Un téléchargement surprise d’un fichier stream.ts peut être déstabilisant : on craint aussitôt un logiciel malveillant ou un site compromis. Cet article détaille les raisons techniques possibles, les contrôles à effectuer et les bonnes pratiques pour éviter tout risque, aussi bien sur ordinateur que sur mobile.
Pourquoi un fichier stream.ts se télécharge‑t‑il tout seul ?
Dans la majorité des cas, .ts désigne un conteneur vidéo MPEG‑TS utilisé par les plateformes de streaming adaptatif (HLS, DASH). Le navigateur devrait lire le segment de flux sans l’enregistrer ; si un téléchargement s’inicie, c’est souvent lié à :
- Un en‑tête HTTP
Content‑Typemal configuré (par ex.application/octet‑streamau lieu devideo/mp2t). - Une extension ou une règle de filtrage (adblock, proxy, WAF) qui force le mode téléchargement.
- Un cache local corrompu qui fait perdre au navigateur le contexte de lecture.
- Plus rarement, une altération malveillante du site ou de la connexion.
Analyse détaillée des causes possibles
| Piste | Explication | Gravité potentielle |
|---|---|---|
| Erreur côté serveur | Le serveur renvoie un segment HLS en « fichier » : mauvais MIME ou directive Content‑Disposition: attachment. | Faible → Modérée |
| Extension ou réglage du navigateur | Un bloqueur de pub ou règle de sécurité force le téléchargement des médias non whitelistes. | Faible |
| Cache/Cookies corrompus | Des métadonnées périmées (Service Worker, IndexedDB) déclenchent un comportement erratique. | Faible |
| Fichier vidéo (MPEG‑TS) | Octet de synchronisation 0x47 en tête : simple segment vidéo, incapable de s’exécuter. | Faible : quasi inoffensif |
| Fichier TypeScript | Code texte. Sans transpilation ni exécution Node.js, aucun danger. | Très faible |
| Site compromis / Attaque MITM | Injection d’un .ts contenant un script déguisé ou un exécutable renversé. | Modérée → Élevée (rare) |
Comment vérifier la nature du fichier
- Identifier le type réel
Windows : clic droit → Propriétés. Linux/macOS :file stream.tsouxxd -l 16 stream.ts. La présence répétée du motif47 40 ??confirme MPEG‑TS. - Analyser les en‑têtes HTTP
Outils : F12 Réseau, curl -I, Wireshark. VérifiezContent‑Type,Content‑Dispositionet la présence d’un Service Worker. - Regarder la taille et l’entropy
Un segment HLS fait généralement 200 kB – 5 MB. Un fichier binaire suspect aura une entropie nettement plus élevée qu’une vidéo.
Mesures de mitigation immédiates
- Supprimez le fichier sans l’ouvrir : un média MPEG‑TS dormant ne peut rien installer.
- Videz le cache (CTRL + SHIFT + SUPPR) et effacez les données du site.
- Désactivez les extensions en mode navigation privée. Si le souci disparaît, réactivez‑les une par une.
- Réinitialisez les réglages du navigateur si le problème persiste.
- Maintenez système et navigateur à jour : correctifs de sécurité, codecs, antimalware.
- Sous mobile : ouvrez l’appli Fichiers (iOS) ou un gestionnaire Android pour purger le dossier Téléchargements.
Bonnes pratiques de sécurité à long terme
- Activez l’analyse en temps réel de Windows Security ou votre antivirus tiers.
- Forcer le HTTPS (HSTS, extension HTTPS‑Only).
- Mettre en place l’authentification à deux facteurs (2FA) sur le site concerné.
- Utiliser une liste de blocage DNS (NextDNS, Pi‑hole) pour filtrer les domaines malveillants.
- Programmer une tâche PowerShell ou cron qui purge automatiquement les téléchargements temporaires.
Questions fréquentes (FAQ)
Un .ts peut‑il contenir du code exécutable ?
En théorie, oui : n’importe quel fichier binaire peut être renommé en .ts. En pratique, un segment MPEG‑TS est aussitôt détecté comme média par antivirus et lecteurs, et ne dispose d’aucun vecteur d’exécution automatique.
Pourquoi Windows Security ne détecte rien ?
Parce qu’il s’agit le plus souvent d’un flux multimédia légitime. L’analyse heuristique identifie l’absence de shellcode, d’importations PE ou de scripts.
Le problème n’apparaît que sur un site précis. Que faire ?
Contactez le support du site en joignant :
- Captures d’écran de l’onglet Réseau (F12).
- Extrait des en‑têtes
curl -I "URL.segment.ts". - Hash SHA‑256 du fichier :
CertUtil -hashfile stream.ts SHA256.
Comment empêcher tout téléchargement automatique ?
Dans Chrome/Edge : Paramètres › Téléchargements › Demander où enregistrer chaque fichier. Firefox : about:config › browser.download.alwaysaskbeforehandlingnew_types = true.
Approfondissement technique : le conteneur MPEG‑TS
MPEG Transport Stream divise la vidéo en paquets de 188 octets. Chaque segment HLS regroupe des centaines de paquets et porte l’extension .ts. Le premier octet (0x47) est un octet de synchronisation ; un lecteur y recale le flux. Sans bon MIME, le navigateur ne peut associer le segment à son MediaSourceBuffer et déclenche un téléchargement “fallback”.
47 40 00 10 ... → Sync byte
PAT/PMT → Table des programmes
PID 256 → Stream vidéo (H.264)
PID 257 → Stream audio (AAC)
Le conteneur ne dispose d’aucune section exécutable ; il transporte simplement des trames compressées. Ouvrir un tel fichier dans VLC n’ajoute pas de risque notable, à moins d’exploiter une faille codec extrêmement rare.
Quand faut‑il s’inquiéter ?
- Le fichier est anormalement gros (> 500 MB) ou porte un double suffixe (
.ts.exe). - Le hash du fichier est absent des bases de données de médias connus mais présent dans VirusTotal.
- Plusieurs fichiers inconnus se téléchargent depuis des domaines différents du site visité.
- Votre navigateur redirige vers des URL HTTP non chiffrées ou affiche des alertes de certificat.
Dans ces cas, déconnectez‑vous du réseau, analysez la machine hors‑ligne et restaurez‑la si nécessaire.
Procédures pour les administrateurs de site
- Vérifiez les en‑têtes :
Content‑Type: video/mp2t, sansattachment. - Désactivez les optimisations CDN (minification, compression agressive) sur les segments
.ts. - Contrôlez les Service Workers : une règle
fetch()mal assortie peut renvoyer un blob forcé au téléchargement. - Signez vos playlists HLS ou utilisez CORS +
crossorigin="anonymous"pour réduire les détournements. - Surveillez les logs : un pic d’erreurs 404 suivi de téléchargements massifs peut trahir un scan automatisé.
Conclusion
Un stream.ts qui se télécharge tout seul est presque toujours un simple segment vidéo mal servi. En supprimant le fichier, vidant le cache et mettant à jour votre navigateur, vous éliminez l’immense majorité des risques. Restez toutefois vigilant : si le phénomène se répète ou s’accompagne d’autres anomalies (pop‑ups, redirections, ralentissements), isolez la machine, changez vos mots de passe et contactez les responsables du site. Mieux vaut un faux positif que de laisser passer une faille véritable.