Démarrer

Disque dur formaté ou fichier supprimé : La récupération forensique de wallets est-elle possible ?

Vous venez de commettre l’irréparable. Dans un élan de ménage numérique, vous avez formaté un vieux disque dur externe, ou vous avez vidé la corbeille de votre ordinateur. Quelques secondes plus tard, la réalisation vous frappe comme un coup de poing : « Le dossier Bitcoin était dessus ». Le fichier wallet.dat, contenant les clés privées de vos investissements de 2015, a disparu. L’écran affiche un disque vierge. Pour le commun des mortels, c’est fini. Mais pour un expert en Digital Forensics (investigation numérique), la partie ne fait que commencer. Tant que les données n’ont pas été écrasées magnétiquement, elles sont encore là, invisibles, attendant d’être ressuscitées. Lereum Recoveries vous explique les règles de survie immédiate pour maximiser vos chances de récupération.

I. La règle d’or : « STOP AND DROP » (Arrêtez tout)

Si vous venez de supprimer un wallet ou de formater un disque :

  1. NE TOUCHEZ PLUS À RIEN. Ne créez pas de nouveau dossier. N’installez pas de logiciel de récupération. Ne naviguez pas sur Internet avec cet ordinateur.
  2. COUPEZ L’ALIMENTATION. Débranchez la prise ou forcez l’extinction.

Pourquoi ? Quand vous supprimez un fichier, l’ordinateur ne l’efface pas réellement. Il marque simplement l’espace comme « disponible » dans la table des matières du disque. Les données binaires (les 0 et les 1 de votre clé privée) sont toujours là physiquement.

  • Le danger : Si vous continuez à utiliser l’ordinateur, le système va écrire de nouvelles données (fichiers temporaires, cache navigateur) sur cet espace « disponible ». S’il écrit par-dessus votre wallet, c’est perdu définitivement.

II. HDD vs SSD : L’injustice technologique

Vos chances de survie dépendent de la technologie de votre disque.

Le Disque Dur Mécanique (HDD) – L’espoir

Sur les vieux disques à plateaux (ceux qui font du bruit), les données restent intactes longtemps après formatage. Nous avons récupéré des wallets supprimés il y a 5 ans sur des disques qui dormaient dans un placard.

Le Disque SSD (Flash) – Le défi du TRIM

Les disques modernes (SSD) utilisent une commande appelée TRIM.

  • Quand vous supprimez un fichier, le système envoie l’ordre TRIM au SSD.
  • Le SSD va alors physiquement « nettoyer » les cellules de mémoire pour optimiser les performances futures.
  • Conséquence : Sur un SSD récent, la récupération est beaucoup plus difficile, voire impossible si le TRIM est passé. Il faut agir dans les minutes qui suivent.

III. La méthode Forensique de Lereum (Pas de logiciel grand public)

N’utilisez pas Recuva ou des logiciels gratuits trouvés sur Google. En les installant, vous risquez d’écraser le fichier que vous cherchez.

Notre protocole :

  1. Le Write Blocker : Nous branchons votre disque sur un boîtier matériel spécial qui empêche physiquement toute écriture. C’est le standard de la police scientifique.
  2. Le Clone Bit-à-Bit : Nous copions l’intégralité du disque (même l’espace vide) sur nos serveurs. Nous ne travaillons jamais sur l’original.
  3. Le Carving (Sculpture de données) : Nos algorithmes ne cherchent pas des noms de fichiers (qui ont disparu), mais des signatures hexadécimales.
    • Un wallet Bitcoin commence souvent par une séquence d’octets spécifique.
    • Nous scannons l’immensité du disque à la recherche de cette « aiguille dans la botte de foin ».

IV. Wallet.dat corrompu : La chirurgie de fichier

Parfois, nous retrouvons le fichier, mais il est « troué ». Une partie a été écrasée. Le logiciel Bitcoin refuse de l’ouvrir (« Corrupted Wallet »). Tout n’est pas perdu.

  • Un fichier wallet contient souvent plusieurs copies des clés privées (Master Key + clés dérivées).
  • Si nous pouvons extraire une seule clé privée valide dans les débris du fichier, cela peut suffire à récupérer les fonds associés à cette adresse spécifique. C’est un travail de reconstruction manuelle (Hex Editing).

V. Les supports exotiques : Clés USB, Cartes SD, Vieux PC

Nous traitons aussi :

  • Clés USB cassées (connecteur tordu) : Nous soudons directement sur la puce mémoire NAND pour lire les données brutes.
  • RAID et NAS : Si vous aviez un serveur de stockage complexe dont un disque a lâché.
  • Vieux PC Windows XP/7 : Souvent des mines d’or car ils n’avaient pas la fonction TRIM.

VI. Que faire si le disque est chiffré (BitLocker) ?

Si vous avez formaté un disque qui était chiffré par BitLocker :

  • Si vous avez formaté « Rapidement » : Les données chiffrées sont encore là. Mais il nous faut absolument votre mot de passe BitLocker ou la clé de récupération pour donner du sens à cette « bouillie » de données.
  • Si vous avez formaté « Complètement » (écriture de zéros) : C’est terminé.

Liste des points clés :

  • En cas de suppression : Éteignez l’ordinateur immédiatement.
  • Le formatage rapide n’efface pas les données, il efface le sommaire.
  • Les SSD sont beaucoup plus difficiles à récupérer que les HDD à cause du TRIM.
  • N’installez jamais de logiciel de récupération sur le disque où se trouve la donnée perdue.
  • Lereum utilise des bloqueurs d’écriture matériels pour garantir l’intégrité de la preuve.

FAQ : Récupération de Données Crypto

1. Combien coûte une récupération forensique ? Il y a deux coûts :

  1. Le Diagnostic (Fixe) : Pour cloner le disque et analyser la faisabilité (quelques centaines d’euros, car cela mobilise du matériel et du temps ingénieur).
  2. La « Success Fee » : Un pourcentage des cryptos récupérées. Si le disque est illisible, vous ne payez que le diagnostic.

2. J’ai réinstallé Windows par-dessus. C’est mort ? C’est très compromis. Windows écrase environ 20 à 40 Go de données à l’installation. Si votre petit fichier wallet (quelques Ko) se trouvait au début du disque, il a été écrasé. S’il était « loin » physiquement sur le plateau, il a peut-être survécu. Seule une analyse le dira.

3. Pouvez-vous récupérer un wallet sur un téléphone réinitialisé (Factory Reset) ? Sur les iPhone et Android modernes (chiffrés par défaut), un Factory Reset détruit la clé de chiffrement. Les données deviennent mathématiquement irrécupérables. C’est quasi-impossible sur mobile moderne.

4. Cherchez-vous seulement des fichiers wallet.dat ? Non. Nous cherchons aussi des fichiers textes (mots_de_passe.txt, seed.doc) ou des captures d’écran (IMG_2021.jpg) qui pourraient contenir vos codes.

5. La confidentialité est-elle garantie ? Oui. Nous voyons vos photos de vacances et documents personnels en scannant le disque. Nos techniciens sont soumis au secret professionnel strict et nous détruisons le clone 30 jours après la fin de la mission.

Revenir aux actualités

Partager :

Plus d'actualités

Newsletter


    Il est temps de récupérer vos accès !