Accueil » Actualités » LeBlogDuHacker, un site de Phishing ? (une histoire de faux positif)

Tout à commencé suite à la publication de mon dernier article sur Facebook. Un visiteur du site signale que son extension anti publicités détecte le site Leblogduhacker.fr comme étant un site malveillant. Il s’agit de l’extension uBlock, alternative du fameux Adblock.

Immédiatement, j’ai pensé que le site avait été détecté à tort à cause des mots « hacker » ou « pirate » utilisés à plusieurs reprises dans les articles. C’était déjà arrivé par le passé avec Avast! qui détectait du jour au lendemain tout le site comme étant malveillant…rhaaa quelle idée d’avoir nommé ce blog comme ça !!!

 

Seulement cela ne s’arrête pas là.

Dans la foulée, on m’indique qu’il n’est plus possible de partager mes articles sur Twitter car un message indiquant un potentiel problème de sécurité s’affiche.

Un autre visiteur du site me contacte par e-mail le lendemain en indiquant que son extension Mcafee SiteAdvisor détecte elle aussi mon site…

Un petit tour sur Virustotal me montre enfin tous les mauvais « antivirus » qui se sont visiblement passés la mauvaise information…

Certes les antivirus ne détectent pas toujours tous les programmes/sites malveillants, mais si en plus ils commencent à détecter à tort des  sites sains, il y a effectivement un gros souci.

Je me décide donc de contacter un à un les éditeurs de ces outils problématiques.

La première réponse me vient très rapidement de la part de Emsisoft. Merci donc à eux pour leur grande efficacité ainsi que pour la preuve qu’il n’y a rien de suspect avec mon site.

« Merci pour le signalement. J’ai désactivé la détection et votre site web devrait être accessible maintenant ».

Quelques jours plus tard, d’autres réponses me parviennent :

 

À l’assaut contre les faux positifs

Durant mes recherches sur ces faux positifs, j’ai fait quelques découvertes intéressantes.

Tout d’abord, Mcafee propose gentiment une adresse e-mail de contact pour demander une investigation manuelle en vue de sortir un site d’une liste noire. Seulement, il est impossible de les contacter car l’e-mail en lui-même est bloqué :

En d’autres termes « Votre site est malveillant, on en est certains, inutile de nous contacter », il m’a fallu utiliser une autre adresse e-mail.

 

J’ai également découvert un service prometteur de Sucuri qui nous propose de sortir un site des listes noires.

Seulement cela coûte 300 dollars par an. Le service est certainement pratique et utile pour un site qui a été piraté, mais il est difficile de comprendre pourquoi il faudrait payer pour faire sortir mon site d’une mauvaise détection.

 

Une semaine après…

Environ une semaine après, à la date de la publication de cet article, j’ai reçu une réponse de presque tous les éditeurs. Le site est à nouveau marqué comme sain à plusieurs endroits…mais il faut encore attendre que toutes les mises à jour se propagent.

 

 

Ce que cette expérience me permet de conclure

Conclusion par rapport au faux positif

Tout d’abord, on a vu que lorsqu’un antivirus détecte quelque chose, d’autres en tendance à le suivre aveuglément. Virustotal l’indique lui-même, les programmes ou sites scannés sont partagés entre éditeurs d’antivirus. C’est une bonne chose lorsqu’on détecte VRAIMENT un programme ou site suspect, mais à l’inverse cela amplifie le problème des faux positifs. En quelques jours les détections sont devenues plus nombreuses chez des éditeurs différents mais pour les mêmes raisons « Phishing website ». Et bien que les détections soient rapidement propagées, l’inverse n’est pas vrai car une fois le faux positif partagé, les antivirus ne se suivent plus aussi vite qu’auparavant pour annuler l’erreur…et certains détecteront sûrement le site à jamais, nous verrons bien…

Dans tous les cas, le principal site de détection de Phishing appelé PhishTank n’a rien détecté de son côté tout au long de cette aventure :

Ensuite, on notera l’évident problème de crédibilité que créent ces mauvaises détections. Il est tout à fait normal pour un utilisateur de ne pas continuer sa navigation s’il reçoit une alerte. Seulement cela porte gravement atteinte à la réputation d’un site ou d’un programme détecté à tort.

 

Conclusion par rapport à mon site

J’écris beaucoup d’articles dans le but de lutter contre les arnaques sur internet, et je n’hésite pas à utiliser le langage des pirates lorsque cela permet d’obtenir plus de visibilité auprès des internautes trop crédules. Le but étant d’expliquer de façon simple et concrète à un maximum de personnes comment se protéger des attaques qui nous visent tous les jours. Et notamment des attaques qui nous promettent des piratages à la demande…mais qui NOUS piratent à la place. Mais je prends note, c’est ma faute, j’aurais dû être plus proactif et prévoir cette conséquence.

Le service ou l’antivirus à l’origine du faux positif a simplement scanné les résultats de recherche pour un terme donné et a blacklisté les domaines qui y apparaissaient, dont le mien. Et voilà comment le faux positif a été créé, bloquant tout le site, même sur les réseaux sociaux.

Le but de cet article est de rassurer les internautes qui auraient reçu (ou reçoivent encore) une alerte leur indiquant un potentiel souci de sécurité en visitant leblogduhacker.fr. Vous pouvez continuer votre visite sans crainte et même me poser vos questions si vous avez encore des doutes.

9 Commentaires

  1. Rootssam a écrit:

    Salutation Michel, j’utilise F-Secure et il en va de même sur tous mes support, « Site web dangereux bloqué » pour l’adresse : https://www.leblogduhacker.fr
    Pour info 😋
    Rootssam

  2. David07 a écrit:

    Bonjour Michel !

    Enfin disponible le site… j’étais toutefois contraint de le joindre via Tor.
    Je constate qu’il faut aussi s’authentifier dorénavant par l’ancien captcha de Google pour accéder au blog. C’est pas évidemment car cette option n’est pas permanentent fonctionnelle (serveur google return error parfois)

    J’ai une question tout de même, j’utilise Let’s Crypt sur mon site mais sur certaines versions de navigateurs, Firefox 52.0 , Google Chrome 14.0.835.163, Microsoft Internet Explorer 8.0,
    pour ne citer que ces exemples, les informations qui filtrent laissent croire que la connexion n’est pas sécurisée ou encore « Le certificat de sécurité présenté par ce site Web a expiré ou n’est pas encore valide.
    Le certificat de sécurité présenté par ce site Web a été émis pour une autre adresse de site Web ». J’ai bien configuré sur mon serveur la redirection permanente 301 vers HTTPS. J’ai analysé l’erreur avec le support de Firefox et SSL-check mais rien.

    Je te remercie d’avance pour des précieux conseils qui m’ont aider à découvrir le hacking, bref à sécuriser. Merci et que Dieu te Bénisse grand frère!

  3. Bonsoir Michel,

    Je parcours ton article depuis actuellement 10 mois, cherchant ainsi à devenir un white hat pour aider les personnes ayant du mal avec la sécurité informatique à devenir des personnes sachant éviter les menaces. Je tenais à dire que ton site m’aide beaucoup et que je trouve personnellement qu’il est le plus sécurisé de tout les blogs de ce type et que tu ne méritais pas une telle chose. Ton travail est propre, complet et professionnel. Je tenais à t’encourager dans cette voie et de continuer ainsi. Cette communauté que tu crée autour de ce blog est fantastique comme son contenu.

    Merci encore pour tes articles très intéressants.

    Kaysan

  4. Bonjour Michel,

    c’est étonnant que seulement sur le réseau social Twitter on ne puisse pas partager tes articles. Sur Google+ et Facebook ça fonctionne. C’est vraiment étrange la façon dont Twitter scanne les sites partagés sur son réseau social.

    Michel une question : Pourquoi avoir choisi uBlock au lieu d’Adblock ? est ce plus efficace ?

    • Hello Lucien,
      Je pense que Twitter se base sur une liste de sites « malveillants » différente de Facebook et Google. Mais le problème, le vrai, c’est que Twitter se base sur ces informations sans aucune vérification au préalable ou additionnelle. Et même lorsque la liste en question a été éditée pour y supprimer mon site, Twitter ignore cette suppression. De plus, cela fait deux semaines que je contacte le support sans succès, je ne reçois que des messages automatiques. Et les quelques personnes travaillant chez Twitter que j’ai pu contacter n’ont pas répondu à mon appel. En somme, une très mauvaise expérience avec Twitter, réseau social que j’abandonnerais probablement si le problème n’est pas résolu bientôt.
      Concernant uBlock au lieu d’Adblock, je ne saurais répondre, j’utilise Adblock et n’ai jamais rencontré de problèmes. J’ai du mal à recommander uBlock après sa détection de mon site…mais peut-être qu’il est équivalent à AdBlock lorsqu’il ne se trompe pas 🙂

Laisser un commentaire

Lire plus :
hack culture, comment devenir un hacker
Réflexion autour de la Hack Culture

Article proposé par Etienne Perroud, merci à lui ! Je m'identifie carrément à la Hack culture en fait (je m'y...

Fermer