Réponse courte : les fichiers supprimés sur NTFS sont généralement récupérables tant que leur emplacement d'enregistrement MFT n'a pas été réutilisé et que leurs clusters de données n'ont pas été écrasés. Pour les petits fichiers, le contenu vit souvent à l'intérieur de l'enregistrement MFT lui-même et survit même quand les clusters ont disparu. Le workflow fiable est : arrêter d'utiliser le volume, l'imager, puis soit rejouer la MFT avec un parseur forensique, soit faire du carving en cherchant les signatures FILE.
Pourquoi la suppression n'efface pas
Quand Windows supprime un fichier d'un volume NTFS, trois choses se produisent et une ne se produit pas :
- Le drapeau in-use de l'enregistrement MFT du fichier est effacé.
- Les clusters qui contenaient les données du fichier sont marqués libres dans
$Bitmap. - L'entrée d'index du dossier parent est retirée.
Ce qui ne se passe pas : rien n'écrase l'enregistrement ni les clusters. Ils sont simplement marqués comme disponibles pour la prochaine allocation. Tant que rien d'autre ne les réclame, le fichier est récupérable. Voir ce qui survit à la suppression d'un fichier NTFS pour le détail champ par champ.
Étape 1 : arrêter d'écrire sur le volume
Chaque écriture sur le volume risque de réutiliser l'emplacement de l'enregistrement supprimé ou ses clusters. Si le fichier compte :
- Arrêtez l'application qui l'a touché.
- Si le fichier vivait sur le disque système et que le système tourne, l'OS écrit en permanence. Éteignez ou bootez depuis un support externe.
- Pour un disque externe, démontez immédiatement.
Étape 2 : imager le disque
Travaillez sur une copie, jamais sur l'original. Les options standards :
- FTK Imager — gratuit, GUI, produit des images
.ddou.E01. Hash la source pendant la lecture. ddsous Linux/macOS — copie bit à bit.dd if=/dev/sdX of=disk.img bs=4M conv=noerror,sync status=progress.ddrescue— plus lent, mais tolère les erreurs de lecture sur les disques défaillants.
Hashez l'image (SHA-256) immédiatement après l'acquisition. Toutes les étapes ultérieures travaillent sur l'image.
Étape 3 : récupérer avec l'une des trois approches
Rejeu de la MFT — analysez $MFT (extrayez-la de l'image, ou lisez-la en place) avec un outil qui liste les enregistrements supprimés. Le nom du fichier supprimé, ses horodatages et (pour les petits fichiers) ses données sont récupérables depuis l'enregistrement.
- MFTECmd liste les enregistrements supprimés et tague les données résidentes.
- Le parseur navigateur de ce site filtre les entrées supprimées en un clic et permet d'exporter leurs métadonnées en CSV.
Outils de récupération conscients du système de fichiers — ces outils lisent le système de fichiers vivant (ou une image) et présentent les fichiers supprimés pour restauration sélective :
- R-Studio — commercial, le choix de l'analyste pour NTFS. Gère les dégâts complexes.
- TestDisk + PhotoRec — gratuit, mature, bon pour les dégâts de partition et le carving par signatures.
- Recuva — niveau grand public mais correct pour récupérer un fichier sur un disque.
Carving par signatures — quand la MFT a disparu, scalpel, foremost ou PhotoRec scannent l'image brute à la recherche de signatures de fichiers connues (JPEG FF D8 FF, PNG 89 50 4E 47, ZIP 50 4B 03 04, etc.) et reconstituent ce qu'ils trouvent. Les fichiers carvés perdent leur nom et leurs horodatages — qui vivaient dans la MFT — mais les octets eux-mêmes reviennent.
Qu'est-ce qui est vraiment irrécupérable ?
- Clusters écrasés. Les disques durs modernes n'offrent aucune voie réaliste de récupération pour des données écrasées une seule fois. La fameuse « récupération par magnétisme rémanent » de la vieille littérature forensique ne s'applique pas aux disques de cette décennie.
- Blocs SSD récupérés par TRIM. Une fois qu'un bloc a été TRIM par le contrôleur du SSD, la flash sous-jacente est mise à zéro pendant la garbage collection. La donnée est perdue, et vite.
- Volumes chiffrés sans clé. Les volumes NTFS BitLocker, VeraCrypt ou LUKS sont irrécupérables sans la clé de récupération — le clair n'a jamais touché le disque.
Quand la récupération MFT est la seule option
Si le fichier était un petit fichier texte, une petite configuration JSON ou un petit script, les données étaient probablement résidentes — stockées en ligne dans l'enregistrement MFT plutôt que dans des clusters séparés. Même si $Bitmap a été écrasé des dizaines de fois, les octets résidents sont toujours dans l'enregistrement jusqu'à ce que l'emplacement soit réutilisé. Voir données résidentes.
Pour ces fichiers, le parseur navigateur est souvent le chemin le plus rapide : déposez la $MFT exportée, filtrez sur les entrées supprimées, cherchez les enregistrements avec un $DATA résident, et recopiez les octets.
Questions fréquentes
Combien de temps les fichiers supprimés restent-ils récupérables sur NTFS ?
Jusqu'à ce que l'emplacement MFT soit réutilisé et les clusters de données écrasés. Sur un système actif, cela représente des heures. Sur un système au repos, cela peut atteindre plusieurs mois. Il n'y a pas de minuteur fixe.
Vider la Corbeille rend-il la récupération plus difficile ?
Non. La Corbeille est juste un dossier caché ($Recycle.Bin) sur chaque volume. La « vider » supprime les fichiers normalement — les mêmes techniques de récupération s'appliquent.
Puis-je récupérer un fichier supprimé avec del /F ou shift+suppr ?
Oui — ils contournent la Corbeille mais suppriment de la même manière. L'enregistrement MFT est encore là jusqu'à réutilisation.
Puis-je récupérer des fichiers d'un disque NTFS formaté ?
Le formatage rapide ne réécrit que le boot sector et une $MFT neuve. La majorité des anciens clusters de données sont intacts, tout comme beaucoup d'anciens enregistrements MFT (NTFS réutilise le même décalage de départ). Le carving par signatures récupère beaucoup. Le formatage complet met à zéro le volume — ces données sont perdues.