Journal Microsoft Visual C++ 2013 contenait-il un virus ?

Posté par  . Licence CC By‑SA.
Étiquettes :
8
27
juil.
2022

Microsoft Visual C++ 2013 redistribuable version 12.0.40664.0 français 32 bits était téléchargeable sur la page https://support.microsoft.com/en-sg/help/4032938/update-for-visual-c-2013-redistributable-package

Cette version contient un virus d'après ClamAV mais est inoffensive d'après les autres antivirus : https://www.virustotal.com/gui/file/d50ac6611f7f5be59b765ee9cea7cfed45ec7dc51952ed49e10586b1613b30c1

Bizarrement, depuis le piratage de Microsoft en 2022 et la découverte de traces d'intrusions plus anciennes dans leur infrastructure, la page https://support.microsoft.com/en-sg/help/4032938/update-for-visual-c-2013-redistributable-package est redirigée vers https://support.microsoft.com/fr-fr/topic/update-for-visual-c-2013-redistributable-package-d8ccd6a5-4e26-c290-517b-8da6cfdf4f10 où on peut télécharger la même version de cette librairie. Mais quand on compare les 2 paquets, la somme de contrôle est différente.

Et maintenant, quand on installe l'ancien paquet, il y a une erreur de certificat et l'installation échoue. Microsoft a donc bien mis à disposition deux paquets différents mais ayant le même numéro de version.

Se seraient-il fait infiltrer le serveur et inséré un virus dans Microsoft Visual C++ 2013 avant de s'en apercevoir, et de le corriger discrètement, sans communiquer à ce sujet ?

  • # coquille

    Posté par  . Évalué à 2 (+1/-0).

    où on peut téléchargé - où on peut télécharger

    • [^] # Re: coquille

      Posté par  . Évalué à 6 (+3/-0). Dernière modification le 27/07/22 à 10:47.

      corrigé, merci.

      EDIT : je me suis permis un peu d'aération du texte également.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # Mise à jour du certificat ?

    Posté par  . Évalué à 3 (+2/-1).

    Et maintenant, quand on installe l'ancien paquet, il y a une erreur de certificat et l'installation échoue.

    Est-ce que la nouvelle version ne contient pas simplement une mise à jour du certificat pour permettre l'installation ? Ca me parait logique de ne changer que le certificat et de garder le même numéro de version mais peut être que je n'ai pas bien compris.

    • [^] # Re: Mise à jour du certificat ?

      Posté par  . Évalué à 2 (+1/-0).

      Oui, c'est aussi une possibilité. ClamAV doit faire un faux positif et le certificat a été mis à jour entre la version que j'avais (téléchargée il y a très longtemps) et la version actuelle.

    • [^] # Re: Mise à jour du certificat ?

      Posté par  . Évalué à 3 (+3/-1).

      Il me semblait que pour les certifs au niveau de l'exe la date de validité du certificat était comparée à la date de signature et non pas à la date courante (ce qui est logique), justement pour éviter de devoir régénérer des installeurs à tout bout de champ
      Ou alors il utilisait une CA/un algo qui a sauté ?

      • [^] # Re: Mise à jour du certificat ?

        Posté par  . Évalué à 1 (+0/-0). Dernière modification le 28/07/22 à 23:28.

        Maintenant, j'ai comme un doute sur l'origine de la première version que j'avais. Le fichier a peut-être été corrompu sur mon disque ou venait d'ailleurs.

      • [^] # Re: Mise à jour du certificat ?

        Posté par  . Évalué à 1 (+1/-0).

        J'aurais tendance à dire qu'une fois qu'un certificat est périmé, c'est définitif. Sinon rien ne t'empêche de signer un fichier/exe vérolé avec la clef privée qui aurait été potentiellement brute-forcée entre-temps. Tous les contrôles sur la date se contournent je pense: remonter l'horloge système au moment de signer ton fichier, forger une fausse date de création à ton fichier…

  • # ClamAV est connu pour ses faux positifs

    Posté par  . Évalué à 8 (+8/-1).

    ClamAV utilise essentiellement un système de détection par signature. Il utilise des fichiers de signature qui sont alimentés par la bonne volonté des utilisateurs notamment les autres éditeurs d'antivirus (https://www.web-dev-qa-db-fra.com/fr/malware/ou-clamav-obtient-il-ses-signatures-de-virus/l968270645/).
    Ces derniers ont tout intérêt que ClamAV produise des faux positifs, car cela interdit tout déploiement en milieu professionnel (j'ai essayé :tout le monde va râler contre cet anti-virus qui les empêche d'installer quoique ce soit). Il y a déjà eu une polémique à ce sujet il y a plusieurs années.

    En résumé : ClamAV est bien pour avoir l'assurance de se protéger car il ne produit que très peu de faux négatifs, mais ne peut être utiliser dans un cadre professionnel à cause des faux positifs qui impose d'utiliser en parallèle des services comme VirusTotal en cas d'alerte.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.