Il s’agit maintenant de la 3ème fois en 4 ans que ce blog est signalé à tort par un ou plusieurs antivirus comme étant un site malveillant. Je tiens à porter ces détections mensongères à la vue de tous, car elle peuvent ruiner la réputation du site. Et surtout elles peuvent aussi induire en erreur les utilisateurs des antivirus en question, tout en impactant au final la propre crédibilité des antivirus…
D’abord, un site « Malveillant«
Tout commence en 2016, Avast décide du jour au lendemain de signaler les images et autres ressources des pages web du blog comme étant malveillantes (URL:Mal). Curieusement, le contenu textuel reste accessible, mais les images sont retirées…
Je décide donc de poser ma question publiquement sur les forums d’avast, où des membres bénévoles me répondent d’abord sans trop d’assurance que c’est sûrement à cause « d’une bibliothèque Javascript non sécurisée« , ou encore « parce que j’utilise Cloudflare » (ce qui serait complètement fou si c’était le cas…). EDIT : mise à jour pour fournir les preuves.
« Cela peut être lié à des problèmes de sécurité jQuery, mais seulement une personne de chez avast peut dire exactement pourquoi le site est bloqué »
Quand bien même une bibliothèque était responsable du souci, j’utilise un CMS qui fournit ladite bibliothèque par défaut. Et si tel était le cas, des MILLIONS d’autres sites auraient dû être détectés de la même manière. Tout comme si c’était à cause de Cloudflare…
Donc ce n’était pas la cause en tant que telle, car d’autres sites n’étaient pas concernés alors qu’ils utilisaient aussi Cloudflare et WordPress…
Au final, le site est débloqué, tout entre dans l’ordre relativement vite. Ouf.
En effet un employé d’Avast indique clairement qu’il l’a « retiré » (manuellement) de leur liste noire !
Ce n’est pas bien grave après coup car il n’aura fallu que peu de temps pour résoudre la situation et cela arrive de se tromper.
Cela dit, je reste sur ma faim.
Je demande pourquoi cette détection avait concrètement lieu, car il devait bien y avoir une raison non ?
Et là on me répond que « l’employé qui l’a bloqué ne travaille pas aujourd’hui« . Au moins j’ai eu la preuve que c’était bien un blocage manuel/volontaire de mon site ! Mais je ne saurais jamais pourquoi, puisque la discussion s’est terminée là, malgré ma relance…
« Question difficile, puisque l’analyste qui l’a bloqué ne travaille pas aujourd’hui 🙂 ». Apparemment, même chez Avast on ne sait donc pas.
Ensuite, un site de Phishing
2017, rebelote, des visiteurs du site me signalent des problèmes pour accéder au blog. Le bloqueur de publicité uBlock s’y met, suivi de Bitdefender, Fortinet, McAfee et quelques autres… J’en avais fait un article dédié à l’époque que vous pouvez lire ici : LeBlogDuHacker, un site de Phishing ? (une histoire de faux positif)
Au final, tous les sites ont plus ou moins rapidementdébloqué mon blog, mais le problème se pose toujours lorsque je demande concrètement POURQUOI mon site était bloqué. Cette fois, on me répond ceci :
« Le signalement est venu d’un utilisateur/chercheur indépendant. On lui a demandé des preuves d’activité malveillante, mais ce qu’il a envoyé n’était pas suffisant pour être classifié comme malveillant. Visiblement il a associé votre site avec des logiciels de cracking de mots de passe ». L O L
Donc, un prétendu « chercheur » peut soumettre un rapport, même en ne comprenant rien à ce qu’il fait, pour signaler des sites de son choix aux éditeurs ? Et le pire c’est que le rapport est directement pris en compte et détecté chez tous les internautes le lendemain ? Félicitations.
En 2021, c’est Comodo qui continue tranquillement sa détection de certaines pages…
Enfin, un site mis en liste noire
2020 : Nous retrouvons avast, qui cette fois bloque certaines ressources hébergées sur le blog : guides achetés par les clients, ressources additionnelles liées à des cours, bref, un peu tout et n’importe quoi.
Motif : « URL:Blacklist » cette fois. Le ton est donné, avast persiste et RE-blackliste mon site malgré mon signalement 4 ans plus tôt !
Pour l’occasion, AVG s’y met aussi. Normal, il appartient à Avast.
C’était la fois de trop, clairement.
Après avoir demandé à nouveau de débloquer mon site, ce qui a été fait le jour d’après, j’ai à nouveau demandé des précisions sur cette détection. Et jusqu’à l’heure actuelle… aucune réponse comme d’hab ! Je mettrais à jour l’article dès lors que j’en reçois une, si cela arrive un jour.
En attendant, je vous déconseille fortement d’utiliser des antivirus qui détectent à tort des sites sains ou programmes sains. Cela ne donne pas confiance en eux car on pourrait penser que finalement le nombre de virus/sites détectés est élevé, non pas forcément par la qualité du service, mais par la quantité de détection erronées !
Cela nuit à tout le monde :
l’éditeur du site perd en réputation (en trafic web et potentiellement en clients/visiteurs)
l’utilisateur a un antivirus peu fiable, aux détections erronées. Et dans le cas inverse ? les virus sont-ils eux bien détectés ??
l’antivirus finira par un pâtir aussi car c’est une faute grave, presque une accusation publique, d’autant plus que ça n’arrive pas qu’avec mon blog.
Des faux positifs à tour de bras
C’est là que j’enchaîne plus généralement sur les faux positifs. J’ai pour le coup décidé de faire un test plus poussé, en créant de toutes pièces un programme exécutable sous Windows qui affiche uniquement « Bonjour » à l’écran.
Voici le code source pour ceux qui souhaiteraient essayer chez eux :
#include <stdlib.h>
#include <stdio.h>
int main() {
printf("Bonjour");
}
Vous voyez quelque chose de malveillant ? moi non.
Et pourtant :
En partant de ce principe, en ajoutant le terme « hacker » ou « phishing » dans le code, ça doit piquer. Tiens votre antivirus ne sonne pas déjà après avoir lu cette phrase ???
Et si encore on obtenait une détection du type « Programme suspect », « programme peu commun » ou je ne sais quoi. Mais non, on a « Trojan.Win32 » !
D’où les fameux Programmes POTENTIELLEMENT (In)désirables
Vous avez peut-être déjà rencontré des détections d’antivirus du type : PUP.Optional.WebSearch. (votre antivirus ne sonne toujours pas ???)
PUP signifie : Potentially Unwanted Program.
Premier petit souci : entre le terme anglais et son raccourci « PUP », difficile pour l’utilisateur « moyen » de reconnaître ce que cela signifie.
Deuxième souci : si l’antivirus affiche ledit PUPen rouge en dessous de « menaces détectées« , il n’y a pas trop de doute à avoir à priori. Et pourtant…
Dans 70 à 90% des cas, lesdits PUP sont bien indésirables, mais il m’est arrivé d’y trouver un composant officiel de Microsoft Visual Studio ! Il m’est aussi arrivé de lire des « erreurs » ou « menaces » qui n’étaient que des changements volontaires et légitimes des paramètres du navigateur.
Pour conclure, l’antivirus qui trouve 145 PUP et 1 virus n’est pas plus performant que celui qui trouve 4 PUP et 3 vrais virus… Le nombre de « menaces » n’est pas (forcément) synonyme de performance.
Certes les heuristiques sont des estimations, certes l’erreur est humaine, certes le machine learning est en amélioration constante, mais le docteur ne devrait tout de même pas vous dire que vous êtes atteint du coronavirus alors que vous n’avez rien. Le mécanicien ne devrait pas vous faire payer des réparations qui n’existent pas.
Il manque des explications, il manque de la transparence, il manque des précisions et cela finit par nuire à tout le monde.
Bonjour.
Une idée en passant :
Votre programme bonjour est écrit en C.
Il est ensuite traduit en langage machine ( virus généré par le compilateur obtenu de source douteuse ?)
L’objet obtenu est ensuite lié à d’autres librairies (infectées ?)
Dommage que l’éditeur de l’antivirus ne maîtrise pas son produit car il pourrait alors faire des recherches approfondies)
PS
J’ai le même problème un petit programme écrit en Delphi.
Bonjour,
Oui ce serait tout à fait possible, seulement le compilateur est bien gcc, installé par aptitude depuis les dépôts officiels et utilisant les bibliothèques elles-aussi officielles. De toute manière, chacun peut retenter l’expérience de son côté pour le vérifier. Il serait effectivement intéressé de faire le test avec une vraie infection de ce type, et comparer les résultats pour voir si au final l’outil malveillant ne serait pas moins détecté que l’outil légitime… ce qui ne me paraîtrait même pas impossible !
Amicalement
bonjour admin tous ta fait vrai ce que du dit sur les antivirus ?car sans une connaissance claire et rigoureuse dans le cas des virus toute défense et tout lutte seront illusoires car attention toutefois un programme ou fichier téléchargé mais non vue dangereux par l’antivirus ne signifie pas pour autant qu il est sain trop de gens se prétendent experts mais ignorent que les techniques de code viral évoluent pour bien faire actuellement l’un des moyens les plus efficaces de protéger un ordinateur refermant des données hautement sensibles doit se faire en isolant totalement de tout réseaux physique sans fil ainsi que du rayonnement électromagnétique c’est ce qui s’appelle l’air gap.une façon de faire redoutable pour contourner ces défenses est utiliser les ultrasons pour propager un virus ou en écoutant la signature sonore de la machine lorsqu’elle travaille on peut désormais ajouter aussi une autre façon de faire redoutable en déchiffrant les pulsations lumineuse envoyées par la led d’activité du disque dur
Bonjour, depuis très longtemps je vais sur le site « Bookys-ebooks.com », pour me tenir au courant des sorties thriller et polar récentes et surtout ça me permet de télécharger les résumés que je trouve très bien faits. Je ne cherche même pas à utiliser les fonctions de téléchargement proposées, donc pas de fraude, je me considère « clean ». Aujourd’hui : 18/01/2024, ce sire est bloqué par AVAST (URL:Scam) ? Est-ce ce bien une réalité de site « vérolé » ou
encore une fausse protection comme il y en a beaucoup. Si vous avez une réponse je vous en remercie d’avance.
4 Commentaires
Cliquez ici pour ajouter un commentaire
Bonjour.
Une idée en passant :
Votre programme bonjour est écrit en C.
Il est ensuite traduit en langage machine ( virus généré par le compilateur obtenu de source douteuse ?)
L’objet obtenu est ensuite lié à d’autres librairies (infectées ?)
Dommage que l’éditeur de l’antivirus ne maîtrise pas son produit car il pourrait alors faire des recherches approfondies)
PS
J’ai le même problème un petit programme écrit en Delphi.
Bonjour,
Oui ce serait tout à fait possible, seulement le compilateur est bien gcc, installé par aptitude depuis les dépôts officiels et utilisant les bibliothèques elles-aussi officielles. De toute manière, chacun peut retenter l’expérience de son côté pour le vérifier. Il serait effectivement intéressé de faire le test avec une vraie infection de ce type, et comparer les résultats pour voir si au final l’outil malveillant ne serait pas moins détecté que l’outil légitime… ce qui ne me paraîtrait même pas impossible !
Amicalement
bonjour admin tous ta fait vrai ce que du dit sur les antivirus ?car sans une connaissance claire et rigoureuse dans le cas des virus toute défense et tout lutte seront illusoires car attention toutefois un programme ou fichier téléchargé mais non vue dangereux par l’antivirus ne signifie pas pour autant qu il est sain trop de gens se prétendent experts mais ignorent que les techniques de code viral évoluent pour bien faire actuellement l’un des moyens les plus efficaces de protéger un ordinateur refermant des données hautement sensibles doit se faire en isolant totalement de tout réseaux physique sans fil ainsi que du rayonnement électromagnétique c’est ce qui s’appelle l’air gap.une façon de faire redoutable pour contourner ces défenses est utiliser les ultrasons pour propager un virus ou en écoutant la signature sonore de la machine lorsqu’elle travaille on peut désormais ajouter aussi une autre façon de faire redoutable en déchiffrant les pulsations lumineuse envoyées par la led d’activité du disque dur
Bonjour, depuis très longtemps je vais sur le site « Bookys-ebooks.com », pour me tenir au courant des sorties thriller et polar récentes et surtout ça me permet de télécharger les résumés que je trouve très bien faits. Je ne cherche même pas à utiliser les fonctions de téléchargement proposées, donc pas de fraude, je me considère « clean ». Aujourd’hui : 18/01/2024, ce sire est bloqué par AVAST (URL:Scam) ? Est-ce ce bien une réalité de site « vérolé » ou
encore une fausse protection comme il y en a beaucoup. Si vous avez une réponse je vous en remercie d’avance.