Lorsqu’on télécharge Kali Linux, Windows Defender affiche le score impressionnant de 329 menaces détectées. Pour un simple fichier ISO, cela peut sembler exagéré. En effet, les utilisateurs sur la plateforme SuperUser expliquent que cette situation est tout à fait normale, surtout en raison des payloads Metasploit inclus dans la distribution. Pourtant, cette question de faux positifs persiste depuis plus de 25 ans et touche toutes les distributions Linux.
Jesse Smith, de DistroWatch, reçoit régulièrement des alarmes de nouveaux utilisateurs Linux, pris de panique après avoir téléchargé une distribution dans le cadre de leur expérience avec Windows. Leur surprise est telle qu’ils ont souvent l’impression d’avoir téléchargé un malware redoutable. Smith révèle que parmi les 1000 alertes qu’il reçoit, 999 sont des faux positifs, ce qui signifie que la probabilité que votre antivirus se trompe est bien plus élevée que celle de gagner à la loterie.
“C’est juste Windows qui ne comprend pas qu’on puisse vouloir utiliser autre chose que lui…”
Mais que cache cette paranoïa des antivirus Windows face aux ISO Linux ? La réponse est simple : un fichier ISO contient du code exécutable qui peut modifier des partitions, installer des bootloaders, et toucher au kernel. Les antivirus, logiquement, interprètent cela comme une menace potentielle. Cependant, pour les utilisateurs de Linux, ces actions font partie intégrante de l’expérience souhaitée.
La situation est encore plus flagrante avec les distributions axées sur la sécurité, qui comportent des outils de pentesting. Ces outils ressemblent à des malwares pour les systèmes de sécurité Windows, ce qui déroutent souvent les utilisateurs. D’ailleurs, certains fichiers boot innocents, comme memtest64.efi, se retrouvent également signalés comme suspects, plongeant les néophytes dans une véritable crise d’angoisse.
Il existe des solutions simples pour s’assurer que votre ISO n’est pas réellement infectée. Il suffit de télécharger depuis des sources officielles, de vérifier le hash SHA256 correspondant, et en cas de doute, de faire un scan avec un autre antivirus. Il est tout de même préoccupant que ces fausses alertes poussent les utilisateurs à désactiver leur protection, risquant ainsi de compromettre leur sécurité.
Enfin, il aurait été simple pour Microsoft de créer une liste blanche pour les ISO des principales distributions Linux. Cependant, après 25 ans de silence à ce sujet, il semble peu probable que cela change dans un avenir proche. En attendant, la prochaine fois que votre antivirus alerte sur la présence de virus dans un fichier ISO d’Ubuntu, respirez profondément. Ce n’est qu’une incompréhension de Windows face à l’utilisation d’un système alternatif.
