C’est maintenant la 3ème fois en 4 ans que ce blog est signalé à tort par un ou plusieurs antivirus comme étant un site malveillant. Je tiens à porter ces détections mensongères à la vue de tous, car elle peuvent ruiner une réputation. Elles peuvent aussi induire en erreur les utilisateurs des antivirus en question. Et par la même occasion fausser la propre crédibilité des antivirus…

Un site Malveillant d’abord

Tout commence en 2016, Avast décide du jour au lendemain de signaler les images et autres ressources des pages web du blog comme étant malveillantes (URL:Mal). Curieusement, le contenu textuel reste accessible, mais les images sont retirées…

Je décide donc de poser ma question publiquement sur les forums d’avast, où l’on me répond assez maladroitement que c’est sûrement à cause « d’une bibliothèque Javascript non sécurisée« , ou encore « parce que Cloudflare est utilisé » (merci pour eux…).

« Cela peut être lié à des problèmes de sécurité jQuery, mais seulement une personne de chez avast peut dire exactement pourquoi le site est bloqué »

Quand bien même une bibliothèque était responsable du souci, j’utilise un CMS comme énormément d’autres sites qui auraient dû être détectés de la même manière.

Au final, le site est débloqué, tout entre dans l’ordre relativement vite. Ouf.

Ce n’est pas bien grave après coup, et cela arrive de se tromper. Je n’en veux donc pas immédiatement à avast et continue de l’utiliser.

Je demande tout de même pourquoi cette détection avait concrètement lieu, et là on me répond que « l’employé qui l’a bloqué ne travaille pas aujourd’hui« , donc on ne sait pas, et on ne saura jamais…

Apparemment, même chez Avast on ne sait pas. Ptet jQuery, ptet pas ?

Un site de Phishing ensuite

2017, rebelote, des visiteurs du site me signalent des problèmes pour accéder au blog. Le bloqueur de publicité uBlock s’y met, suivi de Bitdefender, Fortinet (qui continue encore aujourd’hui), McAfee et quelques autres… J’en avais fait un article dédié à l’époque que vous pouvez lire ici : LeBlogDuHacker, un site de Phishing ? (une histoire de faux positif)

Pour résumé, tous les sites ont rapidement débloqué mon blog, mais les doutes arrivent toujours lorsque je demande concrètement POURQUOI mon site était bloqué. Cette fois, on me répond ceci :

« Le signalement est venu d’un utilisateur/chercheur indépendant. On lui a demandé des preuves d’activité malveillante, mais ce qu’il a envoyé n’était pas suffisant pour être classifié comme malveillant. Visiblement il a associé votre site avec des logiciels de cracking de mots de passe ».

Donc, en tapant « phishing » ou « hacker » dans Google, un prétendu « chercheur » peut créer une liste des résultats de recherche retournés, même en ne comprenant rien à ce qui est écrit, puis le signaler aux éditeurs ? Et c’est directement pris en compte et détecté chez tout le monde le lendemain ? Félicitations.

En 2021, c’est Comodo et Fortinet (encore lui) qui continuent tranquillement leur détection de certaines pages…

Un site mis en liste noire pour terminer

2020 : Nous retrouvons avast, qui cette fois bloque certaines ressources hébergées sur le blog : guides achetés par les clients, ressources additionnelles liées à des cours, bref, un peu tout et n’importe quoi.

Motif : « URL:Blacklist ».

Pour l’occasion, AVG s’y met aussi. Normal, il appartient à Avast.

C’était la fois de trop, clairement. Après avoir demandé à nouveau de débloquer mon site, ce qui a été fait le jour d’après, j’ai demandé des précisions sur cette détection. Et jusqu’à l’heure actuelle… aucune réponse ! Je mettrais à jour l’article dès lors que j’en reçois une, si cela arrive un jour.

En attendant, je vous déconseille fortement d’utiliser des antivirus qui détectent à tort des sites sains ou programmes sains.

Cela nuit à tout le monde :

  • l’éditeur du site perd en réputation (en trafic web et potentiellement en clients/visiteurs)
  • l’utilisateur a un antivirus peu fiable, aux détections erronées. Et dans le cas inverse ? les virus sont-ils eux bien détectés ??
  • l’antivirus finira par un pâtir aussi car c’est une faute grave, d’autant plus que ça n’arrive pas qu’avec mon blog.

Des faux positifs à tour de bras

C’est là que j’enchaîne plus généralement sur les faux positifs. J’ai pour le coup décidé de faire un test plus poussé, en créant de toutes pièces un programme exécutable sous Windows qui affiche uniquement « Bonjour » à l’écran.

Voici le code source pour ceux qui souhaiteraient essayer chez eux :

#include <stdlib.h>
#include <stdio.h>

int main() {
    printf("Bonjour");
}

Vous voyez quelque chose de malveillant ? moi non.

Et pourtant :

En partant de ce principe, en ajoutant le terme « hacker » ou « phishing » dans le code, ça doit piquer. Tiens votre antivirus ne sonne pas déjà après avoir lu cette phrase ???

Et si encore on obtenait une détection du type « Programme suspect », « programme peu commun » ou je ne sais quoi. Mais non, on a « Trojan.Win32 » !

D’où les fameux Programmes POTENTIELLEMENT (In)désirables

Vous avez peut-être déjà rencontré des détections d’antivirus du type : PUP.Optional.WebSearch. (votre antivirus ne sonne toujours pas ???)

PUP signifie : Potentially Unwanted Program.

Premier petit souci : entre le terme anglais et son raccourci « PUP », difficile pour l’utilisateur « moyen » de reconnaître ce que cela signifie.

Deuxième souci : si l’antivirus affiche ledit PUP en rouge en dessous de « menaces détectées« , il n’y a pas trop de doute à avoir à priori. Et pourtant…

Dans 70 à 90% des cas, lesdits PUP sont bien indésirables, mais il m’est arrivé d’y trouver un composant officiel de Microsoft Visual Studio ! Il m’est aussi arrivé de lire des « erreurs » ou « menaces » qui n’étaient que des changements volontaires et légitimes des paramètres du navigateur.

Pour conclure, l’antivirus qui trouve 145 PUP et 1 virus n’est pas plus performant que celui qui trouve 4 PUP et 3 vrais virus… Le nombre de « menaces » n’est pas (forcément) synonyme de performance.

Certes les heuristiques sont des estimations, certes l’erreur est humaine, certes le machine learning est en amélioration constante, mais le docteur ne devrait tout de même pas vous dire que vous êtes atteint du coronavirus alors que vous n’avez rien. Le mécanicien ne devrait pas vous faire payer des réparations qui n’existent pas.

Il manque des explications, il manque de la transparence, il manque des précisions. Et au delà d’être une petite diatribe personnelle à la base, cela finit par nuire à tout le monde.

Commentaires
Cliquez ici pour ajouter un commentaire

  • Bonjour.
    Une idée en passant :
    Votre programme bonjour est écrit en C.
    Il est ensuite traduit en langage machine ( virus généré par le compilateur obtenu de source douteuse ?)
    L’objet obtenu est ensuite lié à d’autres librairies (infectées ?)
    Dommage que l’éditeur de l’antivirus ne maîtrise pas son produit car il pourrait alors faire des recherches approfondies)

    PS
    J’ai le même problème un petit programme écrit en Delphi.

    Répondre
    • Bonjour,
      Oui ce serait tout à fait possible, seulement le compilateur est bien gcc, installé par aptitude depuis les dépôts officiels et utilisant les bibliothèques elles-aussi officielles. De toute manière, chacun peut retenter l’expérience de son côté pour le vérifier. Il serait effectivement intéressé de faire le test avec une vraie infection de ce type, et comparer les résultats pour voir si au final l’outil malveillant ne serait pas moins détecté que l’outil légitime… ce qui ne me paraîtrait même pas impossible !
      Amicalement

      Répondre

Laisser un commentaire

Menu