mlab mlab Academy
Analyse de fichiers

Reconnaître un fichier malveillant

Les signaux d'alerte qui doivent vous mettre la puce à l'oreille avant d'ouvrir un fichier suspect.

1 Introduction

Reconnaitre un fichier malveillant, c'est comme reperer un colis piege avant de l'ouvrir. Un colis suspect a des signes revelateurs : expediteur inconnu, poids anormal, emballage etrange. Les fichiers malveillants aussi ont des indices qui les trahissent : double extension, taille inhabituelle, type de fichier inattendu. Apprendre a les reperer peut vous eviter une infection qui couterait des heures de nettoyage, voire la perte de toutes vos donnees.

94%

Des malwares arrivent par email

48%

Sont des fichiers Office avec macros

1 clic

Suffit pour etre infecte

2 Comment ca marche

Les attaquants utilisent de nombreuses astuces pour deguiser leurs fichiers malveillants. Voici les techniques les plus courantes et comment les reperer.

La double extension

Windows masque par defaut les extensions de fichiers. Un attaquant exploite cela en creant un fichier avec deux extensions. Vous voyez un PDF inoffensif, mais c'est en realite un programme executable.

# Ce que vous voyez :

facture.pdf

# Ce qui est vraiment la :

facture.pdf.exe

Conseil : activez toujours l'affichage des extensions dans les parametres de l'Explorateur de fichiers.

Les macros Office malveillantes

Les documents Word, Excel et PowerPoint peuvent contenir des macros : de petits programmes qui s'executent a l'ouverture du fichier. Les attaquants s'en servent pour telecharger et installer un malware des que vous ouvrez le document.

Alerte de securite : les macros ont ete desactivees. Activer le contenu

Ne cliquez jamais sur "Activer le contenu" si vous n'attendiez pas ce fichier !

Les types de fichiers a risque

.exe

Executable

.scr

Ecran de veille

.bat / .cmd

Script batch

.vbs / .js

Scripts

.docm

Word avec macros

.xlsm

Excel avec macros

.iso / .img

Image disque

.lnk

Raccourci Windows

3 Analyse detaillee

Les anomalies de taille

Un fichier PDF de 50 Ko qui pretend contenir un rapport de 20 pages est suspect : il est trop leger. A l'inverse, une image JPEG de 15 Mo est anormalement lourde et pourrait cacher du code malveillant. Avec l'experience, on developpe un "sens" de la taille normale pour chaque type de fichier.

L'analyse des metadonnees

Chaque fichier contient des metadonnees : auteur, date de creation, logiciel utilise. Un document Word pretendument envoye par votre banque mais cree avec LibreOffice sur un systeme en chinois est evidemment suspect. Les outils d'analyse extraient ces metadonnees et les comparent a ce qui serait attendu.

Que faire si vous recevez un fichier suspect

1

Ne l'ouvrez pas

La premiere regle est de ne jamais ouvrir un fichier dont vous doutez. Un double-clic peut suffire a declencher l'infection.

2

Verifiez l'expediteur

Attendiez-vous ce fichier de cette personne ? En cas de doute, contactez l'expediteur par un autre canal pour confirmer.

3

Analysez-le en ligne

Soumettez le fichier a un service d'analyse comme VirusTotal. Vous obtiendrez un verdict en quelques secondes sans risque pour votre machine.

4

Signalez-le

Prevenez votre service informatique ou votre equipe securite. Cela permet de proteger vos collegues qui auraient pu recevoir le meme fichier.

Essayez sur mlab.sh

Vous avez recu un fichier douteux ? Soumettez-le au scanner de fichiers mlab.sh pour obtenir un verdict instantane sans risque pour votre machine. Analyse multi-moteurs et detection comportementale.

Vérifier un fichier suspect

4 Red Flags

Double extension de fichier

Un fichier nomme "rapport.pdf.exe" ou "photo.jpg.scr" cache sa vraie nature. La derniere extension est la seule qui compte.

Demande d'activer les macros

Un document Word ou Excel qui vous demande d'activer les macros ou le contenu pour afficher son contenu est presque certainement malveillant.

Fichier dans une archive protegee par mot de passe

Les attaquants mettent souvent les malwares dans des ZIP proteges par mot de passe pour eviter la detection par les antivirus. Le mot de passe est fourni dans l'email.

Urgence artificielle

"Ouvrez ce document immediatement", "Facture impayee - derniere relance", "Votre compte sera bloque". La pression pousse a agir sans reflechir.

Icone trompeuse

Un fichier .exe peut afficher l'icone d'un PDF ou d'un dossier. L'icone ne garantit rien, seule l'extension (et le type MIME) comptent.

Propulsé par mlab.sh

Modules connexes

Lire un rapport d'analyse de fichier

Décrypter les rapports de sandbox et d'antivirus : comprendre les verdicts et les indicateurs clés.

C'est quoi un malware ?

Virus, ransomware, trojans : comprendre les différentes familles de logiciels malveillants.

Comprendre MD5, SHA1, SHA256

Plongée dans les algorithmes de hachage : forces, faiblesses et cas d'usage de chaque algorithme.