Antivirus : les faux positifs

Définition : un faux positif est une erreur de jugement d'un programme de détection, qui va réagir et renvoyer une alerte alors qu'il n'y a pas lieu de le faire.

On parle de faux positifs essentiellement dans le domaine des antivirus, mais les logiciels antispam ou contrôleurs d'intégrité (IDS) peuvent aussi en générer.

Pour un antivirus, cela se produit lorsque le programme scanne un fichier sain et le déclare infecté (positif pour son test) alors qu'il ne l'est pas. Nous allons évoquer la chose pour les antivirus, car cela peut être pénalisant, et cela remet partiellement en cause la confiance de l'utilisateur en son antivirus et/ou les programmes qu'il télécharge.

Le cas des antivirus

Comment se fait-il qu'un fichier sain génère une alerte ? Il faut se pencher un peu sur le fonctionnement des antivirus. Un antivirus recourt à plusieurs méthodes de détection, parmi lesquelles :

la détection par signatures : les mises à jour de définitions de virus sont là pour ça, un antivirus possède une base de données de milliers de virus. Pour ne pas encombrer votre disque dur avec un volume de données énorme, la base de donées contient entre autres choses le morceau de code minimal attribuable au virus, ce qui se retrouve systématiquement dans un fichier infecté par ce virus. L'antivirus analyse donc le contenu des fichiers à la recherche d'une chaîne de caractères qu'il connait et qu'il associe à un virus.

Possibles problèmes : certains compresseurs pour programmes (packers), qui diminuent la taille d'un fichier .exe sans rien lui faire perdre de ses capacité, jouent sur des astuces de programmation, communes à certains virus. Une de ces compressions (sur fichier sain) peut générer une chaîne de caractères associée à une infection. Idem pour certains setups, qui en utilisent. Certaines bases d'antivirus ne sont pas assez précises, et cherchent un bout de code trop court, qui peut se trouver naturellement dans un fichier sain.

l'analyse heuristique : ici il s'agit de détecter un virus qui ne serait pas dans la base de signatures. L'antivirus ne recherche pas un code fixe et connu, mais un type de code (lecture et écritures de fichiers à répétition et groupées, par exemple).

Possibles problèmes : trop de zèle de la part de ce module, ce qui varie énormément d'un antivirus à l'autre.

la surveillance comportementale : ce module complète les deux premiers, et surveille des activités (création de fichiers, effacement, renommage, etc). Si un comportement suspect est détecté : alerte.

Que faire ?

D'abord et avant tout : mettre à jour les définitions virales, et le programme si besoin.

Il ne faut pas croire aveuglément un programme, la recrudescence de faux antivirus, de spywares déguisés en programmes sains et de faux mails (phishing) doit vous mettre en garde : si un programme peut mentir, un autre peut se tromper...

Solution : uploader le fichier incriminé sur un VirusTotal (désormais disponible en français, merci à ipl_001) ou Jotti's virus scan, des services gratuits qui l'analyseront avec une bonne vingtaine d'antivirus à jour pour Virustotal, en vous affichant les résultats. Pour en savoir plus, direction le blog. Si les avis sont partagés, ou qu'ils détectent des infections différentes, il peut y avoir faux positif...

Autre possibilité, scanner avec un antivirus gratuit en ligne.  Liste sur le blog

Voici un rapport virustotal montrant un cas entre deux. Les antivirus ne sont pas tous d'accord sur le type d'intrus, le fichier est compressé avec un packer (UPX), et les poids lourds ne disent rien : il y a de fortes chances que ce soit un faux positif.

Virustotal en action

Jotti's virus scan en action

Où s'arrête un virus et où commence le spyware, le rootkit, le keylogger ou le trojan (cheval de troie) ? La frontière peut être floue, et parfois le mieux est l'ennemi du bien, à vouloir ratisser trop large (et dire qu'on est l'antivirus détectant x virus de plus que le concurrent), certains antivirus vont aller dans des domaines qui ne sont pas forcément les leurs.

Solution : ne pas se contenter d'un antivirus, utiliser conjointement des logiciels de détection de spywares, de rootkits, etc... cela donne un avis complémentaire sur des cas limites.