Discussion :

[Djug]

Mise à jour du 27/04/10

McAfee propose un remboursement « raisonnable » aux particuliers
Victimes de sa bourde et deux ans de mises à jour à ses clients fidèles


Après sa bourde (lire ci-avant), McAfee s'engage à couvrir les frais de réparation des PC impactés par son faux-positifs. Les PC des particuliers, s'entend.

Une catégorie de clients qui a, en plus, été la plus exposée à un « Google Bombing » particulièrement malveillant suite à la médiatisation de l'affaire (lire ci-avant).

Les modalités pour le remboursement des « dépenses raisonnables » (sic) restent encore à fixer.

Par ailleurs, McAfee offre une extension de deux ans de leurs contrats de mise à jour aux clients touchés. Ceux qui ont décidé de changer de prestataire auraient certainement préféré un dédommagement plutôt qu'un nouvel engagement.

Mais on comprend qu'en cette période troublée, McAfee fasse tout son possible pour garder ses clients.

Pas sûr en revanche que son image en sorte indemne, même si – et vous avez été plusieurs à le noter – ce genre de mésaventure peut arriver à de nombreuses sociétés.


Le faux-positif de McAfee : affaire banale ou pas ?


Source : Annonce de remboursement de McAfee

MAJ de Gordon Fowler



Mise à jour du 26/04/10


Les requêtes sur le faux-positif de McAfee utilisées pour diffuser des malwares
D'après un concurrent de McAfee, des hackers insèreraient des liens malicieux dans le référencement de Google


Le faux-positif de McAfee - qui a bloqué des milliers de PC suite à une mauvaise mise à jour (lire ci-avant) - aurait donné des idées aux hackers.

Un des concurrents de McAfee, Sophos, affirme que des cybercriminels utiliseraient leurs connaissances des techniques de référencement de Google pour exploiter cette affaire et propager leurs propres malwares.

Le principe est simple.

Un utilisateur affecté par le faux-positif ira chercher un début de réponse sur Google. Dans les premiers résultats, les hackers en question ont réussi à faire figurer leurs pages... qui dirigent, bien évidemment, vers des sites malicieux.

Une fois sur ces pages, les cybercriminels utilisent alors la technique dite du scareware (lire par ailleurs) pour pousser les internautes les plus crédules à télécharger un faux antivirus et à donner dans l'urgence leur numéro de carte bleue.

Sophos reconnaît néanmoins que McAfee n'est pas le seul à être visé par cette forme particulièrement malveillante de « Google Bombing ». Le simple fait de se retrouver dans la lumière de l'actualité suffirait à être exposé à ce genre de désagréments.


En gris les sites recensés par Sophos comme étant malicieux

Sophos ne dit pas en revanche si la menace a véritablement fonctionné sur les experts IT des entreprises (les principales touchées), normalement les plus avisés.

Ou si cette mise en garde n'est pas (surtout) un bon coup de pub pour ses solutions.

Source : Le Communiqué de Sophos


Et vous ?

Alors ? Vraie menace ou simple coup de pub pour Sophos ?

MAJ de Gordon Fowler


Mise à jour du 23/04/10

Réparer les dégâts du faux-positif de McAfee prendrait 30 minutes
Par PC, la société étudie "une manière pour que cela ne se reproduise plus jamais"


Amrit Williams, directeur de la technologie de Big Fix - une société spécialisée dans la gestion de la sécurité informatique - estime que les problèmes provoqués par le faux-positif de la mise à jour de McAfee (lire ci-avant) vont être particulièrement épineux à résoudre.

Dans une déclaration au quotidien américain USA Today, il affirme qu'il « n'y a aucun moyen d'automatiser le processus ».

D'après lui, réparer les dégâts devra se faire machine par machine. Et manuellement.

Un processus qualifié de « laborieux » qui prendrait environ une demi-heure par PC.

Résultat, une situation particulièrement problématique pour « les entreprises affectées [qui] pourraient mettre plusieurs jours voire plusieurs semaines » pour revenir à la normale.

De son coté, McAfee se confond en excuses.

« Nous avons réalisé une mise à jour qui a clairement provoqué plus de mal que de bien », reconnaît sans ambages Barry McPherson, le vice-président de la société, « les erreurs arrivent. [Mais] nous n'avons pas d'excuses. Dès à présent, les 7.000 employés de McAfee se concentrent sur deux objectifs ».

Le premier est d'aider à mettre fin aux désagréments des clients.

« Et le deuxième, quand cela sera fait, nous assurer de mettre en place les processus pour que cela ne se reproduise jamais ».

Des mesures comme, disons, tester une mise à jour avant de la délivrer ?

Visiblement un révolution pour McAfee.


Source : L'article de USA Today et le communiqué de Barry McPherson

MAJ de Gordon Fowler



Une mise à jour de l’antivirus de McAfee provoque un faux positif,
Et cause le blocage de milliers de PC sous Windows XP

McAfee a annoncé que la mise à jour publiée hier pour la solution VirusScan Enterprise 8.7i SP3 contenait une erreur, et recommande à ces clients de ne pas l’installer.




La mise à jour en question a provoqué un faux positif qui a causé des graves problèmes sur des milliers de machines qui tournent sous Windows XP SP3 dans les entreprises.

L’un des fichiers .DAT de cette mise à jour a identifié le fichier svchost.exe comme un virus (w32/wecorl.a) et l'a mis en quarantaine. Résultat : une série de redémarrages infinie.

McAfee a diffusé un nouveau fichier DAT et explique la méthode à suivre pour restaurer le système.

Ce n'est pas la première fois qu'un antivirus détecte des faux positifs suite à une mise à jour. BitDefender a connu une situation identique depuis un mois, et le problème a touché les versions 64 bits des systèmes windows XP, Vista et windows 7.

Source :
False positive detection of w32/wecorl.a in 5958 DAT

Qu’en pensez-vous?



voir aussi:
la rubrique sécurité

[ccensam]

Personnellement, j'utilise Linux et ça m'évite le très grand nombre de virus.

Le meilleur serait de ne pas utiliser d'antivirus, et quand le PC plante, un formatage resout le problème :-D (N'oublier pas de sauvegarder les données!)

[simonlourson]

J'en pense que ma boîte (sans la citer) est touchée, et que ça doit pas faire loin de quelques milliers de postes paralysés...

Une seule chose à dire: gg McAfee.

A surveiller sa cotation en bourse dans les jours qui viennent...

[Bryce de Mouriès]

Personnellement, j'utilise Linux et ça m'évite le très grands nombre de virus.

Le meilleur serait de ne pas utiliser d'antivirus, et quand le PC plante, un formatage resout le problème :-D (N'oublier pas de sauvegarder les données!)

Mieux encore acheter un nouveau PC, en plus on a les 2-3 mois d'antivirus offerts.

[komput]

Mieux encore acheter un nouveau PC, en plus on a les 2-3 mois d'antivirus offerts.

Ah mais être en sécurité ne devrait jamais être payant. C'est un droit fondamental, et on ne devrait même pas avoir à signaler qu'on y a droit.

Et nécessiter systématiquement un antivirus signifie être sous Windows, qui est préinstallé sur la nouvelle machine, et ce Windows on le paie... C'est payer ((très) cher) pour quelque chose pour lequel il faut encore payer, etc.
Et comme on le voit, l'outil censé assurer notre sécurité doit aussi être pris avec des pincettes...
Enfin ça, c'est un débat traditionnel et très surfait Windows or not Windows.

Non, ce qui est invraissemblable c'est que ce problème ait pu arriver, venant d'une société censée être sérieuse. Pour mettre en ligne une mise à jour avec une tel faux positif, il faut ne pas l'avoir testée avant...

J'en pense que ma boite (sans la citer) est touchée, et que ça doit pas faire loin de quelques milliers de postes paralysés...

Une seule chose à dire: gg McAfee.

A surveiller sa cotation en bourse dans les jours qui viennent...

On est d'accord...

Bah dommage, mais ce n'est pas aujourd'hui qu'on verra M. ToutLeMonde demander une machine vierge, y installer un OS en lequel il peut avoir confiance, ou faire un petit formatage... et pourquoi pas les entreprises aussi

[Didier Gonard]

Bonjour,

J'ai eu ça avec Trend Micro

Résolu dans l'heure suivante par le remontage d'une image de la partition système et programmes séparées des données etc... Mais au niveau d'une entreprise plein de postes...

Dysfonctionnement Internet Security (Pccillin 2008)
Un dysfonctionnement a été constaté sur certains postes protégés par Trend Micro Internet Security (PcCillin 2008).

TrendMicro a informé les abonnés à leur "lettre d'information pro-active" que les fichiers de signatures (5.521et 5.525) publiés jeudi 04/09 et vendredi 05/09, identifiaient certains fichiers légitimes comme des fichiers malicieux et les mettait en quarantaine.

De fait, les postes ayant effectué leur mise à jour au moment ou ces fichiers de signatures étaient en ligne, ont été confrontés à une instabilité du système d'exploitation allant jusqu'à le rendre inutilisable. Le dysfonctionnement entrainant au moment de son apparition un message signalant une infection virale, des utilisateurs peuvent avoir été induits en erreur...

TrendMicro à immédiatement publié un nouveau fichier de signature (5.527) afin de restaurer les fichiers légitimes mis en quarantaine permettant de solutionner le problème et mis son support en alerte rouge.
Un n° spécial a été mis en place : 08 99 65 02 28.

Les modalités de réparation sont en ligne sur le support TrendMicro
http://esupport.trendmicro.com/suppo...tID=EN-1038089 (en anglais).

Une autre piste, nécessitant ici aussi un minimum de compétences, consiste, si on peut accéder à l'environnement Windows, à lancer la commande "sfc /scannow" (qui permet de restaurer les fichiers système endommagés ou absents).
Date : 8 septembre 2008

c'est désespérant !

cordialement,

Didier

[Ptigrouick]

Mon organisme de recherche a été touché ce matin par le faux positif de Mc Afee. J'ai bien rigolé quand tout le monde a commencé à défiler dans mon bureau "mon ordi est en panne ouiin ça marche plus". J'ai expédié tout le monde voir le seul admin système restant (le 2ème étant en vacances). Moi j'ai tranquillement continué à travailler, je suis sous GNU/Linux...
J'adore le concept du logiciel censé protéger l'ordinateur et qui met le bordel. C'est sympa le monde des OS propriétaires mais ouverts à tous les virus ! Prochaine étape : inventer l'anti-faux-positifs qui protège contre le logiciel qui protège le système...

[Lyche]

Rappelons que le problème vient de McAfee, et non de windows alors cessons immédiatement cet amalgame plus que stupide et ridicule. Le problème vient une nouvelle fois d'une application tierce et non de l'OS que vous aimez tant critiquer .

Et franchement, je ne comprends pas l'engouement des entreprises pour McAfee, c'est lourd, c'est pas ergonomique, c'est une vrai passoire, c'est cher, ça plante super souvent.. bref, une vrai daube en boîite.. et qui se vend.. comme quoi ça rejoint ce que je dis, plus c'est mauvais, mieux ça se vend (et pour les fans, cf windows )

[rt15]

Nan mais on critique, on critique, mais ils sont très forts les éditeurs de logiciels anti-virus.
Ils font des logiciels qui te bouffent ta RAM, ta CPU te ralentissent tes accès disque et réseaux, et qui en plus te bousillent proprement Windows de temps en temps... Bon ça, ça s'appelle des virus (Ou un malware pour parler proprement) . C'est pas trop dur à faire. Rien de miraculeux.

Mais alors eux, ils parviennent à les vendre, qui plus est sous forme d'abonnement pour faire raquer un maximum. Respect.

Et pourtant il suffit simplement de ne pas exécuter n'importe quoi sur son PC (warez, anti-virus...) pour ne pas avoir d'ennuis.

[ghuysmans99]

Mouais on peut aussi survivre sans antivirus en utilisant un compte single user et DMR pour éviter tout problème lié à une faille du navigateur. Après évidemment mieux vaut ne pas exécuter n'importe quoi !

[Tesing]

Ouais j'ai été atteint par cette erreur.
Franchement c'est énervant. Suppression du svchost, plus de réseau, les techniciens obligés d'intervenir. Bref la galère.

[Chuck_Norris]

Je suis aussi heureux d'être sous Linux.

Mais cependant j'utilise malgré tout un anti-virus open-source : ClamAV. En effet, j'utilise Wine et donc il est fort possible qu'un virus soit exécuté via Wine.

Evidemment les dangers d'un virus Windows sont beaucoup plus limités que sous un vrai système Windows. Le système Linux est en effet automatiquement protégé grâce à mon exécution en utilisateur simple (et ça c'est aussi valable pour les véritables virus Linux). Mais pour les virus Windows, la base de registres est juste un élément de Wine, on peut limiter les "disques" que Wine voit, donc les dégâts possibles d'un virus Windows sont très limités. Au pire, on peut effacer la base de registres Wine pour en reconstruire une toute neuve sans aucun souci.

Enfin, ClamAV n'est pas un processus qui tourne tout le temps, me mangeant des ressources systèmes en permanence et en prenant des décisions à l'insu de mon plein gré (comme c'est le cas ici dans la news, McAfee prenant l'initiative d'effacer le fichier faux-positif). En effet, si je me retrouve devant un fichier suspect, je lance l'utilitaire "clamscan" dessus pour le tester avant de faire quoi que ce soit d'autre, tout simplement.

J'ai le contrôle complet sur ma machine et la sécurité.

[dams78]

Je suis toujours surpris par les personnes qui affirment : "je n'ai pas d'anti virus, j'installe que des trucs clean"... Depuis quand un virus se présente et demande à l'utilisateur de l'installer? Et je parle même pas des chevaux de troy dont le but et de cacher leur présence à l'utilisateur.

[jpouly]

Ah mais être en sécurité ne devrait jamais être payant.

C'est totalement faux, quand on voit les milliards d'euros dépensés chaque année en sécurité (police, armé, vigile...).

C'est un droit fondamental, et on ne devrait même pas avoir à signaler qu'on y a droit.

En occidant oui, ailleur ...

Et nécessiter systématiquement un antivirus signifie être sous Windows, qui est préinstallé sur la nouvelle machine, et ce Windows on le paie... C'est payer ((très) cher) pour quelque chose pour lequel il faut encore payer, etc.

Attend un peu que linux ou mac os X prennent un peu de part de marché, et on en reparlera.

[dams78]

Attend un peu que linux ou mac os X prennent un peu de part de marché, et on en reparlera.

Bon ok on est vendredi mais quand même...

[Gordon Fowler]

Réparer les dégâts du faux-positif de McAfee prendrait 30 minutes
Par PC, la société étudie "une manière pour que cela ne se reproduise plus jamais"


Amrit Williams, directeur de la technologie de Big Fix - une société spécialisée dans la gestion de la sécurité informatique - estime que les problèmes provoqués par le faux-positif de la mise à jour de McAfee (lire ci-avant) vont être particulièrement épineux à résoudre.

Dans une déclaration au quotidien américain USA Today, il affirme qu'il « n'y a aucun moyen d'automatiser le processus ».

D'après lui, réparer les dégâts devra se faire machine par machine. Et manuellement.

Un processus qualifié de « laborieux » qui prendrait environ une demi-heure par PC.

Résultat, une situation particulièrement problématique pour « les entreprises affectées [qui] pourraient mettre plusieurs jours voire plusieurs semaines » pour revenir à la normale.

De son coté, McAfee se confond en excuses.

« Nous avons réalisé une mise à jour qui a clairement provoqué plus de mal que de bien », reconnaît sans ambages Barry McPherson, le vice-président de la société, « les erreurs arrivent. [Mais] nous n'avons pas d'excuses. Dès à présent, les 7.000 employés de McAfee se concentrent sur deux objectifs ».

Le premier est d'aider à mettre fin aux désagréments des clients.

« Et le deuxième, quand cela sera fait, nous assurer de mettre en place les processus pour que cela ne se reproduise jamais ».

Des mesures comme, disons, tester une mise à jour avant de la délivrer ?

Visiblement un révolution pour McAfee.


Source : L'article de USA Today et le communiqué de Barry McPherson

[guilhem91]

Ben ça alors... C'est dans ces moments là que j'apprécie mon Linux

Cela dit, les gens, personne ne les forcent à utiliser ce genre d'antivirus payant et tout pourri. Du temps où j'avais encore un Windows, j'utilisais Avast : même s'il est un peu lourd, ça marche très bien, c'est gratuit et je n'ai jamais eu de problèmes.

[Naquada]

Il y a un truc qui m'échappe...

Mon anti-virus me demande quelle action effectuée sur un fichier détecté comme positif. Cela me permet de vérifier l'origine du fichier et sa nature.

C'est pas le cas avec McAfee ?

[Aratal]

Cela dit, les gens, personne ne les forcent à utiliser ce genre d'antivirus payant et tout pourri. Du temps où j'avais encore un Windows, j'utilisais Avast : même s'il est un peu lourd, ça marche très bien, c'est gratuit et je n'ai jamais eu de problèmes.

Oui, mais non

En fait, quand tu bosses dans une école d'enseignement supérieur, tu dois utilisé l'antivirus chois par le ministère. En l'occurrence McAfee sur la période 2004-2007.
Quant a Avast, ben en milieu "professionnel" (comprendre en dehors de l'utilisation personnel), ben il faut payer, et comme on doit utiliser l'antivirus du ministère...

Mon anti-virus me demande quelle action effectuée sur un fichier détecté comme positif. Cela me permet de vérifier l'origine du fichier et sa nature.

C'est pas le cas avec McAfee ?

Si bien sûr, mais tout est géré au niveau serveur, et donc les stratégies en place sont du genre : "Si c'est critique tu mets en quarantaine puis tu supprimes". On va pas laisser les utilisateurs gérer ceci, je vous raconte pas le bazar...

[Derf59242]

J'ai été victime aussi de cette brutale attaque de la part de l'antivirus.

Le jeudi soir, pas eu le temps de réagir et sur le coup c'est vrai qu'on croit que c'est un virus. Fenetre d'alerte de McAfee, puis reboot dans la minute provoqué par le système. Au reboot quasiment plus rien ne fonctionnait.

Au départ tu lances une analyse complète de l'antivirus, qui te trouve rien d'autre. Tu regardes un peu sur le net, tu reprends un fichier scvhost.exe d'un autre post (ou des sources du tien) et la surprise au reboot suivant ca recommence bizzare. C'est là que tu comprends qu'il y a une merde et que tu fais un shutdown -a pour empecher un autre reboot

Pour résoudre le problème soit on dispose d'un CD de windows ou des sources sur son poste. Il suffit alors de faire un expand c:\sources\i386\scvhost.ex_ c:\windows\system32\scvhost.exe

Ensuite tu kill l'antivirus et tu reprends les anciennes signatures "avv*.dat" dans c:\Program Files\Fichiers communs\McAfee\Engine\OldEngine
pour les remettre dans c:\Program Files\Fichiers communs\McAfee\Engine\

Je plains quand même ceux qui ont McAfee et qui n'ont qu'un seul poste chez eux. Pas facile de voir quoi faire sans le net.
Déjà que sans le scvhost.exe même les copier/coller ne fonctionnent plus dans l'explorateur, tout à faire sous Cmd