Comment contourner le système WS.Reputation.1 de Symantec

Chaque année, des entreprises comme Symantec ou Kaspersky actualisent leur gamme de solutions de sécurité, généralement en ajoutant un certain nombre de nouvelles fonctionnalités aux produits et en modifiant l’année à la fin du nom du produit. L'un des ajouts récents de Symantec à sa gamme de produits de sécurité grand public Norton comprend un moteur de réputation. Il s’agit d’un système basé sur un nuage qui utilise les informations de tous les programmes Symantec pour déterminer la réputation d’un fichier ou d’un programme sur un ordinateur.

L'idée ici est que les programmes sont probablement sûrs s'ils sont utilisés par un pourcentage élevé d'utilisateurs et que les programmes peu utilisés risquent davantage de ne pas être exécutés en toute sécurité sur le système. Le problème de cette approche est que Symantec peut mettre des fichiers en quarantaine même si le propre programme d’analyse du programme n’a pas détecté de code malveillant. Le système a été conçu pour empêcher l’exécution de logiciels malveillants non classifiés sur le système.

Ce qui se passe est cependant quelque chose de complètement différent. Les développeurs de logiciels indépendants comme Andreas Löw ont commencé à remarquer que leurs programmes étaient automatiquement classés dans les fichiers WS.Reputation.1 en raison de leur faible score de réputation. Si cela ne suffisait pas, les produits Norton suppriment automatiquement les fichiers classés comme tels et les déplacent en quarantaine du programme.

Notes Symantec:

WS.Reputation.1 est une détection des fichiers dont le score de réputation est faible, qui repose sur l'analyse des données de la communauté d'utilisateurs Symantec et qui présente donc des risques pour la sécurité. Les détections de ce type reposent sur la technologie de sécurité basée sur la réputation de Symantec. Cette détection étant basée sur un score de réputation, elle ne représente pas une classe de menaces spécifique, telle que les logiciels de publicité ou les logiciels espions, mais s'applique à toutes les catégories de menaces.

File Insight WS.Reputation.1

Du point de vue des développeurs, le principal problème est que le système peut avoir un impact négatif sur leurs activités. Les utilisateurs peuvent penser que les logiciels distribués par un développeur particulier contiennent des logiciels malveillants. Même s’ils ne le pensent pas, ils peuvent décider de ne pas installer le programme car il ne vaut peut-être pas la peine.

Les développeurs d’autre part peuvent aussi ressentir l’impact du système. Ils peuvent recevoir des demandes d'assistance supplémentaires pour résoudre le problème et peuvent être contraints de communiquer avec Symantec pour résoudre le problème et pour que leurs programmes soient sur liste blanche.

Contournement de WS.Reputation.1

Si des produits Norton Security sont installés sur votre système, vous avez peut-être vu une notification semblable à celle de la capture d'écran ci-dessus. En gros, il vous avertit que le fichier a été classé en tant que WS.Reputation.1 par Norton et qu'il a été supprimé en conséquence.

Alors, comment récupérez-vous le fichier à ce stade? Vous devez cliquer sur le bouton des options dans la fenêtre qui mène à la fenêtre suivante du programme.

Ici, vous devez cliquer sur le bouton de restauration pour déplacer le fichier hors de la quarantaine vers le système.

Si vous ne souhaitez pas du tout utiliser le système, vous pouvez le désactiver de la manière suivante:

  • Ouvrez l'interface principale de Norton et cliquez sur le lien avancé.
  • Localisez Download Intelligence et désactivez-le.

Vous pouvez désactiver la fonctionnalité pour une durée limitée ou de manière permanente.

Mots de clôture

L'idée principale du moteur de réputation de Symantec est très logique, mais son implémentation est erronée car elle génère trop de faux positifs lors de son exécution. Au lieu de déplacer les fichiers WS.Reputation.1 vers la quarantaine, les utilisateurs devraient plutôt recevoir une notification qui leur donne le pouvoir de le faire ou de conserver le fichier sur le système.

Êtes-vous un utilisateur de Norton qui est entré en contact avec les évaluations basées sur la réputation du logiciel? Ou avez-vous remarqué un comportement similaire dans d'autres logiciels de sécurité?