Faux positif d'un antivirus : ses dangers et comment les éviter

Faux positif d'un antivirus : ses dangers

Lorsque nous installons un antivirus sur notre ordinateur, nous le faisons avec l'intention qu'il soit chargé de contrôler la sécurité du PC, de détecter toute menace possible et de l'éliminer avant qu'il ne soit trop tard. En plus de disposer de bases de données gigantesques, les antivirus utilisent des systèmes heuristiques capables d'analyser le comportement des fichiers et de détecter des malwares inédits. Cependant, ces systèmes d'analyse intelligents peuvent détecter les menaces là où il n'y en a pas et marquer les fichiers qui sont réellement dignes de confiance comme dangereux. C'est ce qu'on appelle un faux positif .

Qu'est-ce qu'un faux positif dans un antivirus

Comme son nom l'indique, le faux positif apparaît lorsqu'un antivirus a considéré qu'un fichier légitime et fiable est une menace . Et ainsi vous l'avez bloqué, mis en quarantaine ou supprimé.

Tous les antivirus sont susceptibles de générer plus ou moins de faux positifs, bien que cela dépende en grande partie de la qualité de sa programmation et des moteurs d'analyse heuristiques. Certains antivirus, tels que Windows Defender, Avira ou Kaspersky ont tendance à offrir très peu de faux positifs aux utilisateurs car ils ont systèmes heuristiques moins stricts , tandis qu'Avast, AVG, Trend Micro ou Panda génèrent un nombre inquiétant de faux positifs, selon les derniers tests AV. -Comparatifs, pour être beaucoup plus stricts.

Ce n'est pas mal qu'un antivirus détecte un faux positif, tout comme ce n'est pas bien qu'il ne les détecte pas. La société de sécurité doit ajuster l'heuristique de ses programmes de sécurité afin qu'elle soit suffisamment stricte pour empêcher les menaces cachées d'entrer, mais pas au point d'ennuyer l'utilisateur avec de fausses alertes de menace.

Les causes qui les génèrent

Il y a beaucoup de causes de faux positifs . Les plus courants sont :

  • La utilisation de compilateurs, compresseurs et packers couramment utilisé par les pirates. Ces conditionneurs sont utilisés par les développeurs pour protéger leurs logiciels, mais ils sont également utilisés par les pirates. Pour cette raison, il est courant que les antivirus détectent les exécutables qui ont utilisé ce type d'outil comme menaces possibles.
  • Installateurs avec publicité ou les programmes sponsorisés peuvent également être détectés par les programmes de sécurité en tant que faux adware ou PUP.
  • Programmes qui modifient le système . Comme les virus modifient généralement les fichiers système (en particulier les bibliothèques DLL), si un programme essaie de les modifier, même s'il est fiable, il sera détecté par les systèmes heuristiques pour avoir un comportement suspect et, par conséquent, signalé comme un faux positif.
  • L'utilisation de heuristique très stricte . Les antivirus ont généralement plusieurs niveaux d'heuristique. Plus il est permissif, moins il est probable qu'il détecte une menace qui essaie de se faufiler dans le PC, bien que plus nous le configurons de manière stricte, plus nous obtiendrons de faux positifs.
  • La outils de piratage font généralement des alarmes antivirus à long saut, même si les programmes fiables que nous exécutons nous. La raison est simple : le programme de sécurité ne sait pas si nous les exécutons, ou s'ils font partie d'une attaque informatique. Et, en cas de doute, mieux vaut bloquer.
  • Activateurs, générateurs de clés et logiciels non autorisés en général. Ce type de contenu a très souvent des menaces cachées. Et soit parce qu'il modifie les fichiers système, soit parce qu'il a été emballé à l'aide d'outils communs aux pirates informatiques, soit parce qu'il masque en fait les logiciels malveillants, il déclenche presque toujours des alarmes de logiciel de sécurité.

Activateur de jeu Steam faux positif

Quels sont les dangers d'un faux positif ?

Bien que normalement, un faux positif nous protège contre une éventuelle menace lorsque l'antivirus n'est pas sûr qu'il s'agisse de quelque chose de vraiment fiable. Cependant, parfois ces faux positifs peuvent également être un problème pour notre ordinateur.

La première chose à garder à l'esprit est que, si un antivirus détecte une menace possible dans un fichier, nous ne devrions pas le déverrouiller à moins d'être sûr à 100% qu'il s'agit d'un fichier fiable. Il peut arriver que nous ayons téléchargé un jeu ou un programme sur Internet, illégalement, et que notre logiciel l'ait détecté comme une menace. Même s'ils nous conseillent de l'autoriser, il vaut mieux ne pas le faire, car nous ne savons pas si le pirate essaie de nous tromper.

En plus de cela, ce qui peut arriver, c'est que notre programme de sécurité détecte les programmes dignes de confiance en tant que menaces potentielles, soit en raison de leur fonctionnement interne ou parce qu'il y a un conflit avec la signature numérique du programme qui déclenche les alarmes des systèmes heuristiques. . Cela s'est déjà produit dans certains cas avec des programmes tels que Ccleaner, IObit ou uTorrent, qui ont été marqués par certains antivirus comme des menaces.

Avast faux positif

Même, dans le pire des cas, il peut arriver qu'un défaut du moteur détecte Fichiers DLL ou exécutable fichiers à partir de programmes ou de Windows lui-même comme suspect. Cela s'est déjà produit à l'occasion, et les conséquences sont catastrophiques, ayant, dans le pire des cas, même réinstallé Windows à partir de zéro. Heureusement, ce type de problème n'est pas très courant.

Comment les traiter

Si notre programme de sécurité a bloqué un fichier que nous avons téléchargé depuis Internet, un exécutable ou une bibliothèque DLL, la première chose que nous devons faire est de nous demander s'il est vraiment fiable ? Si nous l'avons téléchargé depuis le site Web des développeurs ou depuis leur référentiel officiel GitHub, probablement oui. Même ainsi, avant de le déverrouiller, nous devons nous assurer à 100% qu'il est bien légitime.

On peut aussi recourir à l'utilisation d'un deuxième antivirus pour avoir un deuxième avis sur la sécurité du fichier. Par exemple, nous pouvons envoyer le fichier à analyser à VirusTotal pour vérifier, avec plus de 50 antivirus en même temps, si un fichier est vraiment fiable. Si plusieurs antivirus détectent la menace, c'est que quelque chose est caché.

Comment éviter les faux positifs

Il n'y a que deux façons d'éviter ces faux messages d'alerte. La première consiste à s'assurer que nous téléchargeons toujours des logiciels et des fichiers connus et dignes de confiance. Les programmes les plus courants sont généralement toujours inclus dans une liste blanche par l'antivirus afin que les alarmes ne se déclenchent pas avec eux.

Et la deuxième façon est de réduire la sensibilité des analyses heuristiques. Dans la configuration de certains de ces programmes (pas tous) on peut trouver la possibilité de réduire cette sensibilité. Plus la sensibilité est faible, moins nous aurons de faux positifs, même si, en retour, nous pouvons passer à côté d'éventuelles menaces inconnues. Ce paramètre doit être utilisé avec beaucoup de prudence.