Antivirus fail...

Publié le 07 janvier 2010 par Sid

D

eux personnes abonnées à mon fil RSS, et je les en remercie, m'ont alerté par email et commentaire sur une réaction intéressante de leur antivirus face à mes fils :

Mon avast hurle à la mort contre un fichier 
sid.rstack.org/blog/rss.php qui soit disant contient un truc 
pdf malveillant...
Qu'en penser ? faux positif ou pas ?

Jusqu'à preuve du contraire, les fils RSS et Atom de ce blog ne sont pas des fichiers PDF et n'en contiennent pas, à ma connaissance, non plus. Donc d'ici à fournir du contenu corrompus et/ou malveillants... Par contre, un des billets contient ce qu'on pourrait à peine qualifier de PoC avec un simple morceau de code dont on sait qu'il appuie là où ça fait mal...

Pourquoi est-ce que je trouve ça si intéressant ? Tout simplement parce que la situation me semble des plus cocasses. Un antivirus, que j'utilisais d'ailleurs fort volontiers sur quelques Windows jusqu'à la récente sortie des Microsoft Security Essentials, lève une alarme maintenant, trois semaines après la bataille. Et en plus, devant un morceau de code aussi connu qu'inoffensif et embarqué dans au sein d'un contenu qui ne peut pas le déclencher, du moins en l'état. Alors même qu'il se montrait bien incapable de le trouver en situation, face au véritable document piégé.

Mais aujourd'hui, ce n'est plus le cas. Il détecte bel et bien le méchant exploit. Tellement bien qu'il le trouve même là où il n'est pas.

En gros, ce que je comprends de la situation, c'est que ces deux lecteurs, et probablement pas mal d'autres, dont les outils consultent probablement plusieurs fois par jour ce fil RSS, ont été exposé au même contenu pendant 15 jours sans la moindre alerte de leur antivirus. Normal, il était inoffensif. Par contre, ils se sont, si je puis m'exprimer ainsi, retrouvés à poil face à ce qu'on sait être depuis trois semaines une signature triviale pour détecter ce code malicieux et plus largement face à cet exploit. Et qu'enfin, ce mercredi 6 janvier, alors même que cet outil de protection se montrait enfin capable de faire quelque chose, il ne trouve rien d'autre à leur pondre qu'un magnifique faux-positif. Alors que si mon blog avait effectivement délivré du contenu malveillant, ils se seraient retrouvés ownés jusqu'à la moelle depuis fort longtemps...

Si je parle de ça, ce n'est absolument pas pour stigmatiser ce produit en particulier. Loin de là, ce n'est pas mon genre. Et ce d'autant qu'il fait partie à présent partie des quinze produits sur quarante-et-un proposés par VirusTotal qui détectent ce malware. Je me disais juste qu'avec des comportements de ce type, il ne faut guère s'étonner que les gens soient partagés, pour le dire diplomatiquement, sur la capacité de leur antivirus à les protéger des menaces. Les vraies je veux dire, pas les trucs qui tournent depuis six mois et que tout le monde détecte... Mais bon, ce n'est pas comme si le problème datait d'hier...

Pour conclure, soyez rassurés chers lecteurs. Je ne cherche pas à vous compromettre. Vous pouvez me faire confiance... Ou pas ;)