Faux positifs - Fausses alertes - Fausses alarmes

Que sont les "Faux positifs" ou "Fausses alertes" ou "Fausses alarmes" ?

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clés :
faux positif, false positive,
fausse détection,
fausse alarme, fausse alerte
 
 
Un "faux positif" (également appelé "fausse détection" ou "fausse alarme" ou "fausse alerte") est, en ce qui concerne la sécurité informatique, la qualification erronée de "parasite" d'un objet (fichier, clé de la base de registre, cookie etc. ...) légitime par un outil de protection (antivirus, anti-trojans, anti-spywares, anti-spam etc. ...).

Faux positif par signature
Ce type d'erreurs peut typiquement se produire lorsqu'un outil de sécurité détecte, dans un objet non malicieux, une chaîne de caractères (une suite de caractères) identique à une chaîne de caractères significative (signature, empreinte, finger print...) d'un parasite connu. Le hasard peut faire qu'un objet non malicieux contienne une séquence de caractères dont un outil de sécurité se sert pour détecter la présence d'un parasite (cette chaîne de caractère est considérée comme une "signature" d'un parasite réel - il faut désormais changer la signature pour ce parasite).

Faux positif par comportement
La plupart des outils de sécurité disposent de plusieurs niveaux de protection et de plusieurs technologies de détection des parasites. L'une de ces technologies est de faire s'exécuter l'objet suspect dans une machine virtuelle ou "sand box" (l'outil de sécurité crée un ordinateur virtuel dans votre ordinateur et lance l'exécution du suspect pour voir ce qu'il fait - il s'agit de l'équivalent du "bac à sable" dans lequel on fait exploser une bombe sans qu'elle ne provoque de dégât). Dans un paramétrage extrême (type "paranoïde"), un outil de protection peut être trompé par une activité qu'il croit suspecte et déclarer "parasite" un objet légitime.

Une autre technologie de même nature est appelée "heuristique".

Exemples type de comportements suspects
Tentative d'écriture dans la zone d'amorce principale d'un disque dur (le "bootstrap"). Ceci est complètement illégal mais l'installation d'un antivirus ou la création d'un "dual boot" peut conduire à des écritures légitimes dans cette zone (uniquement lors de l'installation).
Tentative de modifications apportées à un fichier système
Tentative d'exécution d'une macro-commande
Etc. ...

Faux positifs crapuleux
Le marché des outils de sécurité est énorme et tente les crapules du Net. De véritables gangs maffieux développent des milliers de sites Internet bien référencés dans les moteurs de recherches (par des techniques de spamdexing et de cybersquatting) ou vous conduisent sur ces sites par des spam (courriels non sollicités). Vous tomberez, un jour ou l'autre, sur l'un de ces sites piégés qui tentera, par des manœuvres d'ingénierie sociale, de vous faire croire que votre machine est infectée par des parasites. Un outil de sécurité crapuleux vous annoncera toute une liste de "faux positifs" pour vous inciter à acheter leur logiciel. Voir la liste de ces logiciels de sécurité crapuleux dans la Crapthèque.

Correction des faux positifs
Il suffit de signaler le faux positif à l'éditeur du logiciel. Généralement, dans les heures qui suivent, le logiciel et/ou ses bases de signatures sont mises à jour. Encore faut-il prendre le temps d'envoyer un message à l'éditeur, ce qui est une action / réaction positive plutôt que d'aller "râler" sur un forum de discussion.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

Historique
 
   
Rédigé en écoutant :
Music