Blog EugeneToons

Les tutoriels sur la sécurité et Windows en général...

Transmettre un faux positif à l’éditeur Avira

par · 14 juillet 2015

Votre antivirus détecte un de vos logiciels préférés comme un virus ou un malware alors que ce dernier n’en est pas un. Voici la procédure à suivre…

1. Qu’est-ce qu’un faux positif
2. Quelle procédure à suivre en face d’un faux positif
3. Comment vérifier un faux positif
4. Mettre une exception sur le fichier
5. Transmettre un faux positifs à l’éditeur Avira
6. Conclusion

 

1. Qu’est-ce qu’un faux positif

Un faux positif est un objet que votre Antivirus détecte comme un Malware ou un Virus alors que ce n’en est pas un ! Tous les Antivirus ont un jour ou l’autre suite à une mise à jour de leur base de donnée et surtout leur moteur heuristique (Malware détecté non pas grâce à une signature mais grâce à une analyse comportementale de l’application) fait une erreur de jugement lors de leur scanner de détection. Cela peut être pénalisant et surtout remettre en cause la confiance de l’utilisateur envers son logiciel Antivirus. La première chose à faire avant de suivre la procédure ci-dessous est de mettre à jour le logiciel Antivirus et de vérifier si cela se reproduit…

2. Quelle procédure à suivre en face d’un faux positif

Avant de rentrer dans les détails de la procédure,il est judicieux de faire un petit listing des opérations à réaliser :

  • Vérifier que le fichier est un vrai faux positif avec le site VirusTotal par exemple
  • Mettre une exception de détection dans le logiciel Antivirus
  • Transmettre le fichier à l’éditeur de l’antivirus (ici Avira)

Avec la dernière opération l’éditeur décidera (oui ou non) de corriger le problème. Mais c’est quand même vous qui décidera sur votre machine si le fichier en question est nuisible ou pas !

Ici nous allons prendre un exemple concret. Le fichier en question est le logiciel « Versions » de l’auteur Pierre13. Je vous encourage à visiter son site « Forumactif.com« . C’est un fichier exécutable nommé « versions.exe » et téléchargeable ici. Ne me demandez pas pourquoi l’antivirus Avira Free le détecte comme néfaste car je ne sais pas ! Je sais juste que le logiciel a été développé sous AutoIt. A titre d’information ce logiciel permet de vous signaler si les logiciels Java, FlashPlayer, Adobe Reader et vos navigateurs sont bien à jour. Je vous renvoie vers mon article « Sécuriser son Pc en le mettant à jour » pour de plus amples informations. Pour conclure les logiciels développés avec AutoIt ne sont pas très bien vus par les Antivirus, mais cela est une autre histoire…

3. Comment vérifier un faux positif

Le site VirusTotal permet de vérifier un fichier en le uploadant et le testant avec une vingtaine d’antivirus. Pour notre exemple rendez vous sur le site VirusTotal, vérifiez que l’onglet est bien sur « Fichier » et cliquez sur « Choisir un fichier« .

faux positif avira virustotal
Une boite de dialogue de sélection s’ouvre et vous permet de naviguer dans l’arborescence de votre lecteur. Cherchez dans l’arborescence, sélectionnez en cliquant sur votre fichier (ici Versions.exe) et cliquez pour terminer sur « Ouvrir« .

faux positif avira virustotal choix fichier

Votre fichier est maintenant sélectionné, vérifiez que votre choix est correct (ici Versions.exe) et cliquez sur le bouton « Analyser!« .

faux positif avira virustotal lancer analyse
Un rapport est disponible après l’analyse du fichier. Attention l’analyse peut durer plusieurs minutes. Si le fichier a déjà été fourni par un autre internaute vous verrez apparaître la page suivante et il suffira de cliquer sur le bouton « Voir la dernière analyse » pour accéder aux résultats des différents Antivirus.

faux positif avira virustotal fichier deja analyse

Voici les résultats après analyse, vous pouvez constater que 26 sur les 56 Antivirus l’ont déclaré comme néfastes. Je peux vous assurer que le programme est malgré tout sain de corps car je l’utilise depuis plusieurs mois sans aucun problème !

faux positif avira virustotal resultat analyse

Voilà vous savez maintenant tester un fichier si vous le soupçonnez de néfaste. Pour information il existe un autre site qui fait exactement la même chose que VirusTotal, c’est celui de Jotti’s Malware Scanner. Il ne possède qu’une vingtaine d’Antivirus mais il pourra vous dépanner si besoin. Pour notre cas cela fait quand même beaucoup 26 sur 56 mais c’est la réalité. Autre solution est de questionner l’auteur ou l’éditeur à propos du faux positif.

4. Mettre une exception sur le fichier

Quand votre Antivirus détecte un faux positif, il faut procéder en 2 étapes :

  • Ne pas prendre en compte l’information
  • Mettre une exception sur le fichier

4.1 Ne pas prendre en compte l’information de détection

L’Antivirus Avira Free détecte le fichier et vous affiche une notification sonore en bas à droite. Celle-ci vous informe que le fichier « Versions.exe » contient un « virus ou programme indésirable« . Cliquez sur « Détails » pour poursuivre.

faux positif avira detection

Suite à la détection, l’outil déclenche une analyse système rapide par sécurité. Laisser le faire et patientez…

faux positif avira petit scan

Dans la fenêtre suivante nous allons informer l’Antivirus qu’il doit ignorer ce qu’il a détecté ! Pour cela faites un clique droit sur « Déplacer en quarantaine » et dans le menu cliquez sur « Toujours ignorer« . Pour terminer l’opération cliquez sur le bouton « Appliquer« .

faux positif avira ignorer toujours

Je vais faire une petite remarque sur le terme « Toujours ignorer« . En effet on peut penser que l’opération peut suffire et que l’Antivirus Avira Free a bien enregistré l’action définitivement. C’est faux car au prochain démarrage de votre ordinateur l’outil détectera de nouveau le fichier comme néfaste. L’action « Toujours ignorer » est donc provisoire et fonctionnelle uniquement pour la session de Windows en cours. Pour véritablement éviter que l’outil ne détecte de nouveau le fichier il faudra mettre une exception sur le fichier. Et c’est ce que nous allons voir dans le paragraphe suivant…

4.2 Mettre une exception sur le fichier

Ici nous allons demander à l’Antivirus Avira Free de ne plus tester tout simplement le fichier « Versions.exe« . Cela signifie que nous allons placer une exception sur le fichier. Ouvrez l’Antivirus, puis faites un clique droit sur l’icône en bas à droite de l’horloge et dans le menu cliquez sur « Gérer Antivirus« .

faux positif avira ouvrir
Dans la fenêtre principale de Avira Free Antivirus, cliquez sur le menu « Outils » et cliquez sur l’item « Configuration« . Vous pouvez obtenir le même résultat en appuyant tout simplement sur la touche « F8« .

faux positif avira outils configuration

Dans la partie gauche de la fenêtre pour dérouler une arborescence il suffit de cliquer sur le « + » devant l’objet. Dans « Sécurité PC« , déroulez « Protection temps réel« , puis « Recherche« et pour finir cliquez sur « Exceptions » et vous obtiendrez la fenêtre de droite qui permet d’exclure fichiers et processus.

faux positif avira securite exception
Ici c’est bien un objet (donc un fichier) que nous allons exclure. Cliquez sur «  » pour pouvoir sélectionner le fichier « Versions.exe« .

faux positif avira bouton objet exclure

Dans la boite de dialogue il suffit de sélectionner le fichier en question et de cliquer sur le bouton « Ok« .

faux positif avira choix fichier
Cliquez sur le bouton « Ajouter >>« .

faux positif avira ajouter exception

Pour valider l’exception sur le fichier cliquez sur le bouton « Ok« .

faux positif avira valider exception

Voilà l’exception vient d’être créée et à partir de maintenant Avira Free Antivirus ne testera plus le fichier !

5. Transmettre un faux positif à l’éditeur Avira

L’intérêt maintenant est d’informer l’éditeur Avira que leur Antivirus a détecté un faux positif en transmettant le fichier. Il existe deux méthodes pour transmettre le fichier :

  • Via le site d’Avira
  • Directement via l’Antivirus si le fichier se trouve en quarantaine

5.1 Via le site d’Avira

Pour cela rendez-vous à l’adresse suivante : https://analysis.avira.com/fr/submit
Dans la première partie de la page, vérifiez que l’onglet « Envoyer des fichiers suspects » est bien sélectionné. Ensuite renseignez votre nom et votre adresse émail. Si nécessaire vous pouvez ajouter un petit commentaire, ici j’ai renseigné le site permettant de télécharger le logiciel « Versions« .

faux positif avira site champs1
Plus bas et sur la même page nous allons uploader le fichier. Tout d’abord faites glisser votre fichier « versions.exe » sur la partie de l’écran ou est noté « Déplacer les fichiers ici« . Il faut noter qu’il est possible de transmettre jusqu’à 5 fichiers pour un total de 20Mo. Pour terminer cliquez sur « Envoyer« .

faux positif avira site champs2
Après l’envoi du fichier un rapport s’affiche. Ici concernant le logiciel « Versions« , on constate que Avira le classe tout de même comme ‘MALWARE‘. Un mail est envoyé automatiquement avec le résultat de l’analyse généralement 24 heures plus tard. Enfin ceci n’est qu’un exemple et nous allons poursuivre avec l’envoi du fichier directement avec l’Antivirus.

faux positif avira site resultat envoi

 

5.2 Directement via l’Antivirus si l’objet se trouve en quarantaine

Je le répète encore mais l’objet doit se trouver impérativement en quarantaine. Ouvrez l’interface de l’Antivirus (voir plus haut). Cliquez dans la liste de gauche sur « Quarantaine« .

faux positif avira quarantaine
Premièrement sélectionnez l’objet en cliquant dessus dans la liste de la quarantaine et ensuite cliquez sur icône en forme enveloppe.

faux positif avira quarantaine select fichier
Une boite de dialogue apparaît. Il est impératif de remplir les champs « Nom« , « Adresse e-mail » et « Type« . Ici pour le champ « Type » nous le déclarons comme « Soupçon de fausse alarme« . Pour information avec cette méthode il est aussi possible d’envoyer des objets malveillants que vous soupçonner comme l’être. Pour terminer cliquez sur le bouton « Ok« .

faux positif avira quarantaine envoi fichier
Une petite boite apparaît durant l’envoi.

faux positif avira quarantaine envoi en cours
Un message vous confirme l’envoi du fichier. Cliquez sur le bouton « Ok » pour terminer.

faux positif avira quarantaine envoi terminer
Voilà vous connaissez les deux procédures pour envoyer un objet à l’éditeur Avira. Un e-mail vous parviendra d’ici 24 heures avec les conclusions d’expertises.

6. Conclusion

Tous les grands éditeurs de solution de sécurité possèdent une méthode pour permettre aux utilisateurs de les informer qu’un faux positif a été détecté par leur logiciel Antivirus. Que la méthode soit disponible via directement l’Antivirus ou uploadable via un site internet je vous conseille de visiter le site de l’éditeur en charge de votre Antivirus pour trouver la méthode. Concernant le logiciel « Versions.exe« , j’ai eu le plaisir quelques jours plus tard de recevoir le mail suivant :

Je ne vous cache pas que j’ai réalisé cette opération plusieurs fois (3 fois je crois ?) avant que l’éditeur Avira admette que le logiciel était réellement un faux positif. Il faut savoir persévérer quelque fois….
Voici un extrait du mail :

« Le fichier ‘Versions.exe’ a été classifié comme ‘FALSE POSITIVE’. Cela signifie que ce fichier n’est pas dangereux et qu’il s’agit d’un message erroné de notre part.Le modèle de détection sera supprimé avec l’une des prochaines mises à jour du fichier de définitions des virus (VDF).
Vous pouvez également visualiser les résultats de l’analyse ici :
https://analysis.avira.com/en/status?uniqueid=kfp4SBEpPQw35z4XAJIOgJHqLIYVHOUP&incidentid=1898665« 

Étiquettes :

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.