Menu Fermer

Extensions de fichiers masquées sur Windows et les problèmes de sécurité

Depuis les premières versions de Windows, et encore aujourd’hui avec Windows 7, Windows 8, Windows 10 et Windows 11, par défaut, les extensions de fichiers sont masquées.
Cela signifie que Windows n’affiche pas et masque l’extension des fichiers notamment dans l’explorateur de fichiers.

Les attaquants ont exploité cela très tôt pour tromper les internautes et infecter leurs ordinateurs.
Dans ce tutoriel, je vous montre les implications de sécurité pour comprendre comment cela est utilisée par les cybercriminels à leurs avantages.
En fin d’article, je vous explique comment afficher les extensions de fichiers dans Windows.

Extensions de fichiers masquées sur Windows et les problèmes de sécurité

Qu’est-ce que les extensions de fichiers masquées dans Windows

Tout d’abord, définissons ce qu’est l’extension de fichier.
L’extension de fichier est un suffixe à la fin du nom de fichier, par exemple, .txt, .png, .jpg, .mp4.
Elle peut indiquer le type de fichiers et donc l’application par défaut avec lequel ouvrir ce fichier.
Cela se fait à travers une association de fichiers entre l’extension de fichiers et le programme, que l’utilisateur peut configurer.
Par exemple, un fichier avec l’extension .jpg indique qu’il s’agit d’un fichier JPEG et que vous devez l’ouvrir avec un visionneur d’images.

Mais par défaut, Windows masque et cache l’extension de nom de fichiers.
Ainsi, par exemple, le fichier mondocument.txt va s’afficher mondocument ou encore le fichier image.jpg va s’afficher image.
Ainsi de suite pour chaque fichiers.

Lorsque l’explorateur de fichiers est en affichage détails, la colonne type peut indiquer le type de fichiers en reprenant l’information de l’extension de fichiers masqués.

Qu'est-ce que les extensions de fichiers masquées dans Windows

Scénario classique d’une attaque tirant parte des extensions de fichiers masqués

Voici un exemple de scénario classique d’une attaque utilisant le fait que les extensions de fichiers soient masquées dans Windows.
Il s’agit d’un Malware LNK provenant de cet article : Trojan LNK et Malware PowerShell : Exemple d’une campagne visant la France.

Lorsque l’on affiche le fichier dans Windows, il se nomme sextape.mp4 avec une icône de vidéo classique.
Au premier abord, on peut penser qu’il s’agit d’un fichier vidéo au format MP4.

Scénario classique d'une attaque tirant partie des extensions de fichiers masqués

En réalité, le véritable nom est sexytape.mp4.lnk (LNK étant l’extension de fichiers pour les raccourcis).
Pourquoi une double extension de fichiers ?
Tout simplement car Windows va masquer l’extension de fichiers, ainsi, sexytape.mp4.lnk s’affiche en sexytape.mp4.
L’attaquant a aussi pris le soin de modifier l’icône du fichier pour forcer une icône avec une vidéo.

Il faut bien comprendre qu’ici .mp4 fait parti du nom du fichier puisque les “.” (points) sont autorisés dans les noms de fichier. L’extension est toujours la dernière partie du fichier (comme un suffixe), donc ici, l’extension est .lnk.
On pourrait avoir un fichier avec comme nom .txt.bat.cmd.png.mp4.lnk – .lnk sera encore l’extension du fichier.

Si utilise la commande dir en invite de commandes, on voit bien le fichier avec la double extension.
Si une utilise, une alternative à l’explorateur de fichiers, ici Explorer++, on voit bien que le fichier porte une double extension.

Scénario classique d'une attaque tirant partie des extensions de fichiers masqués

Quelques éléments qui auraient pu vous mettre la puce à l’oreille :

  • L’icône du fichier comporte la flèche indiquant qu’il s’agit bien d’un raccourci
  • L’icône du fichier n’est pas celle de votre lecteur vidéo configurée comme application par défaut pour ouvrir les fichiers MP4. Lorsqu’un fichier
  • Si vous regardez attentivement la capture d’écran ci-dessous, le type de fichiers est raccourci et non fichier vidéo MP4

Ces techniques sont utilisées depuis très longtemps et notamment dans les campagnes de virus par email.
Ci-dessous, une fausse facture avec l’extension PDF mais si on regarde le type de fichiers, il s’agit d’un fichier exécutable JAR (Java).

Les extensions de fichiers et la sécurité : les astuces utilisées pour infecter les internautes

L’attaquant a même prix le soin d’ajouter des espaces pour véritablement cachés l’extension si la colonne est trop petite.

Les extensions de fichiers et la sécurité : les astuces utilisées pour infecter les internautes

Mais de manière générale, la meilleure solution reste d’afficher les extensions de fichiers, cela évite tout simplement de se faire duper.

La vidéo suivante résume toutes ces astuces sur les extensions de fichiers pour vous tromper :

Comment afficher les extensions de fichiers sur Windows

Suivez ces tutoriels pour faire apparaître les extensions de fichiers dans l’explorateur de fichiers :