La paranoïa anti-virus de Google

C'est le lieu des discussions diverses et variées, mais toujours en rapport avec le thème général du forum et dans l'esprit de celui-ci. Contient des rubriques électroniques.

Modérateurs : Papy.G, fneck, Carl

Daniel
Messages : 17319
Inscription : 01 mai 2007 18:30
Localisation : Vaucluse
Contact :

Re: La paranoïa anti-virus de Google

Message par Daniel »

Je ne suis pas un grand spécialiste, mais je crois qu'un répertoire protégé par .htaccess sur un serveur Apache n'est pas accessible sans fournir les identifiants.

Le fichier en cache est plus vraisemblable, mais alors ça veut dire qu'on soumet un fichier précis et qu'ils analysent un autre ? C'est pour le moins bizarre :roll: Et si le vieux fichier reste en cache, il déclenchera toujours la vindicte des anti-virus, même si entre temps il est devenu propre :roll:

[Edit]
D'après quelques expériences tentées à l'instant, il y a une énorme faille dans le système de Virus Total. Si on leur soumet une URL qui n'existe plus ou pour laquelle l'accès est refusé, ils cherchent dans leur cache s'ils ont déjà scanné cette URL. Si elle n'est pas en cache, ils affichent cet écran :

virustotal1.png
virustotal1.png (8.16 Kio) Consulté 3069 fois

Si elle est en cache, ils reprennent l'ancien fichier et l'analysent à nouveau :

virustotal2.png
virustotal2.png (4.3 Kio) Consulté 3069 fois

Ainsi un fichier qui n'existe plus, ou dont l'accès est interdit, peut être déclaré positif même s'il a disparu ou est devenu propre.
Je ne suis pas encore sorti de l'auberge avec les-prives_win.zip :twisted:

Le 4 janvier, il y avait 2 détections sur 72 anti-virus. Aujourd'hui il y en a 6, car je crois que les anti-virus échangent plus ou moins les signatures entre eux. Donc ça va être de plus en plus, pour un fichier auquel ils n'ont pas accès, qui a peut être même disparu. Bravo VirusTotal :mrgreen:
Daniel
L'obstacle augmente mon ardeur.
Avatar de l’utilisateur
Papy.G
Modérateur
Messages : 3047
Inscription : 10 juin 2014 13:40
Localisation : Haute-Garonne/Gers

Re: La paranoïa anti-virus de Google

Message par Papy.G »

Au moins, ça nous fait avancer le schmilblick et ça prouve que:

- Modifier le mode de compression d'un fichier ne sera pas forcément pris en compte immédiatement.

- Le mode de fonctionnement de Virus Total n'est pas infaillible: tu présentes un fichier clean et après scan forcé tu le remplaces par un virus, et hop!

- Traitez-moi de paranoïaque si vous voulez, mais éventuellement, on peut imaginer que certaines entreprises fassent du Virus Troll (comme les patent trolls), en inventant des signatures de virus positives sur des fichiers de particuliers incapables de s'en défendre, ou ne s'en rendant même pas compte, pour les vendre ensuite aux camarades, avec le fichier incriminé copié (il est conservé en cache…) pour prouver leur théorie. Je sais que ça a l'air énorme, mais avec les Patent Trolls on a déjà vu des trucs qui dépassent l'entendement. Si cette situation s'avère, il faut dénoncer cela aux entreprises ayant racheté les signatures pour que Virus Total se fasse taper sur les doigts, parce-que là, il y a de l'argent en jeu, et c'est le nerf de la guerre. :twisted:
Soyez exigeants, ne vous contentez pas de ce que l'on vous vend.
Demandez-en plus, ou faites-le vous-même.
Daniel
Messages : 17319
Inscription : 01 mai 2007 18:30
Localisation : Vaucluse
Contact :

Re: La paranoïa anti-virus de Google

Message par Daniel »

Je vais même plus loin, je l'ai déjà écrit à d'autres occasions : les anti-virus sont des arnaques. Non seulement vous payez, mais en plus votre système devient lent et instable. Les vrais virus passent car leurs auteurs savent comment ne pas se faire détecter. De même les sites malveillants savent se faire déclarer propres par GSB et WOT.

Dans un monde de fous et de rapaces il faut savoir s'adapter, c'est le propre de l'homme (intelligent), mais c'est une perte de temps. Nous aurions tant de choses plus intéressantes à faire...
Daniel
L'obstacle augmente mon ardeur.
Daniel
Messages : 17319
Inscription : 01 mai 2007 18:30
Localisation : Vaucluse
Contact :

Re: La paranoïa anti-virus de Google

Message par Daniel »

Voici la preuve irréfutable de la faille de VirusTotal.

1) J'ai supprimé (provisoirement) le fichier les-prives_win.zip du site dcmoto.
Vous pouvez vérifier vous-même, il n'existe plus, on obtient une erreur 404.

virustotal3.png
virustotal3.png (55.44 Kio) Consulté 3051 fois

2) J'ai fait scanner l'URL par VirusTotal. Le fichier qui n'existe plus est déclaré positif :twisted:
Vous pouvez vérifier vous-même, pour être sûr que je n'ai pas eu d'hallucinations.

virustotal4.png
virustotal4.png (33.17 Kio) Consulté 3051 fois

Sans vouloir être méchant, j'ai peur que Google Safe Browsing continue à déclarer malveillant l'auteur de ce fichier qui n'existe plus. Je vais quand même attendre deux ou trois jours avant de le remettre, au cas où il leur viendrait l'idée de vider le cache.

Dans quelques (dizaines d') années je serai certainement six pieds sous terre, mais encore individu malveillant d'après Google.
N'est-ce pas de la diffamation ?
Daniel
L'obstacle augmente mon ardeur.
Xavier_AL

Re: La paranoïa anti-virus de Google

Message par Xavier_AL »

Si le CRC est différent change le nom du(des) fichier(s)… zip, exe zipés …
Il faudrait créer un fichier texte en le renommant de la même façon en exe, puis le zipper.
Daniel
Messages : 17319
Inscription : 01 mai 2007 18:30
Localisation : Vaucluse
Contact :

Re: La paranoïa anti-virus de Google

Message par Daniel »

Tu n'as pas compris : il n'y a pas de CRC, il n'y a plus de fichier. On ne peut pas calculer le CRC d'un fichier inexistant.
Il n'y a plus de fichier .zip, plus de fichier .exe, plus rien. Il n'existe plus mais il est toujours positif :mrgreen: :mrgreen: :mrgreen:
Et puis je peux mettre n'importe quel fichier, VirusTotal n'a pas accès au répertoire. Il ne pourra jamais le télécharger.

Hors sujet : Les captcha fournis par Google sont faits pour bloquer les robots. Mais bloquent-ils aussi les robots de Google ?
Daniel
L'obstacle augmente mon ardeur.
Daniel
Messages : 17319
Inscription : 01 mai 2007 18:30
Localisation : Vaucluse
Contact :

Re: La paranoïa anti-virus de Google

Message par Daniel »

VirusTotal va me rendre fou :twisted:

- J'ai créé un fichier les-prives_win.zip vide (longueur zéro)
- J'ai uploadé ce fichier vide sur le site dcmoto à la place du fichier les-prives_win.zip positif (dans le même répertoire)
- J'ai supprimé le fichier .htaccess du répertoire Programmes pour qu'il soit accessible sans identifiants
- J'ai soumis l'URL du fichier vide à VirusTotal

Et bien ce fichier vide est déclaré positif. C'est incroyable, mais vrai :!:
Il est détecté par 5 anti-virus sur 72. C'est un progrès, hier il n'existait pas et était détecté par 6 anti-virus.
Vous y comprenez quelque chose ?

Je soupçonne un problème de cache, mais c'est quand même complètement fou. Quand on soumet un fichier à VirusTotal, ce n'est pas celui qu'on soumet qui est analysé, mais un autre qu'ils ont stocké je ne sais où.
Daniel
L'obstacle augmente mon ardeur.
__sam__
Messages : 7924
Inscription : 18 sept. 2010 12:08
Localisation : Brest et parfois les Flandres

Re: La paranoïa anti-virus de Google

Message par __sam__ »

Pour des raisons de bande passante, c'est l'url du fichier qui sert de clef dans le cache. Ca serait mieux si les browsers pouvaient envoyer un md5 du fichier mais ils ne le font pas. La seule chose qu'ils savent faire sur un fichier c'est envoyer son nom, et son contenu. Rien d'autre pour identifier un fichier.

Bref: après un changement il faut attendre plusieurs jours que les caches soient expurgés.
Samuel.
A500 Vampire V2+ ^8^, A1200 (030@50mhz/fpu/64mb/cf 8go),
A500 GVP530(MMU/FPU) h.s., R-Pi, TO9, TO8D, TO8.Démos
Daniel
Messages : 17319
Inscription : 01 mai 2007 18:30
Localisation : Vaucluse
Contact :

Re: La paranoïa anti-virus de Google

Message par Daniel »

OK pour le cache. Mais comment expliquer cet autre résultat, encore plus incompréhensible :

- Si je soumets l'URL du "vrai" fichier les-prives_win.zip sur le site dcmoto, il donne 5 positifs
- Si je soumets le même fichier à partir de mon disque dur, il donne 31 positifs

Sachant que ce fichier date du 28/12/2011, n'a jamais été modifié depuis cette date, a bien sûr les mêmes sommes de contrôle, et que dans VirusTotal j'ai demandé une réanalyse (car il avait déjà été scanné quelques jours plus tôt).

lesprives1.png
lesprives1.png (11.17 Kio) Consulté 3000 fois
lesprives2.png
lesprives2.png (11.51 Kio) Consulté 3000 fois

J'ai aussi uploadé le fichier dans un autre répertoire du site dcmoto accessible sans contrôle. Quand je soumets l'URL à VirusTotal ça donne ceci :

lesprives3.png
lesprives3.png (23.83 Kio) Consulté 2998 fois

Il semblerait que VirusTotal utilise un proxy. Il n'analyse pas les URL qu'on lui soumet, mais celle qu'il trouve dans le proxy.
Donc si on corrige un fichier pour le rendre négatif, VirusTotal le trouve toujours positif. Google Safe Browsing aussi.
Quand je vous disais que les anti-virus nous empoisonnent la vie !

J'ai peur d'une chose : comme le fichier litigieux n'est plus accessible sur le site dcmoto, Google ne pourra plus le charger. Il conservera éternellement la version "positive" de son cache et le site dcmoto sera banni jusqu'à la fin des temps.
Daniel
L'obstacle augmente mon ardeur.
__sam__
Messages : 7924
Inscription : 18 sept. 2010 12:08
Localisation : Brest et parfois les Flandres

Re: La paranoïa anti-virus de Google

Message par __sam__ »

Sur tes captures, un truc m'intrigue. Dans la version avec l'url il est indiqué en content-type "text/html, charset=iso-8859-1", à croire que le fichier analysé était interprété en texte. Si ca se trouve le contenu a été modifié par les couches du réseau (browser/proxy/server). Comment être certain que le contenu est identique. Il n'y a pas de checksum affiché en cas d'url.
Samuel.
A500 Vampire V2+ ^8^, A1200 (030@50mhz/fpu/64mb/cf 8go),
A500 GVP530(MMU/FPU) h.s., R-Pi, TO9, TO8D, TO8.Démos
Daniel
Messages : 17319
Inscription : 01 mai 2007 18:30
Localisation : Vaucluse
Contact :

Re: La paranoïa anti-virus de Google

Message par Daniel »

Oui, j'avais aussi remarqué. Il n'analysent pas un lien vers un fichier comme le fichier lui-même.
Autre chose m'intrigue dans la copie d'écran du scan de l'URL : 401 Status
Je vais essayer de trouver ce que ça signifie. Peut-être que le répertoire n'est pas accessible ? C'est le cas, puisqu'il est protégé par .htaccess

Mais pour la troisième copie d'écran, je suis absolument sûr que l'accès au répertoire est libre. L'URL existe, le fichier existe, pour vérifier je l'ai moi-même téléchargé en faisant un copier/coller de l'URL, et pourtant VirusTotal ne le trouve pas :roll:

J'en retiens qu'on peut utiliser VirusTotal pour analyser des fichiers stockés sur le disque dur, mais il ne faut surtout pas l'utiliser pour vérifier une URL. Vous pouvez obtenir n'importe quoi, aussi bien des faux négatifs que des faux positifs. C'est étrange, mais l'évidence est là.
Daniel
L'obstacle augmente mon ardeur.
Ythunder
Messages : 928
Inscription : 21 août 2019 10:12

Re: La paranoïa anti-virus de Google

Message par Ythunder »

Il y a visiblement un cache. L'usage d'un cache pour analyser des trucs en temps réel, et bein... Si au moins les choses étaient faites correctement à ce niveau quand l'utilisateur update un fichier en ligne. On est très loin d'un truc précis, fiable, sans incidences, c'est clair.

mais en fait l'incidence, les google etc s'en foutent. C'est le "surfeur" qui les intéresse, le surfeur lui il vient, il part, il se prens le message, pas grave, "y a d'autres sites" (sauf que DCMOTO est quasi unique avec une telle qualité)
Avatar de l’utilisateur
Papy.G
Modérateur
Messages : 3047
Inscription : 10 juin 2014 13:40
Localisation : Haute-Garonne/Gers

Re: La paranoïa anti-virus de Google

Message par Papy.G »

En fait, ça rassure l'utilisateur lambda, sans avoir de réelle efficacité.

Il n'y a même pas de smiley pour exprimer tellement c'est n'importe quoi! Image
Soyez exigeants, ne vous contentez pas de ce que l'on vous vend.
Demandez-en plus, ou faites-le vous-même.
Daniel
Messages : 17319
Inscription : 01 mai 2007 18:30
Localisation : Vaucluse
Contact :

Re: La paranoïa anti-virus de Google

Message par Daniel »

So far, VirusTotal has worked with Microsoft to add metadata for the company’s files to the database and the effort has already paid off.
In a single week, over 6,000 false positive detections have been identified, reported and fixed, said Emiliano Martinez, a software engineer at VirusTotal in a blog post. “We are looking to grow our collection of trusted software; if you happen to be a very large software development company you might want to contact us in order to share this data and help us mitigate the issue of false positives.”
Plus de 6000 faux positifs chez Microsoft.
1 faux positif chez DCMOTO.

Microsoft est classé "VERT" et DCMOTO est classé "ROUGE".
Malheureusement dcmoto n'est pas une "very large software development company" et n'en a pas les moyens financiers.

Quand on s'appelle Microsoft, on peut mettre n'importe quel logiciel espion dans son système.
Quand on s'appelle dcmoto un jeu en cassette pour MO5 déclenche les sirènes d'alarme.
Daniel
L'obstacle augmente mon ardeur.
__sam__
Messages : 7924
Inscription : 18 sept. 2010 12:08
Localisation : Brest et parfois les Flandres

Re: La paranoïa anti-virus de Google

Message par __sam__ »

Mais si mais si, tu es le microsoft de Thomson: tout passe par toi au final. Donc reste à convaincre VirusTotal que Thomson c'est un marché de plusieurs milliards (10 ou 15 au bas mot) d'individus concernés. Comment ça pas crédible! :lol:
Samuel.
A500 Vampire V2+ ^8^, A1200 (030@50mhz/fpu/64mb/cf 8go),
A500 GVP530(MMU/FPU) h.s., R-Pi, TO9, TO8D, TO8.Démos
Répondre