Qu'est-ce que la sculpture sur fichier?
Le découpage de fichier est une technique utilisée par l'informatique judiciaire pour extraire un fichier formaté ou des données à partir d'un lecteur de disque ou d'un autre périphérique de stockage sans l'assistance du système de fichiers qui a créé le fichier à l'origine. Un certain nombre de méthodes et d’algorithmes différents peuvent être utilisés, mais le processus consiste essentiellement à analyser les données disponibles sur un périphérique de stockage, puis, d’une manière ou d’une autre, à vérifier si ces informations sont un fichier ou contiennent certaines informations prédéfinies d’importance. Un système de fichiers n’est pas présent pendant le processus de gravure de fichier. Par conséquent, le contexte de toutes les informations d’un disque doit être évalué, ce qui signifie que le processus peut durer longtemps et, en fonction de l’état du périphérique de stockage, faible taux de réussite. Il est extrêmement difficile, mais possible, de sculpter des fichiers à partir de lecteurs très fragmentés. Le résultat final d’une création de fichier réussie est la reconstruction d’un fichier de telle sorte que son contenu soit entièrement présent, bien que dans certaines situations, un résultat acceptable puisse consister en un fichier partiellement reconstruit si suffisamment d’informations pertinentes sont récupérées.
Dans certains cas, qu'il s'agisse d'une défaillance matérielle, d'une erreur humaine ou d'une attaque malveillante, le système de fichiers d'un périphérique de stockage et toutes les informations qu'il contient peuvent être effacés. Selon la manière dont les informations ont été supprimées, le disque lui-même peut toujours contenir toutes les informations précédemment présentes, mais dans un flux d'octets non ordonné et désorganisé. Un mécanisme qui rend possible le découpage de fichier est que, lorsque de nombreux systèmes de fichiers effacent un fichier d'un lecteur, ils ne suppriment pas les données mais marquent plutôt cette zone du disque comme étant disponible pour les nouveaux fichiers. Les anciennes données restent jusqu'à ce qu'elles soient écrasées et, même dans ce cas, il y a encore une chance pour qu'elles puissent être récupérées.
Une technique très basique utilisée dans la découpe de fichiers consiste à parcourir des blocs d'informations sur un disque à la recherche de signatures de fichiers. Ce sont des données structurées qui indiquent le début d’un fichier d’un type particulier. Un exemple est le début d'un fichier image pouvant contenir la largeur et la hauteur de l'image et certaines données de la palette de couleurs. Si un bloc de données correspondant proprement à l'en-tête d'un type de fichier est trouvé, il est alors tenté d'interpréter les données après l'en-tête pour voir s'il s'agit bien des données du fichier. En cas de succès, cela pourrait entraîner la reconstruction du fichier d'origine.
Une complication qui se produit lors de la découpe de fichier concerne les fichiers fragmentés, ce qui signifie que le fichier est stocké dans au moins deux emplacements physiques différents sur un disque. Certaines techniques ne tentent pas de reconstruire ces types de fichiers. D'autres méthodes utilisent la connaissance existante des systèmes de fichiers pour tenter de déterminer approximativement l'emplacement des autres parties d'un fichier, bien que ce processus soit très difficile.