Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Faux négatif

Faux négatif - sécurité informatique / analyse antivirus, etc. Un faux négatif est une erreur consistant à ne pas détecter quelque chose qui aurait dû l'être.

24.11.2022 : Pierre Pinard.

En informatique, et dans le monde numérique, tous les outils, mécanismes ou algorithmes faisant une analyse sécuritaire de quelque chose doivent produire une classification de l'objet analysé, en choisissant entre deux états : bon (sans danger) ou mauvais (dangereux), avec une éventuelle gradation de ces classements.

En informatique, un faux négatif est le silence d'un outil d'analyse (antivirus, anti-spywares, anti-trojans, anti-adwares, pare-feu, filtres anti-spam, outils d'e-réputation humaine (par crowdsourcing), e-réputation robotisée, de Web-Réputation, etc., tous les outils faisant une analyse de quelque chose) qui ne voit pas un risque, un parasite, une malveillance, etc. là où il devrait le voir. Son silence déclare l'objet analysé, par défaut, sain ou inoffensif, alors qu'il constitue un virus, un malware, un danger, une attaque quelconque.

Il naît plusieurs milliers de nouvelles malveillances par jour, totalement nouvelles ou variantes de malveillances et virus précédant. Le risque est grand de croire à un faux positif avec les toutes nouvelles malveillances, apparues le jour même, et que très peu d'antivirus ont eu le temps d'analyser et intégrer dans leurs outils d'analyse. La tendance est de conclure, lorsqu'un objet est analysé et est déclaré malveillant par seulement un ou deux outils de sécurité, que ce sont ces outils de sécurité qui produisent un faux positif alors que, dans le cas d'une toute nouvelle malveillance, ce sont la totalité des autres outils de sécurité qui produisent des faux négatifs.

Lorsque l'on fait analyser un objet par le service gratuit en ligne, multiantivirus, VirusTotal (55 antivirus simultanés au moment de l'écriture de cet article, tous à jour), et que :

  • Cet objet est reconnu comme étant une malveillance par de nombreux outils (ce qui élimine le doute sur un « faux positif » possible par un ou deux antivirus seulement, surtout s'ils sont de faible notoriété).
    Dans l'exemple suivant, cette malveillance est reconnue par 45 antivirus sur 50.

  • Cet objet n'est pas nouveau (dans l'onglet « Informations supplémentaires » de VirusTotal, regarder l'information : « First submission » (date de la première soumission à l'analyse de cet objet)).
    Dans l'exemple suivant, cette analyse date du 30.01.2014, mais la première analyse de ce fichier remonte au 04.05.2011, soit plus de trois ans plus tôt ! Il est donc parfaitement connu.

Les cinq derniers outils d'analyse ayant analysé cet objet (en bas du tableau) produisent un faux négatif (soit par faiblesse, soit parce qu'ils ne s'intéressent pas à cette classe de malveillances) - pourtant, SUPERAntiSpyware est un bon outil de sécurité et WinWebSec (WinWebSecurity) est une matrice connue de longue date de très nombreux faux antivirus/antispywares (Rogues et Scarewares).


Analyse d'une variante de WinWebSec (WinWebSecurity)
AntivirusRésultatMise à jour
AVGGeneric_r.WQ20140130
Ad-AwareTrojan.Generic.KD.20672120140130
AgnitumTrojan.Winwebsec!Po0lcZqdgUw20140130
AhnLab-V3Trojan/Win32.FakeAV20140130
AntiVirTR/Winwebsec.A.414620140130
AvastWin32:MalOb-GE [Cryp]20140130
Baidu-InternationalTrojan.Win32.Generic.AH20140130
BitDefenderTrojan.Generic.KD.20672120140130
BkavHW32.CDB.28ee20140125
CAT-QuickHealRogue.Winwebsec (Not a Virus)20140130
ClamAVWin.Trojan.Fakeav-1895620140130
CommtouchW32/FakeAlert.NP.gen!Eldorado20140130
ComodoTrojWare.Win32.Kryptik.NEA20140130
DrWebTrojan.Fakealert.2066720140130
ESET-NOD32a variant of Win32/Kryptik.NEE20140130
EmsisoftTrojan.Generic.KD.206721 (B)20140130
F-ProtW32/FakeAlert.NP.gen!Eldorado20140130
F-SecureTrojan.Generic.KD.20672120140130
FortinetW32/PackFakeAV.KL!tr20140130
GDataTrojan.Generic.KD.20672120140130
IkarusTrojan.SuspectCRC20140130
JiangminTrojan/Generic.fdbs20140130
K7AntiVirusSpyware ( 0040e5e81 )20140130
K7GWSpyware ( 0040e5e81 )20140130
KasperskyHEUR:Hoax.Win32.ExpProc.a20140130
KingsoftWin32.Troj.Undef.(kcloud)20130829
MalwarebytesRogue.SecurityShield20140130
McAfeeFakeAlert-SecurityTool.bt20140130
McAfee-GW-EditionFakeAlert-SecurityTool.bt20140130
MicroWorld-eScanTrojan.Generic.KD.20672120140130
MicrosoftRogue:Win32/Winwebsec20140130
NANO-AntivirusTrojan.Win32.FakeAVKL.cdpgf20140130
NormanFakeAV.ADQX20140130
PandaTrj/Resdec.c20140130
Qihoo-360HEUR/Malware.QVM20.Gen20140122
RisingPE:Trojan.Win32.Generic.12889FFA!31094373820140130
SophosMal/FakeAV-KL20140130
SymantecTrojan.ADH20140130
TheHackerTrojan/Kryptik.nee20140128
TotalDefenseWin32/FraudSecurityTool.O!generi20140130
TrendMicroTROJ_FAKEAV.SM2820140130
TrendMicro-HouseCallTROJ_FAKEAV.SM2820140130
VBA32BScope.Trojan.Winwebsec.161320140130
VIPREFraudTool.Win32.MSRemovalTool.ek!a (v)20140130
nProtectTrojan.Generic.KD.20672120140130
Antiy-AVL20140130
ByteHero20140121
CMC20140122
SUPERAntiSpyware20140130
ViRobot20140130
# # # # # # # # # # # # # # # # # # # # # # # # # # # #

Dossier (collection) : Virus / Antivirus

Dossier : Virus
Dossier : Antivirus
Dossier : Anti-Spywares
Dossier : Filtres anti-phishing
Dossier : Contrôleurs d'intégrité
Dossier : Web Réputation
Soumission d'un échantillon aux éditeurs d'antivirus (faux positifs...)

Encyclopédie

Virus
Virus Histoire et historique des virus
Virus Charge utile
Virus de boot
Virus à propagation Web : Ver - (Worm)
Virus Macrovirus
Virus Polymorphes (Polymorphisme)
Virus Clones singuliers
Virus Compte-gouttes
Virus dropper
Virus in the Wild
Virus Mac (Apple)
Virus Mesure du risque
Virus Convention de nommage
Virus PebCak
Rogues antivirus (faux antivirus et escroqueries financières)
Que rapporte un rogue (combien d'argent) - ErrorSafe

Cyberarmes - cyberguerres

Virus StuxNet - Attaque d'un site isolé d'Internet
Virus Regin - 10 ans d'activité avant d'être découvert

Comparatifs antivirus

Comparatif antivirus Windows
Comparatif antivirus Android
Organismes crédibles de tests et comparatifs
Crédibilité des tests comparatifs antivirus
Comparatif antivirus avec/sans Windows Update
Comparatif anti-phishing / malwares navigateurs

Archives : Comparatifs AV Windows 2013 09
Archives : Comparatifs AV Windows 2013 10
Archives : Comparatifs AV Windows 2013 11
Archives : Comparatifs AV Windows 2013 12
Archives : Comparatifs AV Windows 2014 07
Archives : Comparatifs AV Windows 2014 12
Archives : Comparatifs AV Windows 2015 01
Archives : Comparatifs AV Windows 2015 05
Archives : Comparatifs AV Windows 2015 09
Archives - Comparatifs AV Windows 2016 01
Archives - Comparatifs AV Windows 2016 08

Archives : Rosenthal's Antivirus Test (ou la stupidité portée aux nues)

Les technologies et méthodes des antivirus

Fonctionnement On-demand
Fonctionnement On-access
Fonctionnement On-execution
Technologie Réactive (« Base de signatures »)
Technologie Proactive (« Heuristique » - « Sandbox »)
Méthodes d'analyses : Heuristiques
Méthodes d'analyses : Sandboxing

Antivirus génériques

* Ad-Aware - (Graves polémiques Ad-Aware)
* AdwCleaner
* AhnLab
* AntiVir (Avira)
Antiy-AVL
* A-Squared (A²)
Avast!
* Avira antivirus Pro
* Avira EU Cleaner
* Avira Free Antivirus
* Avira Internet Security Suite
* Avira Removal Tool
AVG
Bitdefender Antivirus Plus
Bitdefender Family Pack
Bitdefender Antivirus for MAC
Bitdefender Antivirus for MAC et PC
Bitdefender Mobile Security
BitDefender Internet Security
BitDefender Total Security
* BitDefender Quickscan
Bullguard
* ByteHero System Defense Software
CAT-QuickHeal
ClamAV
ClamWin (Open Source, On-demand)
Commtouch
Comodo antivirus
* CounterSpy Anti-spyware
DAVFI
DrWeb
Emsisoft Anti-Malware (EAM)
eSafe
eScan
Eset
eTrust-Vet
Fortinet FortiClient
F-Prot Antivirus
F-Secure Anti-Virus
Forticlient (gratuit)
G Data AntiVirus
Gyrus cinerea - gratuit et mises à jour gratuite
Hitman Pro
Home Network Security Services
Ikarus
Immunet (pour Windows, basé sur ClamAV)
Intego VirusBarrier (pour MAC)
IOBit Malware Fighter
Jiangmin
K7AntiVirus
Kaspersky Anti-Virus
Kaspersky Internet Security - KIS
* Kaspersky Pure
* Malwarebytes Anti-Malware
McAfee AOL Gratuit
McAfee LinuxShield
McAfee Stinger
McAfee VirusScan
Metascan Client (OPSWAT)
Microsoft Removal Tools (MRT)
Microsoft Security Essentials gratuit
* Microsoft Windows Defender gratuit
NOD32
* Norman Virus Control (périmé - N'existe plus)
Norman Security Suite Pro
Norton AntiVirus
nProtect
Outil de suppression de logs malveillants Microsoft
Panda Antivirus
PC Tools une version est gratuite
PC-cillin Internet Security
PCSafer internet security version gratuite
Prevx
Quick Heal (voir CAT-QuickHeal)
Rising Antivirus
Sophos Anti-Virus
* Spybot 1.n - Search and Destroy (Spybot S&D)
* Spybot 2.n - Search and Destroy (Spybot S&D)
SUPERAntiSpyware
Symantec AntiVirus Corporate Edition
Symantec Client Security SCS
SpywareBlaster
TheHacker
* TiraniumData Security
TrendMicro
TrendMicro-HouseCall
TrustPort
VBA32 (VirusBlockAda)
Viguard
Vipre
ViRobot
VirusBarrier
VirusBuster
VirusKeeper
ZoneAlarm Free Antivirus + Firewall
ZoneAlarm Internet Security Suite
ZoneAlarm Extreme Security

Micro-Antivirus gratuits - spécifiques

Dossier : Micro-Antivirus gratuits

Tableau de synthèse
Microsoft - MSRT
McAfee - Stinger
Avira - Removal Tool
Avira - EU-Cleaner
Symantec (Norton) - Virus Removal Tool
F-Secure - Removal tool
Kaspersky - Removal tool
Kaspersky - TDSSKiller
Kaspersky - Rakhni Decryptor
Kaspersky - Rannoh Decryptor
Kaspersky - Scatter Decryptor
Kaspersky - Xorist Decryptor
Kaspersky - Capper Killer
Kaspersky - Kido Killer
Kaspersky - Fipp Killer
Norton - Power Eraser
AhnLab - Tous les micro-antivirus
Sophos - Virus Removal Tool
GData - Anti-FakeAV
ESET - Stand-alone malware removal tools
ESET - Rogue Application Remover (ERAR) 32
ESET - Rogue Application Remover (ERAR) 64
Etc.

Ils utilisent un ou des moteurs tiers

Ils utilisent le moteur Bitdefender
Ils utilisent le moteur Kaspersky
Ils utilisent un ou des moteurs tiers

Procédures de décontamination

Procédure 1 - Décontamination antivirus
Procédure 2 - Décontamination anti-malwares
Forums d'entraide et de décontamination

Organismes fédérateurs et centralisateurs

WildList
The WildList Organization International
Histoire des virus informatique In the Wild
EICAR antivirus test

Supprimer complètement toutes traces d'un antivirus

Comment désinstaller complètement un antivirus

Prévenir plutôt que guérir

Mises à jour périodiques d'un PC sous Windows
Nettoyage périodique d'un PC sous Windows
Protéger navigateur, navigation et vie privée
Bloquer totalement les mécanismes publicitaires


Dossier (collection) : Filtres du Web (Link checkers - Anti-phishing - Anti-malware)

Dossier : Filtres antiphishing antimalwares du Web
Dossier : Phishing

Les différents filtrages du Web

Reconnaître un site de phishing - cas tcamiot.fr

Dispositifs natifs
Microsoft SmartScreen
Google Safe Browsing
Comparatif SmartScreen vs Safe Browsing

Activation / Désativation des filtres natifs
Activer anti-phishing anti-malware natif IE 7
Activer anti-phishing anti-malware natif IE 8
Activer anti-phishing anti-malware natif IE 9
Activer anti-phishing anti-malware natif IE 10
Activer anti-phishing anti-malware natif IE 11
Activer anti-phishing anti-malware natif Firefox
Activer anti-phishing anti-malware natif Safari
Activer anti-phishing anti-malware natif Opera
Activer anti-phishing anti-malware natif Chrome

Dispositifs tiers
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Web Lite (n'existe plus)
WOT
Trustwave SecureBrowsing
Disconnect
AdGuard - Extension pour navigateurs
Avira Browser Safety
Serveurs DNS filtrants

Avis en ligne (Web-Réputation) sur un site
Webutation
WoT Web of Trust
McAfee TrustedSource
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Search
Norton Safe Web Lite
NSW
Google Safe Browsing
Google Transparence
WMTips
Alexa
WebStatsDomain
NoScript
hpHosts
Yandex
URLVoid
VirusTotal (VTZilla)
Dr.Web LinkChecker
Scamadviser
SaferPage.com
Website Antivirus
G-Rated
Wikipedia Trust Links
SiteJabber
Web Security Guard

Plug-in de Web-Réputation
Plug-in Trustwave SecureBrowsing
Plug-in WoT - Web of Trust
Plug-in Avast! WebRep
Plug-in AVG LinkScanner
Plug-in McAfee SiteAdvisor
Plug-in Norton Safe Web Lite
Plug-in Trend Micro TrendProtect
Plug-in Norton Safe Web
Plug-in Trend-Micro Web Addon
Plug-in Yandex Safe Browsing

Archives
Microsoft SmartScreen en 2004


Dossier (collection) : Spam et anti-spam

Dossier : Spam et anti-spam
Dossier : Fraude 419 et son lot de spam

Protégez votre adresse e-mail
SpamGournet - e-mail jetable recommandée
Services d'adresses e-mail jetables
e-mail abuse@domaine.tld
Adresses e-mail spéciales (adresses rôle)

Spam - Qu'est-ce que c'est ?
Spam - Origine du terme "Spam"
Spam - Propagation classique
Spam - Propagation virale
Spam - Constitution de fichiers d'adresses
Spam - Contourner les filtres anti-spam
Spam - Harvester (moisonneuses d'adresses eMail)
Spam - Phishing - pèche aux données secrètes
Spam Nigérien - Fraude 419
Spam - Volume du spam mondial 1
Spam - Volume du spam mondial 2
J'ai reçu un spam - Que dois-je faire ?
Spam - Détecter un canulard (hoax)
Spam - Détecter un phishing
Spam - Détecter un spam
Ingénierie sociale - Tirer les vers du nez
Monty Python's Flying Circus - Vidéo
Le virus PebCak
Le Safe CEx

Anti-spam actifs
Filtres bayésiens
Filtres bayésiens - Livre blanc

En marge du spam, le Mail-bombing
Mail-bombing
Mail-bomber (logiciels et outils de Mail-bombing)
Mail-bomb
Joe Job Attack