C’est maintenant la 3ème fois en 4 ans que ce blog est signalé à tort par un ou plusieurs antivirus comme étant un site malveillant. Je tiens à porter ces détections mensongères à la vue de tous, car elle peuvent ruiner une réputation. Elles peuvent aussi induire en erreur les utilisateurs des antivirus en question. Et par la même occasion fausser la propre crédibilité des antivirus…

Un site Malveillant d’abord

Tout commence en 2016, Avast décide du jour au lendemain de signaler les images et autres ressources des pages web du blog comme étant malveillantes (URL:Mal). Curieusement, le contenu textuel reste accessible, mais les images sont retirées…

Je décide donc de poser ma question publiquement sur les forums d’avast, où l’on me répond assez maladroitement que c’est sûrement à cause « d’une bibliothèque Javascript non sécurisée« , ou encore « parce que Cloudflare est utilisé » (merci pour eux…).

« Cela peut être lié à des problèmes de sécurité jQuery, mais seulement une personne de chez avast pour dire exactement pourquoi le site est bloqué »

Au final, le site est débloqué, tout entre dans l’ordre relativement vite. Ouf.

Je demande tout de même pourquoi cette détection avait concrètement lieu, et là on me répond que « l’employé qui l’a bloqué ne travaille pas aujourd’hui« , donc on ne sait pas, on ne saura jamais…

Apparemment, même chez Avast on ne sait pas. Ptet jQuery, ptet pas ?

Un site de Phishing ensuite

2017, rebelote, des visiteurs du site me signalent des problèmes pour accéder au blog. Le bloqueur de publicité uBlock s’y met, suivi de Bitdefender, Fortinet, McAfee et quelques autres… J’en avais fait un article dédié à l’époque que vous pouvez lire ici : LeBlogDuHacker, un site de Phishing ? (une histoire de faux positif)

Pour résumé, tous les sites ont rapidement débloqué mon blog, mais les doutes arrivent toujours lorsque je demande concrètement POURQUOI mon site était bloqué. Cette fois, on me répond ceci :

« Le signalement est venu d’un utilisateur/chercheur indépendant […] Visiblement il a associé votre site avec des logiciels de cracking de mots de passe ».

Donc, en tapant « phishing » dans Google, en créant une liste depuis les résultats affichés, puis en les signalant aux éditeurs antivirus, personne ne vérifie ? c’est directement pris en compte ? En somme, c’est Malveillant par défaut, et au site de prouver l’inverse ? bravo.

Un site mis en liste noire pour terminer

2020 : Nous retrouvons avast, qui cette fois bloque certaines ressources hébergées sur le blog : guides achetés par les clients, ressources additionnelles liées à des cours, bref, un peu tout et n’importe quoi.

Motif : « URL:Blacklist ».

Pour l’occasion, AVG s’y met aussi. Normal, il appartient à Avast.

C’était la fois de trop, clairement. Après avoir demandé à nouveau de débloquer mon site, ce qui a été fait le jour d’après, j’ai demandé des précisions sur cette détection. Et jusqu’à l’heure actuelle… aucune réponse ! Je mettrais à jour l’article dès lors que j’en reçois une, si cela arrive un jour.

En attendant, je vous déconseille fortement d’utiliser des antivirus qui détectent à tort des sites sains ou programmes sains.

Cela nuit à tout le monde :

  • l’éditeur du site perd en réputation (en trafic web et potentiellement en clients/visiteurs)
  • l’utilisateur a un antivirus peu fiable, aux détections erronées. Et dans le cas inverse ? les virus sont-ils eux bien détectés ??
  • l’antivirus finira par un pâtir aussi car c’est une faute grave, d’autant plus que ça n’arrive pas qu’avec mon blog.

Des faux positifs à tour de bras

Cela que j’enchaîne plus généralement sur les faux positifs. J’ai pour le coup décidé de faire un test plus poussé, en créant de toutes pièces un programme exécutable sous Windows qui affiche uniquement « Bonjour » à l’écran.

Voici le code source pour ceux qui souhaiteraient essayer chez eux :

#include <stdlib.h>
#include <stdio.h>

int main() {
    printf("Bonjour");
}

Vous voyez quelque chose de malveillant ? moi non.

Et pourtant :

En partant de ce principe, oui en ajoutant le terme « hacker » ou « phishing » dans le code, ça doit piquer. Tiens votre antivirus ne sonne pas déjà après avoir lu cette phrase ???

Et si encore on obtenait une détection du type « Programme suspect », « programme peu commun » ou je ne sais quoi. Mais non, on a « Trojan.Win32 » !

D’où les fameux Programmes POTENTIELLEMENT (In)désirables

Vous avez peut-être déjà rencontré des détections d’antivirus du type : PUP.Optional.WebSearch. (votre antivirus ne sonne toujours pas ???)

PUP signifie : Potentially Unwanted Program.

Premier petit souci : entre le terme anglais et son raccourci « PUP », difficile pour l’utilisateur « moyen » de reconnaître ce que cela signifie.

Deuxième souci : si l’antivirus affiche ledit PUP en rouge en dessous de « menaces détectées », il n’y a pas trop de doute à avoir à priori. Et pourtant…

Dans 90% des cas, lesdits PUP sont bien indésirables, mais il m’est arrivé d’y trouver un composant officiel de Microsoft Visual Studio ! Il m’est aussi arrivé de lire des « erreurs » ou « menaces » qui n’étaient que des changements volontaires et légitimes des paramètres du navigateur.

Pour conclure, l’antivirus qui trouve 145 PUP et 1 virus n’est pas plus performant que celui qui trouve 4 PUP et 3 virus… Le nombre de « menaces » n’est (forcément) synonyme de performance.

Certes les heuristiques sont des estimations, certes l’erreur est humaine, certes le machine learning est en amélioration constante, mais le docteur ne devrait tout de même pas vous dire que vous êtes atteint du coronavirus alors que vous n’avez rien. Le mécanicien ne devrait pas vous faire payer des réparations qui n’existent pas. Il manque des explications, il manque de la transparence, il manque de la précision dans de telles situations.

Laisser un commentaire

Menu
More in Actualités, Virus & Antivirus
Pourquoi je ne suis PAS UN HACKER

Les amis, par le présent article, je souhaite faire une mise au point sur les termes, les connaissances et les qualifications au sujet du hacking....

Close