Assiste.com
Faux négatif
Faux négatif - sécurité informatique / analyse antivirus, etc. Un faux négatif est une erreur consistant à ne pas détecter quelque chose qui aurait dû l'être.
cr 07.06.2004 r+ 29.03.2022 r- 20.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
En informatique, et dans le monde numérique, tous les outils, mécanismes ou algorithmes faisant une analyse sécuritaire de quelque chose doivent produire une classification de l'objet analysé, en choisissant entre deux états : bon (sans danger) ou mauvais (dangereux), avec une éventuelle gradation de ces classements.
En informatique, un faux négatif est le silence d'un outil d'analyse (antivirus, anti-spywares, anti-trojans, anti-adwares, pare-feu, filtres anti-spam, outils d'e-réputation humaine (par crowdsourcing), e-réputation robotisée, de Web-Réputation, etc., tous les outils faisant une analyse de quelque chose) qui ne voit pas un risque, un parasite, une malveillance, etc. là où il devrait le voir. Son silence déclare l'objet analysé, par défaut, sain ou inoffensif, alors qu'il constitue un virus, un malware, un danger, une attaque quelconque.
Il naît plusieurs milliers de nouvelles malveillances par jour, totalement nouvelles ou variantes de malveillances et virus précédant. Le risque est grand de croire à un faux positif avec les toutes nouvelles malveillances, apparues le jour même, et que très peu d'antivirus ont eu le temps d'analyser et intégrer dans leurs outils d'analyse. La tendance est de conclure, lorsqu'un objet est analysé et est déclaré malveillant par seulement un ou deux outils de sécurité, que ce sont ces outils de sécurité qui produisent un faux positif alors que, dans le cas d'une toute nouvelle malveillance, ce sont la totalité des autres outils de sécurité qui produisent des faux négatifs.
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
Lorsque l'on fait analyser un objet par le service gratuit en ligne, multiantivirus, VirusTotal (55 antivirus simultanés au moment de l'écriture de cet article, tous à jour), et que :
Cet objet est reconnu comme étant une malveillance par de nombreux outils (ce qui élimine le doute sur un « faux positif » possible par un ou deux antivirus seulement, surtout s'ils sont de faible notoriété).
Dans l'exemple suivant, cette malveillance est reconnue par 45 antivirus sur 50.Cet objet n'est pas nouveau (dans l'onglet « Informations supplémentaires » de VirusTotal, regarder l'information : « First submission » (date de la première soumission à l'analyse de cet objet)).
Dans l'exemple suivant, cette analyse date du 30.01.2014, mais la première analyse de ce fichier remonte au 04.05.2011, soit plus de trois ans plus tôt ! Il est donc parfaitement connu.
Les cinq derniers outils d'analyse ayant analysé cet objet (en bas du tableau) produisent un faux négatif (soit par faiblesse, soit parce qu'ils ne s'intéressent pas à cette classe de malveillances) - pourtant, SUPERAntiSpyware est un bon outil de sécurité et WinWebSec (WinWebSecurity) est une matrice connue de longue date de très nombreux faux antivirus/antispywares (Rogues et Scarewares).
| Analyse d'une variante de WinWebSec (WinWebSecurity) | ||
|---|---|---|
| Antivirus | Résultat | Mise à jour |
| AVG | Generic_r.WQ | 20140130 |
| Ad-Aware | Trojan.Generic.KD.206721 | 20140130 |
| Agnitum | Trojan.Winwebsec!Po0lcZqdgUw | 20140130 |
| AhnLab-V3 | Trojan/Win32.FakeAV | 20140130 |
| AntiVir | TR/Winwebsec.A.4146 | 20140130 |
| Avast | Win32:MalOb-GE [Cryp] | 20140130 |
| Baidu-International | Trojan.Win32.Generic.AH | 20140130 |
| BitDefender | Trojan.Generic.KD.206721 | 20140130 |
| Bkav | HW32.CDB.28ee | 20140125 |
| CAT-QuickHeal | Rogue.Winwebsec (Not a Virus) | 20140130 |
| ClamAV | Win.Trojan.Fakeav-18956 | 20140130 |
| Commtouch | W32/FakeAlert.NP.gen!Eldorado | 20140130 |
| Comodo | TrojWare.Win32.Kryptik.NEA | 20140130 |
| DrWeb | Trojan.Fakealert.20667 | 20140130 |
| ESET-NOD32 | a variant of Win32/Kryptik.NEE | 20140130 |
| Emsisoft | Trojan.Generic.KD.206721 (B) | 20140130 |
| F-Prot | W32/FakeAlert.NP.gen!Eldorado | 20140130 |
| F-Secure | Trojan.Generic.KD.206721 | 20140130 |
| Fortinet | W32/PackFakeAV.KL!tr | 20140130 |
| GData | Trojan.Generic.KD.206721 | 20140130 |
| Ikarus | Trojan.SuspectCRC | 20140130 |
| Jiangmin | Trojan/Generic.fdbs | 20140130 |
| K7AntiVirus | Spyware ( 0040e5e81 ) | 20140130 |
| K7GW | Spyware ( 0040e5e81 ) | 20140130 |
| Kaspersky | HEUR:Hoax.Win32.ExpProc.a | 20140130 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20130829 |
| Malwarebytes | Rogue.SecurityShield | 20140130 |
| McAfee | FakeAlert-SecurityTool.bt | 20140130 |
| McAfee-GW-Edition | FakeAlert-SecurityTool.bt | 20140130 |
| MicroWorld-eScan | Trojan.Generic.KD.206721 | 20140130 |
| Microsoft | Rogue:Win32/Winwebsec | 20140130 |
| NANO-Antivirus | Trojan.Win32.FakeAVKL.cdpgf | 20140130 |
| Norman | FakeAV.ADQX | 20140130 |
| Panda | Trj/Resdec.c | 20140130 |
| Qihoo-360 | HEUR/Malware.QVM20.Gen | 20140122 |
| Rising | PE:Trojan.Win32.Generic.12889FFA!310943738 | 20140130 |
| Sophos | Mal/FakeAV-KL | 20140130 |
| Symantec | Trojan.ADH | 20140130 |
| TheHacker | Trojan/Kryptik.nee | 20140128 |
| TotalDefense | Win32/FraudSecurityTool.O!generi | 20140130 |
| TrendMicro | TROJ_FAKEAV.SM28 | 20140130 |
| TrendMicro-HouseCall | TROJ_FAKEAV.SM28 | 20140130 |
| VBA32 | BScope.Trojan.Winwebsec.1613 | 20140130 |
| VIPRE | FraudTool.Win32.MSRemovalTool.ek!a (v) | 20140130 |
| nProtect | Trojan.Generic.KD.206721 | 20140130 |
| Antiy-AVL | 20140130 | |
| ByteHero | 20140121 | |
| CMC | 20140122 | |
| SUPERAntiSpyware | 20140130 | |
| ViRobot | 20140130 | |
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
