Les Faux Positifs (détection incorrecte de fichiers propres) semblent avoir augmenté dans le secteur des malveillants (malware) ces derniers mois. Pire, il y a de plus en plus de cas où ce sont des produits concurrents qui sont détectés. Je n'ai que quelques cas de mauvaise interprétation de notre logiciel en tant que malveillant, mais ils sont suffisamment graves: il y a deux ans, cela a commencé avec Pest Patrol qui détectait nos fichiers cd_clint.dll et zipdll.dll. NetCop a détecté notre fichier Spybots.sbi, Trend Micro PC-Cillin notre fichier SDHelper.dll, PandaSoft à propos de notre vaccination (j'étais vraiment impatient de résoudre ce problème sans attendre), et McAfee AntiSpyware notre fichier English.sbl.

Le cas le plus récent est LavaSoft, dont le logiciel AdAware a détecté notre fichier application principale, SpybotSD.exe, comme un malveillant appartenant à 180solutions. Nos enquêteurs m'ont confirmé qu'aucune confusion n'aurait dû être possible sur les noms des fichiers, les tailles, etc. 180solutions jusqu'à leurs versions les plus récentes est fondamentalement différent.

D'habitude, nous essayons de résoudre ces Faux Positifs dans la journée, parce qu'ils font du tort à nos clients et qu'ils créent une mauvaise réputation à la fois pour le produit attaqué et pour le produit attaquant, et en général il est facile de contacter un responsable. Cependant avec Lavasoft, ce fut impossible - non seulement ils n'ont pas réagi à nos tentatives de prise de contact, mais ils n'ont pas répondu non plus à celles d'un avocat (mise à jour: même en une semaine, aucune réaction).

D'après ce que nous avons vu ensuite, ils ont maintenant corrigé cela (selon les forums de LavaSoft, dans la mise à jour SE1R32 10.03.2005, bien que leur annonce de mise à jour ne le confirme pas). Néanmoins, pour ceux qui ont supprimé Spybot-S&D parce que AdAware l'avait "faussement" signalé comme malveillant, nous pouvons vous assurer que nous ne sommes en aucune façon associés à 180solutions, et que vous pouvez réinstaller Spybot-S&D.

De nombreux utilisateurs nous ont demandé si nous utilisions les mêmes méthodes perfectionnées qu'AdAware - ils les appellent CSI (Code Sequence Identification, Identification de la séquence de code). Manifestement, les TLAs (Three Letter Acronyms, les acronymes de trois lettres) impressionnent toujours les utilisateurs. Nous pourrions inventer une douzaine de TLAs similaires pour vous impressionner, mais nous préférons ne pas fanfaronner à droite et à gauche avec des termes de pur marketing (bien entendu, si les utilisateurs le voulaient, nous pourrions intituler chacune des Advanced check library update (mises à jour de bibliothèque de recherche) avec des labels similaires). De toute façon, les meilleures techniques de détection ne pourront jamais rien faire de correct si les enquêteurs qui alimentent les bases de données leurs fournissent des données erronées.

Ceci m'amène à une seconde remarque: nous pensons que tous ces faux positifs concernant de bons produits entérinent notre méthode de test des mises à jour en quatre phases. Chacune de nos mises à jour est d'abord testée par celui qui l'a ajoutée, puis par notre équipe interne de test, ensuite par un test interne de l'Équipe Spybot et dans une quatrième étape par un bêta test public. Ceci peut entraîner de plus grands délais entre les mises à jour, mais au moins nos mises à jour ne troublent-elles pas nos utilisateurs par une mauvaise interprétation d'autres logiciels conçus pour les protéger des malveillants - et le client devrait rester le roi, avec un service de qualité.