Disquette 3.5 pouces. Récupération donnée

Tout ce qui concerne le logiciel original et sa sauvegarde avec entre autre la régénération des disquettes ou autres supports physiques.

Modérateurs : Carl, Papy.G, fneck

spawnish83
Messages : 1
Inscription : 18 nov. 2021 13:01

Disquette 3.5 pouces. Récupération donnée

Message par spawnish83 »

Bonjour tout le monde. Je ne suis pas un spécialiste.
J'ai en ma possession une disquette 3.5 pouces qui contient un fichier texte datant de 1993. La disquette fonctionne bien.
Je dois prouver que le texte a bien été écrit à cette époque et prouver qu'aucune modification de date n'a été faite récemment.
En quelque sorte je dois accéder à l'historique des modifications...
Si quelqu'un pouvait m'aider, je lui serais éternellement reconnaissant
Bonne journée
Daniel
Messages : 14444
Inscription : 01 mai 2007 18:30
Localisation : Vaucluse
Contact :

Re: Disquette 3.5 pouces. Récupération donnée

Message par Daniel »

Prouver scientifiquement la date du texte est probablement impossible, car la date enregistrée dans la disquette peut être très facilement falsifiée.
On peut seulement récupérer la date de dernière modification du fichier. Elle est enregistrée dans le répertoire de la disquette, mais elle ne prouve rien.
Cette date est affichée quand on liste le répertoire.
Daniel
L'obstacle augmente mon ardeur.
Fool-DupleX
Messages : 1521
Inscription : 06 avr. 2009 12:07

Re: Disquette 3.5 pouces. Récupération donnée

Message par Fool-DupleX »

En l'absence de toute information utile, on va dire que c'est une disquette formattée pour MS-DOS ou Windows, donc FAT (12, 16 ou 32).

La réponse à la question est donc simple et rapide : c'est impossible. Ces systèmes de fichiers n'ont ni journaling ni figures d'intégrité. Par conséquent, le contenu de la disquette est falsifiable à souhait et il n'y a pas d'historique des modifications.

On aurait pu espérer que le fichier lui-même contienne une figure d'intégrité ou un historique, mais si c'est un .TXT, il n'y en a pas.

En extrayant l'intégralité de la disquette dans une image et en allant fouiller la FAT à la recherche des fichiers effacés et en fouillant les secteurs non alloués, on peut éventuellement retrouver des bribes de précédentes versions du fichier en question, mais c'est tout. Si le fichier a été effacé ou modifié plusieurs fois, il y a peut-être d'anciennes entrées de catalogue avec des dates différentes, mais tout aussi falsifiables.

Il ne reste donc que l'analyse de la rémanence magnétique sur la surface pour tenter d'estimer quand dans le temps la disquette a pu être accédée pour la dernière fois en écriture et conclure que le fichier n'a pas été modifié depuis. Une opération de dernier recours que même un cas judiciaire grave justifie rarement, compte tenu de la difficulté de l'opération.

Bref, ne cherchons pas, c'est impossible. Je m'épanche, alors que Daniel a su répondre en 3 lignes. Grillé !
gotcha
Messages : 1533
Inscription : 30 mars 2017 11:39
Localisation : Isère

Re: Disquette 3.5 pouces. Récupération donnée

Message par gotcha »

Un chose déjà à faire est de sauvegarder le contenu de la disquette en en faisant une image si possible en format flux magnétique (style kryoflux). Ensuite, ne plus toucher à la disquette. A partir de là, on peut travailler sans risque sur l'image.

@Fool-DupleX on peut dater une écriture sur disquette un peu à la manière d'une datation au carbone 14 ? J'imagine qu'on baissant le courant de la tête de lecture (que crois que le DD utilise un courant moins fort que le HD), on doit pouvoir faire croire à une écriture ancienne.
Amstrad CPC addict :mrgreen:
Fool-DupleX
Messages : 1521
Inscription : 06 avr. 2009 12:07

Re: Disquette 3.5 pouces. Récupération donnée

Message par Fool-DupleX »

+1, Gotcha. J'aurais dû préciser qu'il ne faut jamais travailler sur l'élément de preuve lui-même, mais sur une copie à l'identique (ce qui est de moins en moins facile à réaliser, paradoxalement avec les systèmes modernes; on utilisera des outils spécialisés comme ceux-ci ou celui-la).

Concernant l'analyse de surface, il est effectivement possible de mesurer la rémanence magnétique et d'estimer ainsi l'ancienneté de l'écriture. Typiquement, un secteur comporte des informations de synchronisation et de topologie, qui ne sont écrites qu'au formatage, alors que le contenu du secteur est lui réécrit plusieurs fois plus tard en fonction des sauvegardes. En mesurant la différence, on peut estimer le temps entre le moment du formatage le moment de l'écriture du secteur, ou entre l'écriture de deux secteurs différents. On utilisera un modèle d'atténuation pour extrapoler la date, comme avec le carbone 14. Mais ca reste une estimation (de l'ordre de l'année), impossible de donner une date précise, encore moins une heure. Par contre, si une vieille disquette a été récemment réécrite pour en falsifier le contenu, ça se voit comme le nez au milieu de la figure. Je n'ai jamais entendu parler de situation où l'ont avait trafiqué le matériel d'enregistrement pour contourner ce type d'analyse.

Sachant que les pistes ne sont pas parfaitement concentriques (et donc chaque réécriture ne passe pas exactement au même endroit), on peut parfois même retrouver d'anciennes informations qui ont été écrasées, par analyse spectrale du signal.

L'analyse de surface n'est pas faite avec un lecteur de disquette mais avec une tête qui scanne toute la surface, à la manière d'un scanner à image. On obtient une carte topologique en 2D (image d'illustration) et on reconstitue ensuite les données avec un outil logiciel ad hoc.

Un certain nombre de méthodes et d'algorithmes en tous genres ont été développés au fil du temps pour empêcher la récupération par analyse de la rémanence.

Mais honnêtement, j'ai dû voir ça (la datation) deux fois en 15 ans pour une affaire judiciaire. C'est une opération complexe, qui se fait en salle blanche, avec des équipements très couteux.

Tout ceci est valable pour n'importe quel support magnétique, bandes, disques durs ... mais pas pour les supports solides, type flash, évidemment.
Avatar de l’utilisateur
fneck
Site Admin
Messages : 15105
Inscription : 01 avr. 2007 12:03
Localisation : Drôme Provençale (26)
Contact :

Re: Disquette 3.5 pouces. Récupération donnée

Message par fneck »

Intéressant tout ça 8)

Donc pour résumer si on veut falsifier une disquette, la solution pourrait être de totalement la reécrire après la modification, y compris les informations de formatage. Il y avait des outils pour faire ça parmi les Norton Utilities, pour régénérer une disquette sans perdre les informations, NDD (Norton Disk Doctor) de mémoire.
Fool-DupleX
Messages : 1521
Inscription : 06 avr. 2009 12:07

Re: Disquette 3.5 pouces. Récupération donnée

Message par Fool-DupleX »

Donc pour résumer si on veut falsifier une disquette, la solution pourrait être de totalement la reécrire après la modification
Réécrire totalement la disquette rend le signal très net, alors que sur une vieille disquette, le signal est atténué et moins net, plus dispersé sur la surface. On verrait immédiatement que la totalité de la disquette a été réécrite récemment, ce qui ne manquerait pas d'éveiller les soupçons. Ca rendrait du coup l'analyse sujette à caution et la preuve serait sans doute écartée, si ce n'est comme indice qu'il y a eu une volonté de la modifier.

Oui, il y avait aussi son concurrent direct, Diskfix, chez Central Point Software.
nouvelhermes
Messages : 79
Inscription : 22 juil. 2020 20:56

Re: Disquette 3.5 pouces. Récupération donnée

Message par nouvelhermes »

Bonjour à tous,

J'ai quelques précisions à ajouter à la discussion.

Déjà, il me semble que les disquettes sont forcément formatées en FAT 12.

Sans rentrer dans les histoires d'analyses de surface qui dépassent complètement mes connaissances, il faut savoir que les disquettes contiennent généralement beaucoup plus d'informations qu'on pourrait le penser.

A part dans le cas où l'on a ajouté le fichier sur une disquette formatée en usine et recopié le fichier en question (et encore...) faire du bluff total peut être plus difficile à réaliser qu'on ne l'imaginerait.

Effectivement, il est possible dans une certaine mesure de bidouiller les dates d'écriture des fichiers, ce qui est plus difficile à réaliser c'est de bidouiller les FAT (il y a toujours deux tables par disquettes), sans parler que si le fichier est situé dans un sous répertoire, les fat des sous-répertoires (qui sont aussi des fichiers) sont mis à jour, effacés, modifiés sur la disquette même, et quelque part il y a bien un système de journal, mais qui ne saute pas forcément aux yeux (que l'on peut voir cependant avec outils comme norton).

La manière d'écrire les fichiers change aussi avec les systèmes d'exploitation, et le bit consacré au label n'a été utilisé qu'à partir de Windows 95 pour les fichiers longs, qui laisse d'ailleurs énormément de traces sur la disquette. Avec des différences assez subtiles, on peut savoir en fonction des traces de quelle fonction utilisée, pouvoir dater avec quel système la fonction a été utilisée.

Après si l'on a travaillé avec la disquettes, il y a forcément des fichiers tmp, bak et compagnie qui ont été écrits puis effacés.

Après il y a aussi la question du formatage, qui laisse énormément de traces en particulier dans le secteur boot, et date de création du catalogue (des fat), et autres infos..

Il n'y a jamais eu d'optimsateurs de disquettes (contrairement aux disques durs) et les fichiers sont enregistrées par ordre chronologique dans le calogue, et d'autres fichiers présents peuvent fournir aussi de nombreuses informations.

Bref, si dans l'absolu effectivement je dirais que scientifiquement il n'est pas possible de dire avec certitude si le fichier date bien de cette époque, il est quand même possible de dater le fichier en question, parce qu'il est effectivement possible de bidouiller certaines infos, mais encore faut-il penser à tout.

Je ne sais pas ce qu'en pensent ceux qui ont répondu, je m'en adresse aux experts, est-ce que faire une copie binaire (avec un outil type WINIMAGE) est suceptible de dégrader la disquette (et de compromettre les preuves) et si cela ne pose pas de problème, et si les données de la disquette ne sont pas confidentielles, le mieux est de poster une copie binaire de la disquette sous forme de fichier IMG qui pourra peut être révéler certains secrets.
Répondre