Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Faux négatif

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
04.09.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour - Lien vers soumissions aux éditeurs d'antivirus

Faux négatif - En sécurité informatique et analyse (de type antivirus, etc. ...), un faux négatif est une erreur consistant à ne pas détecter quelque chose qui aurait dû l'être.

Faux négatifFaux négatifEcrire au Webmaster à propos de : Faux négatif

En informatique, un faux négatif est le silence d'un outil d'analyse (antivirus, anti-spywares, anti-trojans, anti-adwares, pare-feu, etc. ... les filtres anti-spam, etc. ... les outils d'eRéputation humaine, eRéputation robotisée, de Web-Réputation, etc. ... tous les outils faisant une analyse de quelque chose) qui ne voit pas un risque, un parasite, une malveillance, etc. ... là où il devrait le voir. Son silence déclare l'objet analysé, par défaut, sain ou inoffensif, alors qu'il constitue un virus, un malware, un danger, une attaque quelconque.

Il naît plusieurs milliers de nouvelles malveillances par jour, totalement nouvelles ou variantes de malveillances et virus précédant. Le risque est grand de croire à un faux positif avec les toutes nouvelles malveillances, apparues le jour même, et que très peu d'antivirus ont eu le temps d'analyser et intégrer. La tendance est de conclure, lorsqu'un objet est analysé et est déclaré malveillant par seulement un ou deux outils de sécurité, que ce sont ces un ou deux outils de sécurité qui produisent un faux positif alors que, dans le cas d'une toute nouvelle malveillance, ce sont la totalité des autres outils de sécurité qui produisent un faux négatif.

Par exemple, lorsque l'on fait analyser un objet par le service gratuit en ligne, multiantivirus, VirusTotal (55 antivirus simultanés au moment de l'écriture de cet article, tous à jour), et que :

  • Cet objet est reconnu comme étant une malveillance par de nombreux outils (ce qui élimine le doute sur un "faux positif" possible par un ou deux antivirus seulement, surtout s'ils sont de faible notoriété.
    Dans l'exemple suivant, cette malveillance est reconnue par 45 antivirus sur 50.
  • Cet objet n'est pas nouveau (dans l'onglet "Informations supplémentaires" de VirusTotal, regarder l'information : "First submission" (date de la première soumission à l'analyse de cet objet)).
    Dans l'exemple suivant, cette analyse date du 30.01.2014 mais la première analyse de ce fichier remonte au 04.05.2011, soit plus de trois ans plus tôt ! Il est donc parfaitement connu.

Les cinq derniers outils d'analyse ayant analysé cet objet (en bas du tableau) produisent un faux négatif (soit par faiblesse, soit parce qu'ils ne s'intéressent pas à cette classe de malveillances - pourtant, SUPERAntiSpyware est un bon outil de sécurité et WinWebSec (WinWebSecurity) est une matrice connue de longue date de très nombreux faux antivirus/antispywares (Rogues) et Scarewares).

Analyse d'une variante WinWebSec (WinWebSecurity)
Antivirus Résultat Mise à jour
AVG Generic_r.WQ 20140130
Ad-Aware Trojan.Generic.KD.206721 20140130
Agnitum Trojan.Winwebsec!Po0lcZqdgUw 20140130
AhnLab-V3 Trojan/Win32.FakeAV 20140130
AntiVir TR/Winwebsec.A.4146 20140130
Avast Win32:MalOb-GE [Cryp] 20140130
Baidu-International Trojan.Win32.Generic.AH 20140130
BitDefender Trojan.Generic.KD.206721 20140130
Bkav HW32.CDB.28ee 20140125
CAT-QuickHeal Rogue.Winwebsec (Not a Virus) 20140130
ClamAV Win.Trojan.Fakeav-18956 20140130
Commtouch W32/FakeAlert.NP.gen!Eldorado 20140130
Comodo TrojWare.Win32.Kryptik.NEA 20140130
DrWeb Trojan.Fakealert.20667 20140130
ESET-NOD32 a variant of Win32/Kryptik.NEE 20140130
Emsisoft Trojan.Generic.KD.206721 (B) 20140130
F-Prot W32/FakeAlert.NP.gen!Eldorado 20140130
F-Secure Trojan.Generic.KD.206721 20140130
Fortinet W32/PackFakeAV.KL!tr 20140130
GData Trojan.Generic.KD.206721 20140130
Ikarus Trojan.SuspectCRC 20140130
Jiangmin Trojan/Generic.fdbs 20140130
K7AntiVirus Spyware ( 0040e5e81 ) 20140130
K7GW Spyware ( 0040e5e81 ) 20140130
Kaspersky HEUR:Hoax.Win32.ExpProc.a 20140130
Kingsoft Win32.Troj.Undef.(kcloud) 20130829
Malwarebytes Rogue.SecurityShield 20140130
McAfee FakeAlert-SecurityTool.bt 20140130
McAfee-GW-Edition FakeAlert-SecurityTool.bt 20140130
MicroWorld-eScan Trojan.Generic.KD.206721 20140130
Microsoft Rogue:Win32/Winwebsec 20140130
NANO-Antivirus Trojan.Win32.FakeAVKL.cdpgf 20140130
Norman FakeAV.ADQX 20140130
Panda Trj/Resdec.c 20140130
Qihoo-360 HEUR/Malware.QVM20.Gen 20140122
Rising PE:Trojan.Win32.Generic.12889FFA!310943738 20140130
Sophos Mal/FakeAV-KL 20140130
Symantec Trojan.ADH 20140130
TheHacker Trojan/Kryptik.nee 20140128
TotalDefense Win32/FraudSecurityTool.O!generi 20140130
TrendMicro TROJ_FAKEAV.SM28 20140130
TrendMicro-HouseCall TROJ_FAKEAV.SM28 20140130
VBA32 BScope.Trojan.Winwebsec.1613 20140130
VIPRE FraudTool.Win32.MSRemovalTool.ek!a (v) 20140130
nProtect Trojan.Generic.KD.206721 20140130
Antiy-AVL 20140130
ByteHero 20140121
CMC 20140122
SUPERAntiSpyware 20140130
ViRobot 20140130