Gamme DC et Antivirus

[Daniel]

Merci pour ton soutien. Si tu ne sais pas d'où vient le problème je vais te le dire car je le connais bien. Il vient des antivirus. C'est une plaie
Le pire est que les règles de détection changent chaque jour de manière imprévisible. Après une dizaine de compilations avec des paramètres différents j'étais arrivé à un score de 0 sur 72. Et le lendemain s'est passé à trois faux-positifs. Cet après-midi c'est revenu à un seul.

[Silou78]

Il y a un élément important qui est analysé en priorité par les antivirus, c'est si l'exécutable est signé numériquement avec un certificat reconnu par une autorité de certification, permettant (si le certificat n'a pas été usurpé) de certifier qui est l'auteur de l'exécutable (ce qui ne garantit pas qu'aucun virus n'ait pu se glisser dans le processus de génération de l'exécutable).
Si l'exécutable ne possède pas de certificat, il est classé comme provenant d'une source non-authentifiée... et de là catalogué de manière erratique comme (possiblement) malveillant... J'ai mis "possiblement" entre parenthèses, car les antivirus ne prennent pas ces pincettes...
Voilà bien la malhonnêteté des antivirus, au lieu de simplement indiquer "origine du fichier non-authentifiée par un certificat, êtes-vous sûr de vouloir faire confiance à son éditeur ?", ils préfèrent faire croire à un contenu malveillant.

[Daniel]

Le problème est que les développeurs indépendants, qui diffusent deux ou trois nouveaux programmes chaque semaine, ne peuvent pas obtenir de certificat. C'est trop compliqué et trop onéreux. Ils sont condamnés à disparaître. A la création d'internet nous avons vu un espace de liberté et d'échanges sans contraintes. C'est devenu un repaire de publicitaires, de commerçants et d'escrocs. Il va falloir trouver autre chose...

[__sam__]

j'ai testé de mon coté avec une compilation sous MSYS.

Capture.PNG (38.71 Kio) Consulté 689 fois

A propos de BitDefenderTheta, lire ceci.

Quant à Cynet, c'est aussi de l'I/A. Bah ca détecte très bien et "à pas cher" les vrais virus, par contre les faux positifs sont encore plus nombreux. Je cite cette analyse:

As the test results confirm - despite being offline and relying only on the ML engine – the submitted ML engine of Bitdefender detected the majority of the malicious samples used in this test, showing that it adds value to the ecosystem. Unfortunately, in case of clean files, the ML-engine of Bitdefender wrongly alerted on 2.1% of the 1000 tested innocent files, which corresponds to a very high false alarm rate.

On peut se rassurer en remarquant que même des jeux de gros éditeurs sur Steam se font flagger sur virus-total: https://www.virustotal.com/gui/file/5dd ... /detection

Au lieu de se baser sur la détection d'un virus par au moins seul A/V comme si la détection de virus était totalement fiable, ils devraient raisonner en terme de proba: quelle est la proba pour que le fichier soit vérolé sachant que l'A/V no 1 le détecte négatif mais a p1 chance de faux négatif, et sachant aussi que que le no 2 le détecte positif mais a p2' chance de faux positif, etc.

Bref des proba conditionnelles pas si compliquées que ca si on connait le taux de faux positif et de faux négatif pour chaque A/V. Ca donnerait un score de probabilité plus sensé qu'un pourcentage d'anti-virus ayant détecté le fichier vérolé (ce qui revient à affirmer que le taux de faux positif et de faux négatifs sont toujours nuls pour tous les anti-virus de la liste).

Les stats sont connues et mises à jour régulièrement. Pourquoi ne font ils pas ce calcul dans virus-total ?

Etonnamment ce sont les anti-virus parmi les plus vendus (Kaspersky, Norton, MacAfee, ...) qui ont le plus de faux positifs... Peut-être ne font-ils pas le calcul avec les proba conditionnelles pour ne pas fâcher ces gros éditeurs qui jouissent d'une réputation peut être fausse (exemple: F-secure passait pour l'anti-virus avec le moins de faux positifs il y a 8-10 ans... et maintenant c'est le pire, mais chut! pas un mot dans sa fiche wikipedia. C'est que le machin est en bourse à présent et la moindre suspicion lui coute beaucoup)

Capture.PNG (105.15 Kio) Consulté 689 fois

[cathodique]

J'avais surtout des ennuis avec les AV quand je faisais des exécutables auto-extractibles (parce que la compression est considérée comme une façon de cacher ce que l'on fait...) et depuis ça va, alors que mes outils utilisent la lecture et l'écriture de fichiers (peut-être le seul truc possiblement malveillant). Est-ce que des accès à la base de registre pourraient être considérés comme malveillants? Je n'en fait pas, fichier de configuration dans le AppData

J'avais eu aussi pas mal d'alertes au tout début de la vie du logiciel. Il est probable que les AV finissent par "connaitre" les logiciels au fur et à mesure que leur base utilisateur augmente. Probable hein, j'imagine ça comme une façon de réduire les faux positifs par la remontée d'infos, ça fait partie des méthodes heuristiques.

[Daniel]

Quand un programme qui ne fait rien (ou plutôt fait uniquement return 0;), qu'il n'est pas compressé, qu'il est compilé sans optimisation avec VisualStudio et qu'il donne trois faux positifs dans VirusTotal, comment fait-on pour le simplifier et empêcher la détection ?

Je me pose cette question depuis vingt ans et je ne trouve pas de réponse. Ou plutôt si, il y en a une et une seule : il ne faut pas diffuser d'exe.
Je m'oriente maintenant vers une diffusion de fichiers de données avec un fichier .bat pour reconstituer l'exe.
Les fichiers de données et le fichier .bat ne sont pas analysés par les antivirus et sont toujours négatifs à 100%.

Après création de l'exe l'antivirus de l'utilisateur final peut réagir, mais c'est son problème, à lui de prendre les bonnes mesures. Par exemple ajouter le programme à une liste d'exceptions de l'antivirus. Ou mieux, désinstaller l'antivirus. Faites des statistiques, vous verrez que l'utilisateur moyen perd plus de temps à cause des antivirus qu'à cause des virus. Et les ordinateurs consomment plus de ressources pour (soi-disant) se protéger des virus que pour effectuer des tâches utiles.

@ __sam__ : Je ne suis pas très sûr de la fiabilité des statistiques sur les faux-positifs. Sur quoi se basent-elles ?
Je suis persuadé qu'elles ne prennent pas en compte les milliers de faux-positifs hébergés par le site dcmoto, car je les ai mis dans une section protégée par mot de passe pour que les antivirus ne puissent pas les analyser. Si d'autres webmasters font la même chose, ce sont des millions de faux-positifs qui échappent aux statistiques.

[__sam__]

Pour les stats de faux positifs établis par AV-comparative ils disent

In AV testing, it is important to measure not only detection capabilities but also reliability. One aspect of reliability is the ability to recognize clean files as such, and not to produce false alarms (false positives). No product is immune from false positives (FPs), but some produce more than others. False Positives Tests measure which programs do best in this respect, i.e. distinguish clean files from malicious files, despite their context. There is no complete collection of all legitimate files that exist, and so no “ultimate” test of FPs can be done. What can be done, and is reasonable, is to create and use a set of clean files which is independently collected. If, when using such a set, one product has e.g. 15 FPs and another only 2, it is likely that the first product is more prone to FPs than the other. It doesn’t mean the product with 2 FPs doesn’t have more than 2 FPs globally, but it is the relative number that is important.

J'ajoute que puisque ce sont des stats, ca n'est jamais une représentation exacte de la réalité, mais un modèle l'approchant au mieux. Scientifiquement, tous les modèles sont faux par définition, mais certains sont plus utiles que d'autres. Ici c'est le ratio relatif entre deux outils qui compte semble-t-il puisque le but est de comparer les AV les uns par rapport aux autres. Effectivement ca n'est peut-être pas complètement extrapolable hors de la comparaison.

[Daniel]

Ce ne sont des outils approximatifs, pas des mesures scientifiques. Outre le biais résultant du choix arbitraire de l'échantillon, il y a une question fondamentale dont personne ne connait la réponse : comment distingue-t-on un positif d'un négatif ?
Si le programme fait de la pub, est-il positif ou négatif ?
S'il envoie des données sur internet, est-il positif ou négatif ?
S'il modifie les réglages de l'utilisateur, est-il positif ou négatif ?
Et comment sait-on exactement ce qu'il fait si les sources ne sont pas publiques ?

Par exemple, j'avais défini Firefox comme navigateur par défaut. J'ai installé VisualStudio et j'ai eu la surprise de voir que les fichiers .html s'ouvraient dorénavant avec Edge. Mon choix personnel a été modifié par VisualStudio sans me demander mon avis et sans me prévenir. VisualStudio doit être classé positif. Dcmoto ne modifie aucun réglage et doit être classé négatif. Et bien non, c'est le contraire. Cherchez l'erreur.

Autre sujet : J'ai fini de mettre au point la nouvelle méthode de distribution de dcmoto indétectable par les antivirus.
La version 2024.03.13 est ici --> http://dcmoto.free.fr/emulateur/dcmoto_20240313.zip (lien provisoire, disparaitra lors d'une prochaine version).
La procédure d'installation est indiquée dans les notes de version. N'hésitez pas à faire des remarques.

[Mokona]

C'est pas gagné :

Capture d’écran du 2024-03-13 14-00-49.png (9.61 Kio) Consulté 620 fois

Edit: ah non ok, c'est juste Firefox qui prévient que le site est http et non https, fausse alerte.

[Dominique]

De mon coté

- J'ai activé la protection contre virus et menace de Windows,

- j'ai lancé NordVPN juste pour activer sa "Protection anti-menaces"

NordVPN.png (49.57 Kio) Consulté 606 fois

Sa "Protection des fichiers" contre le téléchargement n'a rien détecté
Sa "détection de vulnérabilité " n'a rien détecté non plus et j'ai pu lancer dcmoto_20240313 normalement.


Pour moi c'est OK
EDIT 14h26

NordVPN2.png (37.43 Kio) Consulté 603 fois

[Daniel]

c'est juste Firefox qui prévient que le site est http et non https

Ça aussi ça me fait râler et je n'y peux rien. Mon hébergeur n'accepte que le http.
Résultat : Quand on met des liens vers les images du site elles ne s'affichent pas toujours, les téléchargements sont bloqués, Google Safe Browsing s'affole parce qu'il y a un formulaire où il faut entrer un nombre à deux chiffres et il considère que c'est du piratage de données personnelles. Entre ça et les antivirus, la vie est dure...

Merci à toi et à Dominique pour les tests

[Daniel]

Finalement, avec les nouvelles techniques des antivirus, tous nos programmes sont classés "malicious". Même ceux de __sam__ , c'est tout dire
On a le choix d'être déclaré "malicious" (ça veut dire malveillant, pas malicieux) ou de payer une certification.
J'appelle cela du chantage, et même pire puisqu'un particulier n'a pratiquement pas de moyen d'être certifié.

Je n'accepte pas d'être traité de malveillant. Et donc depuis deux jours il n'y a plus un seul exécutable Windows dans le site dcmoto.
La zone à accès protégé par mot de passe contenant les .exe a été supprimée, c'est une très bonne chose pour les visiteurs.
Tout le site est accessible sans contrainte. L'information est donnée en bas de la page d'accueil : http://dcmoto.free.fr/index.html

Petit à petit mes autres sites seront transformés de la même façon. La dernière version de dcalice est déjà distribuée sans exécutable Windows.

[6502man]

Par contre je suis désolé mais je n'avais jamais rencontré de problèmes avec tes exe, sur tous les ordinateurs que j'utilise ou eu utilisais avec
diverse marque d'antivirus .

Et c'est tellement injuste d'en arriver la

Par contre la dernière version de DCalice les navigateur Chrome/Firefox.. me demande de confirmer pour enregistre le fichier sur l'ordinateur,
avec PaleMoon ca passe très bien

[Daniel]

La demande de confirmation du téléchargement est probablement la conséquence de la nouvelle persécution à l'encontre des sites http.
C'est soi-disant pour protéger les visiteurs du vol de leurs identifiants et autres données personnelles.

C'est profondément injuste et touche surtout de pauvres webmasters innocents qui ne veulent pas d'hébergeur payant (chez Free il n'y a pas de https).
C'est absurde. Il suffit de réfléchir un peu : Comment un site entièrement passif, qui n'utilise aucun langage de script et ne propose pas de formulaires à remplir, peut-il voler des données personnelles ? C'est impossible.

C'est une démarche concertée pour faire disparaître d'internet tous les amateurs, au bénéfice des grands groupes et des vendeurs.
Internet évolue. Au départ c'était un lieu d'échange et de partage des connaissances, il se transforme en outil de profit.

[kirion]

Merci Daniel, c'est un grand pas en avant.