Maintenant que vous avez tous un compte utilisateur standard pour naviguer sur internet, avec vos mots de passe uniques et robustes dans un gestionnaire de mots de passe, nous allons voir quelques astuces pour analyser rapidement un fichier suspect.
Afficher correctement un fichier
Par défaut, Windows ne va pas afficher les extensions "connues" d'un fichier. Voici 3 fichiers "fraise" ayant le même nom :
Or, depuis un invite de commande, la commande "dir" qui permet de lister le répertoire courant nous indique une image (.bmp) un document word (.docx) et un fichier texte (.txt) :
Windows se base donc sur l'extension pour afficher l'icône associée. Nous allons profiter de cette confiance accordée par le système d'exploitation pour afficher une application comme étant un fichier texte :
Maintenant en listant le contenu on constate deux fichiers "fraise" : un document texte et une application :
Mais comment différencier les deux ? Il suffit d'afficher les extensions :
View -> Options -> View -> désactiver "Cacher l'extension des fichiers connus"
Maintenant les extensions sont affichées et les fichiers malveillants n'ont qu'à bien se tenir :
Ok très bien, mais est-ce que ce fichier est malveillant ? Puis-je l'ouvrir sans risque ? Pour répondre à cette question, nous allons soumettre le fichier à plusieurs tests.
Calcul du hash
Pour identifier un fichier de manière unique, il suffit de calculer son empreinte. Le calcul de l'empreinte est une opération cryptographique qui permet à partir d'un ensemble de N octets en entrée de retourner une chaîne de caractère unique de taille fixe. Les algorithmes les plus utilisés sont MD5, SHA1 et SHA256. L'outil 7zip permet de calculer cette empreinte facilement, via le menu contextuel du fichier :
Analyse du fichier
Sur cet exemple, vous pouvez prendre l'empreinte SHA1 et la soumettre sur le site de comparaison d'empreinte le plus complet à ce jour : https://www.virustotal.com/gui/home/search
Il suffit de soumettre l'empreinte dans la barre de recherche :
et si le fichier a déjà été analysé, vous aurez le résultat directement :
En plus de faire une comparaison avec une base d'empreintes, VirusTotal va également faire analyser le fichier à un grand nombre d'anti-virus.
Si le fichier n'existe pas, vous pouvez également le soumettre mais sachez que vous le partagerez à toutes les personnes qui peuvent récupérer les fichiers soumis (il suffit de donner quelques billets)
A titre d'exemple, voici le résultat d'un malware en vogue en ce moment :
Si vous avez encore un doute, vous pouvez ouvrir le fichier dans un environnement cloisonné, spécialement dédié à l'analyse de malwares. Ces environnements appelé SandBox (Bac à sable) sont gratuits pour quelques soumissions, l'une des plus pertinentes en ce moment est https://app.any.run/.
Calendrier économique
Trades safe 
Afficher correctement un fichier
Par défaut, Windows ne va pas afficher les extensions "connues" d'un fichier. Voici 3 fichiers "fraise" ayant le même nom :
View -> Options -> View -> désactiver "Cacher l'extension des fichiers connus"
Calcul du hash
Pour identifier un fichier de manière unique, il suffit de calculer son empreinte. Le calcul de l'empreinte est une opération cryptographique qui permet à partir d'un ensemble de N octets en entrée de retourner une chaîne de caractère unique de taille fixe. Les algorithmes les plus utilisés sont MD5, SHA1 et SHA256. L'outil 7zip permet de calculer cette empreinte facilement, via le menu contextuel du fichier :
Sur cet exemple, vous pouvez prendre l'empreinte SHA1 et la soumettre sur le site de comparaison d'empreinte le plus complet à ce jour : https://www.virustotal.com/gui/home/search
Il suffit de soumettre l'empreinte dans la barre de recherche :
Si le fichier n'existe pas, vous pouvez également le soumettre mais sachez que vous le partagerez à toutes les personnes qui peuvent récupérer les fichiers soumis (il suffit de donner quelques billets)
A titre d'exemple, voici le résultat d'un malware en vogue en ce moment :
Calendrier économique
