Eset Menace Supprimé sur le Forum

[Fystrack (Auteur du topic)]

Bonjour

J'ai Eset qui signale une menace sur le forum , es ce que vous avez la meme de votre coté ?



Cordialement

[pepelemoko]

Bonjour Fystrack,

Non, je n'ai pas ce message (Firefox 148, Windows Defender). Mais donc je n'ai pas eset...

Peut-être un faux positif ?

Voir :
https://forum.eset.com/topic/46162-jsredirectorpiy/

[Homer54]

Hello,
non pas de soucis. Windows Defender et Vivaldi
_________________
IL EST OÙ LE NOUVEAU MODÉRATEUR ?
RIP CurtisNewton et Chrispas

1°) Wi-Fi, CPL ? Non ! Merci...
L'Ethernet, c'est la vie !

2°) Pour vos archives, n'oubliez pas les PAR2

[Fystrack (Auteur du topic)]

Bonjour

J ai toujours ce message actuellement, je regarderai plus en détail depuis une VM a quoi corresponds ce site que Eset bloque en redirection des que j arrive sur le forum.

Merci pour vos retour

Cordialement

[Fystrack (Auteur du topic)]

Bonjour

Bon d’après ce que Copilot me dit par rapport a ce script qui est bloqué par Eset



Ce script est un détecteur de bloqueur de publicité qui, selon le résultat, envoie des informations à un serveur externe et peut rediriger l’utilisateur vers une autre page.

Il combine trois fonctions principales :
Détection de bloqueur de publicité (AdBlock)
Collecte d’informations sur l’utilisateur qu'il renvoie a https://router.parklogic.com/app/js/v1/urjlwcthlcmq.js
Redirection automatique.

Donc son verdicte :

[BreizhBOX]

1) Ne jamais faire confiance à l'intelligence artificielle

L'IA est un outil d'assistance, mais on ne doit jamais se fier à elle pour avoir un avis. On peut s'en servir, mais il faut toujours croiser les infos, et la bonne vieille méthode qui consiste à rechercher l'info sur une source considérée "pertinente" reste la meilleure car par rapport à l'IA, on ne connaît pas ses sources... il est là le gros problème de l'IA

2) "js-redirector"

https://www.f-secure.com/v-descs/trojan-js-redirector.shtml

Comme indiqué sur ce site, js-redirector ne fait pas référence à un script mais à une famille de scripts javascripts qui effectuent des opérations de redirection

En fait tous les sites Web modernes font des redirections notamment pour aller chercher des ressources Web, envoyer des infos de médiamétrie etc etc

On peut techniquement bloquer ces redirections en verrouillant le javascript (via l'extension "noscript") en coupant tous les trackers avec l'extension "Privacy Badger" mais dans la plupart des cas cela rend les sites inutilisables, en particulier les sites TF1+, M6+, FranceTelevision... ne fonctionnent plus, le streaming est bloqué et ou à chaque séquence de pub le site tombe en erreur

Bref, on n'est souvent obligé d'autoriser les trackers, et on est obligé d'autoriser le Javascript au moins sur le domaine principal ici "universfreebox.com" (pas forcément sur les domaines associés) sans quoi pas possible de poster des messages, pas possible de se loguer, impossible de naviguer....

La question est ici de savoir si la redirection est "légale" ou disons n'est pas malveillante.

Donc... il ne s'agit pas d'un malware, mais d'un riskware.

Un malware est clairement identifié comme nocif (troyen, virus), un riskware fait référence à un comportement à risque qui n'est pas obligatoirement illégale mais peut l'être dans certains contextes.

Une Kalachnikov est un malware car c'est une arme de guerre destinée à tuer
Un couteau de boucher est un riskware, car il sert en premier lieu à la boucherie, mais il peut à l'occasion servir à désosser son épouse...

Bref dans le cas d'un riskware, c'est à l'utilisateur qu'il appartient de définir si c'est nocif ou non. ESET me semble ici en faute dans le sens où contrairement à Kaspersky qui différenciait clairement Malware et riskware, ESET semble mélanger les deux concepts, c'est ça qui me dérange.

Donc un riskware n'est pas à confondre avec un faux positif.
Un faux positif vient d'une signature pas assez précise de sorte que l'antivirus détecte un malware dans un fichier sain.

3) www.prember.com

J'utilise noscript sur Firefox pour filtrer le javascript depuis très longtemps, ainsi que ublock origin pour filtrer les pub avec des filtres additionnels antimalwares (en plus des filtres de base anti pub)

Je peux confirmer que prember.com est associé à UF depuis au moins six ans. Ce domaine apparaît lorsque l'on se connecte à la page Freezone et lorsque l'on va sur le Forum, mais il n'apparaît pas sur la page news

Ni ublock, ni Windows Defender, ni Comodo Antivirus (qui contient bien un analyseur de domaines Web) n'ont jamais classifié ce domaine en malwares en plus de six ans.

J'ajouterais que ledit domaine, après recherche, fait référence à un domaine français. Même si ce n'est pas en soi une garantie absolue, les sites malveillants sont majoritairement situés hors juridiction de l'UE...

Je n'ai ni attrapé herpès ni attrapé le cancer....
Bref, prember.com est au pire un "plugin" de tracking, médiamétrie

Tu peux éventuellement utiliser noscript pour bloquer explicitement le javascript sur le site www.prember.com (mais il faudra l'autoriser sur universfreebox.com), à titre additionnel tu peux foutre www.prember.com sur liste rouge sur uBlock pour bloquer toute tentative d'interaction avec la page, ça ne semble pas poser de problème sur le fonctionnement général du site.

Sur ma config... noscript bloque par défaut tout script javascript, et je n'autorise ces scripts que de façon sélective et uniquement en cas de nécessité.

Il s'agit d'une config "Power user" qui ne conviendra pas à la plupart des gens car pour chaque site il faut faire un travail d'inspection, des tests pour n'activer le javascript qu'en cas de nécessité...

Vu la difficulté à utiliser noscript (sauf à systématiquement tout autoriser ce qui le rend alors inutile), je ne le conseille pas particulièrement, de même qu'uBlock origin qui est en réalité très mal utilisé par la plupart des gens. En tant que bloqueur de pub Adguard est plus simple à utiliser pour l'utilisateur moyen.

Ceci étant, if faut savoir que 90% des attaques faites via les navigateurs se font via du code javascript (source, service d'espionnage US) et pour le coup Linux, MacOS, Windows, Android, iOS... sont tous à égalité en terme de risque.

Dans la trousse à outil de l'espion US... outre "tor", il y a "noscript" pour bien se protéger sur Internet, mais encore faut-il bien l'utiliser ce qui implique de consacrer du temps à inspecter les ressources additionnelles liées aux sites.

A noter que noscript ne fonctionne pas bien sur les navigateurs de la famille chromium (Chrome, Edge, Opera, Vivaldi...), il génère pas mal de soucis de navigation qui requièrent souvent une désactivation totale de l'extension (et pas seulement une autorisation globale, même temporaire, des scripts).

Noscript ne fonctionne de façon optimale qu'avec Firefox
Donc même si Chrome est plus universel que Firefox, Firefox avec son extension noscript reste sans équivalent en terme de sécurité pure et dure.