C’est l’arroseur arrosé. L’antivirus Sophos a été victime d’un bug plus qu’ennuyeux puisque la propre mise à jour du logiciel de sécurité a été reconnue… comme un malware. Un cas flagrant de faux positif qui a engendré bien des problèmes.
Un énorme faux positif
Incident fâcheux pour Sophos. Une mise à jour publiée mardi soir a provoqué une belle pagaille dans les sociétés utilisant l’antivirus. Un bug a incité ce dernier à reconnaître la mise à jour comme le malware SSH/Updater-B. Le site The Register rapporte que les administrateurs système des sociétés touchées ont été littéralement bombardés d’emails envoyés automatiquement hier matin après que les machines aient généré de nombreuses alertes.
L’un des emails envoyés à The Register par un lecteur raconte comment un parc informatique s’est soudainement emballé : « À environ 21h20 ce soir, tous les PC de mon réseau (une centaine environ) ont commencé à envoyer des emails toutes les dix minutes indiquant qu’un virus avait été détecté dans l’une des DLL de Sophos Endpoint Security & Control ». Et c’est bien le problème.
L’antivirus en est venu à se considérer lui-même comme un problème. Conséquence ? Il s’est placé en quarantaine, laissant deux gros problèmes derrière lui. Premièrement, l’antivirus étant désactivé, la sécurité globale en prend évidemment un sérieux coup. Deuxièmement, le composant de mise à jour étant lui aussi en quarantaine, la mise à jour salvatrice arrivée plus tard ne pouvait pas s’installer automatiquement. Dans la pratique, plusieurs autres mécanismes de mise à jour étaient même bloqués.
La galère des utilisateurs
Des problèmes confirmés de notre côté par Cédric Lepinay, directeur associé de la société de services SATLX IT, qui nous relate son expérience du bug : « Cela a commencé en empêchant un de nos produits de fonctionner correctement du coté client (un plugin Outlook qui ne pouvait pas se charger). C’est là qu’on s’est rendu compte que Sophos bloquait l’accès à la DLL mais qu’en plus il avait mis en quarantaine pas mal d’exécutables et DLL en rapport avec des fonctionnalités de mise à jour (googleupdate par exemple). Une mise à jour sortie une heure après environ devait corriger le problème… sauf que Sophos bloquait ses propres composants, y compris le serveur de mise à jour / management centralisé. »
Sophos indique sur son blog depuis ce matin la marche à suivre. Le moins que l’on puisse dire, c’est qu’elle est fastidieuse car découpée en de multiples étapes. Cela revient à effectuer manuellement de nombreuses opérations, tout en contournant les problèmes engendrés par la fameuse mise à jour. Cédric Lepinay nous indique à ce propos : « Sauf que chez un de mes clients, cela n’a pas marché immédiatement. Pourquoi ? Parce que la mise en quarantaine a déplacé les fichiers utiles comme le service de mise à jour, celui de contrôle, etc., dans un espace réservé, et il est impossible de les restaurer automatiquement, il faut les déplacer à la main ! »
Sophos a réagi très rapidement en publiant une mise à jour fonctionnelle. Mais le mal est déjà fait : ce type d’incident est particulièrement dommageable pour la clientèle. L’objectif d’un antivirus est de se faire oublier et Sophos a brutalement rappelé sa présence aux utilisateurs et administrateurs. Dans le forum officiel, un sujet contenant déjà 74 pages de réactions recense de très nombreux problèmes. On citera en exemple le cas d’un serveur Exchange d’où l’antivirus a été désinstallé, aboutissant à une perte de connectivité réseau.
