Suite de ... "Alertes ... vrais/faux positifs"
CITATION(Virulist.com)
Même si cela semble mineur, les faux positifs peuvent être une véritable nuisance :
- Les ressources système sont sollicitées pour scanner et reporter le supposé code malicieux
- Temps perdu par l'utilisateur à chercher et arrêter le soi-disant virus
- Les emails de retard que l'utilisateur ne peut pas lire pendant que l'antivirus tente de stopper le virus
- Temps perdu à des tentatives futiles de désinfecter des fichiers infectés ainsi que les backups qui sont également marqués comme " infecté ".
En bref, les faux positifs sont des nuisances coûteuses.
Comme les anti-spams-spywares-virus, les anti-rootkits ne peuvent pas toujours être infaillibles. Quel que soit le moyen de défense choisi pour la détection des intrusions dans votre système Windows, il y aura toujours des doutes concernant certaines d'entre elles. Sont-elles ou non nuisibles ?
Il n'y a pas de certitude absolue. Seules des bases de données pourraient nous renseigner. Les informations fournies ne sont pas toujours suffisantes.
Comme nous l'avons déjà vu, beaucoup d'outils de détection font leur travail en listant tout ce qui s'active dans l'ordinateur et signalent plus particulièrement, souvent en rouge, en surbrillance ou par des messages d'alerte, les processus, services ou pilotes qui « crochètent » les API pour s'en servir.
Dans beaucoup de cas, les listes qu'ils fournissent comprennent des extensions de programmes utiles et même nécessaires au bon fonctionnement du système ou des applications. Parmi celles-ci, certaines utilisent les techniques des rootkits pour améliorer leur efficacité ou cacher des fonctions ou fichiers dont l'utilisateur n'a pas à se soucier. Au contraire, certains rootkits le font pour cacher leurs méfaits.
Bien sûr, lorsqu'une alerte intervient au moment de l'installation d'un nouveau logiciel désiré, la tendance logique sera à penser qu'il s'agit d'un module sain qu'il met en place. Cependant, certains logiciels pourraient ne pas être complètement utilisés dès l'installation et certaines fonctionnalités ne se déclencher qu'en fonction des besoins. Parmi elles pourquoi pas une "fonction rootkit", intrusive et/ou de camouflage ?
Certains logiciels de sécurité ne disposent pas de pré-paramétrage. Il ne savent pas identifier toute la base de Windows. Certains "H-IPS" tout particulièrement ne doivent être installés que sur des bases "saines" et "apprendre" avant d'être complètement activés.
Autrement ils lancent de très nombreuses "demandes d'autorisation", ces alertes très particulières auxquelles les usagers ne savent pas toujours quoi répondre.
Comment distinguer ce qui doit être interdit et éliminé du reste ?
Certaines techniques de détection sont réputées plus performantes que d'autres. Exemples ...
- comparaison entre les fonctions essentielles du système trouvées sur un disque encore sain et la mémoire ou elles s'exécutent,
- prévention basée sur une analyse comportementale qui requiert une connaissance des méthodes d’attaque pour identifier les nouvelles menaces indépendamment du nombre et de la forme de leurs variantes.
.../...