C’est l’arroseur arrosé. L’antivirus Sophos a été victime d’un bug plus qu’ennuyeux puisque la propre mise à jour du logiciel de sécurité a été reconnue… comme un malware. Un cas flagrant de faux positif qui a engendré bien des problèmes.
Un énorme faux positif
Incident fâcheux pour Sophos. Une mise à jour publiée mardi soir a provoqué une belle pagaille dans les sociétés utilisant l’antivirus. Un bug a incité ce dernier à reconnaître la mise à jour comme le malware SSH/Updater-B. Le site The Register rapporte que les administrateurs système des sociétés touchées ont été littéralement bombardés d’emails envoyés automatiquement hier matin après que les machines aient généré de nombreuses alertes.
L’un des emails envoyés à The Register par un lecteur raconte comment un parc informatique s’est soudainement emballé : « À environ 21h20 ce soir, tous les PC de mon réseau (une centaine environ) ont commencé à envoyer des emails toutes les dix minutes indiquant qu’un virus avait été détecté dans l’une des DLL de Sophos Endpoint Security & Control ». Et c’est bien le problème.
L’antivirus en est venu à se considérer lui-même comme un problème. Conséquence ? Il s’est placé en quarantaine, laissant deux gros problèmes derrière lui. Premièrement, l’antivirus étant désactivé, la sécurité globale en prend évidemment un sérieux coup. Deuxièmement, le composant de mise à jour étant lui aussi en quarantaine, la mise à jour salvatrice arrivée plus tard ne pouvait pas s’installer automatiquement. Dans la pratique, plusieurs autres mécanismes de mise à jour étaient même bloqués.
La galère des utilisateurs
Des problèmes confirmés de notre côté par Cédric Lepinay, directeur associé de la société de services SATLX IT, qui nous relate son expérience du bug : « Cela a commencé en empêchant un de nos produits de fonctionner correctement du coté client (un plugin Outlook qui ne pouvait pas se charger). C’est là qu’on s’est rendu compte que Sophos bloquait l’accès à la DLL mais qu’en plus il avait mis en quarantaine pas mal d’exécutables et DLL en rapport avec des fonctionnalités de mise à jour (googleupdate par exemple). Une mise à jour sortie une heure après environ devait corriger le problème… sauf que Sophos bloquait ses propres composants, y compris le serveur de mise à jour / management centralisé. »
Sophos indique sur son blog depuis ce matin la marche à suivre. Le moins que l’on puisse dire, c’est qu’elle est fastidieuse car découpée en de multiples étapes. Cela revient à effectuer manuellement de nombreuses opérations, tout en contournant les problèmes engendrés par la fameuse mise à jour. Cédric Lepinay nous indique à ce propos : « Sauf que chez un de mes clients, cela n’a pas marché immédiatement. Pourquoi ? Parce que la mise en quarantaine a déplacé les fichiers utiles comme le service de mise à jour, celui de contrôle, etc., dans un espace réservé, et il est impossible de les restaurer automatiquement, il faut les déplacer à la main ! »
Sophos a réagi très rapidement en publiant une mise à jour fonctionnelle. Mais le mal est déjà fait : ce type d’incident est particulièrement dommageable pour la clientèle. L’objectif d’un antivirus est de se faire oublier et Sophos a brutalement rappelé sa présence aux utilisateurs et administrateurs. Dans le forum officiel, un sujet contenant déjà 74 pages de réactions recense de très nombreux problèmes. On citera en exemple le cas d’un serveur Exchange d’où l’antivirus a été désinstallé, aboutissant à une perte de connectivité réseau.
Commentaires (82)
#1
ça c’est de la boulette
" />
#2
Il y a des gens qui utilisent Sophos ??
" />
" />
" />
#3
So quoi ?
" />
" />
#4
C’est juste énorme
" />
" />
" />
" />
#5
c’est déjà arrivé pour Avira. Au suivant !
#6
pas mal vincent mais quelques heures en retard
sinon tu peuxdire aussi que le correctif est compltement foireux
Sophos a réagi très rapidement en publiant une mise à jour fonctionnellec
non ne fonctionne pas:)
#7
L’antivirus Sophos s’est identifié lui-même… comme malware
Bien piètre opinion de soi-même
#8
Sophos, c’est pas l’AV qui était décrié il y a 1 ou 2 ans par des informaticiens spécialisés en sécurité qui affirmaient que le programme était codé avec les pieds, reprennant des vieux modules d’il y a 10 ans, bref une vraie aberration niveau du code et des perfs ?
#9
#10
#11
tiens, une maladie auto-immune!
" />
on comprend mieux comment fonctionne le SIDA, avec cet exemple (bon c’est un raccourci, mais l’idée est là).
#12
#13
sophos connais pas.
" />
Eset Smart Security 5
#14
#15
#16
#17
#18
#19
#20
#21
Je trouve ça énorme comme info
" />
" />
#22
#23
J’ai Sophos au boulot et à jour : RAS…
#24
J’ai du mal à comprendre comment la mise à jour a pu passer les tests avant d’être mise en ligne. Les faux positifs ça arrive, on peut pas tester toutes les applications existantes. Mais à priori la personne chargée des tests elle devait avoir l’antivirus sur son poste et voir que ça déconnait non ?
#25
En tout cas il aura fait parlé de lui
" />
" />
Auto buzz même si il faut l’avouer là c’est pas du buzz positif
#26
#27
#28
#29
#30
Perso j’ai trouvé plus simple de désactiver le contrôle sur accès (depuis la console centrale) sur les postes en carafes et de faire un ‘Protéger les ordinateurs’ sur ces même postes plutôt que d’essayer de faire la mise à jour (puis de réactiver le contrôle naturellement). Après il y a tous les autres updater qu’il a détecté comme véroler à corriger.
#31
#32
Sophos aussi par là, on a eu un mail de l’informatique interne, j’ai bien rit.
#33
Système en carton, solution en carton.
#34
Bel exemple de transparence de la part du logiciel. Quelle humilité. C’est beau.
#35
Il attaquait aussi le scheduler de java
" /> (et 2 ou 3 autres dll)
#36
#37
#38
Je comprends mieux maintenant pourquoi on a reçu cette nuit environ 250 mails d’avertissement de Sophos qui se saborde lui-même. :facepalm:
#39
le déploiement en “push” est vraiment sale (installation sur les machines et pas forcement en mode silencieux..) bref pour un correctif qui fonctionne pas terrible va falloir que ca change demain
" />
#40
#41
du coup vue que tout foire je vous conseil de désactiver le update manager ca évitera d’avoir encore plus de caca en attendant une vraie mise à jour
" />
#42
J’ai vécu en direct ce bordel dans ma boite.
" />
" />
j’ai du réinstaller l’antivirus sur chaque poste et manuellement ! Impossible de le faire via la console distante
J’ai passé toute la journée sur cette merde !
#43
#44
bien fait pour eux. c’est la plaie pour les codeurs les détections basées sur l’heuristique. hein monsieur avira
" />
#45
C’est beau de ce faire citer dans une news
" />
" /> )
" />
Pour ceux qui ne comprennent pas l’intérêt d’un antivirus et d’un contrôle de périphérique dans une entreprise n’ont jamais travaillé dans une entreprise (surtout avec des commerciaux et leurs superbes clés usb
Sinon après avoir réussi à relancer l’Update Manger j’ai réactiver tous mes postes depuis la console centrale… mais quelle merde quand même, j’ai un client dont la licence à expirer au même moment
#46
#47
#48
Nous l’utilisons en entreprise, il ne nous cause que des problèmes. Déjà il ne détecte rien, on doit régulièrement passer le Nod32 ou Kaspersky removal tool pour nettoyer les machines infectées… 50% de ce que Sophos détecte c’est du faux positif : openoffice, cygwin, live messenger, ou même des applications métier.
" />
Il aime aussi nous mettre des serveurs Citrix en vrac. C’était le moins cher et on bataille pour se débarrasser de ce truc au prochain renouvellement, parce qu’on en peut plus.
Et nous nous sommes rendus compte aujourd’hui qu’il se détectait lui-même comme un virus… on s’est dit qu’ils avaient peut-être embauché des experts, qui ont mis du code propre, avec pour conséquence qu’il se détecte lui-même comme nuisible, ce qui n’est pas faux
#49
#50
#51
J’ai vu son alerte hier, je me suis dit qu’il déconne complètement comme tous les anti-virus. Cet article me le confirme.
Quand est-ce que certaines entreprises passeront à des systèmes d’exploitation mieux conçus, comme pour leurs serveurs ?
#52
#53
#54
Sophos… Je l’ai testé un temps.
Dommage qu’il soit mal optimisé et que l’utilisateur en pâtisse.
Parce que 70% du temps, quand une news présente un nouveau malware + la marche à suivre pour s’en débarrasser ça vient de chez eux donc on pourrait penser qu’ils sont efficaces.
#55
Je n’ai eu aucun soucis sur la version Mac :)
#56
#57
#58
le nombre de boite ou j’ai vu ce sophos truc …
" />
#59
#60
Le coup de l’antivirus qui bloque ses mises à jour, ben je l’ai connu avec le module “anti hacker” de “Kaspersky antivirus pour Windows workstations” …
#61
#62
Nous au taff on a eu le cas, j’ai été content en tant qu’administrateur de voir mon parc me bombarder de mails.
Par contre leur solution a la noix…j’ai dépanner en 10minutes sans me faire chier voila la marche à suivre :
-Coté serveur : Désactiver le contrôle sur accès et la surveillance des comportements dans la stratégie antivirus et HIPS.
La stratégie s’applique donc a toutes les bécanes qui ne scannent plus donc et arrêtent de bloquer les DLL.
Il suffit de forcer la mise à jour coté serveur avec le correctif et forcer la mise a jour des bécanes ensuite.
Certaines récalcitrantes ne le ferons pas, j’ai juste sélectionné les bécanes et “protéger les ordinateurs” donc sophos à distance va désinstaller et réinstaller la suite antivirus sur le poste avec la bonne mise a jour.
Donc aucune opération fastidieuse, rien a faire coté client.
Au grand max ça vous prend 30 min pour tout faire et contrôler. (le plus embêtant étant de laisser désactivé le contrôle des machines, le temps que les machines qui se sont mises a jour et non redemarées entre la mise à jour foireuse et le correctif prennent bien la nouvelle mise à jour).
J’espère que si vous êtes tombés dans ce cas, ma petite astuce vous aidera.
#63
#64
Cedric1127 : merci pour la soluce, j’ai un paquet de clients à corriger
" />
#65
#66
So… fosse commune pour Madame Michu
" />
#67
Autre :INpact:
Ca à éclaté les agents backup exec de la solution de sauvegarde de …symantec…
#68
#69
#70
#71
#72
#73
#74
#75
#76
#77
Au moins une bonne chose qu’il y ait une réparation.
#78
#79
Une belle citation d’un de mes collègues:
Un anti-virus a deux fonctionnalités:
1-Protéger le système
2-Ralentir le PC
Norton n’en fait qu’une!
Sinon, pour ceux qui cherchent un bon anti virus gratuit, essayer Avira AntiVir. On a fait des tests au boulot et c’est celui la qui s’en est le mieux sorti (dans les gratuits). Après, un anti-virus ne remplacera jamais votre cerveau alors réfléchissez avant d’ouvrir un fichier ou d’aller sur un site internet.
#80
Bah ça dépend des besoins
Si t’as 10 postes tu peux mettre des trucs autonomes qui vont prendre leurs mises à jour sur internet.
Par contre quand tu as ~1000 utilisateurs répartis sur des sites distants, mieux vaut avoir des “nœuds” qui distribuent les mises à jour aux postes. Je ne pense pas que les solutions gratuites comme Avira soient adaptées.
On est en train de regarder pour virer Sophos qui nous fait perdre un temps monstrueux et on pousse Kaspersky.
#81
Bonjour,
#82
Bonjour,
A tous ceux que cela pourrait intéresser, Sophos ne s’en prend malheureusement pas qu’à lui-même.
Il ne fait pas que s’autodétruire.
Si par malheur vous avez des applications qui fonctionnent avec File-Maker Pro V9, vous aurez droit à une suppression d’un certain nombre de fichiers propres à FMP V9 ce qui empêche son fonctionnement.
Pour ma part la seule solution a été de désinstaller FMP V9 ainsi que SOPHOS, car il reste toujours actif, et d’installer FMP V11. (la réinstallation de la V9 posant un certain nombre de problèmes de conflit de session FM).
Pour connaitre tous les fichiers concernés par ces suppressions, allez consulter l’observateur d’évènement de Windows (Application) et vous aurez tous les fichiers supprimés par SOPHOS.
Vous pourrez noter au passage qu’il y a aussi des fichiers Windows ce qui n’augure rien de très bon pour la stabilité future du système.