Blog

Le coût des faux positifs - comment nous sommes devenus une cible

Cette semaine, nous avons identifié un cas d'usage intrigant impliquant l'attaque WP3[.]XYZ (lien vers notre article de blog). Cela a suscité l'intérêt de la communauté et a conduit à de meilleurs taux de détection sur des plateformes comme VirusTotal (lien VirusTotal). Bien que la plupart aient apprécié nos efforts, d'autres nous ont critiqués pour ne pas avoir identifié la cause profonde ou recommandé des services pour nettoyer les sites web piratés. Malgré cela, nous visons à sensibiliser la communauté aux attaques potentielles et promettons de faire encore mieux à l'avenir. Lorsque les faux

Jan 17, 2025 • 5 min read

Himanshu Anand Software Engineer

Cette semaine, nous avons identifié un cas d'usage intrigant impliquant l'attaque WP3[.]XYZ (lien vers notre article de blog). Cela a suscité l'intérêt de la communauté et a conduit à de meilleurs taux de détection sur des plateformes comme VirusTotal (lien VirusTotal).

Page VirusTotal montrant la couverture de détection pour le domaine wp3.xyz

Bien que la plupart aient apprécié nos efforts, d'autres nous ont critiqués pour ne pas avoir identifié la cause profonde ou recommandé des services pour nettoyer les sites web piratés. Malgré cela, nous visons à sensibiliser la communauté aux attaques potentielles et promettons de faire encore mieux à l'avenir.

Quand les faux positifs nous touchent directement

Après la publication de l'article de blog, quelque chose d'inattendu s'est produit : notre site web principal, cside.com, a été signalé comme suspect. Cet incident est significatif car il met en évidence comment un simple faux positif peut perturber non seulement les flux de travail techniques, mais aussi la réputation et les opérations d'une entreprise.

Avertissement du navigateur signalant cside.dev comme suspect en raison d'un faux positif

Pour les lecteurs techniques, cela souligne l'importance de règles de détection précises, tandis que pour les lecteurs non techniques, cela démontre comment de tels problèmes peuvent s'aggraver et impacter la confiance et la continuité des activités.

Naturellement, nous avons été pris au dépourvu et avons immédiatement commencé à enquêter.

Après un examen plus approfondi, il semblait que certaines règles de détection approximatives aient pu causer le problème.

J'ai travaillé dans la sécurité des terminaux pendant plus de quatre ans avant de passer à un rôle d'analyste SOC (Centre des Opérations de Sécurité). Cette expérience m'a donné un aperçu direct des défis liés à la gestion des alertes et des détections—un sujet étroitement lié au coût réel des faux positifs.

En tant que personne ayant écrit des règles de détection, je comprends la tentation de prendre des raccourcis. Au début de ma carrière, j'ai fait des erreurs similaires. Avec l'expérience, j'ai appris la différence entre les bonnes et les mauvaises règles et l'importance de tirer parti des bonnes technologies pour l'écriture de règles. C'est pourquoi la plupart des fournisseurs de sécurité emploient plusieurs moteurs pour traiter efficacement différents types d'attaques.

Dans ce cas, le problème semblait provenir de deux facteurs :

Le sous-domaine WP3[.]XYZ : Nous utilisons un service pour générer de brèves descriptions de domaines en utilisant des données internes et l'IA (Domain Insights). Bien que les descriptions visent à fournir un contexte utile, elles ne sont pas destinées à des fins de détection.
Mauvaise interprétation par les fournisseurs d'antivirus : Certains fournisseurs d'antivirus ont signalé le nom de domaine simplement parce qu'il apparaissait dans notre URL. Ce type de détection, basé uniquement sur la structure de l'URL, manque de contexte et peut entraîner des perturbations inutiles.

Pour aider la communauté, nous avons partagé le code complet dans notre blog pour que d'autres entreprises puissent améliorer leurs détections. Cependant, signaler un domaine servant des charges utiles malveillantes sans contexte approprié est une pratique problématique. Nous avons abordé ce problème en détail dans un autre article de blog (Les flux de menaces sont-ils toujours efficaces en 2024 ?).

Le coût réel des faux positifs

Les faux positifs peuvent sembler insignifiants à première vue, mais leur impact peut être profond :

Perturbation opérationnelle : Même un taux de faux positifs de 1:100 000 peut avoir des conséquences graves s'il perturbe des transactions critiques. Par exemple, imaginez une passerelle de paiement signalée incorrectement pendant une saison de shopping de pointe. Cela pourrait bloquer des milliers de transactions légitimes, entraînant des clients frustrés, des pertes de revenus et des dommages potentiels à la réputation de l'entreprise.
Fatigue des analystes SOC : Les faux positifs peuvent gaspiller des milliers d'heures alors que les analystes tentent de trier et d'enquêter sur des non-problèmes. Cette fatigue peut conduire à ce que de vrais positifs (VP) passent inaperçus.
Impact commercial : C'est la conséquence la plus préoccupante, car elle peut mettre en péril l'ensemble des opérations d'une entreprise.

Approfondissons le point trois.

Chez cside, nous sommes une petite startup jeune, et notre parcours a été alimenté par la passion et le désir de contribuer de manière significative à la communauté de la cybersécurité. Cependant, si des produits de sécurité signalent notre site web comme malveillant, cela pourrait mettre en péril tout ce pour quoi nous avons travaillé.

Je me souviens de la panique initiale en voyant la détection—il ne s'agissait pas seulement de résoudre un problème, mais de protéger la confiance que nous avons construite avec nos clients. Le temps et l'énergie consacrés à résoudre de tels problèmes pourraient perturber considérablement les opérations, en particulier pour les petites entreprises comme la nôtre. Alors que les grandes entreprises pourraient surmonter de tels défis, pour les petites organisations, cela pourrait signifier un désastre.

Pourquoi c'est important

Le coût réel des faux positifs va au-delà des défis techniques. Il impacte les entreprises, les clients et les moyens de subsistance. Ceux qui ont vécu les répercussions de première main savent à quel point cela fait mal.

Notre engagement chez cside

Chez cside, nous croyons fermement en une politique de zéro faux positif.

Nous nous efforçons de :

Partager tout ce que nous savons avec la communauté de manière ouverte et transparente.
Utiliser nos propres produits pour garantir précision et fiabilité.
Minimiser l'impact des faux positifs tout en améliorant nos capacités de détection.

Nous comprenons le coût des faux positifs et des cyberattaques, c'est pourquoi nous nous engageons à une amélioration continue et à la collaboration avec la communauté au sens large.

Si vous avez des questions ou des suggestions, n'hésitez pas à nous contacter. Nous sommes toujours ouverts aux retours pour rendre nos efforts encore meilleurs.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Quand notre propre domaine cside.dev a été signalé comme suspect, les tickets support ont explosé, les inscriptions ont chuté et des partenaires se sont demandé s'ils devaient continuer. Le coût en dollars est difficile à mesurer, mais l'atteinte à la confiance est immédiate et dure plus longtemps que l'alerte.

Calibrez les règles sur une base de comportements connus comme sains, présentez du contexte à chaque alerte, et laissez les analystes réinjecter les corrections dans le modèle. Cela maintient le rappel haut tout en augmentant la précision — c'est ce que cside fait sur la détection côté client.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.

Comment Bloquer CCBot (le Robot d'Indexation IA de Common Crawl)

CCBot alimente les jeux de données Common Crawl utilisés pour entraîner GPT-3, BLOOM, LLaMA et bien d'autres modèles d'IA. Découvrez comment le bloquer et ce que le blocage fait réellement.