Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Faux positif

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
04.09.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour - Lien vers soumissions aux éditeurs d'antivirus

Faux positif - En sécurité informatique et analyse (de type antivirus, etc. ...), un faux positif est une erreur consistant à détecter quelque chose qui n'aurait pas dû l'être.

Faux positifFaux positifEcrire au Webmaster à propos de : Faux positif

En sécurité informatique, les outils d'analyses, tels les antivirus, anti-spywares, anti-trojans, anti-adwares, pare-feu, etc. ... les filtres anti-spam, etc. ... les outils d'eRéputation humaine, eRéputation robotisée, de Web-Réputation, etc. ... tous les outils faisant une analyse de quelque chose, doivent produire une classification de l'objet analysé, en choisissant entre deux états : bon (sans danger) ou mauvais (dangereux).

Les analyses se basent sur des connaissances certaines (base de données d'empreintes vérifiées, condensats, etc. ...), ce qui permet de classer l'objet avec une relative certitude :

  • sauf erreur dans la base de signatures, auquel cas, un faux positif peut être produit
  • sauf objet " bon " ayant une empreinte identique à un objet " mauvais ", auquel cas l'outil d'analyse doit choisir une autre empreinte pour identifier l'objet " mauvais ").

Les analyses se basent également sur des critères moins " certains ", comme le comportement des objets inconnus. Le comportement d'un objet est analysé en l'activant (en le faisant s'exécuter) dans un environnement virtuel (une machine virtuelle). Là, la décision que prend l'outil d'analyse peut être trompée par le comportement apparent de l'objet analysé. Par exemple :

  • Un outil de sécurité informatique et de décontamination inconnu mais fiable et de confiance, qui va nettoyer le Registre Windows, en supprimant des clés, et qui va détruire des fichiers contenant des malwares, a un comportement qui peut paraître suspect à une analyse automatisée. L'outil d'analyse va le déclarer " dangereux ". C'est un faux positif. Pour éviter cela, après analyse approfondie par des humains, il sera introduit dans une liste blanche (ceci indépendamment du fait que jamais aucun outil de nettoyage du Registre ne doit être utilisé. Lire :
    Nettoyage et défragmentation du Registre Windows
    Guerre des nettoyeurs et défragmenteurs du registre Windows

Le faux positif est très préjudiciable au logiciel analysé et donne une mauvaise image à l'outil d'analyse utilisé. D'ailleurs, dans nos tableaux de comparatifs antivirus, l'un des critères de comparaison est le taux de faux positifs.

Comparatif antivirus - Taux de faux positifs - Mars 2014
Comparatif antivirus - Taux de faux positifs - Mars 2014

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Pour l'utilisateur lambda, il est difficile, voire impossible, de dire " C'est un faux positif ". L'utilisateur fait l'acquisition d'outils de sécurité pour se reposer dessus, pas pour les mettre en doute (ce qui est, d'ailleurs, source de contamination par la baisse du niveau de vigilance de l'utilisateur).

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Lorsqu'un logiciel est classé comme nuisible ou dangereux par un outil d'analyse, alors que vous pensez que le logiciel est probablement sain, il y a deux démarches à suivre :

  • Écrire à l'auteur du logiciel pour l'alerter et voir comment il réagit (il faut lui donner quelques jours pour cela, jours durant lesquels vous n'utilisez pas le logiciel douteux).
  • Faire analyser le logiciel douteux par d'autres outils. Typiquement, on fera analyser le logiciel par le service multiantivirus instantané, gratuit, en ligne : VirusTotal (52 antivirus simultanés en mai 2014) (ou l'un des autres services multiantivirus de même nature). Si le résultat de cette analyse ne donne qu'un ou deux signalements sur plusieurs dizaines, et que le logiciel analysé a déjà quelques semaines d'existence, et que les signalements sont le fait d'outils d'analyse inconnus ou sans aucune notoriété, il y a de fortes chances qu'il s'agisse d'un faux positif. On restera tout de même prudent et on lira l'article sur le sujet inverse : Faux négatifs.

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

Analyse 2010, par AV-Comparatives (un organisme crédible), des faux-positifs dans les principaux antivirus (pdf - anglais) (archivé)

 Requêtes similairesRequêtes similaires" Requêtes similaires "