Google vient de racheter VirusTotal

[Ldfa]

Le célèbre site VirusTotal vient d'être acheté par Google, c'est ce que l'on peut lire, entre autre sur PCMag.com.

 

Pour rappel, ce site vous permet de tester gratuitement en ligne n'importe quel fichier ou URL qui vous paraitrait suspect avec tous les anti-virus existant à jour.

 

Je ne sais pas si c'est une bonne ou une mauvaise chose, l'avenir nous le dira, mais celà permettra peut-être de maintenir ce service gratuit, même si Google trouvera surement un moyen de faire de l'argent avec, d'une manière indirecte comme d'habitude.

[Bracam]

Peu ou pas de commentaires sur cette nouvelle mais bref...

 

L'usage de Virustotal a changé, et j'essaie de comprendre comment il procède désormais : auparavant, le fichier à analyser était envoyé au complet. Désormais, ceux que j'envoie, aussi lourds soient-ils, font l'objet d'une transmission hyper rapide, la barre de chargement se déplace à toute vitesse et cette durée me semble comparable quelle que soit la taille du fichier. Cela ne dure que quelques secondes la plupart du temps. D'où ma question, puisque les choses ont manifestement changé dans le principe d'analyse du site : comment procède Virustotal pour analyser des fichiers dont il semble ne recueillir qu'une infime portion ?

 

(je ne lis pas l'anglais, des fois que PCMag essplike koi, et je n'ai pas passé à la fibre optique chez moi...)

[Ldfa]

Bon, chez moi c'est toujours aussi lent. Par contre, si le fichier à déjà été testé, il peut t'afficher directement le résultat, mais il te l'indique dans tous les cas.

[Bracam]

J'ai probablement mal compris le fonctionnement, et/ou je ne me souviens plus de la manière dont il s'opérait auparavant. Le changement de propriétaire m'aurait donc fait voir un problème là où rien n'aurait changé ?

 

C'est le fait qu'en premier, une barre rouge appelée "computing hash" se déplace très rapidement, identique à celle qui vient ensuite, "uploading files", dont le déplacement reste en effet lié au débit montant de ma ligne et à la taille du fichier (donc lent). Je ne me souviens pas d'avoir vu auparavant cette barre de pré-analyse, phase durant laquelle VirusTotal semble faire une première analyse sommaire du fichier : sur quels critères donc ? En effet, si le fichier a déjà été analysé, on a le choix entre l'affichage du résultat antérieur, ou une nouvelle analyse. En ce cas, le fichier n'est pas rechargé depuis le PC demandeur, ce qui veut dire que VirusTotal considère que le fichier qu'ils ont conservé est absolument identique à celui qu'on souhaite leur soumettre (qu'ils viennent de "pré-analyser" sur le PC).

 

C'est là que je trouve, puisque je ne comprends pas le principe du "computing hash", qu'il y a un acte de foi nécessaire mais pas évident ;-)

[Ldfa]

En fait, VirusTotal utilise une fonction de hachage cryptographique de type SHA-2, qui calcule, à partir d'un fichier numérique, son empreinte numérique avec une probabilité très forte que deux fichiers différents donnent deux empreintes différentes.

 

Autant que je me souvienne, c'était déjà le cas avant l'acquisition de Google. Celà permet d'éviter de renvoyer plusieurs fois le même fichier. Il n'y a que l'analyse anti-virus qui est réeffectuée, en tenant compte de la mise à jour des signatures anti-virus.

 

Par exemple, je viens de tester le fichier fr-fr.ini de Maxthon Cloud 4.0.0.1220 (SHA256 : ace0856d6efe6711dd1032b687bbb2b276fb990e9e84315fbc6d80f0a10d439a)

, si tu fais l'essai avec le même fichier en ayant modifié un seul caractère, il ne devrait pas te dire qu'il existe déjà. Par contre, si tu fais l'essai avec le même fichier une seconde fois, il te diras que le fichier a déjà été testé et qu'il est déjà stocké sur les serveurs de VirusTotal.

[ricouz]

+1 à ce que dit Ldfa, j'ajouterai juste que les collisions avec le sha2 n'ont pour l'instant pas été démontrées (cela ne veut pas dire que c'est impossible pour autant) donc fort peu probables.

 

Je confirme également le fonctionnement avant le rachat par google, il y avait tout d'abord un calcul de la somme de controle (sha) cela permettait à virus total de vérifier dans leur base de données si le fichier n'avait pas déjà été scanné avec affichage de la dernière date de scan dans le cas positif et ensuite

1° cas fichier inconnu donc upload sur le site pour le scan,

2° cas fichier déjà scanné, 2 possibilités on rescan donc upload sur le site, sinon pas de scan mais affichage des résultats du dernier scan.

[Bracam]

Merci à vous, voilà qui m'éclaire ;-)

 

Je constate toutefois que dans le cas d'un fichier connu et déjà analysé, Virustotal l'indique en proposant soit la réanalyse, soit l'affichage du dernier résultat. Auparavant, il y avait systématiquement recharge du fichier connu lorsque l'on redemandait malgré tout l'analyse. Ce n'est plus le cas : Virustotal accepte de relancer l'analyse, mais sur la base du fichier dont ils conservent les données = pas de nouvel envoi dans ce cas. C'est bien cela qui a attiré mon attention en premier.

 

VT ne se laisse pas abuser par le changement de nom d'un fichier, ni de son extension, mais bien évidemment il recharge ce même fichier s'il a par exemple été compressé.

[Ldfa]

Ou légèrement modifié, c'est le hachage qui le détermine.

[ricouz]

Il suffit d'un bit modifié pour que la somme de contrôle soit différente donc pour VT si un bit est modifié c'est un nouveau fichier.

 

Si la somme de contrôle est la même aucun intêret de ré-uploader le fichier puisque c'est le même, par contre la ré-analyse du fichier déjà sur site avec les nouvelles bases de signatures peut-être intéressante.