Méfiez vous de ces ANTIVIRUS…

Il s’agit maintenant de la 3ème fois en 4 ans que ce blog est signalé à tort par un ou plusieurs antivirus comme étant un site malveillant. Je tiens à porter ces détections mensongères à la vue de tous, car elle peuvent ruiner une réputation. Elles peuvent aussi induire en erreur les utilisateurs des antivirus en question. Et par la même occasion fausser la propre crédibilité des antivirus…

Un site Malveillant d’abord

Tout commence en 2016, Avast décide du jour au lendemain de signaler les images et autres ressources des pages web du blog comme étant malveillantes (URL:Mal). Curieusement, le contenu textuel reste accessible, mais les images sont retirées…

Je décide donc de poser ma question publiquement sur les forums d’avast, où l’on me répond assez maladroitement que c’est sûrement à cause « d’une bibliothèque Javascript non sécurisée« , ou encore « parce que Cloudflare est utilisé » (merci pour eux…).

Quand bien même une bibliothèque était responsable du souci, j’utilise un CMS comme énormément d’autres sites qui auraient dû être détectés de la même manière.

Au final, le site est débloqué, tout entre dans l’ordre relativement vite. Ouf.

Ce n’est pas bien grave après coup, et cela arrive de se tromper. Je n’en veux donc pas immédiatement à avast et continue de l’utiliser.

Je demande tout de même pourquoi cette détection avait concrètement lieu, et là on me répond que « l’employé qui l’a bloqué ne travaille pas aujourd’hui« , donc on ne sait pas, et on ne saura jamais…

Un site de Phishing ensuite

2017, rebelote, des visiteurs du site me signalent des problèmes pour accéder au blog. Le bloqueur de publicité uBlock s’y met, suivi de Bitdefender, Fortinet (qui continue encore aujourd’hui), McAfee et quelques autres… J’en avais fait un article dédié à l’époque que vous pouvez lire ici : LeBlogDuHacker, un site de Phishing ? (une histoire de faux positif)

Pour résumé, tous les sites ont rapidement débloqué mon blog, mais les doutes arrivent toujours lorsque je demande concrètement POURQUOI mon site était bloqué. Cette fois, on me répond ceci :

Donc, en tapant « phishing » ou « hacker » dans Google, un prétendu « chercheur » peut créer une liste des résultats de recherche retournés, même en ne comprenant rien à ce qui est écrit, puis le signaler aux éditeurs ? Et c’est directement pris en compte et détecté chez tout le monde le lendemain ? Félicitations.

En 2021, c’est Comodo et Fortinet (encore lui) qui continuent tranquillement leur détection de certaines pages…

Un site mis en liste noire pour terminer

2020 : Nous retrouvons avast, qui cette fois bloque certaines ressources hébergées sur le blog : guides achetés par les clients, ressources additionnelles liées à des cours, bref, un peu tout et n’importe quoi.

Motif : « URL:Blacklist ».

Pour l’occasion, AVG s’y met aussi. Normal, il appartient à Avast.

C’était la fois de trop, clairement. Après avoir demandé à nouveau de débloquer mon site, ce qui a été fait le jour d’après, j’ai demandé des précisions sur cette détection. Et jusqu’à l’heure actuelle… aucune réponse ! Je mettrais à jour l’article dès lors que j’en reçois une, si cela arrive un jour.

En attendant, je vous déconseille fortement d’utiliser des antivirus qui détectent à tort des sites sains ou programmes sains.

Cela nuit à tout le monde :

• l’éditeur du site perd en réputation (en trafic web et potentiellement en clients/visiteurs)
• l’utilisateur a un antivirus peu fiable, aux détections erronées. Et dans le cas inverse ? les virus sont-ils eux bien détectés ??
• l’antivirus finira par un pâtir aussi car c’est une faute grave, d’autant plus que ça n’arrive pas qu’avec mon blog.

Des faux positifs à tour de bras

C’est là que j’enchaîne plus généralement sur les faux positifs. J’ai pour le coup décidé de faire un test plus poussé, en créant de toutes pièces un programme exécutable sous Windows qui affiche uniquement « Bonjour » à l’écran.

Voici le code source pour ceux qui souhaiteraient essayer chez eux :

#include <stdlib.h>
#include <stdio.h>

int main() {
    printf("Bonjour");
}

Vous voyez quelque chose de malveillant ? moi non.

Et pourtant :

En partant de ce principe, en ajoutant le terme « hacker » ou « phishing » dans le code, ça doit piquer. Tiens votre antivirus ne sonne pas déjà après avoir lu cette phrase ???

Et si encore on obtenait une détection du type « Programme suspect », « programme peu commun » ou je ne sais quoi. Mais non, on a « Trojan.Win32 » !

D’où les fameux Programmes POTENTIELLEMENT (In)désirables

Vous avez peut-être déjà rencontré des détections d’antivirus du type : PUP.Optional.WebSearch. (votre antivirus ne sonne toujours pas ???)

PUP signifie : Potentially Unwanted Program.

Premier petit souci : entre le terme anglais et son raccourci « PUP », difficile pour l’utilisateur « moyen » de reconnaître ce que cela signifie.

Deuxième souci : si l’antivirus affiche ledit PUP en rouge en dessous de « menaces détectées« , il n’y a pas trop de doute à avoir à priori. Et pourtant…

Dans 70 à 90% des cas, lesdits PUP sont bien indésirables, mais il m’est arrivé d’y trouver un composant officiel de Microsoft Visual Studio ! Il m’est aussi arrivé de lire des « erreurs » ou « menaces » qui n’étaient que des changements volontaires et légitimes des paramètres du navigateur.

Pour conclure, l’antivirus qui trouve 145 PUP et 1 virus n’est pas plus performant que celui qui trouve 4 PUP et 3 vrais virus… Le nombre de « menaces » n’est pas (forcément) synonyme de performance.

Certes les heuristiques sont des estimations, certes l’erreur est humaine, certes le machine learning est en amélioration constante, mais le docteur ne devrait tout de même pas vous dire que vous êtes atteint du coronavirus alors que vous n’avez rien. Le mécanicien ne devrait pas vous faire payer des réparations qui n’existent pas.

Il manque des explications, il manque de la transparence, il manque des précisions. Et au delà d’être une petite diatribe personnelle à la base, cela finit par nuire à tout le monde.

Articles similaires