Danksagungen2 Stats

Détection de "Faux Positif" - Que faire (WS.Reputation.1)

Gepostet: 2010-06-10 | 07:03 · 2 Antworten · · Übersetzung:

Bonjour.

Depuis 2009, Norton utilise la technologie dite de "réputation"; voir article ici.

Dans certaine situation une détection peut s'avérer étant comme "faux-positif" (un fichier interprèté comme étant potentiellement dangeureux lorsque celui-ci ne l'est pas), et voici quelques conseils pour ce genre de situation:

- WS.Reputation.1

- Restaurer un fichier mis en quarantaine

- Pour les développeurs

- WS.Reputation.1:


Pour éviter toute confusion, nous pensons qu’il est important d'expliquer à quoi correspond cette détection et comment la traiter.  Tout d'abord, nous avons publié un article (en anglais) sur le site Security Response à l’adresse suivante : http://www.symantec.com/en/uk/security_response/writeup.jsp?docid=2010-051308-1854-99

Voici un extrait traduit de l’article :

WS.Reputation.1 détecte les fichiers qui ont un score de réputation faible (le score étant basé sur l’analyse des données obtenues de la communauté d’utilisateurs Symantec), et sont donc susceptibles  de constituer des risques de sécurité. Les détections de ce type s’appuient sur la technologie de sécurité de Symantec basée sur la réputation. Cette détection étant basée sur un score de réputation, elle ne représente pas une classe spécifique de menace, comme par exemple les adware (logiciels publicitaires) ou spyware (logiciels espions), mais s'applique plutôt à toutes les catégories de menaces.

 

Le système basé sur la réputation utilise « la sagesse des foules » (les dizaines de millions d'utilisateurs finaux des produits Symantec). Il est  connecté à l'intelligence du cloud (ou nuage) afin de calculer un score de réputation pour une application, identifiant par là-même tout logiciel malveillant d'une façon totalement innovatrice, au delà des signatures traditionnelles et des techniques basées sur le comportement de détection.

Bien entendu, comme pour toute technologie de sécurité, il est toujours possible de faire une erreur sur un fichier.  Nous optimisons constamment le système de réputation pour éviter ces problèmes, mais ils peuvent se produire occasionnellement.  Si vous pensez qu’un fichier a été détecté incorrectement par WS.Reputation.1, vous pouvez exprimer votre désaccord à l’adresse suivante : https://submit.symantec.com/dispute/.  Cette page est contrôlée 24h sur 24 afin de pouvoir immédiatement analyser et corriger tout problème signalé. 

- Restaurer un fichier mis en quarantaine


Si vous êtes sûr d’avoir obtenu un faux positif et si vous ne pouvez pas attendre la prise en charge de la contestation de la détection, le produit vous permet de supprimer manuellement tout élément mis en quarantaine.  Pour ce faire, ouvrez la fenêtre principale et cliquez sur le lien Quarantaine comme illustré ci-dessous :

Dans la fenêtre Quarantaine, sélectionnez le fichier que vous souhaitez restaurer et cliquez sur le bouton Options sous les actions recommandées.

Dans la fenêtre Détection des menaces, sélectionnez Restaurer cette option de fichier afin de restaurer votre fichier. 

- Pour les développeurs

Quand notre technologie de réputation trouve un tout nouveau fichier (y compris tout élément issu de votre création), elle utilise un certain nombre de facteurs pour déterminer sa réputation. Nous utilisons tous ces facteurs pour nous assurer que nous pouvons offrir la meilleure protection à nos utilisateurs, tout en empêchant les faux positifs. La nouveauté d’un fichier n’est qu’un seul des facteurs que nous utilisons.  Cependant, les développeurs pourraient rencontrer un niveau de FP plus élevé que les utilisateurs typiques.

Dès lors, des solutions de contournement pour les développeurs afin qu’ils puissent limiter les problèmes rencontrés avec les exécutables qu’ils développent eux-mêmes.

Le conseil serait donc d'utiliser les options d'Exclusions: (dans les Paramètres d'ordinateur)

Les développeurs de logiciels qui veulent accélérer le processus de confirmation de réputation pour leurs nouvelles applications, peuvent soumettre toute nouvelle application au programme «liste blanche » de Symantec. Les détails de ce programme sont disponibles en anglais ici. (https://submit.symantec.com/whitelist/)

N'hésitez surtout pas à nous donner vos avis.

--AureleNorton Forums Community ManagerSymantec Corporation

Antworten

Danksagungen0

Re: Détection de "Faux Positif" - Que faire (WS.Reputation.1)

Gepostet: 2010-06-10 | 07:03 · Bearbeitet: 2010-06-10 | 07:03 · Permanenter Link

Bonjour.

Depuis 2009, Norton utilise la technologie dite de "réputation"; voir article ici.

Dans certaine situation une détection peut s'avérer étant comme "faux-positif" (un fichier interprèté comme étant potentiellement dangeureux lorsque celui-ci ne l'est pas), et voici quelques conseils pour ce genre de situation:

- WS.Reputation.1

- Restaurer un fichier mis en quarantaine

- Pour les développeurs

- WS.Reputation.1:


Pour éviter toute confusion, nous pensons qu’il est important d'expliquer à quoi correspond cette détection et comment la traiter.  Tout d'abord, nous avons publié un article (en anglais) sur le site Security Response à l’adresse suivante : http://www.symantec.com/en/uk/security_response/writeup.jsp?docid=2010-051308-1854-99

Voici un extrait traduit de l’article :

WS.Reputation.1 détecte les fichiers qui ont un score de réputation faible (le score étant basé sur l’analyse des données obtenues de la communauté d’utilisateurs Symantec), et sont donc susceptibles  de constituer des risques de sécurité. Les détections de ce type s’appuient sur la technologie de sécurité de Symantec basée sur la réputation. Cette détection étant basée sur un score de réputation, elle ne représente pas une classe spécifique de menace, comme par exemple les adware (logiciels publicitaires) ou spyware (logiciels espions), mais s'applique plutôt à toutes les catégories de menaces.

 

Le système basé sur la réputation utilise « la sagesse des foules » (les dizaines de millions d'utilisateurs finaux des produits Symantec). Il est  connecté à l'intelligence du cloud (ou nuage) afin de calculer un score de réputation pour une application, identifiant par là-même tout logiciel malveillant d'une façon totalement innovatrice, au delà des signatures traditionnelles et des techniques basées sur le comportement de détection.

Bien entendu, comme pour toute technologie de sécurité, il est toujours possible de faire une erreur sur un fichier.  Nous optimisons constamment le système de réputation pour éviter ces problèmes, mais ils peuvent se produire occasionnellement.  Si vous pensez qu’un fichier a été détecté incorrectement par WS.Reputation.1, vous pouvez exprimer votre désaccord à l’adresse suivante : https://submit.symantec.com/dispute/.  Cette page est contrôlée 24h sur 24 afin de pouvoir immédiatement analyser et corriger tout problème signalé. 

- Restaurer un fichier mis en quarantaine


Si vous êtes sûr d’avoir obtenu un faux positif et si vous ne pouvez pas attendre la prise en charge de la contestation de la détection, le produit vous permet de supprimer manuellement tout élément mis en quarantaine.  Pour ce faire, ouvrez la fenêtre principale et cliquez sur le lien Quarantaine comme illustré ci-dessous :

Dans la fenêtre Quarantaine, sélectionnez le fichier que vous souhaitez restaurer et cliquez sur le bouton Options sous les actions recommandées.

Dans la fenêtre Détection des menaces, sélectionnez Restaurer cette option de fichier afin de restaurer votre fichier. 

- Pour les développeurs

Quand notre technologie de réputation trouve un tout nouveau fichier (y compris tout élément issu de votre création), elle utilise un certain nombre de facteurs pour déterminer sa réputation. Nous utilisons tous ces facteurs pour nous assurer que nous pouvons offrir la meilleure protection à nos utilisateurs, tout en empêchant les faux positifs. La nouveauté d’un fichier n’est qu’un seul des facteurs que nous utilisons.  Cependant, les développeurs pourraient rencontrer un niveau de FP plus élevé que les utilisateurs typiques.

Dès lors, des solutions de contournement pour les développeurs afin qu’ils puissent limiter les problèmes rencontrés avec les exécutables qu’ils développent eux-mêmes.

Le conseil serait donc d'utiliser les options d'Exclusions: (dans les Paramètres d'ordinateur)

Les développeurs de logiciels qui veulent accélérer le processus de confirmation de réputation pour leurs nouvelles applications, peuvent soumettre toute nouvelle application au programme «liste blanche » de Symantec. Les détails de ce programme sont disponibles en anglais ici. (https://submit.symantec.com/whitelist/)

N'hésitez surtout pas à nous donner vos avis.

--AureleNorton Forums Community ManagerSymantec Corporation
Danksagungen0

Re: Détection de "Faux Positif" - Que faire (WS.Reputation.1)

Gepostet: 2012-10-09 | 19:17 · Permanenter Link

[Déplacé comme message indépendant. Merci. Liliana]
Liliana Gaspar

This thread is closed from further comment. Please visit the forum to start a new thread.