jeudi, décembre 19, 2024

Qu’est-ce qu’un faux positif en cybersécurité ?

La cybersécurité est une branche de la technologie qui protège les systèmes informatiques, les appareils mobiles, les serveurs, etc. contre les attaques malveillantes. Divers acteurs malveillants effectuent ces attaques malveillantes. Le but des acteurs malveillants est d’accéder ou de détruire les informations sensibles des utilisateurs. Les logiciels de sécurité protègent les utilisateurs contre les cybermenaces. Le logiciel antivirus est le logiciel de sécurité le plus utilisé. Le terme faux positif est le plus couramment utilisé dans le domaine de la cybersécurité. Dans cet article, nous parlerons de qu’est-ce qu’un faux positif en cybersécurité.

Qu’est-ce qu’un faux positif en cybersécurité ?

Faux négatif et Faux positif sont les termes les plus couramment utilisés dans le domaine de la cybersécurité. Certains d’entre vous ont peut-être entendu ces termes. Cet article explique quels sont les faux positifs et les faux négatifs détectés par les logiciels antivirus et de sécurité et comment vous pouvez mettre ces détections sur liste blanche.

Un faux positif est une fausse alarme générée par un antivirus ou un autre logiciel de sécurité. En termes simples, lorsqu’un antivirus ou un logiciel de sécurité considère qu’un véritable fichier ou programme est malveillant, cela s’appelle un indicateur de faux positif.

Si vous avez installé un logiciel antivirus sur votre système, vous avez peut-être rencontré un problème où votre logiciel antivirus a bloqué un fichier ou un programme authentique. Dans ce cas, le programme bloqué ne fonctionne pas correctement ou refuse de se lancer. Les indicateurs de faux positifs sont toujours incorrects.

Comment se produit un faux positif ?

Le logiciel antivirus fonctionne selon différentes méthodes. Ces méthodes incluent la détection des logiciels malveillants basée sur les signatures, la détection des logiciels malveillants basée sur le comportement, etc. Dans la technique de détection des logiciels malveillants basée sur les signatures, le logiciel antivirus utilise les signatures pour identifier si un fichier ou un programme est authentique ou malveillant. Ces signatures sont également appelées définitions. L’antivirus reçoit les dernières définitions de virus en téléchargeant la mise à jour publiée par le fournisseur.

Dans la technique de détection des logiciels malveillants basée sur le comportement, l’antivirus surveille le comportement d’un programme. S’il trouve le comportement du programme malveillant, il bloque ce programme. La technique de détection des logiciels malveillants basée sur le comportement peut générer des indicateurs de faux positifs. Par exemple, si un antivirus détecte le comportement d’un programme suspect, il bloque ce programme.

Qu’est-ce qu’un faux négatif en cybersécurité ?

Un indicateur de faux négatif est l’inverse d’un faux positif. Le faux négatif se produit lorsqu’un logiciel antivirus ou un logiciel de sécurité ne parvient pas à détecter un fichier ou un programme malveillant. Certains logiciels malveillants utilisent des techniques avancées pour se cacher afin que le logiciel antivirus ne puisse pas les détecter et les mettre en quarantaine. Ces menaces malveillantes non détectées restent actives sur les systèmes de l’utilisateur et constituent une menace pour la sécurité.

Comment se produit un faux négatif ?

Un faux négatif se produit généralement lorsque vous n’avez pas mis à jour votre programme antivirus. Les programmes antivirus nécessitent des mises à jour régulières pour détecter les menaces nouvellement publiées. Si vous exécutez un antivirus avec des définitions de virus obsolètes, votre système sera sujet à de nouvelles menaces ou attaques de logiciels malveillants. En effet, les nouvelles signatures de virus sont inconnues de votre antivirus. Les faux négatifs constituent un risque sérieux pour la sécurité de votre système.

Comment savoir s’il s’agit d’un virus ou d’un faux positif ?

Si votre logiciel antivirus a bloqué un fichier ou un programme et que vous avez besoin de ce fichier ou de ce programme, vous pouvez identifier l’authenticité de ce fichier ou de ce programme en utilisant certaines méthodes. Nous avons décrit ces méthodes ci-dessous.

  • Utiliser VirusTotal
  • Recherche du fichier en ligne
  • Affichage des signatures de fichiers

Utiliser VirusTotal

La première méthode par laquelle vous pouvez identifier l’authenticité d’un fichier ou d’un programme consiste à l’analyser sur VirusTotal ou un autre service cloud similaire. VirusTotal est un service cloud doté de plusieurs moteurs antivirus. Lorsque vous analysez un fichier sur le site Web de VirusTotal, ces moteurs antivirus analysent ce fichier, puis VirusTotal génère le rapport.

VirusTotal

Si votre logiciel antivirus a signalé un programme ou un fichier authentique comme malveillant, vous pouvez l’analyser sur VirusTotal et afficher le rapport. Ce rapport vous permettra de savoir si d’autres antivirus signalent ce fichier comme malveillant ou non.

Lire: Comment vérifier si un fichier est malveillant ou non sous Windows

Recherche du fichier en ligne

La méthode suivante que vous pouvez utiliser pour identifier si un fichier ou un programme est malveillant ou non consiste à effectuer une recherche en ligne. Vous pouvez effectuer une recherche en ligne en utilisant différents mots-clés.

rundll32.exe

Par exemple, si votre programme antivirus a signalé et mis en quarantaine un fichier DLL, par exemple rundll32.exe, vous pouvez rechercher son authenticité en ligne en utilisant différents mots-clés, tels que :

Lors de votre recherche en ligne, vous verrez des liens vers divers sites Web et forums. Pour obtenir des informations authentiques, envisagez de visiter des sites Web de confiance comme TheWindowsClub. Vous pouvez également lire les avis soumis par différents utilisateurs sur différents forums. Cela vous aidera également à connaître l’authenticité du fichier ou du programme.

Affichage des signatures de fichiers

Une autre méthode efficace que vous pouvez utiliser pour savoir si un fichier ou un programme est malveillant ou faux positif consiste à afficher ses signatures. Un fichier authentique est signé numériquement par son fournisseur. Vous pouvez afficher ces informations dans les propriétés du fichier.

Signature numérique exe IA

Les étapes suivantes vous y aideront :

  1. Faites un clic droit sur le fichier.
  2. Sélectionner Propriétés.
  3. Sélectionnez le Signatures numériques languette.

L’onglet Signatures numériques est disponible pour les fichiers et services exécutables. Vous pouvez désormais afficher le nom du signataire sous l’onglet Signatures numériques. L’image ci-dessus montre que le fichier AI Host Ai.exe est signé numériquement par Microsoft. Il s’agit donc d’un véritable fichier.

Si votre antivirus a signalé un programme comme malveillant et que vous souhaitez afficher ses signatures numériques, vous ne trouverez pas l’onglet Signatures numériques en ouvrant ses propriétés depuis le raccourci du bureau. Dans ce cas, vous devez ouvrir les propriétés de son fichier exécutable depuis l’emplacement d’installation. Pour ce faire, faites un clic droit sur le raccourci du bureau et sélectionnez Lieu de fichier ouvert.

Lire: Testez si l’antivirus fonctionne ou non.

Comment remédier à une action Faux Positif de Windows Defender ?

Sécurité Windows Ajouter une exclusion de dossier

Si Microsoft Defender génère un indicateur de faux positif pour un fichier ou un programme, vous pouvez informer Microsoft Defender de l’authenticité de ce fichier ou programme en l’ajoutant à la liste d’exclusions de Microsoft Defender. Après cela, Microsoft Defender cessera de vous alerter de ce programme ou cessera de bloquer ce programme.

Exceptions du gestionnaire Bitdefender

L’option permettant d’ajouter un fichier ou un programme à la liste d’exceptions ou d’exclusions est disponible dans tous les programmes antivirus. Par conséquent, si vous utilisez un antivirus tiers, vous pouvez ajouter ce fichier à sa liste d’exceptions. En raison de la différence d’interface utilisateur, le processus d’exclusion d’un fichier ou d’un programme est différent selon les programmes antivirus tiers.

Lire: Comment savoir si votre ordinateur est infecté par un virus ?

Où signaler un faux positif/négatif à Microsoft ?

Signaler les faux positifs et les faux négatifs à Microsoft aidera Microsoft à corriger les détections. Cela réduira la génération d’indicateurs de faux positifs et réduira les chances que les logiciels malveillants ne soient pas détectés.

Exemple de portail de soumission Microsoft

Pour signaler un faux positif ou un faux négatif (ou un logiciel malveillant) à Microsoft, vous devez visiter le portail de soumission d’échantillons et y soumettre le fichier. Maintenant, sélectionnez l’option la plus appropriée parmi les suivantes :

  • Client à domicile
  • Client d’entreprise
  • Développeur de logiciels

Après cela, cliquez Continuer et connectez-vous en utilisant vos informations d’identification de compte correctes. Maintenant, remplissez les détails requis, joignez le fichier et cliquez sur Continuer.

J’espère que ça aide.

Qu’est-ce qui cause un résultat faux négatif ?

Habituellement, un résultat faux négatif est dû aux définitions de virus obsolètes du logiciel antivirus. Les fournisseurs d’antivirus publient des définitions de virus via des mises à jour régulières. Vous devez télécharger et installer ces mises à jour régulièrement.

Qu’est-ce que le vrai positif et le faux positif en matière de cybersécurité ?

En cybersécurité, True Positive fait référence à la détection correcte d’une menace par un programme antivirus ou un logiciel de sécurité. D’un autre côté, un faux négatif est une détection incorrecte d’une menace, c’est-à-dire qu’un antivirus ou un logiciel de sécurité a détecté le fichier authentique comme étant malveillant.

Lire ensuite: EDR vs Antivirus : Quel est le meilleur et pourquoi ?

Source-137

- Advertisement -

Latest