Les fichiers .lnk sont-ils sûrs à ouvrir ?

Un .lnk est un petit enregistrement Windows Shell Link qui dit à Explorer quoi lancer. En ouvrir un d'une source de confiance est bien, mais un raccourci d'un email, d'une clé USB ou d'un téléchargement peut pointer vers n'importe quel exécutable, script ou commande à distance. Traitez-le avec la même prudence que le fichier qu'il exécuterait.

Un fichier .lnk peut-il contenir un virus ?

Le conteneur .lnk lui-même contient des métadonnées, pas du code exécutable, mais son chemin cible, ses arguments de ligne de commande et l'emplacement de l'icône peuvent être fabriqués pour lancer une charge utile malveillante (Stuxnet et plusieurs CVE en ont abusé). Inspecter la cible, les arguments et le répertoire de travail avant de double-cliquer est une habitude saine.

Quelle est la différence entre un fichier .lnk et un lien symbolique ?

Un .lnk est un Windows Shell Link, un fichier de métadonnées binaire en espace utilisateur que seule la shell Explorer résout. Un lien symbolique NTFS ou jonction est une redirection au niveau du système de fichiers gérée de manière transparente par l'OS pour n'importe quel processus, sans métadonnées supplémentaires.

Pourquoi un fichier .lnk révèle-t-il tant sur ma machine ?

Les Shell Links incorporent optionnellement un TrackerDataBlock contenant le nom NetBIOS de la machine et un GUID droid dérivé de l'adresse MAC, utilisé par Distributed Link Tracking pour trouver la cible si elle se déplace. C'est pourquoi les fichiers .lnk sont un incontournable de la forensique numérique.

Ce parser téléverse-t-il mon fichier .lnk ?

Non. Le parser est un crate Rust compilé en WebAssembly qui s'exécute entièrement dans votre navigateur. Votre fichier ne quitte jamais l'appareil et aucune télémétrie n'est envoyée.

Les fichiers .lnk sont-ils sûrs à ouvrir ?

Un .lnk est un petit enregistrement Windows Shell Link qui dit à Explorer quoi lancer. En ouvrir un d'une source de confiance est bien, mais un raccourci d'un email, d'une clé USB ou d'un téléchargement peut pointer vers n'importe quel exécutable, script ou commande à distance. Traitez-le avec la même prudence que le fichier qu'il exécuterait.

Un fichier .lnk peut-il contenir un virus ?

Le conteneur .lnk lui-même contient des métadonnées, pas du code exécutable, mais son chemin cible, ses arguments de ligne de commande et l'emplacement de l'icône peuvent être fabriqués pour lancer une charge utile malveillante (Stuxnet et plusieurs CVE en ont abusé). Inspecter la cible, les arguments et le répertoire de travail avant de double-cliquer est une habitude saine.

Quelle est la différence entre un fichier .lnk et un lien symbolique ?

Un .lnk est un Windows Shell Link, un fichier de métadonnées binaire en espace utilisateur que seule la shell Explorer résout. Un lien symbolique NTFS ou jonction est une redirection au niveau du système de fichiers gérée de manière transparente par l'OS pour n'importe quel processus, sans métadonnées supplémentaires.

Pourquoi un fichier .lnk révèle-t-il tant sur ma machine ?

Les Shell Links incorporent optionnellement un TrackerDataBlock contenant le nom NetBIOS de la machine et un GUID droid dérivé de l'adresse MAC, utilisé par Distributed Link Tracking pour trouver la cible si elle se déplace. C'est pourquoi les fichiers .lnk sont un incontournable de la forensique numérique.

Ce parser téléverse-t-il mon fichier .lnk ?

Non. Le parser est un crate Rust compilé en WebAssembly qui s'exécute entièrement dans votre navigateur. Votre fichier ne quitte jamais l'appareil et aucune télémétrie n'est envoyée.

Qu'est-ce qu'un fichier .lnk Windows ?

Un .lnk est un Windows Shell Link, le petit fichier binaire créé lorsque vous "créez un raccourci" vers un programme, un document ou un dossier. Il paraît trivial dans Explorer. Le binaire est tout sauf trivial. Le format est entièrement spécifié dans [MS-SHLLINK], et une fois que vous en avez lu quelques-uns, vous commencez à traiter les raccourcis comme l'un des artefacts les plus informatifs que produit Windows.

Ce qu'il contient

Le format est un en-tête fixe de 76 octets suivi d'une série de sections optionnelles, chacune contrôlée par un bit dans les LinkFlags de l'en-tête. Dans l'ordre dans lequel un parser les lit :

ShellLinkHeader, drapeaux, les attributs NTFS de la cible, trois horodatages FILETIME (création, accès, écriture de la cible vus lors de la création du lien), la commande show-window, l'index de l'icône et un raccourci clavier.
LinkTargetIDList, la liste d'ID de shell items qui parcourt le namespace Explorer d'un dossier racine vers la cible.
LinkInfo, VolumeID (type de lecteur, serial, étiquette), LocalBasePath, et CommonNetworkRelativeLink si la cible vivait sur un partage réseau.
StringData, NAME_STRING, RELATIVE_PATH, WORKING_DIR, COMMAND_LINE_ARGUMENTS, ICON_LOCATION. Préfixés par leur longueur en caractères, ANSI ou UTF-16LE selon le drapeau IsUnicode.
ExtraData, blocs optionnels, chacun avec une signature de 4 octets : EnvironmentVariableDataBlock, ConsoleDataBlock, TrackerDataBlock, SpecialFolderDataBlock, ConsoleFEDataBlock, DarwinDataBlock, IconEnvironmentDataBlock, ShimDataBlock, PropertyStoreDataBlock, KnownFolderDataBlock, VistaAndAboveIDListDataBlock.

Le TrackerDataBlock est le célèbre : il porte le nom NetBIOS de la machine d'origine et un GUID "droid" dont les six derniers octets sont l'adresse MAC de la machine qui a créé le lien. Ce seul bloc est responsable d'une longue liste de victoires publiques d'attribution, y compris plusieurs rapports APT qui ont nommé la VM de build derrière une campagne.

Pourquoi cela compte

Parce qu'un raccourci enregistre où il a été créé et vers quoi il pointait, les fichiers .lnk sont un incontournable du DFIR. Ils révèlent les lecteurs amovibles, les fichiers supprimés, les partages réseau et la machine d'origine, même après que la cible a disparu depuis longtemps. Les trois FILETIMEs de l'en-tête sont un instantané des métadonnées de la cible à la création du lien ; combinés avec la propre entrée MFT du lien, ils épinglent à la fois "quand l'utilisateur a vu la cible" et "quand l'utilisateur a écrit le lien". Les raccourcis autonomes vivent partout, Bureau, Menu Démarrer, %APPDATA%\Microsoft\Windows\Recent\, lecteurs amovibles, et la même structure LNK forme aussi la charge utile de chaque entrée dans les fichiers Jumplist sous Recent\AutomaticDestinations\ et Recent\CustomDestinations\.

Confidentialité

Le parser sur ce site est un crate Rust compilé en WebAssembly. Le fichier est décodé dans votre navigateur. Il ne traverse jamais le réseau, rien n'est téléversé, pas de télémétrie. Cela compte parce qu'un .lnk d'un environnement réel divulgue le nom d'utilisateur, le hostname NetBIOS, l'adresse MAC et les chemins de documents de la machine qui l'a écrit, des champs que vous ne voulez généralement pas voir franchir une frontière de fournisseur.

Pour aller plus loin

La spécification [MS-SHLLINK] de Microsoft, la référence faisant autorité.
Au cœur de MS-SHLLINK, le parcours champ par champ.
Comment ouvrir un fichier .lnk, chemins d'inspection sûrs.
Analyse forensique des fichiers .lnk, ce que les enquêteurs extraient.
Malware dans les fichiers LNK, les mêmes champs, du côté de l'attaquant.
Artefacts complémentaires : le parser Jumplist pour les flux LNK incorporés, le parser Prefetch et le parser de registre pour corroboration.