Faux positifs - Fausses alertes - Fausses alarmes

Antivirus gratuit

Faux positifs - Fausses alertes - Fausses alarmes

Message non lupar Papy40 le 30 Juil 2008 13:01

Que sont les "Faux positifs" ou "Fausses alertes" ou "Fausses alarmes" ?

Un "faux positif" (également appelé "fausse détection" ou "fausse alarme" ou "fausse alerte") est, en ce qui concerne la sécurité informatique, la qualification erronée de "parasite" d'un objet (fichier, clé de la base de registre, cookie etc. ...) légitime par un outil de protection (antivirus, anti-trojans, anti-spywares, anti-spam etc. ...).


Faux positif par signature
Ce type d'erreurs peut typiquement se produire lorsqu'un outil de sécurité détecte, dans un objet non malicieux, une chaîne de caractères (une suite de caractères) identique à une chaîne de caractères significative (signature, empreinte, finger print...) d'un parasite connu. Le hasard peut faire qu'un objet non malicieux contienne une séquence de caractères dont un outil de sécurité se sert pour détecter la présence d'un parasite (cette chaîne de caractère est considérée comme une "signature" d'un parasite réel - il faut désormais changer la signature pour ce parasite).

Faux positif par comportement
La plupart des outils de sécurité disposent de plusieurs niveaux de protection et de plusieurs technologies de détection des parasites. L'une de ces technologies est de faire s'exécuter l'objet suspect dans une machine virtuelle ou "sand box" (l'outil de sécurité crée un ordinateur virtuel dans votre ordinateur et lance l'exécution du suspect pour voir ce qu'il fait - il s'agit de l'équivalent du "bac à sable" dans lequel on fait exploser une bombe sans qu'elle ne provoque de dégât). Dans un paramétrage extrême (type "paranoïde"), un outil de protection peut être trompé par une activité qu'il croit suspecte et déclarer "parasite" un objet légitime.

Une autre technologie de même nature est appelée "heuristique".

Exemples type de comportements suspects
Tentative d'écriture dans la zone d'amorce principale d'un disque dur (le "bootstrap"). Ceci est complètement illégal mais l'installation d'un antivirus ou la création d'un "dual boot" peut conduire à des écritures légitimes dans cette zone (uniquement lors de l'installation).
Tentative de modifications apportées à un fichier système
Tentative d'exécution d'une macro-commande
Etc. ...

Faux positifs crapuleux
Le marché des outils de sécurité est énorme et tente les crapules du Net. De véritables gangs maffieux développent des milliers de sites Internet bien référencés dans les moteurs de recherches (par des techniques de spamdexing et de cybersquatting) ou vous conduisent sur ces sites par des spam (courriels non sollicités). Vous tomberez, un jour ou l'autre, sur l'un de ces sites piégés qui tentera, par des manoeuvres d'ingénierie sociale, de vous faire croire que votre machine est infectée par des parasites. Un outil de sécurité crapuleux vous annoncera toute une liste de "faux positifs" pour vous inciter à acheter leur logiciel. Voir la liste de ces logiciels de sécurité crapuleux dans la Crapthèque.

Correction des faux positifs
Il suffit de signaler le faux positif à l'éditeur du logiciel. Généralement, dans les heures qui suivent, le logiciel et/ou ses bases de signatures sont mises à jour. Encore faut-il prendre le temps d'envoyer un message à l'éditeur, ce qui est une action / réaction positive plutôt que d'aller "râler" sur un forum de discussion.

Source : Assiste.com
Avatar de l’utilisateur
Papy40
Fondateur
Fondateur
 
Messages: 1349
Enregistré le: 03 Avr 2008 17:25
Localisation: Mont de Marsan - Landes - FRANCE

Retourner vers MSE

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invités