Système de fichiers (Définition, types : NTFS, FAT32, etc.)

À son niveau le plus fondamental, un système de fichiers est la structure organisationnelle qu’un système d’exploitation utilise pour gérer la manière dont les données sont stockées, accessibles et récupérées sur des supports de stockage tels que les disques durs (HDD), les SSD ou les clés USB. Il définit les règles pour nommer les fichiers et répertoires (dossiers), gérer les permissions, stocker les métadonnées (informations sur les fichiers) et maintenir la structure hiérarchique globale (l’arbre familier de dossiers et fichiers). Différents systèmes d’exploitation prennent en charge divers systèmes de fichiers, chacun offrant des fonctionnalités, des caractéristiques de performance et des limitations distinctes.

Bien que de nombreux systèmes de fichiers existent (comme HFS+ ou APFS pour macOS, ext4 pour Linux), les partages d’écran effectués sur des PC joueurs rencontrent presque invariablement des environnements Windows. Par conséquent, ce guide se concentre principalement sur les systèmes de fichiers les plus pertinents pour Windows :

• NTFS (Système de fichiers de la Nouvelle Technologie) : C’est le système de fichiers standard et moderne utilisé par défaut pour les disques internes sur pratiquement toutes les versions actuelles de Windows (de XP/Vista à partir de Windows 10 et 11). Sa prévalence rend la compréhension de ses caractéristiques spécifiques essentielle pour le partage d’écran. Le NTFS offre des capacités robustes cruciales tant pour le fonctionnement du système que pour l’analyse médico-légale, notamment :

  • Journalisation: Un mécanisme pour garantir la cohérence des données et une récupération rapide après des plantages (discuté ci-dessous).

  • Permissions détaillées de fichiers et listes de contrôle d’accès (ACL).

  • Prise en charge du chiffrement des fichiers (EFS), de la compression et des grandes tailles de fichiers/volumes.

  • Des fonctionnalités comme les flux de données alternatifs (ADS) et les liens durs.

• FAT32 (Table d’allocation de fichiers 32 bits) : Un système de fichiers plus ancien et plus simple, souvent utilisé pour la compatibilité, notamment sur des supports amovibles comme les clés USB ou les anciennes cartes SD. Les principales limitations concernant le partage d’écran incluent :

  • Manque de journal intime : FAT32 ne possède pas de système de journalisation comparable à celui de NTFS ou de . Cette absence entrave considérablement la capacité de suivre directement l’historique de création, suppression et modification des fichiers via les journaux du système de fichiers sur les volumes FAT32.$UsnJrnl$LogFile

  • Contrôles d’autorisation limités.

  • Restrictions sur la taille individuelle des fichiers (maximum 4 Go) et la taille du volume.

• exFAT (Tableau étendu d’allocation des fichiers) : Une évolution du FAT32, conçu principalement pour les clés USB et cartes mémoire de grande capacité. Il surmonte les limites de taille de fichiers/volumes de FAT32 tout en maintenant une compatibilité multiplateforme plus large que NTFS (par exemple, un meilleur support sur macOS). Cependant, comme FAT32, exFAT manque généralement de fonctionnalités robustes de journalisation présentes dans NTFS.

Comprendre quel système de fichiers est utilisé (surtout lors de l’examen de disques externes) est crucial car il détermine quels artefacts (comme le USN Journal) sont disponibles pour analyse.