Culture numérique
Virustotal, pourquoi c’est un “must use”?
Sécurité informatique, pour tout le monde
Comment je l’avais déjà évoqué ici:
Un des trucs fondamentaux que tout internaute devrait utiliser, c’est un outil qui est bien plus puissant que n’importe quel antivirus pour détecter un fichier suspect, un package d’installation, une application ou un programme, même téléchargé depuis une “source fiable”:
Alors qu’en chargeant ce package ou ce fichier sur une simple page web, tu peux la faire vérifier par plus de 60 moteurs antivirus du marché: http://virustotal.com
Tu glisses ton fichier sur la page
Il va identifier ce fichier à partir de sa signature et t’afficher la liste des avis des 30 éditeurs antivirus et plus…
C’est donc, comme si tu avais installé ces 60 logiciels antivirus sur 60 machines différentes (car tu ne peux pas installer plusieurs antivirus sur une seule machine, sauf avec des “containers virtuels”), et que tu faisais vérifier ton fichier par ces 60 machines… Voilà!
No panic
Si tu as 2 ou 3 “rouges” ou “oranges”, cela ne veut pas nécessairement dire que ce n’est pas “OK”, car des “false positives” sont possibles (Fausses détections), mais faudra être prudent.
Comment il fait?
C’est grâce la communauté, dont votre serviteur, car nos propres “upload” permettent de traiter les “nouveaux fichiers” suspects, et d’en aviser la “big database” de Virustotal, qui devient dépositaire d’un big data non négligeable…
Bon évidemment, c’est la multinationale Google qui en est devenu propriétaire. Cela aurait dû être une coopérative libre et open source, avec des subventions de toutes les nations pour rester d’intérêt public et indépendante, mais non… Voilà un big data, qui peut instantanément mesurer les adoptions des différents logiciels du marché, et leurs mises à jour, sur toute la planète…
Des informations précieuses n’est-il pas?
Signatures des fichiers et exécutables
Le fichier ne sera pas chargé en totalité, le site fait exécuter un calcul sur ta machine des 9 “hashs”, via plusieurs méthodes: MD5 (non fiable depuis 2004), SHA-1, SHA-256, Vhash, Authentihash, Imphash, Rich PE header hash, SSDEEP, TLSH (9 signatures au total). A partir de cette combinaison de signatures, on peut être sûr que le fichier est le même que celui qui est connue dans leur base, et a déjà été traité.
Si tu présentes un fichier pour la première fois, alors, il va réellement être téléchargé, et va passer dans la moulinette des serveurs de Virustotal, avec tous les antivirus mentionnés, et cela peut prendre quelques minutes de plus…
Mais si tu penses utile de refaire faire une moulinette par tous les moteurs, sur ce fichier, tu peux ordonner de le faire (enfin, moi je peux le faire, et tout le monde peut librement s’enregistrer, cela leur fait du big data en plus…)
La plateforme va t’afficher des détails intéressants sur ce fichier, en plus des 9 signatures. sur l’exécutable lui-même, y compris des packages d’installations, dont tous les fichiers inclus sont décomposés et analysés.
C’est gratuit?
Cette plateforme va permettre à tous les éditeurs d’antivirus de recevoir rapidement les soumissions des nouvelles menaces en opération, et même fournir des statistiques de propagation en temps réel. Alors les éditeurs d’antivirus ont tout intérêt à collaborer, et efficacement. Si tu es le dernier “larbin” du lot à systématiquement afficher un faux positif, ou pire, être parmi ceux qui vont afficher un “faux négatif”, ce serait très mauvais pour ton image “de marque”… Mais du coup, Virustotal peut aussi fournir des statistiques sur les performances comparées de ces antivirus… Mais ce ne sera pas gratuit.
Les données, c’est de l’or, surtout les nôtres!
Voir aussi:
et
