Journal Microsoft Visual C++ 2013 contenait-il un virus ?

Posté par tout le 27 juillet 2022 à 10:15. Licence CC By‑SA.

Étiquettes :

juil.

2022

Microsoft Visual C++ 2013 redistribuable version 12.0.40664.0 français 32 bits était téléchargeable sur la page https://support.microsoft.com/en-sg/help/4032938/update-for-visual-c-2013-redistributable-package

Cette version contient un virus d'après ClamAV mais est inoffensive d'après les autres antivirus : https://www.virustotal.com/gui/file/d50ac6611f7f5be59b765ee9cea7cfed45ec7dc51952ed49e10586b1613b30c1

Bizarrement, depuis le piratage de Microsoft en 2022 et la découverte de traces d'intrusions plus anciennes dans leur infrastructure, la page https://support.microsoft.com/en-sg/help/4032938/update-for-visual-c-2013-redistributable-package est redirigée vers https://support.microsoft.com/fr-fr/topic/update-for-visual-c-2013-redistributable-package-d8ccd6a5-4e26-c290-517b-8da6cfdf4f10 où on peut télécharger la même version de cette librairie. Mais quand on compare les 2 paquets, la somme de contrôle est différente.

Et maintenant, quand on installe l'ancien paquet, il y a une erreur de certificat et l'installation échoue. Microsoft a donc bien mis à disposition deux paquets différents mais ayant le même numéro de version.

Se seraient-il fait infiltrer le serveur et inséré un virus dans Microsoft Visual C++ 2013 avant de s'en apercevoir, et de le corriger discrètement, sans communiquer à ce sujet ?

# coquille

Posté par tout le 27 juillet 2022 à 10:16. Évalué à 2.

où on peut téléchargé - où on peut télécharger
- [^] # Re: coquille
  
  Posté par gUI (Mastodon) le 27 juillet 2022 à 10:45. Évalué à 6. Dernière modification le 27 juillet 2022 à 10:47.
  
  corrigé, merci.
  
  EDIT : je me suis permis un peu d'aération du texte également.
  
  En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# Mise à jour du certificat ?

Posté par nico4nicolas le 27 juillet 2022 à 10:28. Évalué à 3.

Et maintenant, quand on installe l'ancien paquet, il y a une erreur de certificat et l'installation échoue.

Est-ce que la nouvelle version ne contient pas simplement une mise à jour du certificat pour permettre l'installation ? Ca me parait logique de ne changer que le certificat et de garder le même numéro de version mais peut être que je n'ai pas bien compris.
- [^] # Re: Mise à jour du certificat ?
  
  Posté par tout le 27 juillet 2022 à 10:30. Évalué à 2.
  
  Oui, c'est aussi une possibilité. ClamAV doit faire un faux positif et le certificat a été mis à jour entre la version que j'avais (téléchargée il y a très longtemps) et la version actuelle.
- [^] # Re: Mise à jour du certificat ?
  
  Posté par Sébastien Le Ray le 27 juillet 2022 à 23:19. Évalué à 3.
  
  Il me semblait que pour les certifs au niveau de l'exe la date de validité du certificat était comparée à la date de signature et non pas à la date courante (ce qui est logique), justement pour éviter de devoir régénérer des installeurs à tout bout de champ
  Ou alors il utilisait une CA/un algo qui a sauté ?
  - [^] # Re: Mise à jour du certificat ?
    
    Posté par tout le 28 juillet 2022 à 23:28. Évalué à 1. Dernière modification le 28 juillet 2022 à 23:28.
    
    Maintenant, j'ai comme un doute sur l'origine de la première version que j'avais. Le fichier a peut-être été corrompu sur mon disque ou venait d'ailleurs.
  - [^] # Re: Mise à jour du certificat ?
    
    Posté par bobbysixkiller le 09 août 2022 à 19:27. Évalué à 1.
    
    J'aurais tendance à dire qu'une fois qu'un certificat est périmé, c'est définitif. Sinon rien ne t'empêche de signer un fichier/exe vérolé avec la clef privée qui aurait été potentiellement brute-forcée entre-temps. Tous les contrôles sur la date se contournent je pense: remonter l'horloge système au moment de signer ton fichier, forger une fausse date de création à ton fichier…
# ClamAV est connu pour ses faux positifs

Posté par HG203 le 27 juillet 2022 à 12:02. Évalué à 8.

ClamAV utilise essentiellement un système de détection par signature. Il utilise des fichiers de signature qui sont alimentés par la bonne volonté des utilisateurs notamment les autres éditeurs d'antivirus (https://www.web-dev-qa-db-fra.com/fr/malware/ou-clamav-obtient-il-ses-signatures-de-virus/l968270645/).
Ces derniers ont tout intérêt que ClamAV produise des faux positifs, car cela interdit tout déploiement en milieu professionnel (j'ai essayé :tout le monde va râler contre cet anti-virus qui les empêche d'installer quoique ce soit). Il y a déjà eu une polémique à ce sujet il y a plusieurs années.

En résumé : ClamAV est bien pour avoir l'assurance de se protéger car il ne produit que très peu de faux négatifs, mais ne peut être utiliser dans un cadre professionnel à cause des faux positifs qui impose d'utiliser en parallèle des services comme VirusTotal en cas d'alerte.
- [^] # Re: ClamAV est connu pour ses faux positifs
  
  Posté par Gil Cot ✔ (site web personnel, Mastodon) le 27 juillet 2022 à 19:07. Évalué à 7.
  
  Perso, et professionnellement, ça me rassure plus d'avoir le moins de faux négatif possible…
  
  “It is seldom that liberty of any kind is lost all at once.” ― David Hume
  - [^] # Re: ClamAV est connu pour ses faux positifs
    
    Posté par SpaceFox (site web personnel, Mastodon) le 28 juillet 2022 à 15:27. Évalué à 6.
    
    Le problème n’est pas tellement d’avoir des faux positifs ou de ne pas avoir de faux négatifs, mais d’en avoir une quantité déraisonnable.
    
    Par exemple, un « antivirus » qui lancerait une alerte sur tous les fichiers analysés aurait très exactement 0 % de faux négatifs et détecterait 100 % des virus… mais serait totalement inutilisable.
    
    La connaissance libre : https://zestedesavoir.com
    - [^] # Re: ClamAV est connu pour ses faux positifs
      
      Posté par Gil Cot ✔ (site web personnel, Mastodon) le 28 juillet 2022 à 15:52. Évalué à 5.
      
      « c'est pas faux »
      
      “It is seldom that liberty of any kind is lost all at once.” ― David Hume
- [^] # Re: ClamAV est connu pour ses faux positifs
  
  Posté par Blaise (Mastodon) le 28 juillet 2022 à 19:56. Évalué à 3.
  
  C'est un peut fort de parler d'interdiction : ClamAV est bel et bien utilisé en milieu professionnel.
  - [^] # Re: ClamAV est connu pour ses faux positifs
    
    Posté par SpaceFox (site web personnel, Mastodon) le 29 juillet 2022 à 04:30. Évalué à 10.
    
    Étant donné ce que j'ai vu au cours de mes différents boulots, "Utilisé en milieu professionnel" a depuis longtemps cessé d'être synonyme d'une quelconque forme de qualité pour moi ^{^'}
    
    La connaissance libre : https://zestedesavoir.com
    - [^] # Re: ClamAV est connu pour ses faux positifs
      
      Posté par Elfir3 le 01 août 2022 à 17:04. Évalué à 3.
      
      Je pense que c'est surtout synonyme de "j'ai payé pour un un numéro de téléphone/email/… avec peut être quelqu'un de l'autre côté"
      - [^] # Re: ClamAV est connu pour ses faux positifs
        
        Posté par SpaceFox (site web personnel, Mastodon) le 01 août 2022 à 17:19. Évalué à 4.
        
        Quelque chose comme ça, oui, ou sa variante « J’ai payé pour pouvoir taper sur quelqu’un si ça ne fonctionne pas (résultats non garantis sauf si je paie beaucoup plus – et encore) ».
        
        La connaissance libre : https://zestedesavoir.com

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.