Transmettre un faux positif à l’éditeur Avira
Votre antivirus détecte un de vos logiciels préférés comme un virus ou un malware alors que ce dernier n’en est pas un. Voici la procédure à suivre…
1. Qu’est-ce qu’un faux positif
2. Quelle procédure à suivre en face d’un faux positif
3. Comment vérifier un faux positif
4. Mettre une exception sur le fichier
5. Transmettre un faux positifs à l’éditeur Avira
6. Conclusion
1. Qu’est-ce qu’un faux positif
Un faux positif est un objet que votre Antivirus détecte comme un Malware ou un Virus alors que ce n’en est pas un ! Tous les Antivirus ont un jour ou l’autre suite à une mise à jour de leur base de donnée et surtout leur moteur heuristique (Malware détecté non pas grâce à une signature mais grâce à une analyse comportementale de l’application) fait une erreur de jugement lors de leur scanner de détection. Cela peut être pénalisant et surtout remettre en cause la confiance de l’utilisateur envers son logiciel Antivirus. La première chose à faire avant de suivre la procédure ci-dessous est de mettre à jour le logiciel Antivirus et de vérifier si cela se reproduit…
2. Quelle procédure à suivre en face d’un faux positif
Avant de rentrer dans les détails de la procédure,il est judicieux de faire un petit listing des opérations à réaliser :
- Vérifier que le fichier est un vrai faux positif avec le site VirusTotal par exemple
- Mettre une exception de détection dans le logiciel Antivirus
- Transmettre le fichier à l’éditeur de l’antivirus (ici Avira)
Avec la dernière opération l’éditeur décidera (oui ou non) de corriger le problème. Mais c’est quand même vous qui décidera sur votre machine si le fichier en question est nuisible ou pas !
Ici nous allons prendre un exemple concret. Le fichier en question est le logiciel « Versions » de l’auteur Pierre13. Je vous encourage à visiter son site « Forumactif.com« . C’est un fichier exécutable nommé « versions.exe » et téléchargeable ici. Ne me demandez pas pourquoi l’antivirus Avira Free le détecte comme néfaste car je ne sais pas ! Je sais juste que le logiciel a été développé sous AutoIt. A titre d’information ce logiciel permet de vous signaler si les logiciels Java, FlashPlayer, Adobe Reader et vos navigateurs sont bien à jour. Je vous renvoie vers mon article « Sécuriser son Pc en le mettant à jour » pour de plus amples informations. Pour conclure les logiciels développés avec AutoIt ne sont pas très bien vus par les Antivirus, mais cela est une autre histoire…
3. Comment vérifier un faux positif
Le site VirusTotal permet de vérifier un fichier en le uploadant et le testant avec une vingtaine d’antivirus. Pour notre exemple rendez vous sur le site VirusTotal, vérifiez que l’onglet est bien sur « Fichier » et cliquez sur « Choisir un fichier« .
Une boite de dialogue de sélection s’ouvre et vous permet de naviguer dans l’arborescence de votre lecteur. Cherchez dans l’arborescence, sélectionnez en cliquant sur votre fichier (ici Versions.exe) et cliquez pour terminer sur « Ouvrir« .
Votre fichier est maintenant sélectionné, vérifiez que votre choix est correct (ici Versions.exe) et cliquez sur le bouton « Analyser!« .
Un rapport est disponible après l’analyse du fichier. Attention l’analyse peut durer plusieurs minutes. Si le fichier a déjà été fourni par un autre internaute vous verrez apparaître la page suivante et il suffira de cliquer sur le bouton « Voir la dernière analyse » pour accéder aux résultats des différents Antivirus.
Voici les résultats après analyse, vous pouvez constater que 26 sur les 56 Antivirus l’ont déclaré comme néfastes. Je peux vous assurer que le programme est malgré tout sain de corps car je l’utilise depuis plusieurs mois sans aucun problème !
Voilà vous savez maintenant tester un fichier si vous le soupçonnez de néfaste. Pour information il existe un autre site qui fait exactement la même chose que VirusTotal, c’est celui de Jotti’s Malware Scanner. Il ne possède qu’une vingtaine d’Antivirus mais il pourra vous dépanner si besoin. Pour notre cas cela fait quand même beaucoup 26 sur 56 mais c’est la réalité. Autre solution est de questionner l’auteur ou l’éditeur à propos du faux positif.
4. Mettre une exception sur le fichier
Quand votre Antivirus détecte un faux positif, il faut procéder en 2 étapes :
- Ne pas prendre en compte l’information
- Mettre une exception sur le fichier
4.1 Ne pas prendre en compte l’information de détection
L’Antivirus Avira Free détecte le fichier et vous affiche une notification sonore en bas à droite. Celle-ci vous informe que le fichier « Versions.exe » contient un « virus ou programme indésirable« . Cliquez sur « Détails » pour poursuivre.
Suite à la détection, l’outil déclenche une analyse système rapide par sécurité. Laisser le faire et patientez…
Dans la fenêtre suivante nous allons informer l’Antivirus qu’il doit ignorer ce qu’il a détecté ! Pour cela faites un clique droit sur « Déplacer en quarantaine » et dans le menu cliquez sur « Toujours ignorer« . Pour terminer l’opération cliquez sur le bouton « Appliquer« .
Je vais faire une petite remarque sur le terme « Toujours ignorer« . En effet on peut penser que l’opération peut suffire et que l’Antivirus Avira Free a bien enregistré l’action définitivement. C’est faux car au prochain démarrage de votre ordinateur l’outil détectera de nouveau le fichier comme néfaste. L’action « Toujours ignorer » est donc provisoire et fonctionnelle uniquement pour la session de Windows en cours. Pour véritablement éviter que l’outil ne détecte de nouveau le fichier il faudra mettre une exception sur le fichier. Et c’est ce que nous allons voir dans le paragraphe suivant…
4.2 Mettre une exception sur le fichier
Ici nous allons demander à l’Antivirus Avira Free de ne plus tester tout simplement le fichier « Versions.exe« . Cela signifie que nous allons placer une exception sur le fichier. Ouvrez l’Antivirus, puis faites un clique droit sur l’icône en bas à droite de l’horloge et dans le menu cliquez sur « Gérer Antivirus« .
Dans la fenêtre principale de Avira Free Antivirus, cliquez sur le menu « Outils » et cliquez sur l’item « Configuration« . Vous pouvez obtenir le même résultat en appuyant tout simplement sur la touche « F8« .
Dans la partie gauche de la fenêtre pour dérouler une arborescence il suffit de cliquer sur le « + » devant l’objet. Dans « Sécurité PC« , déroulez « Protection temps réel« , puis « Recherche« et pour finir cliquez sur « Exceptions » et vous obtiendrez la fenêtre de droite qui permet d’exclure fichiers et processus.
Ici c’est bien un objet (donc un fichier) que nous allons exclure. Cliquez sur « … » pour pouvoir sélectionner le fichier « Versions.exe« .
Dans la boite de dialogue il suffit de sélectionner le fichier en question et de cliquer sur le bouton « Ok« .
Cliquez sur le bouton « Ajouter >>« .
Pour valider l’exception sur le fichier cliquez sur le bouton « Ok« .
Voilà l’exception vient d’être créée et à partir de maintenant Avira Free Antivirus ne testera plus le fichier !
5. Transmettre un faux positif à l’éditeur Avira
L’intérêt maintenant est d’informer l’éditeur Avira que leur Antivirus a détecté un faux positif en transmettant le fichier. Il existe deux méthodes pour transmettre le fichier :
- Via le site d’Avira
- Directement via l’Antivirus si le fichier se trouve en quarantaine
5.1 Via le site d’Avira
Pour cela rendez-vous à l’adresse suivante : https://analysis.avira.com/fr/submit
Dans la première partie de la page, vérifiez que l’onglet « Envoyer des fichiers suspects » est bien sélectionné. Ensuite renseignez votre nom et votre adresse émail. Si nécessaire vous pouvez ajouter un petit commentaire, ici j’ai renseigné le site permettant de télécharger le logiciel « Versions« .
Plus bas et sur la même page nous allons uploader le fichier. Tout d’abord faites glisser votre fichier « versions.exe » sur la partie de l’écran ou est noté « Déplacer les fichiers ici« . Il faut noter qu’il est possible de transmettre jusqu’à 5 fichiers pour un total de 20Mo. Pour terminer cliquez sur « Envoyer« .
Après l’envoi du fichier un rapport s’affiche. Ici concernant le logiciel « Versions« , on constate que Avira le classe tout de même comme ‘MALWARE‘. Un mail est envoyé automatiquement avec le résultat de l’analyse généralement 24 heures plus tard. Enfin ceci n’est qu’un exemple et nous allons poursuivre avec l’envoi du fichier directement avec l’Antivirus.
5.2 Directement via l’Antivirus si l’objet se trouve en quarantaine
Je le répète encore mais l’objet doit se trouver impérativement en quarantaine. Ouvrez l’interface de l’Antivirus (voir plus haut). Cliquez dans la liste de gauche sur « Quarantaine« .
Premièrement sélectionnez l’objet en cliquant dessus dans la liste de la quarantaine et ensuite cliquez sur icône en forme enveloppe.
Une boite de dialogue apparaît. Il est impératif de remplir les champs « Nom« , « Adresse e-mail » et « Type« . Ici pour le champ « Type » nous le déclarons comme « Soupçon de fausse alarme« . Pour information avec cette méthode il est aussi possible d’envoyer des objets malveillants que vous soupçonner comme l’être. Pour terminer cliquez sur le bouton « Ok« .
Une petite boite apparaît durant l’envoi.
Un message vous confirme l’envoi du fichier. Cliquez sur le bouton « Ok » pour terminer.
Voilà vous connaissez les deux procédures pour envoyer un objet à l’éditeur Avira. Un e-mail vous parviendra d’ici 24 heures avec les conclusions d’expertises.
6. Conclusion
Tous les grands éditeurs de solution de sécurité possèdent une méthode pour permettre aux utilisateurs de les informer qu’un faux positif a été détecté par leur logiciel Antivirus. Que la méthode soit disponible via directement l’Antivirus ou uploadable via un site internet je vous conseille de visiter le site de l’éditeur en charge de votre Antivirus pour trouver la méthode. Concernant le logiciel « Versions.exe« , j’ai eu le plaisir quelques jours plus tard de recevoir le mail suivant :
Je ne vous cache pas que j’ai réalisé cette opération plusieurs fois (3 fois je crois ?) avant que l’éditeur Avira admette que le logiciel était réellement un faux positif. Il faut savoir persévérer quelque fois….
Voici un extrait du mail :
« Le fichier ‘Versions.exe’ a été classifié comme ‘FALSE POSITIVE’. Cela signifie que ce fichier n’est pas dangereux et qu’il s’agit d’un message erroné de notre part.Le modèle de détection sera supprimé avec l’une des prochaines mises à jour du fichier de définitions des virus (VDF).
Vous pouvez également visualiser les résultats de l’analyse ici :
https://analysis.avira.com/en/status?uniqueid=kfp4SBEpPQw35z4XAJIOgJHqLIYVHOUP&incidentid=1898665«