En informatique, en l'absence de sauvegardes, la récupération de données consiste à retrouver les données perdues sur un support
Les supports peuvent être des disques durs, des bandes magnétiques, etc.
On distingue les défaillances logicielles et matérielles. Évidemment, les défaillances logicielles appellent des solutions logicielles tandis que les défaillances matérielles appellent une intervention matérielle. Les interventions matérielles permettent souvent de récupérer une partie des données mais elles aboutissent aussi souvent à la destruction du média. Les solutions de récupération logicielles bien mises en oeuvre n'altèrent pas le media. C'est pourquoi, quand la cause de la défaillance est non identifiée, on recommande le plus souvent d'essayer les solutions de récupération logicielles et ensuite seulement une approche matérielle de récupération. En général, le plus souvent, le coût très élevé des approches matérielles de récupération de données et la valeur des informations stockées sur le média limitent la récupération aux seules solutions logicielles.
La récupération de données par logiciel a de multiples motivations : les plus courantes vont de l'erreur humaine involontaire aux virus en passant par les différents degrés de malveillance, l'espionnage et les enquêtes policières. Par exemple, dans l'affaire Clearstream, une partie de l'enquête s'est appuyée sur les données récupérées sur l'ordinateur du général Rondeau, données que ce dernier avait simplement effacées.
Le principe général des approches logicielles de la récupération de données est le suivant: en général, en informatique, les systèmes d'exploitation découpent toutes les ressources en morceaux auxquels ils accèdent à travers des index. Ainsi, très grossièrement, un système d'exploitation, voit un disque dur comme une encyclopédie et le système va utiliser la table des matières de l'encyclopédie afin d'accéder rapidement à tel ou tel article suivant les demandes des utilisateurs. Quand l'utilisateur demande au système d'exploitation d'effacer une structure (un fichier ou une partition par exemple), le système d'exploitation ne détruit pas directement la structure en question. Il se contente de modifier l'index. Ainsi, dans la métaphore de l'encyclopédie, demander au système d'exploitation d'effacer un article, équivaut à retirer l'article en question de la table des matières. L'article effacé, même s'il ne figure plus dans la table des matières, est cependant toujours bien là au milieu des pages de l'encyclopédie.
La récupération de données est une tâche difficile. En effet, en présence de sauvegardes - qu'il s'agisse de copies stockées dans la poubelle de Windows ou dans un quelconque outil de restauration du système, on sort du cadre de la récupération de données. De plus, les systèmes d'exploitation sont d'abord conçus afin d'utiliser les ressources efficacement pour assurer de bonnes performances. Par exemple, l'utilisateur peut demander de l'espace libre au système d'exploitation (pour rajouter un nouvel article à l'encyclopédie par exemple). Dans ce cas, le système d'exploitation peut donner les pages correspondant à l'article effacé à l'utilisateur voulant écrire un nouvel article. Comme les systèmes d'exploitation sont conçus d'abord pour assurer de bonnes performances, la récupération de données est au mieux une pensée après coup. Il est significatif qu'à partir de la version 5, le défunt MS-DOS offrait deux outils de récupération de données ("undelete" et "unformat"). Ces deux outils avaient été repris dans la version 6 mais ont été abandonnés au lancement de Windows 95.
On peut classer les outils logiciels de récupération en trois familles:
Les outils basés sur le système d'exploitation offrent plusieurs avantages: ils sont rapides et permettent d'accéder à des informations - comme le nom du fichier - qui ne sont pas contenus pas dans le fichier proprement dit mais maintenus par le système d'exploitation lui-même. Le désavantage de ces approches est qu'elles ne sont pas exhaustives: il aurait peut-être été possible de récupérer plus de données mais l'analyse des index maintenus par le système d'exploitation ne permet d'en retrouver qu'une partie.
Il n'y a malheureusement pas grand chose à faire pour tenter de pallier le manque d'exhaustivité de ces outils. En effet, ces outils s'appuient sur des structures de données propres au système d'exploitation et ces structures n'ont pas été conçues afin de faciliter la récupération de données. Toutefois, la Journalisation oblige les systèmes à maintenir une quantité plus importante d'information que par le passé permettant un relatif bon fonctionnement des outils de récupération.
Le type de système de fichiers - qu'on peut comprendre grossièrement comme la manière dont est structurée la table des matières dans notre métaphore encyclopédique - caractérise les outils basés sur le système d'exploitation. Les principaux outils sont :
Enfin, certains auteurs ont proposés des outils qui vont fonctionner en tâche de fonds afin de faciliter la récupération de fichiers. Parmi eux, on peut citer:
Les outils basés sur la structure effacée ne souffrent pas des problèmes d'exhaustivité que rencontrent les outils basés sur le système d'exploitation. Ils ont cependant plusieurs inconvénients :
Ces inconvénients peuvent se transformer en avantage dans les cas où le système d'exploitation n'arrive plus à maintenir la cohérence des données qu'il stocke. Dans notre métaphore encyclopédique, ce cas correspondrait à une encyclopédie sans table des matières et dont les pages seraient dans le désordre et/ou manquantes. En pratique, ce cas correspond le plus souvent à une défaillance matérielle.
Les principaux outils basés sur la structure sont:
Les outils mixtes tentent de marier les deux approches afin de n'en conserver que les avantages sans les inconvénients.
On peut citer :