ShellBag

ShellBags - clés du Registre Windows maintenant des informations utiles pour le système d'exploitation, dont le dernier utilisateur, avec horadatage, ce qui peut révéler des éléments de vie privée.

cr  01.04.2012      r+  21.08.2020      r-  18.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les ShellBags sont des clés du Registre Windows créées pour maintenir les paramètres de la fenêtre de visualisation lorsqu'un utilisateur accède à un répertoire ou au bureau de Windows. Ces clés notent de nombreuses informations utiles pour le système d'exploitation, comme la position de la fenêtre, sa largeur et sa hauteur, la date et l'heure de la création et de dernière utilisation, le dernier utilisateur, etc.

ShellBag

ShellBag

Ces clés du Registre Windows comportent un horodatage qui peut révéler à quels dossiers un utilisateur a accédé (il ne s'agit pas d'un historique des accès). Toutefois, de nombreuses autres activités du système d'exploitation ou des applications peuvent mettre à jour ces horodatages qui ne donnent donc aucune certitude quand à l'accès d'un utilisateur (une défragmentation, un antivirus, etc. provoquent également un horodatage du dernier accès). Cela ressemble un peu à des MRUs (Most Recently Used [Plus récemment utilisés]) mais pour le « Most Recent User » (Plus récent utilisateur) .

Lors de la destruction d'un répertoire, son ShellBag n'est pas détruit et ses données peuvent donc être exploitées même après la disparition de l'objet.

Les informations ShellBag sont un ensemble de sous-clés, dans une ruche de registre utilisateur (par exemple, fichiers ntuser.dat et usrclass.dat), utilisés par le système d'exploitation Windows pour suivre les préférences d'affichage des fenêtres utilisateur. Il le fait en stockant divers paramètres de l'Explorateur de Windows (Windows Explorer) qui se rapportent aux dimensions, paramètres, etc. Cela permet de rouvrir le même dossier plus tard avec les mêmes paramètres (les mêmes réglages utilisateur) que la fois précédente.

Chaque utilisateur aura des préférences distinctes pour les dossiers, et par conséquent, ces paramètres sont stockés dans la ruche appropriée à chaque utilisateur.

Comme les sous-clés ShellBag stockent diverses métadonnées sur la disposition des éléments de l'Explorateur Windows et qu'elles sont enregistrées pour chaque utilisateur, du point de vue informatique, on peut analyser les données et extraire diverses informations relatives à l'interaction entre l'utilisateur et les répertoires. Cette analyse des ShellBag , combinée à d'autres artefacts informatiques disponibles, peut fournir une image plus complète des fichiers accédés ou supprimés par l'utilisateur et le périphérique de stockage auquel il accède (qu'il s'agisse d'un périphérique de stockage interne, externe ou réseau).

La clé « ShellNoRoam\BagXxx » contient des données pour les dossiers locaux et la clé « Shell\BagXxx » contient des données pour les dossiers distants.

Les ShellBags sont exploités lors d'enquêtes de polices scientifiques pour détecter quand et à quels dossiers un utilisateur a accédé.

• Lorsqu'une entreprise soupçonne qu'un employé a divulgué un document confidentiel stocké sur le réseau, l'ordinateur de cet employé peut avoir, dans ses ShellBag, des traces indiquant que le dossier contenant le document divulgué a été consulté peu avant la fuite du document.

• Les ShellBags, sur l'ordinateur d'un employé, peuvent également afficher les dossiers ou les serveurs auxquels l'employé ne devrait pas accéder.

• Lorsqu'une entreprise soupçonne qu'un employé a supprimé de manière malveillante des fichiers importants sur le réseau, les informations des ShellBag peuvent démontrer que l'ordinateur de l'employé a accédé au dossier saccagé avant que l'incident ne se produise.

Les sous-clés du Registre Windows utilisées pour ces enquêtes sont :

• NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU
• NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags
• NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\BagMRU
• NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\Bags
• UsrClass.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
• UsrClass.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags
• UsrClass.DAT\Local Settings\Software\Microsoft\Windows\ShellNoRoam\BagMRU
• UsrClass.DAT\Local Settings\Software\Microsoft\Windows\ShellNoRoam\Bags

Sous Windows Vista et Windows 7, la ruche UsrClass est nouvelle et se trouve dans le répertoire C:\Users\<user>\AppData\Local\Microsoft\Windows.

Les ShellBags peuvent donc être révélateurs, toutefois :

Dans le cadre d'un usage personnel d'un ordinateur individuel, les ShellBags ne peuvent rien révéler à d'autres utilisateurs du même ordinateur si les utilisateurs sont astreints à utiliser des comptes individuels (UAC) protégés par mot de passe. Dans le cas contraire, ce n'est pas la peine de chercher des outils d'effacements de vos traces et turpitudes puisque vous cherchez délibérément à laisser des traces visibles ! La course aux armements contre le problème PEBCAK n'est pas la solution. Posez des questions sur le forum au lieu de passer votre vie à chercher et empiler des outils.

Le seul cas ou le Registre Windows serait balayé pour analyser les ShellBag, autre que le fait d'envoyer le disque système ou l'ordinateur dans un laboratoire de police scientifique, serait l'usage d'un mécanisme d'espionnage (un spyware). Là, c'est ressort de votre anti-spyware, donc de votre antivirus, sauf cas d'espionnage par Windows lui-même, qui est un gigantesque spyware. Microsoft a commencé a déployer toutes sortes de formes d'espionnages au moins dès 1998 avec le rachat de la société de consolidation de tracking appelée Firefly, et se poursuit actuellement de manière débridée avec Windows 10, la télémétrie, Cortana, le Pack Office en ligne, les Clouds, le compte Microsoft, etc.