Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  07.06.2004      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

En informatique, et dans le monde numérique, tous les outils, mécanismes ou algorithmes faisant une analyse sécuritaire de quelque chose doivent produire une classification de l'objet analysé, en choisissant entre deux états : bon (sans danger) ou mauvais (dangereux), avec une éventuelle gradation de ces classements.

En informatique, un faux négatif est le silence d'un outil d'analyse (antivirus, anti-spywares, anti-trojans, anti-adwares, pare-feu, filtres anti-spam, outils d'e-réputation humaine (par crowdsourcing), e-réputation robotisée, de Web-Réputation, etc., tous les outils faisant une analyse de quelque chose) qui ne voit pas un risque, un parasite, une malveillance, etc. là où il devrait le voir. Son silence déclare l'objet analysé, par défaut, sain ou inoffensif, alors qu'il constitue un virus, un malware, un danger, une attaque quelconque.

Il naît plusieurs milliers de nouvelles malveillances par jour, totalement nouvelles ou variantes de malveillances et virus précédant. Le risque est grand de croire à un faux positif avec les toutes nouvelles malveillances, apparues le jour même, et que très peu d'antivirus ont eu le temps d'analyser et intégrer dans leurs outils d'analyse. La tendance est de conclure, lorsqu'un objet est analysé et est déclaré malveillant par seulement un ou deux outils de sécurité, que ce sont ces outils de sécurité qui produisent un faux positif alors que, dans le cas d'une toute nouvelle malveillance, ce sont la totalité des autres outils de sécurité qui produisent des faux négatifs.



Lorsque l'on fait analyser un objet par le service gratuit en ligne, multiantivirus, VirusTotal (55 antivirus simultanés au moment de l'écriture de cet article, tous à jour), et que :

  • Cet objet est reconnu comme étant une malveillance par de nombreux outils (ce qui élimine le doute sur un « faux positif » possible par un ou deux antivirus seulement, surtout s'ils sont de faible notoriété).
    Dans l'exemple suivant, cette malveillance est reconnue par 45 antivirus sur 50.

  • Cet objet n'est pas nouveau (dans l'onglet « Informations supplémentaires » de VirusTotal, regarder l'information : « First submission » (date de la première soumission à l'analyse de cet objet)).
    Dans l'exemple suivant, cette analyse date du 30.01.2014, mais la première analyse de ce fichier remonte au 04.05.2011, soit plus de trois ans plus tôt ! Il est donc parfaitement connu.

Les cinq derniers outils d'analyse ayant analysé cet objet (en bas du tableau) produisent un faux négatif (soit par faiblesse, soit parce qu'ils ne s'intéressent pas à cette classe de malveillances) - pourtant, SUPERAntiSpyware est un bon outil de sécurité et WinWebSec (WinWebSecurity) est une matrice connue de longue date de très nombreux faux antivirus/antispywares (Rogues et Scarewares).


Analyse d'une variante de WinWebSec (WinWebSecurity)
AntivirusRésultatMise à jour
AVGGeneric_r.WQ20140130
Ad-AwareTrojan.Generic.KD.20672120140130
AgnitumTrojan.Winwebsec!Po0lcZqdgUw20140130
AhnLab-V3Trojan/Win32.FakeAV20140130
AntiVirTR/Winwebsec.A.414620140130
AvastWin32:MalOb-GE [Cryp]20140130
Baidu-InternationalTrojan.Win32.Generic.AH20140130
BitDefenderTrojan.Generic.KD.20672120140130
BkavHW32.CDB.28ee20140125
CAT-QuickHealRogue.Winwebsec (Not a Virus)20140130
ClamAVWin.Trojan.Fakeav-1895620140130
CommtouchW32/FakeAlert.NP.gen!Eldorado20140130
ComodoTrojWare.Win32.Kryptik.NEA20140130
DrWebTrojan.Fakealert.2066720140130
ESET-NOD32a variant of Win32/Kryptik.NEE20140130
EmsisoftTrojan.Generic.KD.206721 (B)20140130
F-ProtW32/FakeAlert.NP.gen!Eldorado20140130
F-SecureTrojan.Generic.KD.20672120140130
FortinetW32/PackFakeAV.KL!tr20140130
GDataTrojan.Generic.KD.20672120140130
IkarusTrojan.SuspectCRC20140130
JiangminTrojan/Generic.fdbs20140130
K7AntiVirusSpyware ( 0040e5e81 )20140130
K7GWSpyware ( 0040e5e81 )20140130
KasperskyHEUR:Hoax.Win32.ExpProc.a20140130
KingsoftWin32.Troj.Undef.(kcloud)20130829
MalwarebytesRogue.SecurityShield20140130
McAfeeFakeAlert-SecurityTool.bt20140130
McAfee-GW-EditionFakeAlert-SecurityTool.bt20140130
MicroWorld-eScanTrojan.Generic.KD.20672120140130
MicrosoftRogue:Win32/Winwebsec20140130
NANO-AntivirusTrojan.Win32.FakeAVKL.cdpgf20140130
NormanFakeAV.ADQX20140130
PandaTrj/Resdec.c20140130
Qihoo-360HEUR/Malware.QVM20.Gen20140122
RisingPE:Trojan.Win32.Generic.12889FFA!31094373820140130
SophosMal/FakeAV-KL20140130
SymantecTrojan.ADH20140130
TheHackerTrojan/Kryptik.nee20140128
TotalDefenseWin32/FraudSecurityTool.O!generi20140130
TrendMicroTROJ_FAKEAV.SM2820140130
TrendMicro-HouseCallTROJ_FAKEAV.SM2820140130
VBA32BScope.Trojan.Winwebsec.161320140130
VIPREFraudTool.Win32.MSRemovalTool.ek!a (v)20140130
nProtectTrojan.Generic.KD.20672120140130
Antiy-AVL20140130
ByteHero20140121
CMC20140122
SUPERAntiSpyware20140130
ViRobot20140130



  • Faux négatif