Windows signale NimbusBackup ?
C'est un faux positif.
Un navigateur ou un antivirus peut afficher « Virus détecté » ou une alerte SmartScreen au téléchargement de notre agent. Nimbus Backup est sûr et sans danger : ce n'est pas un virus. Le code est open source, le build est public, et le scan VirusTotal est propre. Voici précisément pourquoi ça arrive et comment le vérifier vous-même.
Dernière mise à jour :
Nimbus Backup n'est pas un virus
L'alerte est heuristique : une estimation statistique, pas la correspondance avec un virus connu. Deux faits que vous pouvez vérifier par vous-même.
Propre sur VirusTotal
Notre installeur est analysé par l'ensemble des moteurs antivirus du marché : 0 détection. Le rapport à jour est publié, par version, dans les notes de release.
Exemple : v0.2.105 - v0.2.106 - v0.2.107 - v0.2.108 - v0.2.109
100 % open source
Chaque ligne de code et la chaîne de build exacte sont publiques (GPL-3.0). Lisez-le, auditez-le, ou compilez-le vous-même.
Pourquoi ça arrive ?
NimbusBackup est écrit en Go avec une interface desktop Wails. C'est un problème connu et documenté de tout l'écosystème Go — Syncthing, rclone et bien d'autres projets réputés l'ont subi. Cinq facteurs se cumulent.
1. Le profil des binaires Go paraît atypique
Go produit des exécutables volumineux, statiquement liés, sans DLL externes et avec leur propre runtime. Les classifieurs antivirus à base de machine learning sont entraînés sur des binaires « classiques » (MSVC, liés dynamiquement) — un binaire Go ressort donc comme anormal. Et comme de nombreux malwares modernes sont écrits en Go, les éditeurs pondèrent négativement ce profil.
2. Stripping + PIE = forte entropie
Les options de build -s -w retirent les symboles et -buildmode=pie randomise l'adressage. Le binaire ressemble alors à du code packé ou obfusqué — un signal classique de malware, alors qu'il s'agit ici de bonnes pratiques de compilation.
3. Wails charge la WebView2 en mémoire
Le démarrage charge un loader (go-winloader) pour initialiser le moteur de rendu WebView2. Ce chargement de DLL en mémoire est une technique aussi employée par certains malwares : l'heuristique se déclenche, alors que c'est le fonctionnement normal de Wails.
4. Un outil de sauvegarde « ressemble » à un ransomware
Pris isolément chaque point est légitime, mais ensemble ils dessinent statistiquement le profil d'un rançongiciel — exactement ce que la détection comportementale (familles génériques Wacatac / Sabsik) cible :
- • demande de privilèges administrateur (UAC) ;
- • création de clichés VSS ;
- • lecture récursive de disques entiers ;
- • compression + chiffrement des données ;
- • upload réseau (TLS) vers un serveur distant ;
- • installation d'un service LocalSystem.
5. Réputation nulle + re-flag rétroactif
Un binaire récent et non signé démarre avec une réputation SmartScreen/Defender de zéro. Et comme les définitions se mettent à jour en continu, un fichier propre hier peut être signalé aujourd'hui sans aucun changement de code — d'où le caractère intermittent de l'alerte.
Point clé : un faux positif heuristique n'est pas la détection d'un virus connu. Le code est open source et auditable, le build est public sur GitHub Actions, et le scan multi-moteurs VirusTotal est propre.
Références et cas similaires
Le cas NimbusBackup n'est pas isolé. Les faux positifs sur binaires Go/Wails et outils de sauvegarde sont un problème documenté par les mainteneurs de Go, Wails et plusieurs projets open source reconnus. Ces références expliquent pourquoi nous privilégions une réponse vérifiable : code source public, checksums, attestations de build, rapports VirusTotal et soumission à Microsoft.
Sources officielles
- Go — FAQ : antivirus et binaires Go
La FAQ officielle Go reconnaît que ses binaires sont parfois signalés à tort.
- Microsoft — Réputation SmartScreen
Comment SmartScreen évalue un binaire : hash, signature, éditeur, ancienneté.
- Microsoft — Soumettre un faux positif
Le canal officiel de signalement à Microsoft Defender — celui que nous utilisons.
- GitHub — Attestations d'artefacts
Le mécanisme de provenance derrière notre
gh attestation verify. - SignPath Foundation
Le programme gratuit qui fournit la signature Authenticode aux projets open source.
Cas similaires (projets open source)
- Wails #3308 — Defender sur un projet Wails vide
Notre GUI est en Wails : le faux positif touche le framework lui-même.
- Wails #2004 — WebView2Loader et score antivirus
Le chargeur WebView2 contribue au score heuristique des moteurs.
- Syncthing signalé par Windows Defender
Outil Go open source réputé, même symptôme sur l'exécutable.
- rclone — faux positif Windows Defender
Outil Go réseau/stockage, fréquemment mal classé selon les définitions.
- Duplicati — faux positif Bitdefender en sauvegarde
Cas côté logiciel de sauvegarde : antivirus, fichiers temporaires et backup.
Ce que nous faisons
Notre objectif : que l'agent se télécharge et s'installe sans aucune alerte. Trois niveaux d'action — des mesures permanentes, un geste ponctuel par release, et le vrai correctif en cours.
Mesures permanentes
Automatiques : chaque future version en bénéficie sans intervention.
Geste ponctuel par release
Manuel, uniquement si Defender re-signale une nouvelle version.
Re-soumission du faux positif à Microsoft
Si une version est re-signalée, nous la re-soumettons via le portail Microsoft. La résolution prend typiquement 24 à 72 h ; une fois le binaire revu et ajouté aux listes blanches, l'alerte disparaît pour la version concernée.
Le vrai correctif (en attente)
La signature de code supprimera ces avertissements à la racine — pour de bon.
Signature Authenticode via SignPath
Nous obtenons un certificat de signature Authenticode via la SignPath Foundation , son programme gratuit pour les projets open source — candidature soumise. Une fois le binaire signé, il porte une identité d'éditeur vérifiable, le signal le plus efficace pour bâtir la réputation attendue par Windows et faire disparaître ces alertes.
À l'arrivée de la signature : restructuration de l'ordre de signature du MSI (deep-sign des exécutables embarqués) pour que l'installeur entier soit couvert.
Signature via Azure Trusted Signing
En cas de refus ou de lenteur côté SignPath, nous basculerons sur une signature Azure Trusted Signing (service managé par Microsoft). Adossée à l'écosystème Microsoft, elle accélère l'établissement de réputation auprès de Defender et SmartScreen. C'est notre filet de sécurité.
Vérifier et installer en toute sécurité
Tant que la signature n'est pas active, voici comment installer l'agent en toute confiance.
Vérifiez l'intégrité
Comparez le SHA-256 de votre téléchargement avec la valeur publiée dans SHA256SUMS.txt sur la page des releases.
Consultez VirusTotal
Ouvrez les rapports VirusTotal et constatez l'absence de détection sur l'ensemble des moteurs.
Passez l'avertissement
Dans le navigateur, choisissez Conserver. Sur SmartScreen : Informations complémentaires → Exécuter quand même.
Get-FileHash .\NimbusBackup.msi -Algorithm SHA256
# Vérifier la provenance du build (GitHub CLI)
gh attestation verify .\NimbusBackup.msi --repo rdemsystems/NimbusBackupClient
À lire aussi
Cette page fait partie de notre dossier sur la sauvegarde des serveurs Windows vers Proxmox Backup Server.
Sauvegarder Windows avec PBS — le tutoriel
Client GUI open source, token API, premier scheduler, snapshots VSS pas à pas.
Lire le guideRetour d'expérience : premier backup Windows 1 To
Chiffres bruts d'un run prod : 20 h 30 de transfert, 75 % de chunks dédupliqués.
Lire le retexChoisir son modèle de tarification backup
Au volume, au poste, au forfait : quel modèle pour sauvegarder votre parc Windows.
Lire le guideUne meilleure idée pour lever ces alertes ? On est preneurs.
Le projet est open source, et nous le pensons mieux à plusieurs. Vous avez déjà géré des faux positifs sur un binaire Go, un retour d'expérience sur SignPath ou Azure Trusted Signing, une astuce de build qui réduit l'entropie, un contact côté éditeur antivirus ? Proposez-nous votre solution.
La transparence fait partie de la sauvegarde
Code ouvert, build public, empreintes SHA-256, analyse VirusTotal, plan de signature documenté : vous savez exactement ce que vous installez. Un doute subsiste ? Écrivez-nous, ou compilez depuis les sources.