La paranoïa anti-virus de Google
Modérateurs : Papy.G, fneck, Carl
Re: La paranoïa anti-virus de Google
Je ne suis pas un grand spécialiste, mais je crois qu'un répertoire protégé par .htaccess sur un serveur Apache n'est pas accessible sans fournir les identifiants.
Le fichier en cache est plus vraisemblable, mais alors ça veut dire qu'on soumet un fichier précis et qu'ils analysent un autre ? C'est pour le moins bizarre Et si le vieux fichier reste en cache, il déclenchera toujours la vindicte des anti-virus, même si entre temps il est devenu propre
[Edit]
D'après quelques expériences tentées à l'instant, il y a une énorme faille dans le système de Virus Total. Si on leur soumet une URL qui n'existe plus ou pour laquelle l'accès est refusé, ils cherchent dans leur cache s'ils ont déjà scanné cette URL. Si elle n'est pas en cache, ils affichent cet écran :
Si elle est en cache, ils reprennent l'ancien fichier et l'analysent à nouveau :
Ainsi un fichier qui n'existe plus, ou dont l'accès est interdit, peut être déclaré positif même s'il a disparu ou est devenu propre.
Je ne suis pas encore sorti de l'auberge avec les-prives_win.zip
Le 4 janvier, il y avait 2 détections sur 72 anti-virus. Aujourd'hui il y en a 6, car je crois que les anti-virus échangent plus ou moins les signatures entre eux. Donc ça va être de plus en plus, pour un fichier auquel ils n'ont pas accès, qui a peut être même disparu. Bravo VirusTotal
Le fichier en cache est plus vraisemblable, mais alors ça veut dire qu'on soumet un fichier précis et qu'ils analysent un autre ? C'est pour le moins bizarre Et si le vieux fichier reste en cache, il déclenchera toujours la vindicte des anti-virus, même si entre temps il est devenu propre
[Edit]
D'après quelques expériences tentées à l'instant, il y a une énorme faille dans le système de Virus Total. Si on leur soumet une URL qui n'existe plus ou pour laquelle l'accès est refusé, ils cherchent dans leur cache s'ils ont déjà scanné cette URL. Si elle n'est pas en cache, ils affichent cet écran :
Si elle est en cache, ils reprennent l'ancien fichier et l'analysent à nouveau :
Ainsi un fichier qui n'existe plus, ou dont l'accès est interdit, peut être déclaré positif même s'il a disparu ou est devenu propre.
Je ne suis pas encore sorti de l'auberge avec les-prives_win.zip
Le 4 janvier, il y avait 2 détections sur 72 anti-virus. Aujourd'hui il y en a 6, car je crois que les anti-virus échangent plus ou moins les signatures entre eux. Donc ça va être de plus en plus, pour un fichier auquel ils n'ont pas accès, qui a peut être même disparu. Bravo VirusTotal
Daniel
L'obstacle augmente mon ardeur.
L'obstacle augmente mon ardeur.
- Papy.G
- Modérateur
- Messages : 3047
- Inscription : 10 juin 2014 13:40
- Localisation : Haute-Garonne/Gers
Re: La paranoïa anti-virus de Google
Au moins, ça nous fait avancer le schmilblick et ça prouve que:
- Modifier le mode de compression d'un fichier ne sera pas forcément pris en compte immédiatement.
- Le mode de fonctionnement de Virus Total n'est pas infaillible: tu présentes un fichier clean et après scan forcé tu le remplaces par un virus, et hop!
- Traitez-moi de paranoïaque si vous voulez, mais éventuellement, on peut imaginer que certaines entreprises fassent du Virus Troll (comme les patent trolls), en inventant des signatures de virus positives sur des fichiers de particuliers incapables de s'en défendre, ou ne s'en rendant même pas compte, pour les vendre ensuite aux camarades, avec le fichier incriminé copié (il est conservé en cache…) pour prouver leur théorie. Je sais que ça a l'air énorme, mais avec les Patent Trolls on a déjà vu des trucs qui dépassent l'entendement. Si cette situation s'avère, il faut dénoncer cela aux entreprises ayant racheté les signatures pour que Virus Total se fasse taper sur les doigts, parce-que là, il y a de l'argent en jeu, et c'est le nerf de la guerre.
- Modifier le mode de compression d'un fichier ne sera pas forcément pris en compte immédiatement.
- Le mode de fonctionnement de Virus Total n'est pas infaillible: tu présentes un fichier clean et après scan forcé tu le remplaces par un virus, et hop!
- Traitez-moi de paranoïaque si vous voulez, mais éventuellement, on peut imaginer que certaines entreprises fassent du Virus Troll (comme les patent trolls), en inventant des signatures de virus positives sur des fichiers de particuliers incapables de s'en défendre, ou ne s'en rendant même pas compte, pour les vendre ensuite aux camarades, avec le fichier incriminé copié (il est conservé en cache…) pour prouver leur théorie. Je sais que ça a l'air énorme, mais avec les Patent Trolls on a déjà vu des trucs qui dépassent l'entendement. Si cette situation s'avère, il faut dénoncer cela aux entreprises ayant racheté les signatures pour que Virus Total se fasse taper sur les doigts, parce-que là, il y a de l'argent en jeu, et c'est le nerf de la guerre.
Soyez exigeants, ne vous contentez pas de ce que l'on vous vend.
Demandez-en plus, ou faites-le vous-même.
Demandez-en plus, ou faites-le vous-même.
Re: La paranoïa anti-virus de Google
Je vais même plus loin, je l'ai déjà écrit à d'autres occasions : les anti-virus sont des arnaques. Non seulement vous payez, mais en plus votre système devient lent et instable. Les vrais virus passent car leurs auteurs savent comment ne pas se faire détecter. De même les sites malveillants savent se faire déclarer propres par GSB et WOT.
Dans un monde de fous et de rapaces il faut savoir s'adapter, c'est le propre de l'homme (intelligent), mais c'est une perte de temps. Nous aurions tant de choses plus intéressantes à faire...
Dans un monde de fous et de rapaces il faut savoir s'adapter, c'est le propre de l'homme (intelligent), mais c'est une perte de temps. Nous aurions tant de choses plus intéressantes à faire...
Daniel
L'obstacle augmente mon ardeur.
L'obstacle augmente mon ardeur.
Re: La paranoïa anti-virus de Google
Voici la preuve irréfutable de la faille de VirusTotal.
1) J'ai supprimé (provisoirement) le fichier les-prives_win.zip du site dcmoto.
Vous pouvez vérifier vous-même, il n'existe plus, on obtient une erreur 404.
2) J'ai fait scanner l'URL par VirusTotal. Le fichier qui n'existe plus est déclaré positif
Vous pouvez vérifier vous-même, pour être sûr que je n'ai pas eu d'hallucinations.
Sans vouloir être méchant, j'ai peur que Google Safe Browsing continue à déclarer malveillant l'auteur de ce fichier qui n'existe plus. Je vais quand même attendre deux ou trois jours avant de le remettre, au cas où il leur viendrait l'idée de vider le cache.
Dans quelques (dizaines d') années je serai certainement six pieds sous terre, mais encore individu malveillant d'après Google.
N'est-ce pas de la diffamation ?
1) J'ai supprimé (provisoirement) le fichier les-prives_win.zip du site dcmoto.
Vous pouvez vérifier vous-même, il n'existe plus, on obtient une erreur 404.
2) J'ai fait scanner l'URL par VirusTotal. Le fichier qui n'existe plus est déclaré positif
Vous pouvez vérifier vous-même, pour être sûr que je n'ai pas eu d'hallucinations.
Sans vouloir être méchant, j'ai peur que Google Safe Browsing continue à déclarer malveillant l'auteur de ce fichier qui n'existe plus. Je vais quand même attendre deux ou trois jours avant de le remettre, au cas où il leur viendrait l'idée de vider le cache.
Dans quelques (dizaines d') années je serai certainement six pieds sous terre, mais encore individu malveillant d'après Google.
N'est-ce pas de la diffamation ?
Daniel
L'obstacle augmente mon ardeur.
L'obstacle augmente mon ardeur.
Re: La paranoïa anti-virus de Google
Si le CRC est différent change le nom du(des) fichier(s)… zip, exe zipés …
Il faudrait créer un fichier texte en le renommant de la même façon en exe, puis le zipper.
Il faudrait créer un fichier texte en le renommant de la même façon en exe, puis le zipper.
Re: La paranoïa anti-virus de Google
Tu n'as pas compris : il n'y a pas de CRC, il n'y a plus de fichier. On ne peut pas calculer le CRC d'un fichier inexistant.
Il n'y a plus de fichier .zip, plus de fichier .exe, plus rien. Il n'existe plus mais il est toujours positif
Et puis je peux mettre n'importe quel fichier, VirusTotal n'a pas accès au répertoire. Il ne pourra jamais le télécharger.
Hors sujet : Les captcha fournis par Google sont faits pour bloquer les robots. Mais bloquent-ils aussi les robots de Google ?
Il n'y a plus de fichier .zip, plus de fichier .exe, plus rien. Il n'existe plus mais il est toujours positif
Et puis je peux mettre n'importe quel fichier, VirusTotal n'a pas accès au répertoire. Il ne pourra jamais le télécharger.
Hors sujet : Les captcha fournis par Google sont faits pour bloquer les robots. Mais bloquent-ils aussi les robots de Google ?
Daniel
L'obstacle augmente mon ardeur.
L'obstacle augmente mon ardeur.
Re: La paranoïa anti-virus de Google
VirusTotal va me rendre fou
- J'ai créé un fichier les-prives_win.zip vide (longueur zéro)
- J'ai uploadé ce fichier vide sur le site dcmoto à la place du fichier les-prives_win.zip positif (dans le même répertoire)
- J'ai supprimé le fichier .htaccess du répertoire Programmes pour qu'il soit accessible sans identifiants
- J'ai soumis l'URL du fichier vide à VirusTotal
Et bien ce fichier vide est déclaré positif. C'est incroyable, mais vrai
Il est détecté par 5 anti-virus sur 72. C'est un progrès, hier il n'existait pas et était détecté par 6 anti-virus.
Vous y comprenez quelque chose ?
Je soupçonne un problème de cache, mais c'est quand même complètement fou. Quand on soumet un fichier à VirusTotal, ce n'est pas celui qu'on soumet qui est analysé, mais un autre qu'ils ont stocké je ne sais où.
- J'ai créé un fichier les-prives_win.zip vide (longueur zéro)
- J'ai uploadé ce fichier vide sur le site dcmoto à la place du fichier les-prives_win.zip positif (dans le même répertoire)
- J'ai supprimé le fichier .htaccess du répertoire Programmes pour qu'il soit accessible sans identifiants
- J'ai soumis l'URL du fichier vide à VirusTotal
Et bien ce fichier vide est déclaré positif. C'est incroyable, mais vrai
Il est détecté par 5 anti-virus sur 72. C'est un progrès, hier il n'existait pas et était détecté par 6 anti-virus.
Vous y comprenez quelque chose ?
Je soupçonne un problème de cache, mais c'est quand même complètement fou. Quand on soumet un fichier à VirusTotal, ce n'est pas celui qu'on soumet qui est analysé, mais un autre qu'ils ont stocké je ne sais où.
Daniel
L'obstacle augmente mon ardeur.
L'obstacle augmente mon ardeur.
-
- Messages : 7924
- Inscription : 18 sept. 2010 12:08
- Localisation : Brest et parfois les Flandres
Re: La paranoïa anti-virus de Google
Pour des raisons de bande passante, c'est l'url du fichier qui sert de clef dans le cache. Ca serait mieux si les browsers pouvaient envoyer un md5 du fichier mais ils ne le font pas. La seule chose qu'ils savent faire sur un fichier c'est envoyer son nom, et son contenu. Rien d'autre pour identifier un fichier.
Bref: après un changement il faut attendre plusieurs jours que les caches soient expurgés.
Bref: après un changement il faut attendre plusieurs jours que les caches soient expurgés.
Samuel.
A500 Vampire V2+ ^8^, A1200 (030@50mhz/fpu/64mb/cf 8go),
A500 GVP530(MMU/FPU) h.s., R-Pi, TO9, TO8D, TO8.Démos
A500 Vampire V2+ ^8^, A1200 (030@50mhz/fpu/64mb/cf 8go),
A500 GVP530(MMU/FPU) h.s., R-Pi, TO9, TO8D, TO8.Démos
Re: La paranoïa anti-virus de Google
OK pour le cache. Mais comment expliquer cet autre résultat, encore plus incompréhensible :
- Si je soumets l'URL du "vrai" fichier les-prives_win.zip sur le site dcmoto, il donne 5 positifs
- Si je soumets le même fichier à partir de mon disque dur, il donne 31 positifs
Sachant que ce fichier date du 28/12/2011, n'a jamais été modifié depuis cette date, a bien sûr les mêmes sommes de contrôle, et que dans VirusTotal j'ai demandé une réanalyse (car il avait déjà été scanné quelques jours plus tôt).
J'ai aussi uploadé le fichier dans un autre répertoire du site dcmoto accessible sans contrôle. Quand je soumets l'URL à VirusTotal ça donne ceci :
Il semblerait que VirusTotal utilise un proxy. Il n'analyse pas les URL qu'on lui soumet, mais celle qu'il trouve dans le proxy.
Donc si on corrige un fichier pour le rendre négatif, VirusTotal le trouve toujours positif. Google Safe Browsing aussi.
Quand je vous disais que les anti-virus nous empoisonnent la vie !
J'ai peur d'une chose : comme le fichier litigieux n'est plus accessible sur le site dcmoto, Google ne pourra plus le charger. Il conservera éternellement la version "positive" de son cache et le site dcmoto sera banni jusqu'à la fin des temps.
- Si je soumets l'URL du "vrai" fichier les-prives_win.zip sur le site dcmoto, il donne 5 positifs
- Si je soumets le même fichier à partir de mon disque dur, il donne 31 positifs
Sachant que ce fichier date du 28/12/2011, n'a jamais été modifié depuis cette date, a bien sûr les mêmes sommes de contrôle, et que dans VirusTotal j'ai demandé une réanalyse (car il avait déjà été scanné quelques jours plus tôt).
J'ai aussi uploadé le fichier dans un autre répertoire du site dcmoto accessible sans contrôle. Quand je soumets l'URL à VirusTotal ça donne ceci :
Il semblerait que VirusTotal utilise un proxy. Il n'analyse pas les URL qu'on lui soumet, mais celle qu'il trouve dans le proxy.
Donc si on corrige un fichier pour le rendre négatif, VirusTotal le trouve toujours positif. Google Safe Browsing aussi.
Quand je vous disais que les anti-virus nous empoisonnent la vie !
J'ai peur d'une chose : comme le fichier litigieux n'est plus accessible sur le site dcmoto, Google ne pourra plus le charger. Il conservera éternellement la version "positive" de son cache et le site dcmoto sera banni jusqu'à la fin des temps.
Daniel
L'obstacle augmente mon ardeur.
L'obstacle augmente mon ardeur.
-
- Messages : 7924
- Inscription : 18 sept. 2010 12:08
- Localisation : Brest et parfois les Flandres
Re: La paranoïa anti-virus de Google
Sur tes captures, un truc m'intrigue. Dans la version avec l'url il est indiqué en content-type "text/html, charset=iso-8859-1", à croire que le fichier analysé était interprété en texte. Si ca se trouve le contenu a été modifié par les couches du réseau (browser/proxy/server). Comment être certain que le contenu est identique. Il n'y a pas de checksum affiché en cas d'url.
Samuel.
A500 Vampire V2+ ^8^, A1200 (030@50mhz/fpu/64mb/cf 8go),
A500 GVP530(MMU/FPU) h.s., R-Pi, TO9, TO8D, TO8.Démos
A500 Vampire V2+ ^8^, A1200 (030@50mhz/fpu/64mb/cf 8go),
A500 GVP530(MMU/FPU) h.s., R-Pi, TO9, TO8D, TO8.Démos
Re: La paranoïa anti-virus de Google
Oui, j'avais aussi remarqué. Il n'analysent pas un lien vers un fichier comme le fichier lui-même.
Autre chose m'intrigue dans la copie d'écran du scan de l'URL : 401 Status
Je vais essayer de trouver ce que ça signifie. Peut-être que le répertoire n'est pas accessible ? C'est le cas, puisqu'il est protégé par .htaccess
Mais pour la troisième copie d'écran, je suis absolument sûr que l'accès au répertoire est libre. L'URL existe, le fichier existe, pour vérifier je l'ai moi-même téléchargé en faisant un copier/coller de l'URL, et pourtant VirusTotal ne le trouve pas
J'en retiens qu'on peut utiliser VirusTotal pour analyser des fichiers stockés sur le disque dur, mais il ne faut surtout pas l'utiliser pour vérifier une URL. Vous pouvez obtenir n'importe quoi, aussi bien des faux négatifs que des faux positifs. C'est étrange, mais l'évidence est là.
Autre chose m'intrigue dans la copie d'écran du scan de l'URL : 401 Status
Je vais essayer de trouver ce que ça signifie. Peut-être que le répertoire n'est pas accessible ? C'est le cas, puisqu'il est protégé par .htaccess
Mais pour la troisième copie d'écran, je suis absolument sûr que l'accès au répertoire est libre. L'URL existe, le fichier existe, pour vérifier je l'ai moi-même téléchargé en faisant un copier/coller de l'URL, et pourtant VirusTotal ne le trouve pas
J'en retiens qu'on peut utiliser VirusTotal pour analyser des fichiers stockés sur le disque dur, mais il ne faut surtout pas l'utiliser pour vérifier une URL. Vous pouvez obtenir n'importe quoi, aussi bien des faux négatifs que des faux positifs. C'est étrange, mais l'évidence est là.
Daniel
L'obstacle augmente mon ardeur.
L'obstacle augmente mon ardeur.
Re: La paranoïa anti-virus de Google
Il y a visiblement un cache. L'usage d'un cache pour analyser des trucs en temps réel, et bein... Si au moins les choses étaient faites correctement à ce niveau quand l'utilisateur update un fichier en ligne. On est très loin d'un truc précis, fiable, sans incidences, c'est clair.
mais en fait l'incidence, les google etc s'en foutent. C'est le "surfeur" qui les intéresse, le surfeur lui il vient, il part, il se prens le message, pas grave, "y a d'autres sites" (sauf que DCMOTO est quasi unique avec une telle qualité)
mais en fait l'incidence, les google etc s'en foutent. C'est le "surfeur" qui les intéresse, le surfeur lui il vient, il part, il se prens le message, pas grave, "y a d'autres sites" (sauf que DCMOTO est quasi unique avec une telle qualité)
- Papy.G
- Modérateur
- Messages : 3047
- Inscription : 10 juin 2014 13:40
- Localisation : Haute-Garonne/Gers
Re: La paranoïa anti-virus de Google
En fait, ça rassure l'utilisateur lambda, sans avoir de réelle efficacité.
Il n'y a même pas de smiley pour exprimer tellement c'est n'importe quoi!
Il n'y a même pas de smiley pour exprimer tellement c'est n'importe quoi!
Soyez exigeants, ne vous contentez pas de ce que l'on vous vend.
Demandez-en plus, ou faites-le vous-même.
Demandez-en plus, ou faites-le vous-même.
Re: La paranoïa anti-virus de Google
Plus de 6000 faux positifs chez Microsoft.So far, VirusTotal has worked with Microsoft to add metadata for the company’s files to the database and the effort has already paid off.
In a single week, over 6,000 false positive detections have been identified, reported and fixed, said Emiliano Martinez, a software engineer at VirusTotal in a blog post. “We are looking to grow our collection of trusted software; if you happen to be a very large software development company you might want to contact us in order to share this data and help us mitigate the issue of false positives.”
1 faux positif chez DCMOTO.
Microsoft est classé "VERT" et DCMOTO est classé "ROUGE".
Malheureusement dcmoto n'est pas une "very large software development company" et n'en a pas les moyens financiers.
Quand on s'appelle Microsoft, on peut mettre n'importe quel logiciel espion dans son système.
Quand on s'appelle dcmoto un jeu en cassette pour MO5 déclenche les sirènes d'alarme.
Daniel
L'obstacle augmente mon ardeur.
L'obstacle augmente mon ardeur.
-
- Messages : 7924
- Inscription : 18 sept. 2010 12:08
- Localisation : Brest et parfois les Flandres
Re: La paranoïa anti-virus de Google
Mais si mais si, tu es le microsoft de Thomson: tout passe par toi au final. Donc reste à convaincre VirusTotal que Thomson c'est un marché de plusieurs milliards (10 ou 15 au bas mot) d'individus concernés. Comment ça pas crédible!
Samuel.
A500 Vampire V2+ ^8^, A1200 (030@50mhz/fpu/64mb/cf 8go),
A500 GVP530(MMU/FPU) h.s., R-Pi, TO9, TO8D, TO8.Démos
A500 Vampire V2+ ^8^, A1200 (030@50mhz/fpu/64mb/cf 8go),
A500 GVP530(MMU/FPU) h.s., R-Pi, TO9, TO8D, TO8.Démos