Discussion :

[Djug]

Mise à jour du 27/04/10

McAfee propose un remboursement « raisonnable » aux particuliers
Victimes de sa bourde et deux ans de mises à jour à ses clients fidèles


Après sa bourde (lire ci-avant), McAfee s'engage à couvrir les frais de réparation des PC impactés par son faux-positifs. Les PC des particuliers, s'entend.

Une catégorie de clients qui a, en plus, été la plus exposée à un « Google Bombing » particulièrement malveillant suite à la médiatisation de l'affaire (lire ci-avant).

Les modalités pour le remboursement des « dépenses raisonnables » (sic) restent encore à fixer.

Par ailleurs, McAfee offre une extension de deux ans de leurs contrats de mise à jour aux clients touchés. Ceux qui ont décidé de changer de prestataire auraient certainement préféré un dédommagement plutôt qu'un nouvel engagement.

Mais on comprend qu'en cette période troublée, McAfee fasse tout son possible pour garder ses clients.

Pas sûr en revanche que son image en sorte indemne, même si – et vous avez été plusieurs à le noter – ce genre de mésaventure peut arriver à de nombreuses sociétés.


Le faux-positif de McAfee : affaire banale ou pas ?


Source : Annonce de remboursement de McAfee

MAJ de Gordon Fowler



Mise à jour du 26/04/10


Les requêtes sur le faux-positif de McAfee utilisées pour diffuser des malwares
D'après un concurrent de McAfee, des hackers insèreraient des liens malicieux dans le référencement de Google


Le faux-positif de McAfee - qui a bloqué des milliers de PC suite à une mauvaise mise à jour (lire ci-avant) - aurait donné des idées aux hackers.

Un des concurrents de McAfee, Sophos, affirme que des cybercriminels utiliseraient leurs connaissances des techniques de référencement de Google pour exploiter cette affaire et propager leurs propres malwares.

Le principe est simple.

Un utilisateur affecté par le faux-positif ira chercher un début de réponse sur Google. Dans les premiers résultats, les hackers en question ont réussi à faire figurer leurs pages... qui dirigent, bien évidemment, vers des sites malicieux.

Une fois sur ces pages, les cybercriminels utilisent alors la technique dite du scareware (lire par ailleurs) pour pousser les internautes les plus crédules à télécharger un faux antivirus et à donner dans l'urgence leur numéro de carte bleue.

Sophos reconnaît néanmoins que McAfee n'est pas le seul à être visé par cette forme particulièrement malveillante de « Google Bombing ». Le simple fait de se retrouver dans la lumière de l'actualité suffirait à être exposé à ce genre de désagréments.


En gris les sites recensés par Sophos comme étant malicieux

Sophos ne dit pas en revanche si la menace a véritablement fonctionné sur les experts IT des entreprises (les principales touchées), normalement les plus avisés.

Ou si cette mise en garde n'est pas (surtout) un bon coup de pub pour ses solutions.

Source : Le Communiqué de Sophos


Et vous ?

Alors ? Vraie menace ou simple coup de pub pour Sophos ?

MAJ de Gordon Fowler


Mise à jour du 23/04/10

Réparer les dégâts du faux-positif de McAfee prendrait 30 minutes
Par PC, la société étudie "une manière pour que cela ne se reproduise plus jamais"


Amrit Williams, directeur de la technologie de Big Fix - une société spécialisée dans la gestion de la sécurité informatique - estime que les problèmes provoqués par le faux-positif de la mise à jour de McAfee (lire ci-avant) vont être particulièrement épineux à résoudre.

Dans une déclaration au quotidien américain USA Today, il affirme qu'il « n'y a aucun moyen d'automatiser le processus ».

D'après lui, réparer les dégâts devra se faire machine par machine. Et manuellement.

Un processus qualifié de « laborieux » qui prendrait environ une demi-heure par PC.

Résultat, une situation particulièrement problématique pour « les entreprises affectées [qui] pourraient mettre plusieurs jours voire plusieurs semaines » pour revenir à la normale.

De son coté, McAfee se confond en excuses.

« Nous avons réalisé une mise à jour qui a clairement provoqué plus de mal que de bien », reconnaît sans ambages Barry McPherson, le vice-président de la société, « les erreurs arrivent. [Mais] nous n'avons pas d'excuses. Dès à présent, les 7.000 employés de McAfee se concentrent sur deux objectifs ».

Le premier est d'aider à mettre fin aux désagréments des clients.

« Et le deuxième, quand cela sera fait, nous assurer de mettre en place les processus pour que cela ne se reproduise jamais ».

Des mesures comme, disons, tester une mise à jour avant de la délivrer ?

Visiblement un révolution pour McAfee.


Source : L'article de USA Today et le communiqué de Barry McPherson

MAJ de Gordon Fowler



Une mise à jour de l’antivirus de McAfee provoque un faux positif,
Et cause le blocage de milliers de PC sous Windows XP

McAfee a annoncé que la mise à jour publiée hier pour la solution VirusScan Enterprise 8.7i SP3 contenait une erreur, et recommande à ces clients de ne pas l’installer.




La mise à jour en question a provoqué un faux positif qui a causé des graves problèmes sur des milliers de machines qui tournent sous Windows XP SP3 dans les entreprises.

L’un des fichiers .DAT de cette mise à jour a identifié le fichier svchost.exe comme un virus (w32/wecorl.a) et l'a mis en quarantaine. Résultat : une série de redémarrages infinie.

McAfee a diffusé un nouveau fichier DAT et explique la méthode à suivre pour restaurer le système.

Ce n'est pas la première fois qu'un antivirus détecte des faux positifs suite à une mise à jour. BitDefender a connu une situation identique depuis un mois, et le problème a touché les versions 64 bits des systèmes windows XP, Vista et windows 7.

Source :
False positive detection of w32/wecorl.a in 5958 DAT

Qu’en pensez-vous?



voir aussi:
la rubrique sécurité

[ccensam]

Personnellement, j'utilise Linux et ça m'évite le très grand nombre de virus.

Le meilleur serait de ne pas utiliser d'antivirus, et quand le PC plante, un formatage resout le problème :-D (N'oublier pas de sauvegarder les données!)

[Bryce de Mouriès]

Personnellement, j'utilise Linux et ça m'évite le très grands nombre de virus.

Le meilleur serait de ne pas utiliser d'antivirus, et quand le PC plante, un formatage resout le problème :-D (N'oublier pas de sauvegarder les données!)

Mieux encore acheter un nouveau PC, en plus on a les 2-3 mois d'antivirus offerts.

[komput]

Mieux encore acheter un nouveau PC, en plus on a les 2-3 mois d'antivirus offerts.

Ah mais être en sécurité ne devrait jamais être payant. C'est un droit fondamental, et on ne devrait même pas avoir à signaler qu'on y a droit.

Et nécessiter systématiquement un antivirus signifie être sous Windows, qui est préinstallé sur la nouvelle machine, et ce Windows on le paie... C'est payer ((très) cher) pour quelque chose pour lequel il faut encore payer, etc.
Et comme on le voit, l'outil censé assurer notre sécurité doit aussi être pris avec des pincettes...
Enfin ça, c'est un débat traditionnel et très surfait Windows or not Windows.

Non, ce qui est invraissemblable c'est que ce problème ait pu arriver, venant d'une société censée être sérieuse. Pour mettre en ligne une mise à jour avec une tel faux positif, il faut ne pas l'avoir testée avant...

J'en pense que ma boite (sans la citer) est touchée, et que ça doit pas faire loin de quelques milliers de postes paralysés...

Une seule chose à dire: gg McAfee.

A surveiller sa cotation en bourse dans les jours qui viennent...

On est d'accord...

Bah dommage, mais ce n'est pas aujourd'hui qu'on verra M. ToutLeMonde demander une machine vierge, y installer un OS en lequel il peut avoir confiance, ou faire un petit formatage... et pourquoi pas les entreprises aussi

[Didier Gonard]

Bonjour,

J'ai eu ça avec Trend Micro

Résolu dans l'heure suivante par le remontage d'une image de la partition système et programmes séparées des données etc... Mais au niveau d'une entreprise plein de postes...

Dysfonctionnement Internet Security (Pccillin 2008)
Un dysfonctionnement a été constaté sur certains postes protégés par Trend Micro Internet Security (PcCillin 2008).

TrendMicro a informé les abonnés à leur "lettre d'information pro-active" que les fichiers de signatures (5.521et 5.525) publiés jeudi 04/09 et vendredi 05/09, identifiaient certains fichiers légitimes comme des fichiers malicieux et les mettait en quarantaine.

De fait, les postes ayant effectué leur mise à jour au moment ou ces fichiers de signatures étaient en ligne, ont été confrontés à une instabilité du système d'exploitation allant jusqu'à le rendre inutilisable. Le dysfonctionnement entrainant au moment de son apparition un message signalant une infection virale, des utilisateurs peuvent avoir été induits en erreur...

TrendMicro à immédiatement publié un nouveau fichier de signature (5.527) afin de restaurer les fichiers légitimes mis en quarantaine permettant de solutionner le problème et mis son support en alerte rouge.
Un n° spécial a été mis en place : 08 99 65 02 28.

Les modalités de réparation sont en ligne sur le support TrendMicro
http://esupport.trendmicro.com/suppo...tID=EN-1038089 (en anglais).

Une autre piste, nécessitant ici aussi un minimum de compétences, consiste, si on peut accéder à l'environnement Windows, à lancer la commande "sfc /scannow" (qui permet de restaurer les fichiers système endommagés ou absents).
Date : 8 septembre 2008

c'est désespérant !

cordialement,

Didier

[Ptigrouick]

Mon organisme de recherche a été touché ce matin par le faux positif de Mc Afee. J'ai bien rigolé quand tout le monde a commencé à défiler dans mon bureau "mon ordi est en panne ouiin ça marche plus". J'ai expédié tout le monde voir le seul admin système restant (le 2ème étant en vacances). Moi j'ai tranquillement continué à travailler, je suis sous GNU/Linux...
J'adore le concept du logiciel censé protéger l'ordinateur et qui met le bordel. C'est sympa le monde des OS propriétaires mais ouverts à tous les virus ! Prochaine étape : inventer l'anti-faux-positifs qui protège contre le logiciel qui protège le système...

[jpouly]

Ah mais être en sécurité ne devrait jamais être payant.

C'est totalement faux, quand on voit les milliards d'euros dépensés chaque année en sécurité (police, armé, vigile...).

C'est un droit fondamental, et on ne devrait même pas avoir à signaler qu'on y a droit.

En occidant oui, ailleur ...

Et nécessiter systématiquement un antivirus signifie être sous Windows, qui est préinstallé sur la nouvelle machine, et ce Windows on le paie... C'est payer ((très) cher) pour quelque chose pour lequel il faut encore payer, etc.

Attend un peu que linux ou mac os X prennent un peu de part de marché, et on en reparlera.

[dams78]

Attend un peu que linux ou mac os X prennent un peu de part de marché, et on en reparlera.

Bon ok on est vendredi mais quand même...

[simonlourson]

J'en pense que ma boîte (sans la citer) est touchée, et que ça doit pas faire loin de quelques milliers de postes paralysés...

Une seule chose à dire: gg McAfee.

A surveiller sa cotation en bourse dans les jours qui viennent...

[Gordon Fowler]

Réparer les dégâts du faux-positif de McAfee prendrait 30 minutes
Par PC, la société étudie "une manière pour que cela ne se reproduise plus jamais"


Amrit Williams, directeur de la technologie de Big Fix - une société spécialisée dans la gestion de la sécurité informatique - estime que les problèmes provoqués par le faux-positif de la mise à jour de McAfee (lire ci-avant) vont être particulièrement épineux à résoudre.

Dans une déclaration au quotidien américain USA Today, il affirme qu'il « n'y a aucun moyen d'automatiser le processus ».

D'après lui, réparer les dégâts devra se faire machine par machine. Et manuellement.

Un processus qualifié de « laborieux » qui prendrait environ une demi-heure par PC.

Résultat, une situation particulièrement problématique pour « les entreprises affectées [qui] pourraient mettre plusieurs jours voire plusieurs semaines » pour revenir à la normale.

De son coté, McAfee se confond en excuses.

« Nous avons réalisé une mise à jour qui a clairement provoqué plus de mal que de bien », reconnaît sans ambages Barry McPherson, le vice-président de la société, « les erreurs arrivent. [Mais] nous n'avons pas d'excuses. Dès à présent, les 7.000 employés de McAfee se concentrent sur deux objectifs ».

Le premier est d'aider à mettre fin aux désagréments des clients.

« Et le deuxième, quand cela sera fait, nous assurer de mettre en place les processus pour que cela ne se reproduise jamais ».

Des mesures comme, disons, tester une mise à jour avant de la délivrer ?

Visiblement un révolution pour McAfee.


Source : L'article de USA Today et le communiqué de Barry McPherson

[guilhem91]

Ben ça alors... C'est dans ces moments là que j'apprécie mon Linux

Cela dit, les gens, personne ne les forcent à utiliser ce genre d'antivirus payant et tout pourri. Du temps où j'avais encore un Windows, j'utilisais Avast : même s'il est un peu lourd, ça marche très bien, c'est gratuit et je n'ai jamais eu de problèmes.

[Aratal]

Cela dit, les gens, personne ne les forcent à utiliser ce genre d'antivirus payant et tout pourri. Du temps où j'avais encore un Windows, j'utilisais Avast : même s'il est un peu lourd, ça marche très bien, c'est gratuit et je n'ai jamais eu de problèmes.

Oui, mais non

En fait, quand tu bosses dans une école d'enseignement supérieur, tu dois utilisé l'antivirus chois par le ministère. En l'occurrence McAfee sur la période 2004-2007.
Quant a Avast, ben en milieu "professionnel" (comprendre en dehors de l'utilisation personnel), ben il faut payer, et comme on doit utiliser l'antivirus du ministère...

Mon anti-virus me demande quelle action effectuée sur un fichier détecté comme positif. Cela me permet de vérifier l'origine du fichier et sa nature.

C'est pas le cas avec McAfee ?

Si bien sûr, mais tout est géré au niveau serveur, et donc les stratégies en place sont du genre : "Si c'est critique tu mets en quarantaine puis tu supprimes". On va pas laisser les utilisateurs gérer ceci, je vous raconte pas le bazar...

[Derf59242]

J'ai été victime aussi de cette brutale attaque de la part de l'antivirus.

Le jeudi soir, pas eu le temps de réagir et sur le coup c'est vrai qu'on croit que c'est un virus. Fenetre d'alerte de McAfee, puis reboot dans la minute provoqué par le système. Au reboot quasiment plus rien ne fonctionnait.

Au départ tu lances une analyse complète de l'antivirus, qui te trouve rien d'autre. Tu regardes un peu sur le net, tu reprends un fichier scvhost.exe d'un autre post (ou des sources du tien) et la surprise au reboot suivant ca recommence bizzare. C'est là que tu comprends qu'il y a une merde et que tu fais un shutdown -a pour empecher un autre reboot

Pour résoudre le problème soit on dispose d'un CD de windows ou des sources sur son poste. Il suffit alors de faire un expand c:\sources\i386\scvhost.ex_ c:\windows\system32\scvhost.exe

Ensuite tu kill l'antivirus et tu reprends les anciennes signatures "avv*.dat" dans c:\Program Files\Fichiers communs\McAfee\Engine\OldEngine
pour les remettre dans c:\Program Files\Fichiers communs\McAfee\Engine\

Je plains quand même ceux qui ont McAfee et qui n'ont qu'un seul poste chez eux. Pas facile de voir quoi faire sans le net.
Déjà que sans le scvhost.exe même les copier/coller ne fonctionnent plus dans l'explorateur, tout à faire sous Cmd

[loufab]

Je suis passé au travers au boulot (5959 directe)
Et chez moi pas concerné puisque je suis équipé de MSE http://www.microsoft.com/security_essentials/ et j'en ai pleine satisfaction !

[uuioga]

+1 Lat

pour info, dans une des très grosses boîtes dont on entend allègrement parler ici, le service de déploiement bureautique devrait tester en amont les mises à jour avant de les propager au parc informatique complet, il me semble que c'est basique comme raisonnement, et c'est ce qui s'est passé pour moi et mes milliers de collègues, aucun soucis à déplorer car les précautions sont de mise. (nous correspondions pourtant totalement au type d'ordinateurs susceptibles d'être infectés)

[Latinus]

Bonjour,

Je travaille dans un établissement dont le parc a été touché à hauteur d'une centaine de machines.

Sans rentrer dans les détails techniques de résolution (ce sujet n'étant pas destiné à cela), je voudrais apporter ma réponse.


Il faut distinguer plusieurs cas de figure (et donc nuancer le "buzz") :

1 - postes dont mcafee a réellement réussi à supprimer svchost
1.a - svchost en quarantaine (en entreprise, la quarantaine, c'est juste indispensable)
1.b - svchost dégagé

2 - postes dont mcafee tente, sans y parvenir, à supprimer svchost

3 - "auto" réparation.

--

1.b) est le cas le plus lourd puisqu'il faut ré-importer svchost dans le système.

1.a) est embêtant car la machine n'est plus accessible à distance

2) est une formalité "quasi" automatisable (dépend si vous autorisez, ou non, l'arrêt des services mcafee sans au préalable déverrouiller l'interface via la console sur le poste client)

3) Lorsque nous avons réalisé qu'il s'agissait d'un faux positif ; un rollback vers la signature 5957.0000 a été imposé dans ePO et nous avons défini une tâche avec exécution immédiate forçant la mise à jour des DAT. De ce fait, même si les postes redémarraient en boucle, certains ont pu observer cette instruction et changer de signature (la condition étant qu'il n'y ait pas eu de suppression de svchost)


Cela étant, une demi-heure, ça me parait un brin exagéré (j'ai eu du 15 minutes sur une des machines dites "lentes") ; c'est plus long de rédiger la procédure à l'intention des intervenants que de "réparer" un poste.

Évidemment, pour les parcs très étalés géographiquement, c'est une autre histoire... mais je n'imagine pas, dans ce cas, que les personnes en charge des outils de sécurité laissent s'appliquer leurs mises à jour sans les passer au préalable en "évaluation" (notion complètement supportée, et recommandée, par mcafee).

Cordialement,
Lat

[Naquada]

Il y a un truc qui m'échappe...

Mon anti-virus me demande quelle action effectuée sur un fichier détecté comme positif. Cela me permet de vérifier l'origine du fichier et sa nature.

C'est pas le cas avec McAfee ?

[Gouyon]

Réparer les dégâts du faux-positif de McAfee prendrait 30 minutes
Par PC, la société étudie "une manière pour que cela ne se reproduise plus jamais"

Personnellement ça m'a pris 2 jours!

Merci McAfee

[covao]

Combien se chiffre les dégâts ? Qui paiera cette... bourde sans nom ?

[OWickerman]

Combien se chiffre les dégâts ? Qui paiera cette... bourde sans nom ?

On la fera payer par les contribuables, que les actionnaires ne s'inquiètent pas.