Données latentes (données ambiantes)

Les données latentes, également connues sous le nom de données ambiantes, sont les informations stockées dans l'ordinateur qui ne sont pas référencées dans les tables d'allocation de fichiers et qui ne sont généralement pas visibles par le système d'exploitation (OS) ou les applications standard. Les données latentes se trouvent dans le contenu d'information restant combiné sur l'ordinateur à partir des fichiers supprimés dans l'espace non alloué, les fichiers d'échange, les fichiers de spooler d'impression, les vidages de mémoire, l'espace libre des fichiers existants et le cache temporaire. Afin de récupérer les fichiers qui ont été supprimés en raison d'une erreur humaine, d'une opération de programme imprévue ou d'autres activités malveillantes comme les ransomwares, les données latentes peuvent être utilisées. Ces informations cachées sont également utilisées dans le cadre de la criminalistique informatique pour récupérer les fichiers qui ont été supprimés. Dans les deux cas, un logiciel spécial est nécessaire. Pour comprendre comment les données latentes restent sur un disque dur, il faut savoir comment les informations sont stockées sur les ordinateurs équipés de disques durs. Ces ordinateurs stockent les données magnétiquement par le biais de têtes de lecture/écriture dans une unité scellée sur un disque métallique circulaire en rotation ou une pile de disques appelés plateaux. Chaque plateau est composé de sections définies logiquement appelées secteurs et divisées en clusters. La plupart des clusters du système d'exploitation ne peuvent contenir plus de 512 octets. Si un fichier texte de 400 octets est enregistré sur le disque, il restera 112 octets d'espace supplémentaire dans un cluster de 512 octets. Lorsque le disque dur de l'ordinateur est tout neuf, l'espace d'un cluster qui n'est pas utilisé est vide, mais cela change avec l'utilisation. Le système d'exploitation ne supprime pas un fichier, mais il rend disponible l'espace dans lequel se trouvait le fichier pour une réaffectation. Ce qui est réellement supprimé est une référence au fichier dans un enregistrement similaire à une table des matières pour le disque dur : la table des fichiers. Si un fichier de 200 octets est ajouté au secteur existant, l'espace restant du cluster pourrait contenir 200 octets. Une partie de cet espace peut être constituée de données restantes du fichier précédent, ainsi que de 112 octets supplémentaires. L'espace libre peut contenir des données que les enquêteurs peuvent utiliser pour trouver des indices sur les utilisations passées de l'ordinateur et les guider dans des recherches plus approfondies. Il peut contenir de petits fichiers disponibles pour la récupération des données ainsi que des morceaux de fichiers plus importants qui couvrent plusieurs clusters. Le fichier swap qu'un système d'exploitation utilise pour stocker la mémoire virtuelle n'est pas accessible à l'utilisateur. Pour récupérer les données latentes d'un ordinateur, le lecteur sur lequel elles se trouvent ne doit pas être utilisé. En fait, s'il s'agit du lecteur du système d'exploitation, vous devriez même éviter de démarrer l'ordinateur, car chaque nouveau fichier ou chaque modification apportée à un fichier peut entraîner la perte de données latentes. Avec la plupart des systèmes d'exploitation, des centaines de fichiers peuvent être modifiés simplement en démarrant un ordinateur. Les outils des organisations gouvernementales seraient capables de lire même les traces des fichiers écrasés.