Les faux positifs des antivirus

Les faux positifs sont des détectons erronées des antivirus.
Il s’agit du même terme employé en biologie ou en médecine qui s’applique lorsqu’un élément est positif alors qu’il ne devrait pas l’être.
Ainsi pour les antivirus, une détection d’un fichier malveillant est généré alors que le fichier est sain.

Les faux-positifs

Les faux positifs sont des détections de l’antivirus sur des fichiers sains.
Cela peut donc être gênant pour l’utilisateur puisqu’il bloque l’accès à un fichier ou une adresse WEB qui n’est pas malveillant.
Enfin, cela peut aussi être encore plus gênant voire catastrophique quand la détection se porte sur un fichier système de Windows.

Par le passé, quasi tous les antivirus ont fait face à des faux positifs sur des fichier systèmes de Windows.
Certains faux positif ont pu faire que Windows ne démarre plus, obligeant l’éditeur a proposé une solution de réparation de Windows.

Voici quelques exemples de fichiers systèmes détectés par erreur par les antivirus par le passé :

Dans les cas précédents, on parle de détections de fichiers mais le faux positif peut se porter sur des sites internet.

Les faux positifs sur des URLs

L’erreur de détection peut aussi se porter sur une page internet spécifique ou un site entier.
Les antivirus parcourent les sites internet à travers des robots, lorsqu’un contenu malveillant est détecté, le site peut-être bloqué.
A la suite d’un piratage et l’injection d’un Javascript malveillant, votre site internet peut donc être blacklisté (mise dans la liste liste noire).

A noté que par le passé, McAfee a bloqué malekal.com à cause de la présence de détection de type « Hacktool », voir ce topic : SiteAdvisor et malekal.com

A noter que le service Google SafeBrowsing fonctionne un peu sur le même principe.

Les faux positifs sur les téléchargements

Les fichiers de sources inconnus provenant de site d’hébergements comme uptobox, 1fichier, etc ainsi que les torrents font souvent l’objet de détections.
En effet, ces logiciels comportent souvent des cracks et keygen pour contourner l’achat de licence du logiciel.
Ces cracks ne sont pas des sources sûres, des pirates peuvent aussi mettre en ligne des cracks qui sont en réalité des logiciels malveillants.
De plus, les cracks peuvent avoir des comportements proches de virus, comme le remplacement de partie de fichiers exécutables.
Cela peut donc engendrer des détections positives de la part des modules heuristiques des antivirus.

Notez que les logiciels de détections gratuits ont pu générer aussi des détections de la part des antivirus.
Le fait que le fichier n’était initialement pas signé numériquement et pouvait ajouter des clés Run pour terminer la suppression de malware au démarrage.
Tout cela génère la confusion sur les antivirus.
Quelques messages de forum de 2012 où AdwCleaner est détecté en malware. A chaque nouvelle mise à jour d’AdwCleaner, l’exe pouvait à nouveau être détecté par les antivirus.

faux positifs et outils de suppression de virus

faux positifs et outils de suppression de virus

Depuis, AdwCleaner est à 0 détection sur VirusTotal

On constate aussi que le fichier est signé numérique.

faux positifs et outils de suppression de virus

A titre de comparaison, ZHPCleaner lui donne des résultats de positifs.

faux positifs et outils de suppression de virus

et le fichier n’est pas signé.

faux positifs et outils de suppression de virus

La signature numérique joue beaucoup car elle permet de s’assurer de la source.
Ainsi, les fichiers système de Windows XP n’étaient pas tous signés, ce qui n’aidait pas pour les faux positifs.

Les risktools et hacktools

Et puis, il y a les risktools ou hacktools avec par exemple,Windows Defender  qui peut générer des alertes Hacktool:MSIL/AutoKMS.

Pour rappel, ce programme permet d’utiliser Windows et Microsoft Office sans devoir acheter de licences.
En soi, le programme n’est pas dangereux, toutefois Microsoft a décidé d’ajouter une protection pour se protéger de ce type de cracks.

Hacktool:MSIL/AutoKMS : faux positif ?

Comment vérifier si un fichier est réellement malicieux

Dans le cas d’une détection sur un programme qui est installé depuis plusieurs semaines/mois, il y a de grandes chances que ce soit un faux positif.
Parfois il est pas forcément simple de déterminer si un fichier est réellement malicieux ou non.

La meilleur solution consiste à scanner le fichier sur VirusTotal : analyser un fichier sur VirusTotal.
Si seul votre antivirus le détecte, alors, il y a de grandes chances que ce soit un faux positif.

Signaler des faux positifs aux Antivirus

Vous pouvez signaler le faux positif afin de faire corriger la détection, cela peut se faire directement depuis l’antivirus, souvent à partir de la quarantaine ou depuis le site de l’éditeur.
N’hésitez pas non plus à faire une recherche sur Google, type « reporter faux positif avast », des formulaires sur les sites des éditeurs existent.

Quelques liens du site qui expliquent comment signaler un faux positif.

 

(Visité 149 fois, 14 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet