Un faux positif : c'est quoi ?

Retrouvez ici les bases, le minimum à connaître pour aller plus loin...
jeff64
    unknown unknown

Un faux positif : c'est quoi ?

Message par jeff64 »

Libellules.ch a écrit :Antivirus : les faux positifs

--------------------------------------------------------------------------------

Définition : un faux positif est une erreur de jugement d'un programme de détection, qui va réagir et renvoyer une alerte alors qu'il n'y a pas lieu de le faire.
On parle de faux positifs essentiellement dans le domaine des antivirus, mais les logiciels antispam ou contrôleurs d'intégrité (IDS) peuvent aussi en générer.

Pour un antivirus, cela se produit lorsque le programme scanne un fichier sain et le déclare infecté (positif pour son test) alors qu'il ne l'est pas. Nous allons évoquer la chose pour les antivirus, car cela peut être pénalisant, et cela remet partiellement en cause la confiance de l'utilisateur en son antivirus et/ou les programmes qu'il télécharge.

Le cas des antivirus--------------------------------------------------------------------------------
Comment se fait-il qu'un fichier sain génère une alerte ? Il faut se pencher un peu sur le fonctionnement des antivirus. Un antivirus recourt à plusieurs méthodes de détection, parmi lesquelles:
-la détection par signatures : les mises à jour de définitions de virus sont là pour ça, un antivirus possède une base de données de milliers de virus. Pour ne pas encombrer votre disque dur avec un volume de données énorme, la base de donées contient entre autres choses le morceau de code minimal attribuable au virus, ce qui se retrouve systématiquement dans un fichier infecté par ce virus. L'antivirus analyse donc le contenu des fichiers à la recherche d'une chaîne de caractères qu'il connait et qu'il associe à un virus.

Possibles problèmes : certains compresseurs pour programmes (packers), qui diminuent la taille d'un fichier .exe sans rien lui faire perdre de ses capacité, jouent sur des astuces de programmation, communes à certains virus. Une de ces compressions (sur fichier sain) peut générer une chaîne de caractères associée à une infection. Idem pour certains setups, qui en utilisent. Certaines bases d'antivirus ne sont pas assez précises, et cherchent un bout de code trop court, qui peut se trouver naturellement dans un fichier sain.
-l'analyse heuristique : ici il s'agit de détecter un virus qui ne serait pas dans la base de signatures. L'antivirus ne recherche pas un code fixe et connu, mais un type de code (lecture et écritures de fichiers à répétition et groupées, par exemple).

Possibles problèmes: trop de zèle de la part de ce module, ce qui varie énormément d'un antivirus à l'autre.
-la surveillance comportementale : ce module complète les deux premiers, et surveille des activités (création de fichiers, effacement, renommage, etc). Si un comportement suspect est détecté : alerte.

Que faire?
--------------------------------------------------------------------------------
D'abord et avant tout : mettre à jour les définitions virales, et le programme si besoin.
Il ne faut pas croire aveuglément un programme, la recrudescence de faux antivirus, de spywares déguisés en programmes sains et de faux mails (phishing) doit vous mettre en garde : si un programme peut mentir, un autre peut se tromper...
Solution : uploader le fichier incriminé sur un VirusTotal (désormais disponible en français, merci à ipl_001) ou Jotti's virus scan, des services gratuits qui l'analyseront avec une bonne vingtaine d'antivirus à jour pour Virustotal, en vous affichant les résultats. Pour en savoir plus, direction le blog. Si les avis sont partagés, ou qu'ils détectent des infections différentes, il peut y avoir faux positif...

Autre possibilité, scanner avec un antivirus gratuit en ligne.
Les antivirus ne sont pas tous d'accord sur le type d'intrus, le fichier est compressé avec un packer (UPX), et les poids lourds ne disent rien : il y a de fortes chances que ce soit un faux positif.
Où s'arrête un virus et où commence le spyware, le rootkit, le keylogger ou le trojan (cheval de troie) ? La frontière peut être floue, et parfois le mieux est l'ennemi du bien, à vouloir ratisser trop large (et dire qu'on est l'antivirus détectant x virus de plus que le concurrent), certains antivirus vont aller dans des domaines qui ne sont pas forcément les leurs.
Solution : ne pas se contenter d'un antivirus, utiliser conjointement des logiciels de détection de spywares, de rootkits, etc... cela donne un avis complémentaire sur des cas limites.
C'est là que la maxime de Confucius(ci-dessous)prend toute sa valeur :angel: :angel:
Avatar du membre
Bobby2dallas
Membre VIP
Membre VIP
Messages : 2983
Enregistré le : lun. 23 mai 2011 16:13
Localisation : ~ Nimes
A été remercié : 5 fois
    unknown unknown

Re: Un faux positif,c'est quoi?(Prof)

Message par Bobby2dallas »

Merci pour ces précisions, ca évitera de recevoir trop de mp avec des questions trop futiles!!
Image
0101010001100101011000010110110100100000010000010110000101111010
Image
Avatar du membre
palerider
Administrateur du site
Administrateur du site
Messages : 6005
Enregistré le : lun. 21 mars 2011 09:18
Localisation : Vaucluse
A remercié : 38 fois
A été remercié : 221 fois
Contact :
    unknown unknown

Re: Un faux positif,c'est quoi?(Prof)

Message par palerider »

Bonjour,

Merci pour toutes ces explications!

Pour ma part j'ai quand même remarqué, surtout quand il s'agit de Keygens et quand on vous dit : pas de problème le fichier est clean ! Dans bien des cas il ne l'est pas !

J'ai souvent fait l’expérience d'un fichier qui est clean quand on le contrôle et qui ne l'est plus 15 jours plus tard !

Donc dans tous les cas méfiance !

:)
J'aime les gens qui, pour briller, n'éteignent pas les autres.

Image
Avatar du membre
Prof
Administrateur du site
Administrateur du site
Messages : 8320
Enregistré le : lun. 5 avr. 2010 20:07
Localisation : Vosges
A remercié : 1 fois
A été remercié : 22 fois
Contact :
    unknown unknown

Re: Un faux positif : c'est quoi ?

Message par Prof »

Merci jeff pour ce petit topo :)
Règlement du forum
Toute demande d'aide ou de liens par MP est inutile !
Avatar du membre
macgrath
Modérateur
Modérateur
Messages : 3942
Enregistré le : jeu. 3 mars 2011 22:15
A remercié : 69 fois
A été remercié : 54 fois
    unknown unknown

Re: Un faux positif : c'est quoi ?

Message par macgrath »

Connaitre ses sources de téléchargement, la personne qui poste, et sa réputation, c'est comme ça que je pratique, mais , de + en + , je prends des logiciels gratuit sur des sites à bonne réputation, ça évite bien des problèmes.
chatonhub
    unknown unknown

Re: Un faux positif,c'est quoi?(Prof)

Message par chatonhub »

bonsoir,
pour moi un antivirus cela ce rapproche a des plaque d’immatriculation.
je m'explique ,chaque département a un numéro bien a lui Paris 75.
hem qu'est ce qu'il raconte !!
si la ville de paris bloquer toutes les autre plaque hors département 75 sa ferrais plein de faux positif (vous suivez ??
:)
un antivirus bloque qu'une série de lettre et de chiffre( je suppose ) d’où l'énormité de faux ou de virus etc...
pour être plus contré
Avaste bloque le 17
Panda le 18
le 18 seras reconnu en virus par avast ,le 17 seras reconnu virus par panda
j'ai schématisé le tout en espérant qu'on me comprend :)

quand on a un doute sur un fichier il ne vaut pas évité a le tester sur plusieurs antivirus
des antivirus sont en page web pour faire ces dit teste !!

évité les keygen préféré les numéro !!

http://www.team-aaz.com/forum/viewtopic.php?f=13&t=3626 a voir
Modifié en dernier par chatonhub le lun. 27 juin 2011 00:14, modifié 2 fois.
Avatar du membre
Chewbacca
Administrateur du site
Administrateur du site
Messages : 8081
Enregistré le : ven. 5 nov. 2010 23:08
Localisation : Evry
A remercié : 35 fois
A été remercié : 11 fois
Contact :
    unknown unknown

Re: Un faux positif : c'est quoi ?

Message par Chewbacca »

merci Jeff, pas d'antivirus sous Linux 8)
"Un peuple qui oublie son Histoire est condamné à la revivre"
gibe
Membre VIP
Membre VIP
Messages : 4255
Enregistré le : jeu. 2 déc. 2010 08:43
Localisation : 86600
A remercié : 66 fois
A été remercié : 45 fois
    unknown unknown

Re: Un faux positif,c'est quoi?(Prof)

Message par gibe »

palerider a écrit :Bonjour,

Merci pour toutes ces explications!

Pour ma part j'ai quand même remarqué, surtout quand il s'agit de Keygens et quand on vous dit : pas de problème le fichier est clean ! Dans bien des cas il ne l'est pas !

J'ai souvent fait l’expérience d'un fichier qui est clean quand on le contrôle et qui ne l'est plus 15 jours plus tard !

Donc dans tous les cas méfiance !

:)
Un keygen est souvent reconnu comme un intrus mais si tu coche la bonne case il ne le sera plus de façon définitive.
En général, je parle d’expérience, les keygen sont rarement infectés sauf si tu télécharges des cerises vérolées diffusées sur certains P2P.
J'ai mes habitudes sur ce point.
;)
Image Parfois je me dis que les gens vont se rendre compte de l'arnaque de la mondialisation, du tout électrique, de la cancel culture et qu'ils vont faire la révolution. Puis je réalise que les gens regardent Hanouna, Plus belle la vie, etc.
Zinzin
    unknown unknown

Re: Un faux positif : c'est quoi ?

Message par Zinzin »

on s'égare je lis trop keygen içi ..............
Celui qui pleure pour un bip d'antivirus devrait s'offrir vraiment ses licences hein ;)
Et un keygen ou crack, effectivement c du backdoor et compagnie ...... mais on le sais tous :)



ps: evitons de dériver sur Wawa ^^ ;)
Spirou06
    unknown unknown

Re: Un faux positif : c'est quoi ?

Message par Spirou06 »

Un grand merci
Répondre