Assiste.com
|
17.12.2023 : Pierre Pinard.
Dossier (collection) : Types de fichiers |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
Les fichiers dont l'extension est .CAS sont des fichiers de type (de format) :
Javelin Case study
Attention : collision (types multiples)
Il existe plusieurs utilisations de cette extension de fichiers .CAS. Utilisez les flèches « Précédent » / « Suivant », ci-dessus à droite, pour les voir.
Annonce |
Une « extension de fichier » est une information très insuffisante pour déterminer le « type réel d'un fichier ». Le type n'est pas certain, ce n'est qu'une présomption, pour diverses raisons dont :
Il existe des collisions (la même extension est utilisée pour plusieurs types).
L'extension peut être utilisée de manière trompeuse, ou erronée.
Pour s'assurer du type réel d'un fichier, il faut analyser ses « signatures internes » (ses « motifs numériques » internes, les « patterns »), afin de déterminer, avec une plus grande précision, quel est le « type réel d'un fichier ».
L'outil gratuit TrID, de Marco Pontello, utilisable en ligne ou à télécharger pour une utilisation locale, fait cette analyse et reconnaît plusieurs milliers de types de fichiers sans tenir compte de leurs extensions. Sa base de données est mise à jour et augmentée régulièrement. TrID est, d'ailleurs, utilisé par le service multiantivirus VirusTotal (75 antivirus [mars 2020] simultanés, gratuits, en ligne).
Voir « TrID File Identifier » (quel est le véritable type d'un fichier).
Annonce |
En informatique, dans le monde des systèmes d'exploitation d'ordinateurs MS/Dos et Windows, de la société Microsoft, le type d'un fichier (son format) est donné explicitement (en théorie), par une extension à son nom de fichier, un suffixe, couramment appelée « Extension de fichier ». Ceci n'existe pas dans les mondes Apple ou Unix/Linux où le type d'un fichier est contenu dans le fichier lui-même.
Cette extension prolonge le nom du fichier et est séparée de lui par un point. Par exemple, un fichier de recette au simple format texte s'appellera recette.txt (l'extension est « txt »).
L'extension de fichier sert à dire aux systèmex d'exploitation de Microsoft quel est le format d'un fichier et, par conséquent, quelles sont les applications qui permettent de le manipuler (créer, éditer, modifier, voir, etc.). Cela se fait par un mécanisme appelé « association » entre une extension de fichier et la ou les applications qui permettent de manipuler ce format de fichier. Ces « associations » sont inscrites dans le Registre Windows (anciennement appelé « Base de registre », inventé par Microsoft le 22.05.1990 avec la sortie de Windows 3). Si plusieurs applications permettent de manipuler un fichier, une application préférentielle peut être indiquée.
Sous d'autres systèmes d'exploitation, non Microsoft, le format de fichier n'est pas donné par un suffixe, mais est :
Soit déduit de l'empreinte binaire de certaines zones de signature, à l'intérieur même du fichier (leurs modèles de reconnaissance, leurs « patterns », figés dans leurs codes). C'est à cette déduction que s'applique le logiciel gratuit TrID, qui ne considère aucune autre information que ces signatures internes : TrID ignore totalement l'extension de fichier pour déterminer le type réel d'un fichier. Cela est très utile, car :
Les cybercriminels masquent souvent la vraie nature d'un fichier par une extension bidon.
Microsoft Windows masque, par défaut, les extensions de fichier dont toutes les extensions dont le contenu peut être dangereux ! Une mesure d'hygiène et de sécurité élémentaire est de toujours voir (afficher - ne jamais masquer) les extensions de fichiers :
Comment afficher les extensions de fichiers.
Soit donné explicitement dans un fichier de métadonnées, invisible à l'utilisateur, attaché au fichier principal, et utilisé dans le monde Apple Mac.
Le monde Microsoft a introduit les attachements de fichiers de métadonnées, afin d'assurer une compatibilité entre ses propres serveurs et les serveurs d'Apple, mais sans utiliser ces fichiers à des fins d'identification des types de fichiers. Ces fichiers de métadonnées, appelés ADS - Alternate Data Stream, sont totalement invisibles à l'utilisateur et au système d'exploitation (il n'en est même pas tenu compte dans le calcul des capacités occupées ou libres sur les disques). Le principe des ADS de Microsoft fut d'ailleurs récupérés par les cybercriminels qui en créèrent à tour de bras pour y cacher des malveillances. Les antivirus analysent désormais les contenus des éventuels ADS.
Exemple d'extension de fichiers :
Dans le monde Microsoft (MS-DOS ou Windows), l'extension « .txt » (sans les guillemets) signifie que le format de fichier est de type « texte simple » (dit « fichier de type texte » manipulable, par exemple, avec le « bloc-notes » [le programme « Notepad »] de Windows). Un fichier appelé « Recette de beignets de crevettes.txt » sera un fichier de type texte et vous pourrez l'ouvrir (il sera associé) avec le « bloc-notes » (programme « Notepad ») de Windows (ou tout autre programme associé à cette extension de fichier et sachant manipuler les fichiers de type « texte simple »).
Historique des extensions de fichiers :
Historiquement, l'extension de fichier, sous forme d'un suffixe, remonte aux systèmes d'exploitation MS/DOS de Microsoft (en 1981), et, plus loin encore, à CP/M (en 1974, pour identifier le format des fichiers enregistrés sur disquette - un support magnétique inventé en 1967 par IBM). Les noms des fichiers étaient limités à 8 caractères, éventuellement suivis d'un point et d'un suffixe optionnel de 1 à 3 caractères pour indiquer le type de fichier. On parle de convention de nommage « 8+3 ». Le nom des extensions est libre et est choisi par l'éditeur d'un logiciel lorsqu'il invente un nouveau format de fichiers. Certains éditeurs, ne cherchant pas à savoir si une extension existe déjà, en utilisent une arbitrairement, créant ainsi des collisions d'extensions de fichier (une même extension peut avoir plusieurs significations de formats, différentes). Depuis Windows, les noms complets des fichiers peuvent atteindre 255 caractères (chemin d'accès complet), et l'extension a désormais une longueur libre.
Masquer le type des fichiers (Risques de cybercriminalités - risques de virus) :
Les cybercriminels ont fait les 3 observations suivantes :
Microsoft Windows masque, par défaut, les types de fichiers très connus (les extensions de fichier les plus connues, dont les .exe, l'extension des fichiers contenant du code exécutable). Cela pour « faire plus propre » et ressembler au monde MAC (Apple) où les extensions de fichiers n'existent pas.
L'inconscient collectif, même chez ceux ne sachant pas ce qu'est une extension de fichier, impose, comme un réflexe pavlovien, la certitude que certains types de fichiers sont totalement inoffensifs (ce ne peuvent pas être des fichiers « exécutables » - ils ne peuvent pas contenir du code risquant de compromettre un ordinateur). Tout le monde, informaticien accro compulsif (« geek ») ou « Monsieur/Madame lambda qui touche un ordinateur pour la première fois », est convaincu, même inconsciemment, qu'un fichier « .txt », ne contient pas de code exécutable et, par conséquent, NE PEUT PAS être un virus.
Microsoft Windows masque les extensions de fichier, mais, si on en voit une, cela passe totalement inaperçu. Personne ne se demande pourquoi il voit une extension de fichier alors que Windows masque ces extensions.
Conclusion, les cybercriminels vous conduisent (peu importe la méthode : ingénierie sociale, image prétendue attractive, image jointe à un courriel, fichier texte, etc.) à ouvrir un fichier inoffensif, comme :
« Pamela Anderson nue.png »
« recette de beignets de crevettes.txt »
Malheureusement, le .png (fichiers de type image au format très connu PNG) ou le .txt (format de fichier inconsciemment totalement inoffensif) de la recette, sont des leurres. Le nom réel du fichier, dont Windows a masqué l'extension, est :
« Pamela Anderson nue.png.exe »
« recette de beignets de crevettes.txt.exe »
En ouvrant ce fichier, l'utilisateur n'ouvre pas ce qu'il croit être une image ou un texte, mais lance l'exécution d'une cybercriminalité qui peut être une attaque irréversible, comme un cryptoware (une forme de ransomware irréversible) avec prise en otage de l'ordinateur et de toutes les données, accompagnés d'une demande de rançon, ou transformation de l'ordinateur en zombie injecté dans un botnet, à l'insu de son propriétaire, etc. En plus, si votre ordinateur est utilisé à votre insu pour lancer des attaques, vous serez poursuivi pour complicité passive.
Annonce |
Vous devez toujours voir les extensions de tous vos types de fichiers, ce que Microsoft Windows cache par défaut pour plusieurs d'entre eux, sous prétexte qu'ils sont connus. Allez dire cela à un débutant dans le monde Microsoft Windows, celui qui est, justement, le plus fragile et vulnérable et à qui l'on ne doit rien cacher sinon il n'apprend pas.
Voir la liste des types de fichiers pouvant être dangereux.
Avec le paramétrage natif de Windows, par Microsoft, lorsqu'un fichier nommé virus.txt.exe arrive dans votre ordinateur, vous ne voyez pas l'extension (.exe) et ne voyez que virus.txt. Cette extension fictive « .txt » est tellement connue (de ceux qui savent) que vous avez le réflexe conditionné, comme un réflexe de Pavlov, de croire avoir affaire à un bête fichier de type texte, totalement inoffensif. Vous double-cliquez dessus sans réfléchir, pour l'ouvrir. En réalité, vous venez de lancer l'exécution d'un programme dont la véritable extension est « .exe ». Cette extension était masquée par Microsoft ! Bien entendu, ce genre d'entourloupe est toujours le fait d'un cybercriminel et le code exécuté est une cybercriminalité qui vient de compromettre l'ordinateur.
Voir les extensions de fichiers
Explorateur Windows - Options d'affichage des fichiers et dossiers
Annonce |
Annonce |
TrID est la seule base de données sur les types de fichiers (extensions de fichiers) dont les informations sont vérifiées. Toutes les autres bases de données sur les « types de fichiers » sont purement déclaratives (sans vérification) ou utilisent les informations de TrID (sans autorisation).
Annonce |
Chaque fois que vous rechercher quelque chose sur le Web, à propos de, par exemple :
une extension de fichier (plusieurs dizaines de milliers de types de fichiers)
un code erreur Windows (plusieurs milliers)
un code d'état HTTP (une centaine)
un logiciel, qu'il soit
totalement normal
une crapulerie (des dizaines de milliers)
une inutilité qui s'est invitée - enfin... qui a été poussée dans votre ordinateur (des dizaines de milliers)
une malveillance qui a traversé vos défenses (des dizaines de milliers)
une sponsorisation gonflante préinstallée par le fabriquant de votre ordinateur
Etc.
un nom de processus (plusieurs millions)
un nom de fichier (plusieurs milliards)
un pilote (driver) de périphérique (plusieurs milliers)
etc.
Chaque fois que vous faites ce type de recherche, sur le Web, vous trouvez des milliers de pseudo sites de sécurité, pseudo site de décontamination, pseudo blogs de sécurité et décontamination qui ont une réponse à tout et s'arrangent pour être bien référencés dans les moteurs de recherche (par diverses techniques d'optimisation - SEO - Search Engine Optimization). La quasi-totalité de ces sites et blogs n'est que des sites satellites de quelques logiciels inutiles ou crapuleux, qu'ils poussent directement, ou des sites dits « affiliés » qui perçoivent une commission, par l'éditeur du logiciel poussé, à chaque vente réussie.
Ce sont des sites « attrape tout » et « attrape tout le monde », générés automatiquement en centaines d'exemplaires sous plusieurs noms (avec des apparences différentes, ce qui est très facile à faire grâce :
aux « modèles » ou « templates »
aux « traducteurs automatiques » (horribles) dans d'innombrables langues (c'est gratuit et c'est un service de Google dans son principe d'encerclement)
Ces sites et blogs satellites ne sont pas là pour vous aider, mais pour vous arnaquer, durant vos recherches, en tentant de vous faire peur (scareware ou discours affolants) et de vous vendre un :
logiciel de prétendue sécurité (dont antivirus, anti-malwares et antispywares/antiespiogiciels) inconnu, faux (rogues) ou crapuleux (Crapthèque)
logiciel de prétendues analyses de votre ordinateur avec de faux résultats pour vous faire peur (les logiciels affolants appelés scarewares)
logiciel de prétendue optimisation / accélération (voir notre procédure complète et gratuite d'accélération de Windows)
logiciel de prétendu nettoyage des disques (voir notre procédure complète et gratuite de nettoyage d'un ordinateur)
logiciel de prétendue accélération de la connexion Internet (voir notre procédure complète et gratuite d'accélération de la connexion Internet)
logiciel de prétendue décontamination de votre ordinateur (voir notre procédure complète et gratuite de décontamination d'un ordinateur)
logiciel de prétendu nettoyage, accélération, compression, défragmentation du Registre Windows
Etc.
Les grands spécialistes de ces sites satellites qui poussent un ou des logiciels qui, sans cela, n'auraient aucune notoriété et aucune chance d'être vendus, sont les :
logiciels « répare tout »
logiciels de nettoyage, accélération, compression, défragmentation du Registre Windows
logiciels de recherche de virus
etc.
Tous se livrent une guerre impitoyable pour atteindre votre porte-monnaie, par exemple, la guerre de nettoyeurs du Registre Windows (tous ces programmes figurent dans la Crapthèque ou y sont candidats).
De grands spécialistes de ces sites satellites « attrape tout » et « attrape tout le monde » sont, par exemple :
Pourquoi cet acharnement à mettre la main dans votre portefeuille ? Lire :
Procès contre la clique ErrorSafe - L'argent que rapporte un crapware !
Annonce |
Protection en temps réel obligatoire (Malwarebytes Premium vivement recommandé)
Il ne s'agit pas de décontaminer votre ordinateur trop tard, après contamination et dégats, avec un outil faisant une analyse en temps différé, après coup, (à la demande (« On-demand »)), mais d'empêcher sa contamination, en amont, avec un outil fonctionnant en temps réel (« On-access » ou, mieux, « On-execution »).
Malwarebytes Premium (ou Endpoint) fait les 2 :
pratique le mode « On-execution » (fonctionnement en temps réel en parfaite entente quel que soient les autres outils de sécurité installés)
peut être utilisé à tout moment en mode à la demande (« On-demand ») pour lancer des analyses périodiques
Annonce |