Des”faux positifs”se produisent chaque fois qu’un fichier est signalé comme dangereux ou malveillant alors qu’il est en fait assez sûr. Quiconque a déjà utilisé un logiciel antivirus a rencontré des faux positifs à un moment ou à un autre. À ce jour, je reçois encore de nombreux commentaires d’utilisateurs souhaitant savoir si un fichier (généralement un exécutable) a été signalé par un ou plusieurs moteurs antivirus via VirusTotal est malveillant ou non.
Maintenant, VirusTotal analyse les fichiers via plusieurs moteurs antivirus, généralement entre 60 et 70 moteurs antivirus différents, et si seulement un ou deux signalent le fichier comme malveillant mais que tous les autres donnent au fichier un bon état de santé , mon conseil est toujours qu’il s’agit très probablement d’un faux positif, et surtout si les moteurs antivirus signalant le fichier comme malveillant sont d’une variété moins connue.
Comment se produisent les faux positifs
Les solutions antivirus se trompent intrinsèquement du côté de prudence, ce qui est une bonne chose. Il vaut mieux être prudent que désolé. Cependant, cela peut souvent conduire à des faux positifs simplement basés sur le modèle de comportement d’un exécutable et sur l’incapacité de l’antivirus à déterminer si ce comportement a une intention malveillante.
Un exemple typique est tout logiciel de récupération de mot de passe, tel que MailPassView de NirSoft.. Parce que ce type de logiciel a la capacité de révéler les mots de passe cachés, il peut évidemment être utilisé à des fins malveillantes lorsqu’il est entre de mauvaises mains. C’est ainsi que les solutions antivirus voient la situation et signalent par conséquent le logiciel comme malveillant. Cependant, de nombreux utilisateurs utilisent MailPassView pour récupérer leurs propres mots de passe de messagerie oubliés, ce qui n’est pas du tout malveillant, bien au contraire.
Les solutions antivirus n’incluent pas la capacité de faire la distinction entre une éventuelle utilisation malveillante et lorsqu’un utilisateur est simplement essayant de récupérer leurs propres mots de passe donc, comme je l’ai mentionné, ils péchent par excès de prudence et signaleront toujours ce type de logiciel comme malveillant.
Détection heuristique
Toutes les solutions antivirus modernes incluent un composant qui signale les éléments en fonction de traits comportementaux, appelés détection heuristique. Ce type de protection est très efficace contre les menaces zero-day (précédemment inconnues), mais il est également susceptible de commettre des erreurs occasionnelles. Ces erreurs occasionnelles sont appelées faux positifs.
Comment pouvez-vous en être sûr ?
Si jamais vous n’êtes pas sûr, VirusTotal est une ressource formidable pour obtenir une indication claire si un fichier (exécutable) est malveillant ou non. Quoi qu’il en soit, si vous installez un programme pour la première fois, et en particulier si le logiciel est relativement inconnu, vous devez toujours analyser le fichier d’installation via VirusTotal avant l’installation.
Chaque fois que je teste un logiciel ici chez DCT avec un examen à l’esprit, j’analyse toujours l’exécutable (fichier d’installation) via VirusTotal d’abord pour m’assurer qu’il peut être recommandé en toute sécurité.
—