Journal Rions un peu avec les antivirus

Posté par  .
Étiquettes : aucune
7
12
nov.
2008
Dimanche matin, vers 11 h 35, j'ai été réveillé par un ami qui m'explique que AVG a désinfecté un virus dans user.dll et que bizarrement depuis son ordinateur ne fonctionne plus.

Bon, après quelques vérifications, réinstallation de Windows (*) qui lui a pris la journée à peu près entre tous les drivers et autres logiciels.

Ceci dit, on ne voyait pas comment il avait attrapé ce virus. Et ce matin, que lis-je dans Le Soir ?

http://www.lesoir.be/la_vie_du_net/actunet/des-anti-virus-gr(...)

C'était un faux positif ! Encore une preuve que les antivirus sont plus nocifs que les virus eux-mêmes, ou qu'en tout cas des mesures de proxphylaxie simples sont bien plus efficaces.

Anecdote piquante, je lui ai conseillé avant la réinstallation de graver un Live CD Linux et de faire une sauvegarde de toutes ses données sur son disque externe. Il a dit oui. 15 minutes plus tard, il me rappelait pour que je le guide dans un des écrans de l'installation de Windows

- Et tu l'as faite ta sauivegarde ?
- Non, pas encore.

J'ai beaucoup apprécié ce pas encore.

(*) non, j'ai pas conseillé Linux, parce qu'il a pas mal de logiciels métier qui peuvent sans doute être migrés, mais pour ça, il faudra les prendre un par un et tester les équivalents. C'est un projet d'un peu plus long terme qu'il semble vouloir regarder de près maintenant après cette expérience.

  • # Rions un peu ? Voire...

    Posté par  . Évalué à 4.

    Le risque avec cet incident, c'est qu'il est causé par un logiciel gratuit. (En tout cas, il existe une version gratuite d'AVG, et ce doit être la plus utilisée.)

    Alors vous voyez venir d'ici les commentaires de ceux à qui on essaie de faire comprendre ce qu'est le libre, et dont ils ne retiennent que l'aspect gratuit: Ouais, t'as vu, ton (sic) machin gratuit, là, ben ça a foutu mon PC en l'air, je repasse à un truc payant, donc sérieux...

    Je sens qu'il va nous falloir encore user de pédagogie dans les jours à venir...

    • [^] # Re: Rions un peu ? Voire...

      Posté par  . Évalué à 2.

      Cette façon de penser, elle est − à mon grand étonnement − inexistante chez presque tous ceux à qui je présente GNU/Linux, dès qu'on leur explique clairement ce qu'est que le libre. À la place, on a quasiment les mêmes symptômes que quelqu'un qui veut passer à Mac. En fait, c'est plus J'appréhende un peu le dépaysement, et ça me sert pas trop (jusqu'au jour où ça sert) que C'est gratuit, donc c'est nul, dés qu'ils connaissent la philosophie du libre, que ça sort du commerce traditionnel pour rentrer dans la culture, et le fait que GNU/Linux existe en version commerciale.

    • [^] # Re: Rions un peu ? Voire...

      Posté par  . Évalué à 5.

      Pas impossible. Ceci dit, je me serais bien gardé de recommander AVG ou un quelconque autre antivirus gratuit. Généralement, je conseille linux, en solution de repli un Mac, et en dernier recours, je recommande de bonnes pratiques un peu contraignantes à la place.

      Au final, on écoute pas ce vieux con un peu chiant avec ses lubies et on va voir quelqu'un de plus souple qui recommande AVG ou une version crackée d'un produit Norton. Et quand y a un problème, on me réveille le dimanche matin à 11 h 35.

      Ainsi va la vie...

  • # Anecdote

    Posté par  (site web personnel) . Évalué à 8.

    J'ai un pote bidouilleur qui s'était amusé à faire un virus inoffensif qui ne faisait que se greffer aux programmes. Il avait aussi fait l'antivirus pour s'en débarrasser. Pour montrer son virus à un de ses potes il le lui a refilé. Sauf que l'antivirus de son pote a bien repéré ce nouveau virus mais a supprimé les fichiers. Bah voilà, c'est l'antivirus qui a foutu la merde. Je trouve ça tellement beau.

    • [^] # Re: Anecdote

      Posté par  (site web personnel) . Évalué à 5.

      Bah en même temps, si le virus modifie les programmes pour que ces derniers deviennent dangereux, c'est pas forcement une "mauvaise" idée que l'antivirus réagisse... c'est même un peu son rôle...
      Après faut pas non plus tout mettre sur le dos de l'antivirus, ceux qui sont bien fait mettent le fichier en quarantaine, il peut être récupéré plus tard.
      Quand aux fichiers "vitaux" de l'OS qui pourraient être supprimés, c'est le moment où jamais de comprendre à quoi sert l'option "system restore" sous Windows.

    • [^] # Re: Anecdote

      Posté par  . Évalué à 2.

      Je ne comprends pas vraiment. A la base, ce n'est pas l'AV qui a foutu la merde, c'est bien le virus, même s'il est inoffensif, non ? De plus comment un AV peut-il savoir si un virus est inoffensif ou pas ?

      Finalement, l'AV a bien fait son boulot en détectant le virus. Par contre on peut reprocher à l'AV d'avoir supprimer les fichiers et non de les avoir décontaminés ou mis en quarantaine.

      • [^] # Re: Anecdote

        Posté par  (site web personnel) . Évalué à 2.

        Bien entendu. Je narre cette histoire pour l'ironie de la situation. C'était un effet de son virus qui n'était pas du tout prévu puisque pensé pour être inoffensif (le but était de s'amuser à faire un virus, pas de l'utiliser).

  • # Je comprend mieux...

    Posté par  (site web personnel) . Évalué à 3.

    ... Pourquoi j'ai fait du support dimanche matin moi aussi, merci de l'info je saurais pourquoi maintenant.
    Sacré AVG... Pas mal celui-la.

    Ceci-dit, un système à réinstaller m'est déjà arrivé avec une upgrade système sous Linux (si si, ça arrive comme merde...), donc ne rigolons pas trop : d'une les autres OS peuvent merder aussi, et de deux c'est un logiciel ne provenant pas de MS qui a foutu la merde.

    • [^] # Re: Je comprend mieux...

      Posté par  . Évalué à 1.

      D'autant qu'à vrai dire, renseignements pris, AVG a publié une documentation pour s'en sortir sans réinstaller. Mais bon, la panne était tellement classique que je n'ai pas pensé à ça. Et rien ne me dit que dimanche matin, ces guides étaient dispos.

      Quant aux systèmes linux en rade, j'en ai vu, mais en règle générale, il suffit de regarder la liste des paquets dernièrement installés avec un live CD et de revenir à l'état précédent pour retrouver un système opérationnel.

      Enfin, concernant le fait que l'AV n'est pas un produit Microsoft, ça reste un produit imposé par l'environnement Microsoft. On ne devrait pas avoir à installer un tel produit (contrairement à un pare-feu) dans un OS.

      • [^] # Encore une critique gratuite...

        Posté par  (site web personnel) . Évalué à 0.

        il suffit de

        Il suffit de... Grand classique.
        Si c'était si simple, ce serait automatisé par l'OS non?

        Enfin, concernant le fait que l'AV n'est pas un produit Microsoft, ça reste un produit imposé par l'environnement Microsoft. On ne devrait pas avoir à installer un tel produit (contrairement à un pare-feu) dans un OS.

        un AV n'a absolument rien d'obligatoire sous Windows, ou alors autant que sous Linux.
        En effet, un OS correctement MAJ n'a pas de trous, comme Linux.
        Un mec qui clique partout n'importe comment après avoir télécharger un truc d'on ne sait où lancera un jour ou l'autre un virus, que ce soit sous windows ou Linux.
        Le seul "avantage" de Linux est de ne pas être suffisamment intéressant pour les créateur de virus, car il n'y a pas les Mr clique partout.

        Le problème n'est pas l'OS, mais l'interface chaisse-clavier. Si celui a les même comportements en changeant d'OS, ne t'inquiète pas, les virus et les anti-virus pour Linux apparaitront.

        • [^] # Re: Encore une critique gratuite...

          Posté par  . Évalué à 3.

          Un mec qui clique partout n'importe comment après avoir télécharger un truc d'on ne sait où lancera un jour ou l'autre un virus, que ce soit sous windows ou Linux.
          Le seul "avantage" de Linux est de ne pas être suffisamment intéressant pour les créateur de virus, car il n'y a pas les Mr clique partout.

          Ca me fait penser aux résultats d'une étude sur le comportement des internautes face aux popups, un résumé sur arstechnica : http://arstechnica.com/news.ars/post/20080923-study-confirms(...)

          En gros ça dit que la plupart des gens sont prêts à cliquer sur n'importe quoi tant que ça fait disparaitre une popup qu'ils ne comprennent pas.

        • [^] # Re: Encore une critique gratuite...

          Posté par  . Évalué à 1.

          Si c'était si simple, ce serait automatisé par l'OS non?
          Ubuntu intègre une fonction de restauration de ce type…

        • [^] # Re: Encore une critique gratuite...

          Posté par  . Évalué à 1.

          C'est simple pour un humain entraîné. C'est complexe pour un OS, surtout en panne. Quoi qu'on en dise, il y a beaucoup de choses dont l'intelligence artificielle n'est pas capable en l'état actuel des connaissances.

          Sinon pour l'AV, mea culpa. Effectivement, l'AV n'a rien d'obligatoire dans un environnement Microsoft. Je l'avais d'ailleurs implicitement indiqué ailleurs quand je parlais de mesures d'hygiène.

          Par contre, Linux a un avantage sur Windows c'est le partage clair des droits entre utilisateur et administrateur. Théoriquement, si l'utilisateur corrompt son compte, le système est intact. Windows est censé combler ça avec l'UAC de Vista, mais ça n'est pas encore très au point.

          Quoi qu'il en soit, je retire néanmoiins mon affirmation. Il n'est pas nécessaire d'installer un AV sur un ordinateur, quel que soit son OS. D'autres mesures sont plus efficaces. Ou alors, on va sciemment sur des sites qui ne sont pas fiables installer des programmes potentiellement dangereux. Et dans ce cas, se croire protégé parce qu'on a un antivirus est illusoire.

          • [^] # Re: Encore une critique gratuite...

            Posté par  . Évalué à 0.


            Par contre, Linux a un avantage sur Windows c'est le partage clair des droits entre utilisateur et administrateur. Théoriquement, si l'utilisateur corrompt son compte, le système est intact. Windows est censé combler ça avec l'UAC de Vista, mais ça n'est pas encore très au point.

            Mouais ...
            Au boulot, on bosse sur des machines Linux, et l'informatique c'est notre métier. Eh ben certains de mes collègues travaillent toujours sous le compte root "parce que c'est bien plus simple si on a besoin d'installer / configurer un logiciel"

            Alors l'utilisateur lambda ...

            Le jour où Linux sera aussi populaire que Windows, eh ben il y aura autant de virus sous Linux que sous Windows

            • [^] # Re: Encore une critique gratuite...

              Posté par  (site web personnel) . Évalué à 10.

              Le jour où Linux sera aussi populaire que Windows, eh ben il y aura autant de virus sous Linux que sous Windows

              s/virus/cons/g

            • [^] # Re: Encore une critique gratuite...

              Posté par  . Évalué à 2.

              mauvais collègues. changer de collègues :p

            • [^] # Re: Encore une critique gratuite...

              Posté par  . Évalué à 2.

              l'informatique c'est notre métier et mes collègues travaillent toujours sous le compte root

              Y a comme une contradiction.
              PbPg te dirait qu'il connaît peu d'utilisateurs qui se connectent sous "administrator".
              Quand j'ai commencé à m'intéresser à Linux, il y a environ treize ans, les how-to's de l'époque recommandaient déjà d'utiliser au minimum le compte root, par sécurité. Alors, à l'ère des virus, ça me semble un peu farfelu de faire du développement en super administrateur.

              • [^] # Re: Encore une critique gratuite...

                Posté par  . Évalué à 1.

                Y a comme une contradiction.
                C'est un peu ce que je pense aussi. C'est pourtant des gars qui sont bien au fait des risques liés à l'utilisation du compte root au quotidien, et qui sont plutôt bons dans leur domaine, mais va comprendre...
                C'est teeeeellement plus simple d'être root et de ne pas s'embêter avec les problèmes de droits.

                M'enfin, ce qu'ils font sur leur machine les regarde, tant qu'ils ne touchent pas à la mienne

          • [^] # Re: Encore une critique gratuite...

            Posté par  (site web personnel) . Évalué à 2.

            Par contre, Linux a un avantage sur Windows c'est le partage clair des droits entre utilisateur et administrateur.

            Ca n'empêche pas les virus de te supprimer tes mails ni de spammer comme un gros porc.
            Ca n'empêchera pas l'anti-virus de te pourrir ton OS (il aura les droits root)
            Ca empêchera juste de te supprimer l'OS, mais quand l'utilisateur a perdu ses données, il s'en fou un peu de l'OS...
            (bon, dans le cas de multi-utilisateur, ça protège les autres. Mais c'est rare.)

            Au final, c'est un "petit" avantage...

            Quoi qu'il en soit, je retire néanmoiins mon affirmation. Il n'est pas nécessaire d'installer un AV sur un ordinateur

            Moi je dis l'inverse : il en faut un. Même sous Linux lorsque qu'il sera suffisamment intéressant pour les créateurs.
            Tu n'es pas à l'abri d'un copain qui t'amène une blague rigolote mais qu'il faut exécuter (c'est un programme).

            • [^] # Re: Encore une critique gratuite...

              Posté par  . Évalué à 3.

              Ca empêchera juste de te supprimer l'OS, mais quand l'utilisateur a perdu ses données, il s'en fou un peu de l'OS...
              (bon, dans le cas de multi-utilisateur, ça protège les autres. Mais c'est rare.)

              Je suis casse-couilles, mais je fais un backup hebdomadaire de mes données. Ca a l'avantage de prémunir contre les problèmes de casse matérielle contre lesquels ton antivirus ne peut rien faire. Donc au pire, je perds 7 jours de données (il y a aussi la possibilité de défaillance du backup, mais c'est un autre sujet (*) ).

              Tu n'es pas à l'abri d'un copain qui t'amène une blague rigolote mais qu'il faut exécuter (c'est un programme).

              Des blagues poilantes comme ça, j'attends tranquilement d'être sur SON ordinateur pour les voir. Je n'installe pas des programmes d'origine douteuse sur MA machine. Je suis un casse-couilles misanthrope.

              (*) A ce sujet, c'est à moi qu'est arrivé ce délicieux problème http://www.bashfr.org/?2295 , rassurez-vous, depuis j'ai changé ma procédure de backup

        • [^] # Re: Encore une critique gratuite...

          Posté par  (site web personnel) . Évalué à 2.

          Si c'était si simple, ce serait automatisé par l'OS non?
          mais c'est automatisé par l'OS, ca s'appelle la restauration système. Mais y'a beaucoup de gus qui désactive cette option car "elle bouffe du disque dur" (oui bah oui, backuper des fichiers important de l'OS, ca prend forcement de la place...)
          Sinon s'il manque vraiment un fichier, l'OS arrive parfois à s'en sortir, il va chercher dans son cache system/dllcache, puis dans le dossier d'installation I386, voir demande à l'utilisateur le CD de Windows.

        • [^] # Re: Encore une critique gratuite...

          Posté par  . Évalué à 1.

          [cite]
          Le problème n'est pas l'OS, mais l'interface chaisse-clavier. Si celui a les même comportements en changeant d'OS, ne t'inquiète pas, les virus et les anti-virus pour Linux apparaitront.[/cite]

          Tu insinues donc quil n'y a pas de virus ni d'antivirus sous linux ?

  • # Et la quarantaine et le système restore

    Posté par  (site web personnel) . Évalué à 3.

    Il me semblait que windows "protégeait" les dll sensibles en les recopiant ailleurs ce qui permet de faire un system restore... il est étonnant qu'un anti-virus delete un fichier système (même si infecté) sans warning géant prévenant l'utilisateur et sans procédure de remplacement du dit fichier par une version non corrompue...

    • [^] # Re: Et la quarantaine et le système restore

      Posté par  . Évalué à 2.

      Peut etre qu'il les protegent mais lorsque les dll effeace sont necessaires au demarrage tu es dans la merde ce qui est arrive a ma femme (et c'etait ni AVP ni un virus juste windows qui avait decide de s'autodetruire).

      Par rapport au probleme ici un live CD plus la recopie du dll incrimine devrait regler le probleme sans avoir a tout reinstaller... Les solutions les plus simple sont souvent les meilleurs :)

      • [^] # Re: Et la quarantaine et le système restore

        Posté par  (site web personnel) . Évalué à 2.

        Ben si il les efface, j'attends de ce genre de truc de mettre un warning en rouge de 4 km sur 4 km qui clignote et qui dit que ton système ne redémarrera pas après et mieux... propose de remplacer le fichier corrompu/infecté/faussement détecté comme vérolé par une version saine... qu'on trouve par exemple... sur le cd ?

        • [^] # Re: Et la quarantaine et le système restore

          Posté par  . Évalué à 1.

          Ouhais c'est logique mais il semblerait que le QA de Microsoft ait une logique, disons, differentes...

          • [^] # Re: Et la quarantaine et le système restore

            Posté par  . Évalué à 2.

            Tu m'expliqueras le rapport avec le QA de MS lorsqu'on parle d'un editeur tiers, mais j'avais oublie que la logique c'est pas ton fort.

            • [^] # Re: Et la quarantaine et le système restore

              Posté par  . Évalué à 0.

              Ah c'est a un anti-virus de savoir quels sont les fichiers indispensables au systeme? Curieux comme raisonnement mais ca va bien avec ta logique qui voit pas un bug dans le fait que l'utilisation du reseau influe sur le son...

              • [^] # Re: Et la quarantaine et le système restore

                Posté par  (site web personnel) . Évalué à 2.

                c'est a un anti-virus de savoir quels sont les fichiers indispensables au systeme?

                Ben oui c'est son boulot... je vois d'ailleurs pas de quel façon l'os pourrait l'empêcher étant donné que l'antivirus doit pouvoir réparer un fichier système... ben oui si le virus à les droits du système il peut corrompre ces fichiers... donc faut pouvoir les réparer donc tu ne peux en restreindre l'accès à l'antivirus.. donc c'est à lui à savoir et faire attention.

                Maintenant le problème vient de la facilité par mauvaise habitude des utilisateurs pour un virus windows d'obtenir les droits système... mais ça c'est une autre histoire.

                Et qu'on ne me dise pas qu'un virus linux ne peut pas exister, même si des virus linux ayant les droits système peuvent être plus rare parce que les users sont plus avertis et ne tourne pas en root... ça fait une belle jambe si celui-ci efface tout ton home... rien à foutre pour lui d'avoir les droits système pour faire chier.

                • [^] # Re: Et la quarantaine et le système restore

                  Posté par  . Évalué à -1.

                  Qu'est ce qui te fais dire qu'un virus qui a acces au fichiers systemes n'a pas change l'antivirus?

                  Je m'en tape que les virus puissent exister sous linux, la question ici est de comment un anti-virus ait pu effacer un fichier systeme point barre. Le probleme est dans le systeme que ce soit par la politique d'installation par defaut ou parceque le systeme est troue. Ce n'est pas a un anti-virus de savoir quels sont les fichiers systemes et d'empecher la suppression ca c'est le boulot de l'OS de dire au virus et a l'antivirus: "tu as pas acces a ca".

                  De tout de facon si des fichiers systemes sont veroles le systeme tu ne peux plus avoir confiance dedans donc il ne reste que les deux solutions cites plus bas.

              • [^] # Re: Et la quarantaine et le système restore

                Posté par  . Évalué à 0.

                Oui c'est a celui qui efface les fichiers de savoir si il efface la bonne chose.

                Mais ca doit etre un concept trop complique pour toi j'imagines.

                Curieux comme raisonnement mais ca va bien avec ta logique qui voit pas un bug dans le fait que l'utilisation du reseau influe sur le son...

                Ma reponse etait : http://www.linuxfr.org/comments/981547.html#981547

                Le probleme de l'audio (et qui est un vrai bug hein)

                Preuve flagrante que tu detournes ce que les gens disent et ment.

                Voila tu as pourri la discussion, tu peux rentrer dans ta caverne maintenant.

                • [^] # Re: Et la quarantaine et le système restore

                  Posté par  (Mastodon) . Évalué à 4.

                  La logique c'est pas ton fort [...] Mais ca doit etre un concept trop complique pour toi j'imagines.

                  Peut-être que si vous en êtes réduits à ça dans vos discutions, tous les deux, il est temps d'arrêter de discuter, non ? Enfin, je dis ça, je ne fais que passer...

        • [^] # Re: Et la quarantaine et le système restore

          Posté par  . Évalué à 10.

          "qu'on trouve par exemple... sur le cd ? "
          Tu parles bien du CD que personne n'a parce qu'aucun constructeur d'ordi ne les donne ? Tu parles bien du CD qui est remplacé par une partition en général masquée et invisible depuis Windows (donc impossible d'aller y chercher ledit fichier) ?

          • [^] # Re: Et la quarantaine et le système restore

            Posté par  . Évalué à 3.

            Ben quoi tu peux te les faires toi-meme ces cd la... Alors certes cela va juste formate ton disque dur et tout remettre dans l'etat a la date de l'achat et donc effacer toutes tes donnees... C'est assez rigolo comme systeme...

          • [^] # Re: Et la quarantaine et le système restore

            Posté par  (site web personnel) . Évalué à 2.

            Moi sur les ordis vendu avec windows sans cd, ce que j'ai vu c'est qu'il te propose au premier démarrage de les créer... que si tu l'as pas fait tu peux toujours le faire après.

            Maintenant pour moi ici windows n'est pas en faute du tout mais l'antivirus... il devrait savoir qu'il veut supprimer un fichier système (je pense d'ailleurs qu'il y a un attribut fichier l'indiquant) et dans ce cas faire :

            1- Un warning prévenant que si reboot avant réparation ==> memerde
            2- Proposer la possibilité de copier des cd sus-mentionné le/les fichiers à remettre en l'état
            3- Dans le cas ou c'est pas possible de faire ça, laisser le système en l'état tant que la personne ne peut pas fournir (via cd ou autres) une version non corrompue du dit fichier ou virer et redémarrer si la personne en âme et conscience après avoir lu le warning lui indiquant que ça va pas faire mieux que pire lui dit de le faire.

            Supprimer un fichier système sans avertissement c'est débile... et ça c'est pas la faute à windows étant donné que l'antivirus doit pouvoir tourner dans un mode privilégié qui lui permet de remplacer/réparer un fichier système.

            • [^] # Re: Et la quarantaine et le système restore

              Posté par  . Évalué à 1.

              Supprimer un fichier système sans avertissement c'est débile... et ça c'est pas la faute à windows étant donné que l'antivirus doit pouvoir tourner dans un mode privilégié qui lui permet de remplacer/réparer un fichier système.

              Ouh la ca fait peur tout de meme. Un anti-virus ne devrait pas avoir besoin de cela car cela voudrait dire que:

              1 - soit l'utilisateur est en mode admin ce qui devrait etre l'exception et pas la regle comme c'est le cas sous Windows (je rappelle que sous XP au minimum, j'aimerai bien savoir si c'est toujours le cas sous Vista, que TOUS les utilisateurs crees a l'installation sont administrateurs!)
              2 - soit que le systeme est completement verole car il a pu passer les droits d'ecritures et donc qu'est ce qui te fais dire qu'un virus present sur un fichier systeme (et donc ou il n'aurait jamais du acceder) n'a pas mis d'autre truc bien pourri sur ton systeme en les cachant style un rootkit? Les deux seules solutions pour se debarasser de cela c'est d'analyser le systeme a partir d'un autre systeme sur et encore, soit, et c'est le mieux, de reformate et re-installer.

              Je veux bien comprendre que les virus puissent exister dans le compte d'un utilisateur (avec les macros word etc) mais que cela passe dans le systeme cela indique 1 ou 2 et les deux sont la faute de Windows: 1) parceque par defaut l'utilisateur cree a l'installation est administrateurs (et le systeme se logue automatiquement sur ce compte meme sur un XP pro dans une installation par defaut) 2) le systeme est pourri.

              Par defaut un anti-virus ne devrait pas avoir le droit de toucher a aucun fichier systeme et le probleme n'aurait jamais du apparaitre!

              • [^] # Re: Et la quarantaine et le système restore

                Posté par  . Évalué à 6.

                Ouh la ca fait peur tout de meme. Un anti-virus ne devrait pas avoir besoin de cela car cela voudrait dire que:

                1 - soit l'utilisateur est en mode admin ce qui devrait etre l'exception et pas la regle comme c'est le cas sous Windows (je rappelle que sous XP au minimum, j'aimerai bien savoir si c'est toujours le cas sous Vista, que TOUS les utilisateurs crees a l'installation sont administrateurs!)

                Je vais t'annoncer une grande nouvelle : un anti-virus n'a pas besoin de tourner avec les memes droits que l'utilisateur. Il n'y a meme AUCUN anti-virus qui fait cela.

                Le truc que tu n'as visiblement jamais compris, c'est que la maniere dont un anti-virus fonctionne est par insertion d'un driver qui filtre les requetes au systeme de fichier, en mode kernel. Bref pas de droits admin ou utilisateur, c'est dans le kernel.

                Et c'est la meme chose sur tous les systemes, car c'est la seule maniere de garantir que tous les acces au systeme de fichier sont verifies.

                Maintenant je te suggeres d'eviter de debiter des aneries en lancant des accusations lorsque tu ne connais rien au sujet et d'utiliser le conditionnel.

                • [^] # Re: Et la quarantaine et le système restore

                  Posté par  . Évalué à 2.

                  Je me fout de comment l'antivirus fonctionne je dis et j'affirme que un antivirus n'a pas a scanner et encore moins a avoir le droit d'effacer les fichiers systemes car de tout de facon si le systeme est infecte rien ne peut etre considere comme sur dessus et surtout pas l'antivirus.

                  Tes reponses ici me font mieux comprendre pourquoi il y a quasiment que Windows qui se trouve infecte de partout et non clairement la popularite n'a pas grand chose a voir sinon on aurait du voir une explosion des virus sur MacOS X.

                  • [^] # Re: Et la quarantaine et le système restore

                    Posté par  . Évalué à 5.

                    Je me fout de comment l'antivirus fonctionne je dis et j'affirme que un antivirus n'a pas a scanner et encore moins a avoir le droit d'effacer les fichiers systemes car de tout de facon si le systeme est infecte rien ne peut etre considere comme sur dessus et surtout pas l'antivirus.

                    Bref tu nous dis que :

                    a) Tu ne sais pas comment un anti-virus fonctionne
                    b) Tu n'as meme pas envie de savoir
                    c) Tu es par contre convaincu qu'un anti-virus ne doit pas faire X (alors que tous les anti-virus sur toutes les plateformes le font)

                    Tu es fantastique de logique dans ta prose, tu es en train de nous dire que tu ne comprend rien au probleme, que tu n'as pas envie de comprendre, et qu'ils ont tout faux.

                    • [^] # Re: Et la quarantaine et le système restore

                      Posté par  . Évalué à 0.

                      pour demain je veux une explication detaille sur les dernieres methodes pour reduire les turbulences sur les ailes d'avion. Tu t'en fous? Pourtant tu prends bien l'avion de temps en temps et ben moi c'est pareil je m'en tape de la facon dont fonctionne un antivirus. Je n'utilise que de temps en temps windows. Par contre toi tu dois atendre que l'avion crash pas et ben moi j'attend que le systeme ne s'autodretuise pas...

                      • [^] # Re: Et la quarantaine et le système restore

                        Posté par  . Évalué à 2.

                        pour demain je veux une explication detaille sur les dernieres methodes pour reduire les turbulences sur les ailes d'avion. Tu t'en fous? Pourtant tu prends bien l'avion de temps en temps

                        Tu remarqueras que moi je ne dis pas a Boeing et Airbus qu'ils sont des idiots et ne savent pas faire des ailes d'avion, contrairement a toi, j'ai une once d'humilite et laisse les specialistes du sujet faire leur boulot sachant que je ne peux rien apporter d'intelligent sur le sujet.

                        et ben moi c'est pareil je m'en tape de la facon dont fonctionne un antivirus. Je n'utilise que de temps en temps windows. Par contre toi tu dois atendre que l'avion crash pas et ben moi j'attend que le systeme ne s'autodretuise pas...

                        Si tu avais ne serait ce qu'une once de comprehension, tu saurais que ce que les anti-virus font est tout a fait normal.

                        PS: Le jour ou tu debarques chez Boeing ou Airbus pour leur expliquer qu'ils font n'importe quoi, previens-moi, je veux assister au spectacle.

                        • [^] # Re: Et la quarantaine et le système restore

                          Posté par  . Évalué à 1.

                          Tu remarqueras que Windows est le seul systeme qui met un anti-virus en mode kernel...et aussi le seul systeme a etre reelement touche apr ce genre de truc. Enfin bon c'est vrai que Microsoft a une super reputation en terme de securisation de ses logiciels et systeme d'exploitation...

                          • [^] # Re: Et la quarantaine et le système restore

                            Posté par  . Évalué à 1.

                            Tu remarqueras que Windows est le seul systeme qui met un anti-virus en mode kernel...et aussi le seul systeme a etre reelement touche apr ce genre de truc.

                            Merci pour ce grand moment d'humour...

                            http://download.avg.com/filedir/doc/AVG_7.5/LINUX_GROUP/AVG_(...)

                            DAZUKO Kernel Module
                            The DAZUKO kernel module is necessary for the proper function of AVG 7.5
                            for Linux/FreeBSD on-access scanner. Please use the latest stable version of
                            DAZUKO - available for free at http://www.dazuko.org (see chapter 5.3 Onaccess
                            Scanner for detailed information on this topic).

                            Franchement, arretes de te ridiculiser, ca devient penible

                            • [^] # Re: Et la quarantaine et le système restore

                              Posté par  . Évalué à 1.

                              What is Dazuko?

                              Dazuko aims to be a cross-platform device driver that allows applications to control file access on a system. By installing the driver, your system will be able to support file access control applications that are based on Dazuko. As this project becomes more popular and more applications choose Dazuko for their file access needs, it is hoped that this driver will become a common component of most systems.


                              Ca c'est de l'anti-virus.... Tu voudrais pas aussi donner un lien vers ext2/3 tant que tu y es?

                              De plus un antivirus pour linux, plateforme qui en a 0 de recense, en dehors de scanner les fichiers doc (d'un logiciel de ta boite encore une fois) ca sert pas a grand chose (pour le moment).

                              • [^] # Re: Et la quarantaine et le système restore

                                Posté par  . Évalué à 1.

                                Ca c'est de l'anti-virus.... Tu voudrais pas aussi donner un lien vers ext2/3 tant que tu y es?

                                Et il continue de s'enfoncer...

                                Dazuko est _exactement_ le meme type de driver que les drivers utilises par les anti-virus sous Windows, et la version d'AVG pour Linux/BSD l'utilise pour les memes besoins, tu fais expres de pas comprendre dis-moi ? Je commences a m'inquieter pour ton etat mental la.

                                De plus un antivirus pour linux, plateforme qui en a 0 de recense, en dehors de scanner les fichiers doc (d'un logiciel de ta boite encore une fois) ca sert pas a grand chose (pour le moment).

                                Serieusement, tu essaies de battre le record d'aneries en une journee ?

                                • [^] # Re: Et la quarantaine et le système restore

                                  Posté par  . Évalué à 1.

                                  Je te repette (et je ne lis pas ta prose car elle me fatigue mais je soupconne qu'elle est remplie d'insulte, de denegation du petit detail et qu'elle oublie le point principal) que je me tape de comment un antivirus fonctionne. Un antivirus ne doit pas tourner en mode admnistrateur (ou root) qui lui donne donc le droit d'ecrire et d'effacer tout ce qu'il veut. Un antivirus est cense proteger les donnees de l'utilisateur point barre et d'ailleurs c'est ce que fait clamav (qui au passage est a mettre a jour). Le truc que toi tu comprends pas c'est qu'il existe des systemes ou par defaut l'utilisateur n'est pas administrateur et par defaut tous les softs ne tournent donc pas en mode administrateur. Ce que tu comprends pas aussi c'est que a partir du moment ou un fichier systeme a ete infecte cela veut dire que rien sur le pc n'est digne de confiance.

                                  Tu veux me faire passer pour un con, un debile et tu pars dans un delire dans la facon dont tourne un antivirus en detournant l'attention du vrai probleme c'est une tactique comme un autre cela changera pas le fait que le systeme sur lequel TU bosses est le seul systeme qui a des problemes de virus et non c'est pas une question de popularite sinon, je le redis et je ne compare pas avec linux, on verrait une explosion des virus sur MacOSX.

                                  • [^] # Re: Et la quarantaine et le système restore

                                    Posté par  (site web personnel) . Évalué à 3.

                                    tape de comment un antivirus fonctionne

                                    Tu te tapes de comment et surtout du pourquoi.

                                    Un antivirus ne doit pas tourner en mode admnistrateur (ou root)

                                    On t'a déjà expliqué pourquoi, tu peux le répéter à l'envie ça ne change pas les bonnes raisons pour lesquelles il doit.

                                    a partir du moment ou un fichier systeme a ete infecte cela veut dire que rien sur le pc n'est digne de confiance.

                                    Ben à ton avis un antivirus qui scanne le dit système il sert à quoi à la base ?


                                    c'est pas une question de popularité sinon, je le redis et je ne compare pas avec linux, on verrait une explosion des virus sur MacOSX.

                                    On parle bcp de OS/X ok, plus d'utilisateur que linux ok, mais bon la base utilisateur de OS/X est largement inférieur à celle de windows c'est comme ça... même si elle est supérieur à celle de linux. Maintenant vu ce que je lis tu es en train d'affirmer qu'il ne peut y avoir de virus sur OS/X (et linux on l'avait compris)... et bien c'est faux et sache que la majorité des virus actuelle sur windows (je le sais j'en dépanne parfois) sont surtout des trojans qui tourne avec les droits users, ralentisses la machine, corrompe des fichiers users et font du spam... et ça ni os/x, ni linux ne peuvent l'empêcher. Donc soit au moins honnête un fois avec toi et sors de ton délire.

                                    • [^] # Re: Et la quarantaine et le système restore

                                      Posté par  . Évalué à 1.

                                      Maintenant vu ce que je lis tu es en train d'affirmer qu'il ne peut y avoir de virus sur OS/X (et linux on l'avait compris)

                                      Tu as rien compris car je n'ai jamais dit cela. J'ai dit qu'un antivirus ne devrait pas avoir le droit d'ecriture (et par consequent d'effacement) sur des fichiers systemes ce qui est legerement different des fichiers utilisateurs. Tu remarqueras que cela n'empeche pas le scan (au passage).
                                      La chose que visiblement tu as aussi du mal a comprendre c'est que je considere, et les administrateurs que je connais, que a partir du moment ou les fichiers systemes ont ete verole je ne peux plus avoir confiance dans quoi que ce soit du systeme.

                                      Par defaut n'importe quel distribution linux a son installation plus securise que celle de windows pour la seule et unique raison que l'utilisateur qui est cree au moment de l'installation n'est jamais avec tous les droits administratifs, jamais. Une enorme difference avec windows. De plus linux apres l'installation ne te demande pas d'installer aussitot l'installation fini un antivirus qui visiblement ont des droits trop eleve... Tes trojans peuvent s'installer aussi facilement pour la simple et unique raison que l'utilisateur par defaut a tous les droits. C'est un des trucs de base de la securite informatique que aucun utilisateur ne doit etre en mode admin/root. Si il veut passer en admin/root le choix doit etre clair et net ce qui est le cas sous linux avec les comptes root (jamais d'autologin par defaut dessus quelque soit la distrib) et jamais de sudo sans mot de passe (ce qui permet de voir et de savoir que l'on va potentiellement ecrire sur le systeme). Sous windows, l'utlisateur par defaut est administrateur avec tous les droits et se sert de Internet Explorer que l'on sait super secur... Que le systeme permette de faire des trucs propres peut etre tant que cela n'est pas par defaut (comme c'est le cas sous les autres systemes que ce soit linux, macos X, solaris etc) le probleme tel que le truc AVG existera et ce ne sera pas la faute de l'interface chaise clavier utilisateur mais de l'interface chaise clavier du developpeur windows.

                                      En ce qui concerne la popularite de windows c'est toujours le meme argument qui pouvait etre vrai avant mais surement pas maintenant. Dans les facs, la ou se trouve la majorite des gamins qui font des couilloneries, ce sont les macs qui predominent (et oui vista a assez peu de "sex appeal") et de tres tres loin. Les Unix existent depuis plusieurs dizaines d'annees dans a peu pres toutes les facs et je n'ai jamais entendu parler d'un virus dessus, de rootkit oui mais pas de virus.

                                      Ca fait quelques annees maintenant que je me sers d'un ordinateur. Je me suis servi moi meme ou ait eu acces a presque toute la serie windows: win 3, win95, par win98, NT4, millinium, 2000, XP et c'est rigolo mais meme en faisant attention moi ou les personnes qui avaient ce genre de systeme on un jour ou l'autre attrape une cochonnerie dessus (virus, rootkit, spyware...) meme sur des systemes a jour avec l'auto-update de mis... En comparaison, linux ca fait plus de 10 ans que je m'en sers tous les jours comme systeme principal et meme unique depuis quelques annees maintenant et je n'ai eu qu'un seul probleme en 2000, un rootkit (et encore c'etait une machine qui etait administre par mon boulot et legerement pas a jour qui a naturellement entraine un formatage et une re-instalation). Alors tu vois niveau securite ecouter les "conseils" d'un gars bossant dans la boite qui produit la serie Windows cela me fait doucement rigoler.

                                      • [^] # Re: Et la quarantaine et le système restore

                                        Posté par  (site web personnel) . Évalué à 2.

                                        Mais enfin tu le fais exprès ? pas besoin de droit root pour effacer ton home, pas besoin de droit root pour lire ton carnet d'adresse, pas besoin de droit root pour utiliser ton client mail, pas besoin de droit root pour ouvrir des fenêtre intempestive, pas besoin d'être root pour ouvrir un socket, pas besoin de droit root pour foutre mon script qui fait tout ça dans ton bashrc, ton autostart kde ou gnome... pas besoin donc si y a pas besoin de droit root pour faire tout ça, si il n'y pas de virus de ce type sous linux c'est 1 par manque de popularité et 2 parce que la plupart des users linux ne lance pas un prog (sous leur droit utilisateur hein pas en root, je parle bien de leur droit utilisateur) qui vient de n'importe où... Un trojan n'a pas besoin des droits root pour ouvrir un socket, prendre une copie d'écran de ton X ou n'importe quoi d'autres que ce soit sous linux, os/x ou windows ou autre.

                                        Bon en espérant que tu lises plus loin que le Mais et au moins jusqu'à ici (oui ici).

                                        • [^] # Re: Et la quarantaine et le système restore

                                          Posté par  . Évalué à 2.

                                          Mais c'est toi qui le fait expres il y a pas a dire. Le probleme AVG c'est l'effacement d'un fichier systeme qui empeche du coup le redemarrage de l'ordi. Je peux te garantir que effacer le /home sur mon pc cela ne fera pas planter le redemarrage de linux...

                                          • [^] # Re: Et la quarantaine et le système restore

                                            Posté par  (site web personnel) . Évalué à 2.

                                            Oui et on t'a dit c'est un bug dans l'antivirus pas dans le système, l'antivirus tournant dans un mode privilégié, en l'occurence dans le kernel il peut le faire... la faute a l'effacement en incombe au programmeur de l'antivirus pas windows... ça serait pareil sous linux.

                                            • [^] # Re: Et la quarantaine et le système restore

                                              Posté par  . Évalué à 1.

                                              ah oui j'abandonne le en effet vous etes forts. Faire croire qu'un anti-virus doit etre en mode privilegie c'est fort.

                                              C'est rigolo comme linux me parait a des annees lumieres de wondws... Lorsque je me sers de clamav pour verifier les merdouilles doc. Je sais pas comment ils ont fait sous linux la encore ca doit etre des magiciens mais l'antivirus il arrive a scanner mes fichiers en mode utilisateur... De la vraie magie! Je viens de retester au cas ou mais ca marche bien comme ca. Il est clair que lorsque mon utilisateur par defaut lance l'antivirus celui ci n'a pas le droit d'effacer un fichier systeme et c'est le systeme qui le bloque tout seul comme un grand!

                                  • [^] # Re: Et la quarantaine et le système restore

                                    Posté par  . Évalué à 2.

                                    Je te repette (et je ne lis pas ta prose car elle me fatigue
                                    J'ai une bonne idée pour toi. Si tu ne lis pas ce qu'il écrit, n'y réponds pas non plus, ça nous ferra des vacances.

                                    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

                                  • [^] # Re: Et la quarantaine et le système restore

                                    Posté par  . Évalué à 1.

                                    Cas standard :

                                    Vulnerabilite dans un daemon qui tourne avec droits root

                                    Le virus passe par cette vulnerabilite, si l'anti-virus n'a pas acces root(ou kernel), ce virus sera protege de l'anti-virus et pourra infecter tout le systeme.

                                    Un jour peut-etre tu comprendras qu'il est utile de comprendre un probleme avant de vouloir le resoudre et donner des lecons aux autres....

                                    J'ai pas besoin de te faire passer pour un con ou un debile, tu fais ca tres bien tout seul.

                                    • [^] # Re: Et la quarantaine et le système restore

                                      Posté par  . Évalué à 4.

                                      Il y a eu une série de débats sur la LKML récemment, car des éditeurs d'antivirus souhaitaient implémenter et faire intégrer des API permettant ce type de fonctionnalités dans le noyau Linux.

                                      Un "cas d'utilisation" standard et clair était justement ce qui faisait défaut, lors de la première tentative d'introduction. Ou plutôt, il manquait la description précise de la menace dont c'était censé nous protéger : les exigences ne sont pas les mêmes selon qu'on cherche à protéger contre une attaque fine et ciblée - ie. un daemon root qui exécute du code arbitraire choisi sur mesure par un humain finira par prendre le dessus sur l'antivirus dans le noyau dans tout les cas (ce type de menaces est plutôt couvert par SELinux) - ou contre un code malicieux mais non ciblé, exécuté bêtement par un simple utilisateur imprudent... Il faut bien dire que cette façon de concevoir la protection contre les attaques (une protection facile à contourner mais qui serait suffisante pour s'épargner les bourinages de masse) est plutôt étrangère aux devs Linux.

                                      A la seconde tentative de discussion, les développeurs d'antivirus ont finalement présenté leurs cas d'utilisation nécessitant une plus grande coopération du kernel. Le risque décrit était plutôt l'utilisation de Linux comme un serveur de fichier (samba, nfs, ftp, scp, ...) ou relayant des fichiers (mail, ...). Pour qu'un tel serveur ne soit pas une "zone d'ombre" du SI non protégée, permettant le stockage des virus, et exposant les postes clients, il faudrait intercepter les écritures sur son disque. Utiliser des hooks dans les services (comme ce que permettent Samba ou Postfix) est une solution efficace mais ne couvre pas tout les cas, et il est inenvisageable d'intégrer un hook vers un antivirus dans tout les daemons Linux possibles. Utiliser LD_PRELOAD et surcharger les fonctions open() & co ne couvre pas non plus tout les cas (le serveur nfs tourne dans le noyau, donc pas de lib, le preload ne marche pas pour les daemons liés statiquement, est ignoré par les binaires suid, et il faudrait surcharger les mille et une façons qu'offre linux pour écrire dans un fichier). Inotify ne leur convient pas non plus (notamment parce qu'il ne peux surveiller qu'un nombre limité de fichiers).

                                      Ces débats sont amusants, il y a un coté "choc des cultures". Et c'est intéressant de constater que plusieurs éditeurs d'antivirus tentent de fournir du code noyau libre, et consacrent pas mal d'efforts pour faire merger ce travail (au point qu'ils ont finis par faire appel aux services de Red Hat pour concevoir le design de l'API dont ils avaient besoin, mais le dev. RH sur le coup n'a lui non plus pas encore réussi à proposer de solution qui convainque tout le monde). Beaucoup de pointures participaient aux débats (Alan Cox, Arjan van de Ven, Greg Kroah-Hartman, James Morris, Al Viro, Andi Kleen, Theodore Tso, Nick Piggin, Rieck van Riel, Christoph Hellwig, ...).

                                      http://lwn.net/Articles/260918/
                                      http://lwn.net/Articles/292872/
                                      http://kerneltrap.org/mailarchive/linux-kernel/2008/8/18/297(...)

                        • [^] # Re: Et la quarantaine et le système restore

                          Posté par  . Évalué à 1.

                          Tu remarqueras que moi je ne dis pas a Boeing et Airbus qu'ils sont des idiots

                          Tu te prends pour Microsoft en fait ?

                      • [^] # Re: Et la quarantaine et le système restore

                        Posté par  (site web personnel) . Évalué à 1.

                        bon bon... ben fais donc ça:

                        sudo rm -rf /

                        Puis tu nous rappelles.

                        • [^] # Re: Et la quarantaine et le système restore

                          Posté par  . Évalué à 1.

                          prend ta voiture va en montagne dans une toute avec plein de lacet et accelere jusqu'a ce que tu bloques ton compteur.

                          T'en as d'autre des exemples aussi intelligents?

                          • [^] # Re: Et la quarantaine et le système restore

                            Posté par  . Évalué à -1.

                            C'est tres intelligent ce qu'il dit, il essaie de te faire comprendre a quel point ce que tu demandes est stupide (que l'OS empeche la modification des fichiers essentiels au systeme), et visiblement tu n'as rien compris.

  • # avast

    Posté par  . Évalué à 2.

    J'en ai une bonne du même tonneau. Vendredi dernier, dans nos locaux, l'Avast du PC d'un collègue s'est mis à bipper après s'être mis à jour. Il avait détecté qu'un de nos propres softs contenait un rootkit. Une recompilation plus tard, le verdict tombait : c'était a priori l'heuristique d'avast qui déconnait. Notre binaire était tout à fait correct, et on avait même pas le temps de finir la compil qu'avast détectait un rootkit dans les fichiers.
    Le vrai problème, c'est que c'est arrivé en même temps chez certains clients, en production. Avast a proposé chez ces derniers la suppression ou quarantaine etc ... Et les clients, voulant bien faire, ont choisi la suppression. Un vendredi bien fatiguant ...

    Ce dysfonctionnement m'a tellement sidéré que j'ai regardé ce week end si y avait des précédents et y en a (plein).
    Par ex :
    http://forum.zebulon.fr/faux-positif-d-avast-win32rootkit-ge(...)

    Je n'ai pas de certitude concernant AVG, mais il ne me semblerait pas surprenant que le pb soit du même genre. Le fichier n'était probablement pas vérolé, mais l'heuristique a du merder.

  • # Question

    Posté par  . Évalué à 1.

    Juste une question : y a t il des virus sur la Xbox360 et autres ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.