Antivirus : une mise à jour ratée de McAfee vire au cauchemar
L'éditeur, en mettant à jour sa base de signatures antivirales, a mis en quarantaine un fichier indispensable à Windows XP SP3. Une « bourde » qui n'est pas un cas isolé...
Difficile de mesurer précisément l'ampleur des dégâts. Mais, cette nuit, une mise à jour de la base de signatures de McAfee a provoqué la mise en quarantaine du fichier SVCHOST.EXE (l'un des piliers de Windows).
Ce fichier a été reconnu comme un virus (W32/wecorl.a). Un « faux positif » qui a provoqué le plantage des PC qui ont reçu cette mise à jour et une impossibilité de le redémarrer, les utilisateurs se retrouvant systématiquement face à un écran bleu « de la mort » (Blue screen of death).
Seuls les ordinateurs sous Windows XP SP3 ont été victimes de cette anomalie. Étant donné l'heure tardive, ce sont principalement les ordinateurs outre-Atlantique qui ont été touchés par cette mésaventure (les PC en France, eux, disposent de la bonne mise à jour). McAfee a retiré la signature incriminée quelques heures seulement après la découverte du problème et rapidement publié des fiches techniques pour remédier au problème.
La solution, pour ceux qui ont été affectés, passe par le téléchargement d'un correctif et le redémarrage en mode sans échec des machines affectées afin de pouvoir l'exécuter depuis un CD ou une clé USB. Le correctif se télécharge ici.
Des hôpitaux paralysés
Sur son blog, le responsable du support, Barry McPherson, raconte sa dure journée passée à assister les utilisateurs. Il écrit ainsi : « Des erreurs peuvent toujours être commises. Nous n'avons aucune excuse. Les quelques 7 000 employés de McAfee sont tous, à l'heure actuelle, focalisés sur deux choses. D'abord aider nos clients affectés par ce problème à retrouver une activité normale. Ensuite, s'assurer que nous mettons en place les processus de sorte que cela ne se reproduise plus jamais ».
Une explication qui ne suffit pas à calmer la colère des utilisateurs dont les messages de mécontentement ont submergé les réseaux sociaux. Associated Press raconte également que cette mise à jour a affecté quelques écoles et semé une jolie pagaille aux urgences de certains hôpitaux (Hasbro Children Hospital, Miriam Hospital, Rhode Island Hospital et Newport Hospital) qui ont dû retarder des interventions chirurgicales et rediriger les cas les moins critiques vers d'autres services d'urgences. La situation est revenue à la normale en fin de journée.
Tout sauf un cas isolé
Ce n'est pas la première fois qu'un tel événement se produit chez McAfee. De tels « faux positifs » ont été diffusés par erreur ces dernières années affectant plutôt des applications (comme Office par exemple) en 2004 ou 2006 que le système lui-même.
Les autres éditeurs ont aussi connu de tels incidents. Ce fut notamment le cas de BitDefender le 22 mars dernier (dont la mauvaise signature a affecté les éditions 64-bits de Windows), de Kaspersky en janvier 2010 et en décembre 2007, Avast en décembre 2009, Norton en 2007, etc.
Pour lutter contre les dizaines de milliers de nouveaux malwares qui apparaissent tous les jours, les éditeurs sont obligés de produire des signatures de plus en plus rapidement, et de multiplier les signatures génériques « à large spectre » (capables de reconnaître plusieurs variantes). Tous les éditeurs ont mis en place des procédures de tests pour éviter d'éventuelles « mauvaises reconnaissances », mais ces tests rédigés par des humains ne sont incontestablement pas infaillibles.
Le bulletin technique de McAfee
Un mode d'emploi simplifié du correctif de McAfee
/http%3A%2F%2Fblog.hametbenoit.info%2FLists%2FPosts%2FAttachments%2F443%2Fimage_thumb_6_7CE6C925.png)
/https%3A%2F%2Fassets.over-blog.com%2Ft%2Fcedistic%2Fcamera.png)