteurs défectueux peuvent interrompre le processus. Flashback Data utilise des ordinateurs de bureau conventionnels avec des adaptateurs spéciaux pour rendre la restauration possible. Cette configuration permet aux techniciens de laboratoire d'avancer ou de reculer dans les secteurs d'un lecteur pour se concentrer sur certaines données ou d'utiliser des algorithmes personnalisés pour accélérer la récupération. M. Chozick a expliqué qu'un technicien de laboratoire pourrait programmer le matériel pour «faire une passe rapide, et si des secteurs lents sont touchés, sauter 1 000 secteurs et continuer». Cette tactique permet de récupérer rapidement de grandes quantités de données. Si les secteurs défectueux s'avèrent être un problème, les techniciens peuvent revenir en arrière avec un algorithme plus lent et plus détaillé qui recherche secteur par secteur chaque dernier bit encore intact. Même des types de fichiers spécifiques, comme les images .jpeg ou.Les fichiers audio mp3 peuvent être localisés à l'aide d'algorithmes qui recherchent les en-têtes de fichiers connus.

 expertdatarecovery-3

Alors que les lecteurs mécaniques sont assez simples, la mémoire flash présente un défi particulier. Un lecteur flash opérationnel utilise une puce de contrôleur pour gérer les données, et si cette puce cesse de fonctionner ou est corrompue, le tri des fichiers devient un processus long et difficile de navigation dans les données hexadécimales brutes à la recherche de tout ce qui vous semble familier. La récupération n'est possible que parce que les experts savent comment les structures de données clés, telles que les tables de fichiers, se présentent sous forme hexadécimale. Une fois trouvés, ceux-ci peuvent être restaurés, ce qui permet de récupérer la plupart des données d'un lecteur.

Les disques SSD modernes sont encore plus difficiles à utiliser car, contrairement à un lecteur flash (qui peut contenir seulement une ou deux puces), un SSD peut contenir jusqu'à seize puces, chacune ayant des «vidages» séparés sur lesquels les données peuvent être Divisé. Les techniciens doivent analyser les données de chaque dépotoir et les reconstituer comme un puzzle numérique. Les choses sont rendues plus difficiles par les fonctionnalités de cryptage automatique des disques présentes sur de nombreux SSD qui, bien qu'elles puissent fournir une sécurité supplémentaire, rendent la récupération de données normale impossible. Les experts de Flashback Data doivent d'abord se concentrer sur la réparation de la puce du contrôleur elle-même, car c'est le seul moyen de décoder ce qui se trouve sur le disque. 

Rendre le disque dur à la maison

Même avec les disques SSD, qui est le format de stockage le plus difficile à utiliser, le succès vient le plus souvent. «Dans 98% des cas, le disque est renvoyé exactement comme avant la panne», déclare Chozick. «Tous les dossiers, tous les fichiers seront au même endroit.» Même si une telle récupération en profondeur n'est pas possible, les techniciens de laboratoire peuvent généralement trouver et récupérer des fichiers individuels en recherchant dans les données d'un lecteur après son image. Les fichiers renvoyés au client peuvent ne pas avoir leur nom de fichier d'origine et ne pas être organisés, mais au moins ils peuvent être retournés intacts.

expertdatarecovery

Une fois la récupération terminée, les données sont téléchargées sur un serveur local, qui n'est pas connecté à Internet pour des raisons de sécurité. Le client reçoit alors la bonne nouvelle via une notification. Les données sont renvoyées sur un disque physique pour des raisons de sécurité; dans la plupart des cas, un lecteur flash, bien que les travaux plus volumineux puissent nécessiter l'utilisation d'un disque dur mécanique. Alors que la plupart des clients de Flashback Data utilisent Windows, la société est heureuse de renvoyer les données dans le format requis par le client, afin que les utilisateurs de Mac ne soient pas laissés pour compte. Pour les clients, cela signifie que la récupération des données est une affaire plug-and-play.

Bien sûr, une fois les données récupérées, elles doivent être protégées. Bien que Flashback Data gagne de l'argent en aidant les personnes qui ne disposent pas d'une sauvegarde appropriée, M. Chozick était heureux de nous dire ce qu'il pensait être le plus efficace pour l'utilisateur moyen. «Je pense que la sauvegarde la plus simple est un disque dur externe exécutant un utilitaire de sauvegarde. Vous ne pouvez pas simplement compter sur vous pour déplacer des fichiers régulièrement. Et les solutions de sauvegarde dans le cloud sont bonnes, abordables. Ils protègent les données contre les incendies, les catastrophes naturelles et autres événements imprévus. »

Mais si vous oubliez, ne vous inquiétez pas. Les experts peuvent vous aider - moyennant des frais.