Le dossier $Recycle.Bin est-il un virus ? Peut-on le supprimer ?

La réponse courte : $Recycle.Bin est intégré à Windows. Ce n'est pas un logiciel malveillant. Il semble suspect uniquement parce que deux attributs cachés, Hidden et System, le tiennent hors de l'Explorateur tant que vous ne les affichez pas explicitement. Cela dit, il existe deux véritables ruses d'attaquants impliquant le même nom, et un angle forensique qui mérite d'être compris avant d'envisager une suppression.

Pourquoi chaque disque en possède un

Tout volume NTFS auquel Windows touche reçoit un $Recycle.Bin à sa racine la première fois qu'un fichier de ce volume est envoyé à la Corbeille. À l'intérieur, un sous-dossier par utilisateur (nommé d'après son SID) contient les paires $I/$R de cet utilisateur. Le shell compose l'espace de noms "Corbeille" du bureau à partir de tous ces dossiers par volume.

Les clés USB formatées en FAT32 ou exFAT n'ont pas de $Recycle.Bin. Les fichiers supprimés y sont retirés immédiatement. C'est précisément pour cela que les clés USB FAT sont un vecteur d'exfiltration courant et peu coûteux : aucune trace sur disque de ce qui a été supprimé.

Les deux ruses d'usurpation à connaître

1. Un dossier littéralement nommé $RECYCLE.BIN à la racine d'un support amovible, contenant un payload. Certains logiciels malveillants courants le font pour qu'un coup d'œil rapide à la clé voie un dossier "attendu". Le véritable dossier système ne contient que des sous-dossiers SID avec des paires $I/$R, jamais un exécutable à sa racine.
2. Un dossier en forme de SID contenant des fichiers arbitraires. Un répertoire S-1-5-21-… dont le contenu n'est pas des paires $I/$R est révélateur. L'analyseur le signale ; vérifiez en listant le contenu du répertoire.

Si vous suspectez l'un ou l'autre, hashez tout exécutable à l'intérieur et pivotez via AmCache et Shimcache pour rechercher des preuves d'exécution ailleurs sur le système.

Ce que la suppression du dossier fait réellement

$Recycle.Bin est un dossier protégé ordinaire. Supprimez-le (via une invite de commandes en mode administrateur avec rd /s /q C:\$Recycle.Bin) et Windows en recrée un vide à la prochaine arrivée d'un fichier dans la Corbeille sur ce volume. L'effet visible :

• Le contenu de la Corbeille pour ce volume disparaît.
• L'espace disque occupé par les fichiers $R est libéré.
• Les compteurs de quota par utilisateur sont réinitialisés.

Ce que vous perdez : toute possibilité de restaurer ces fichiers via le shell. Vous ne réparez rien ; vous n'améliorez aucun composant système. Si un utilisateur demande comment "récupérer de l'espace disque" depuis la Corbeille, la bonne réponse est "Vider la Corbeille" depuis le bureau, pas supprimer le dossier.

L'angle forensique

Si vous suspectez une activité anti-forensique, ne supprimez pas le dossier. Imagez d'abord le volume. Un utilisateur qui a vidé la Corbeille laisse fréquemment :

• Des paires $I/$R résiduelles dans les clichés instantanés.
• Des entrées MFT avec des horodatages de suppression correspondant à l'effacement.
• Des enregistrements du journal USN des opérations de renommage et de suppression sur $Recycle.Bin\<SID>\$I*.

L'acte de supprimer la Corbeille est en lui-même une conclusion digne d'être consignée.

Pour aller plus loin

• Où se trouve la Corbeille sur le disque ?
• Les sous-dossiers SID de la Corbeille expliqués
• Fichiers $I et $R : quelle différence ?
• Qu'est-ce que la Corbeille Windows ?