Suivre

Attention à ne pas vous faire piéger dans avec le scan d'URL ⚠️

Scénario : vous recevez un lien (suspect) vers un fichier ZIP, mais un doute subsiste, d'autant que le domaine semble légitime. Vous décidez alors de soumettre cette URL à virustotal.com (onglet "URL")

Après le scan, VirusTotal retourne un résultat comme celui de l'image.

Tout est au vert, rien n'est détecté, ouf ?

Pas si vite ! Lisez bien ce que j'ai encadré en rouge... 🔍

⤵️⤵️⤵️

· · Web · 1 · 14 · 5

Vous voyez ? VirusTotal a reçu un contenu HTML vide, autrement dit une page blanche, et non le fichier ZIP ! Forcément, une page blanche ne présente aucun risque…

En téléchargeant le fichier ZIP (en VM) et en le soumettant directement à VirusTotal, le résultat est tout autre : 17 antivirus signalent une menace ! 😲

Techniquement, il est très probable que le site cible détecte le "bot" de VirusTotal et lui bloque tout téléchargement du fichier en lui présentant un autre contenu.

Prudence, donc…

Afficher le fil de discussion

@kvuilleumier

ooohhh.... 😮 pas con.
Merci de l'avertissement, je n'aurais pas fait gaffe.

C'est con de la part de VirusTotal de ne pas sigaler plus clairement qu'ils n'ont rien scanné.

@sebsauvage @kvuilleumier Après, si c’est de la détection, ça pourrait te livrer un zip piégé et un légitime à VirusTotal. T’es obligé de vérifier le ZIP après téléchargement parce que c’est facile de sortir un contenu différent selon la façon dont c’est téléchargé (referer, cookie, user-agent…).

@breizh @sebsauvage D'après leur aide (support.virustotal.com/hc/en-u), le scan peut échouer pour différentes raisons. On est clairement dans une variante du troisième point.

Et oui, l'hypothèse d'une variante "clean" spécialement distribuée à VT n'est pas non plus à exclure !

Du coup, ouais, aucune réelle "certitude" tant que le fichier n'est pas chargé par nos soins... 😅

Qu'est-ce qu'il ne faut pas faire.

@kvuilleumier Il est effectivement bon de rappeler que VirusTotal n'est qu'un outil parmi d'autres ; de simples indicateurs permettant une évaluation rapide. De la même manière, un scan en ligne de l'antivirus X ne retourne pas systématiquement le même résultat que le produit X installé localement.

« Prudence est mère de sûreté »

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !