S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

L'antivirus Sophos s'est identifié lui-même... comme malware

Bien piètre opinion de soi-même

C’est l’arroseur arrosé. L’antivirus Sophos a été victime d’un bug plus qu’ennuyeux puisque la propre mise à jour du logiciel de sécurité a été reconnue… comme un malware. Un cas flagrant de faux positif qui a engendré bien des problèmes.

sophos

Un énorme faux positif

Incident fâcheux pour Sophos. Une mise à jour publiée mardi soir a provoqué une belle pagaille dans les sociétés utilisant l’antivirus. Un bug a incité ce dernier à reconnaître la mise à jour comme le malware SSH/Updater-B. Le site The Register rapporte que les administrateurs système des sociétés touchées ont été littéralement bombardés d’emails envoyés automatiquement hier matin après que les machines aient généré de nombreuses alertes.

 

L’un des emails envoyés à The Register par un lecteur raconte comment un parc informatique s’est soudainement emballé : « À environ 21h20 ce soir, tous les PC de mon réseau (une centaine environ) ont commencé à envoyer des emails toutes les dix minutes indiquant qu’un virus avait été détecté dans l’une des DLL de Sophos Endpoint Security & Control ». Et c’est bien le problème.

 

L’antivirus en est venu à se considérer lui-même comme un problème. Conséquence ? Il s’est placé en quarantaine, laissant deux gros problèmes derrière lui. Premièrement, l’antivirus étant désactivé, la sécurité globale en prend évidemment un sérieux coup. Deuxièmement, le composant de mise à jour étant lui aussi en quarantaine, la mise à jour salvatrice arrivée plus tard ne pouvait pas s’installer automatiquement. Dans la pratique, plusieurs autres mécanismes de mise à jour étaient même bloqués.

La galère des utilisateurs

Des problèmes confirmés de notre côté par Cédric Lepinay, directeur associé de la société de services SATLX IT, qui nous relate son expérience du bug : « Cela a commencé en empêchant un de nos produits de fonctionner correctement du coté client (un plugin Outlook qui ne pouvait pas se charger). C’est là qu’on s’est rendu compte que Sophos bloquait l’accès à la DLL mais qu’en plus il avait mis en quarantaine pas mal d’exécutables et DLL en rapport avec des fonctionnalités de mise à jour (googleupdate par exemple). Une mise à jour sortie une heure après environ devait corriger le problème… sauf que Sophos bloquait ses propres composants, y compris le serveur de mise à jour / management centralisé. »

 

Sophos indique sur son blog depuis ce matin la marche à suivre. Le moins que l’on puisse dire, c’est qu’elle est fastidieuse car découpée en de multiples étapes. Cela revient à effectuer manuellement de nombreuses opérations, tout en contournant les problèmes engendrés par la fameuse mise à jour. Cédric Lepinay nous indique à ce propos : « Sauf que chez un de mes clients, cela n’a pas marché immédiatement. Pourquoi ? Parce que la mise en quarantaine a déplacé les fichiers utiles comme le service de mise à jour, celui de contrôle, etc., dans un espace réservé, et il est impossible de les restaurer automatiquement, il faut les déplacer à la main ! »

 

Sophos a réagi très rapidement en publiant une mise à jour fonctionnelle. Mais le mal est déjà fait : ce type d’incident est particulièrement dommageable pour la clientèle. L’objectif d’un antivirus est de se faire oublier et Sophos a brutalement rappelé sa présence aux utilisateurs et administrateurs. Dans le forum officiel, un sujet contenant déjà 74 pages de réactions recense de très nombreux problèmes. On citera en exemple le cas d’un serveur Exchange d’où l’antivirus a été désinstallé, aboutissant à une perte de connectivité réseau.

Source : The Register
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 20/09/2012 à 17:20

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 82 commentaires

Avatar de hellmut INpactien
hellmut Le jeudi 20 septembre 2012 à 17:37:04
Inscrit le jeudi 9 décembre 04 - 5317 commentaires
tiens, une maladie auto-immune!
on comprend mieux comment fonctionne le SIDA, avec cet exemple (bon c'est un raccourci, mais l'idée est là).
Avatar de GiLidan INpactien
GiLidan Le jeudi 20 septembre 2012 à 17:38:21
Inscrit le vendredi 11 mai 12 - 74 commentaires

Il y a des gens qui utilisent un antivirus mdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gif


Encore heureux !
Avatar de ol1v1er INpactien
ol1v1er Le jeudi 20 septembre 2012 à 17:38:29
Inscrit le jeudi 6 octobre 11 - 283 commentaires
sophos connais pas.

Eset Smart Security 5

Edité par ol1v1er le jeudi 20 septembre 2012 à 17:38
Avatar de Schpountz42 INpactien
Schpountz42 Le jeudi 20 septembre 2012 à 17:39:15
Inscrit le jeudi 26 février 09 - 2586 commentaires
tiens, une maladie auto-immune!

C'est exactement ça
Avatar de LeTroll INpactien
LeTroll Le jeudi 20 septembre 2012 à 17:44:29
Inscrit le vendredi 25 janvier 08 - 623 commentaires
Avatar de darkbeast INpactien
darkbeast Le jeudi 20 septembre 2012 à 17:44:56
Inscrit le lundi 5 mai 03 - 3215 commentaires
tiens, une maladie auto-immune!
on comprend mieux comment fonctionne le SIDA, avec cet exemple (bon c'est un raccourci, mais l'idée est là).


le sida n'est pas une maladie auto-immune
Avatar de Vincent_H Equipe
Vincent_H Le jeudi 20 septembre 2012 à 17:46:02
Inscrit le jeudi 30 janvier 03 - 15419 commentaires
tiens, une maladie auto-immune!
on comprend mieux comment fonctionne le SIDA, avec cet exemple (bon c'est un raccourci, mais l'idée est là).


Avatar de tAran INpactien
tAran Le jeudi 20 septembre 2012 à 17:49:23
Inscrit le samedi 21 mai 05 - 3860 commentaires

Il y a des gens qui utilisent un antivirus mdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gifmdr2.gif

j'avais même pas vu que c'était un antivirus... le truc inutile mdr2.gifmdr2.gifmdr2.gif

on viens de passer dessus au taff...

ça c'est moche par contre, comment des admins peuvent tolérer ça ? Encore un coup des achats...
Avatar de Bejarid INpactien
Bejarid Le jeudi 20 septembre 2012 à 17:50:20
Inscrit le lundi 5 mai 08 - 1236 commentaires

C'est également arrivé à MacAffee et à Norton...
Avatar de Crysalide INpactien
Crysalide Le jeudi 20 septembre 2012 à 17:52:50
Inscrit le mardi 24 mars 09 - 5370 commentaires
tiens, une maladie auto-immune!
on comprend mieux comment fonctionne le SIDA, avec cet exemple (bon c'est un raccourci, mais l'idée est là).

Tu confonds avec la sclérose en plaques, je pense. Le VIH s'attaque au système immunitaire, c'est tout l'inverse.

Edité par Crysalide le jeudi 20 septembre 2012 à 17:53
;