L’antivirus Sophos s’est identifié lui-même… comme malware
Bien piètre opinion de soi-même
C’est l’arroseur arrosé. L’antivirus Sophos a été victime d’un bug plus qu’ennuyeux puisque la propre mise à jour du logiciel de sécurité a été reconnue… comme un malware. Un cas flagrant de faux positif qui a engendré bien des problèmes.
Un énorme faux positif
Incident fâcheux pour Sophos. Une mise à jour publiée mardi soir a provoqué une belle pagaille dans les sociétés utilisant l’antivirus. Un bug a incité ce dernier à reconnaître la mise à jour comme le malware SSH/Updater-B. Le site The Register rapporte que les administrateurs système des sociétés touchées ont été littéralement bombardés d’emails envoyés automatiquement hier matin après que les machines aient généré de nombreuses alertes.
L’un des emails envoyés à The Register par un lecteur raconte comment un parc informatique s’est soudainement emballé : « À environ 21h20 ce soir, tous les PC de mon réseau (une centaine environ) ont commencé à envoyer des emails toutes les dix minutes indiquant qu’un virus avait été détecté dans l’une des DLL de Sophos Endpoint Security & Control ». Et c’est bien le problème.
L’antivirus en est venu à se considérer lui-même comme un problème. Conséquence ? Il s’est placé en quarantaine, laissant deux gros problèmes derrière lui. Premièrement, l’antivirus étant désactivé, la sécurité globale en prend évidemment un sérieux coup. Deuxièmement, le composant de mise à jour étant lui aussi en quarantaine, la mise à jour salvatrice arrivée plus tard ne pouvait pas s’installer automatiquement. Dans la pratique, plusieurs autres mécanismes de mise à jour étaient même bloqués.
La galère des utilisateurs
Des problèmes confirmés de notre côté par Cédric Lepinay, directeur associé de la société de services SATLX IT, qui nous relate son expérience du bug : « Cela a commencé en empêchant un de nos produits de fonctionner correctement du coté client (un plugin Outlook qui ne pouvait pas se charger). C’est là qu’on s’est rendu compte que Sophos bloquait l’accès à la DLL mais qu’en plus il avait mis en quarantaine pas mal d’exécutables et DLL en rapport avec des fonctionnalités de mise à jour (googleupdate par exemple). Une mise à jour sortie une heure après environ devait corriger le problème… sauf que Sophos bloquait ses propres composants, y compris le serveur de mise à jour / management centralisé. »
Sophos indique sur son blog depuis ce matin la marche à suivre. Le moins que l’on puisse dire, c’est qu’elle est fastidieuse car découpée en de multiples étapes. Cela revient à effectuer manuellement de nombreuses opérations, tout en contournant les problèmes engendrés par la fameuse mise à jour. Cédric Lepinay nous indique à ce propos : « Sauf que chez un de mes clients, cela n’a pas marché immédiatement. Pourquoi ? Parce que la mise en quarantaine a déplacé les fichiers utiles comme le service de mise à jour, celui de contrôle, etc., dans un espace réservé, et il est impossible de les restaurer automatiquement, il faut les déplacer à la main ! »
Sophos a réagi très rapidement en publiant une mise à jour fonctionnelle. Mais le mal est déjà fait : ce type d’incident est particulièrement dommageable pour la clientèle. L’objectif d’un antivirus est de se faire oublier et Sophos a brutalement rappelé sa présence aux utilisateurs et administrateurs. Dans le forum officiel, un sujet contenant déjà 74 pages de réactions recense de très nombreux problèmes. On citera en exemple le cas d’un serveur Exchange d’où l’antivirus a été désinstallé, aboutissant à une perte de connectivité réseau.
Commentaires (82)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/09/2012 à 15h22
ça c’est de la boulette
" />
Le 20/09/2012 à 15h23
Il y a des gens qui utilisent Sophos ??
" />
" />
" />
Le 20/09/2012 à 15h24
So quoi ?
" />
" />
Le 20/09/2012 à 15h24
C’est juste énorme
" />
" />
" />
" />
Le 20/09/2012 à 15h25
c’est déjà arrivé pour Avira. Au suivant !
Le 20/09/2012 à 15h29
pas mal vincent mais quelques heures en retard
sinon tu peuxdire aussi que le correctif est compltement foireux
Sophos a réagi très rapidement en publiant une mise à jour fonctionnellec
non ne fonctionne pas:)
Le 20/09/2012 à 15h30
L’antivirus Sophos s’est identifié lui-même… comme malware
Bien piètre opinion de soi-même
Le 20/09/2012 à 15h31
Sophos, c’est pas l’AV qui était décrié il y a 1 ou 2 ans par des informaticiens spécialisés en sécurité qui affirmaient que le programme était codé avec les pieds, reprennant des vieux modules d’il y a 10 ans, bref une vraie aberration niveau du code et des perfs ?
Le 20/09/2012 à 15h34
Le 20/09/2012 à 15h36
Le 20/09/2012 à 15h37
tiens, une maladie auto-immune!
" />
on comprend mieux comment fonctionne le SIDA, avec cet exemple (bon c’est un raccourci, mais l’idée est là).
Le 20/09/2012 à 15h38
Le 20/09/2012 à 15h38
sophos connais pas.
" />
Eset Smart Security 5
Le 20/09/2012 à 15h39
Le 20/09/2012 à 15h44
Le 20/09/2012 à 15h44
Le 20/09/2012 à 15h46
Le 20/09/2012 à 15h49
Le 20/09/2012 à 15h50
Le 20/09/2012 à 15h52
Le 20/09/2012 à 15h53
Je trouve ça énorme comme info
" />
" />
Le 20/09/2012 à 15h53
Le 20/09/2012 à 15h56
J’ai Sophos au boulot et à jour : RAS…
Le 20/09/2012 à 15h57
J’ai du mal à comprendre comment la mise à jour a pu passer les tests avant d’être mise en ligne. Les faux positifs ça arrive, on peut pas tester toutes les applications existantes. Mais à priori la personne chargée des tests elle devait avoir l’antivirus sur son poste et voir que ça déconnait non ?
Le 20/09/2012 à 15h57
En tout cas il aura fait parlé de lui
" />
" />
Auto buzz même si il faut l’avouer là c’est pas du buzz positif
Le 20/09/2012 à 15h59
Le 20/09/2012 à 16h00
Le 20/09/2012 à 16h01
Le 20/09/2012 à 16h02
Le 20/09/2012 à 16h08
Perso j’ai trouvé plus simple de désactiver le contrôle sur accès (depuis la console centrale) sur les postes en carafes et de faire un ‘Protéger les ordinateurs’ sur ces même postes plutôt que d’essayer de faire la mise à jour (puis de réactiver le contrôle naturellement). Après il y a tous les autres updater qu’il a détecté comme véroler à corriger.
Le 20/09/2012 à 16h10
Le 20/09/2012 à 16h10
Sophos aussi par là, on a eu un mail de l’informatique interne, j’ai bien rit.
Le 20/09/2012 à 16h13
Système en carton, solution en carton.
Le 20/09/2012 à 16h25
Bel exemple de transparence de la part du logiciel. Quelle humilité. C’est beau.
Le 20/09/2012 à 16h36
Il attaquait aussi le scheduler de java
" /> (et 2 ou 3 autres dll)
Le 20/09/2012 à 16h37
Le 20/09/2012 à 16h41
Le 20/09/2012 à 16h59
Je comprends mieux maintenant pourquoi on a reçu cette nuit environ 250 mails d’avertissement de Sophos qui se saborde lui-même. :facepalm:
Le 20/09/2012 à 17h06
le déploiement en “push” est vraiment sale (installation sur les machines et pas forcement en mode silencieux..) bref pour un correctif qui fonctionne pas terrible va falloir que ca change demain
" />
Le 21/09/2012 à 10h18
Le 21/09/2012 à 10h27
Le 21/09/2012 à 10h30
Le 21/09/2012 à 10h41
Le 21/09/2012 à 11h50
Le 21/09/2012 à 11h52
Au moins une bonne chose qu’il y ait une réparation.
Le 21/09/2012 à 13h25
Le 21/09/2012 à 13h41
Une belle citation d’un de mes collègues:
Un anti-virus a deux fonctionnalités:
1-Protéger le système
2-Ralentir le PC
Norton n’en fait qu’une!
Sinon, pour ceux qui cherchent un bon anti virus gratuit, essayer Avira AntiVir. On a fait des tests au boulot et c’est celui la qui s’en est le mieux sorti (dans les gratuits). Après, un anti-virus ne remplacera jamais votre cerveau alors réfléchissez avant d’ouvrir un fichier ou d’aller sur un site internet.
Le 21/09/2012 à 20h53
Bah ça dépend des besoins
Si t’as 10 postes tu peux mettre des trucs autonomes qui vont prendre leurs mises à jour sur internet.
Par contre quand tu as ~1000 utilisateurs répartis sur des sites distants, mieux vaut avoir des “nœuds” qui distribuent les mises à jour aux postes. Je ne pense pas que les solutions gratuites comme Avira soient adaptées.
On est en train de regarder pour virer Sophos qui nous fait perdre un temps monstrueux et on pousse Kaspersky.
Le 27/09/2012 à 15h12
Bonjour,
Le 27/09/2012 à 15h28
Bonjour,
A tous ceux que cela pourrait intéresser, Sophos ne s’en prend malheureusement pas qu’à lui-même.
Il ne fait pas que s’autodétruire.
Si par malheur vous avez des applications qui fonctionnent avec File-Maker Pro V9, vous aurez droit à une suppression d’un certain nombre de fichiers propres à FMP V9 ce qui empêche son fonctionnement.
Pour ma part la seule solution a été de désinstaller FMP V9 ainsi que SOPHOS, car il reste toujours actif, et d’installer FMP V11. (la réinstallation de la V9 posant un certain nombre de problèmes de conflit de session FM).
Pour connaitre tous les fichiers concernés par ces suppressions, allez consulter l’observateur d’évènement de Windows (Application) et vous aurez tous les fichiers supprimés par SOPHOS.
Vous pourrez noter au passage qu’il y a aussi des fichiers Windows ce qui n’augure rien de très bon pour la stabilité future du système.
Le 20/09/2012 à 17h07
Le 20/09/2012 à 17h09
du coup vue que tout foire je vous conseil de désactiver le update manager ca évitera d’avoir encore plus de caca en attendant une vraie mise à jour
" />
Le 20/09/2012 à 17h14
J’ai vécu en direct ce bordel dans ma boite.
" />
" />
j’ai du réinstaller l’antivirus sur chaque poste et manuellement ! Impossible de le faire via la console distante
J’ai passé toute la journée sur cette merde !
Le 20/09/2012 à 17h33
Le 20/09/2012 à 17h49
bien fait pour eux. c’est la plaie pour les codeurs les détections basées sur l’heuristique. hein monsieur avira
" />
Le 20/09/2012 à 17h58
C’est beau de ce faire citer dans une news
" />
" /> )
" />
Pour ceux qui ne comprennent pas l’intérêt d’un antivirus et d’un contrôle de périphérique dans une entreprise n’ont jamais travaillé dans une entreprise (surtout avec des commerciaux et leurs superbes clés usb
Sinon après avoir réussi à relancer l’Update Manger j’ai réactiver tous mes postes depuis la console centrale… mais quelle merde quand même, j’ai un client dont la licence à expirer au même moment
Le 20/09/2012 à 18h39
Le 20/09/2012 à 18h50
Le 20/09/2012 à 19h27
Nous l’utilisons en entreprise, il ne nous cause que des problèmes. Déjà il ne détecte rien, on doit régulièrement passer le Nod32 ou Kaspersky removal tool pour nettoyer les machines infectées… 50% de ce que Sophos détecte c’est du faux positif : openoffice, cygwin, live messenger, ou même des applications métier.
" />
Il aime aussi nous mettre des serveurs Citrix en vrac. C’était le moins cher et on bataille pour se débarrasser de ce truc au prochain renouvellement, parce qu’on en peut plus.
Et nous nous sommes rendus compte aujourd’hui qu’il se détectait lui-même comme un virus… on s’est dit qu’ils avaient peut-être embauché des experts, qui ont mis du code propre, avec pour conséquence qu’il se détecte lui-même comme nuisible, ce qui n’est pas faux
Le 20/09/2012 à 23h22
Le 20/09/2012 à 23h25
Le 21/09/2012 à 04h53
J’ai vu son alerte hier, je me suis dit qu’il déconne complètement comme tous les anti-virus. Cet article me le confirme.
Quand est-ce que certaines entreprises passeront à des systèmes d’exploitation mieux conçus, comme pour leurs serveurs ?
Le 21/09/2012 à 05h29
Le 21/09/2012 à 05h56
Le 21/09/2012 à 06h06
Sophos… Je l’ai testé un temps.
Dommage qu’il soit mal optimisé et que l’utilisateur en pâtisse.
Parce que 70% du temps, quand une news présente un nouveau malware + la marche à suivre pour s’en débarrasser ça vient de chez eux donc on pourrait penser qu’ils sont efficaces.
Le 21/09/2012 à 06h11
Je n’ai eu aucun soucis sur la version Mac :)
Le 21/09/2012 à 06h44
Le 21/09/2012 à 07h07
Le 21/09/2012 à 07h08
le nombre de boite ou j’ai vu ce sophos truc …
" />
Le 21/09/2012 à 07h26
Le 21/09/2012 à 08h02
Le coup de l’antivirus qui bloque ses mises à jour, ben je l’ai connu avec le module “anti hacker” de “Kaspersky antivirus pour Windows workstations” …
Le 21/09/2012 à 08h07
Le 21/09/2012 à 08h26
Nous au taff on a eu le cas, j’ai été content en tant qu’administrateur de voir mon parc me bombarder de mails.
Par contre leur solution a la noix…j’ai dépanner en 10minutes sans me faire chier voila la marche à suivre :
-Coté serveur : Désactiver le contrôle sur accès et la surveillance des comportements dans la stratégie antivirus et HIPS.
La stratégie s’applique donc a toutes les bécanes qui ne scannent plus donc et arrêtent de bloquer les DLL.
Il suffit de forcer la mise à jour coté serveur avec le correctif et forcer la mise a jour des bécanes ensuite.
Certaines récalcitrantes ne le ferons pas, j’ai juste sélectionné les bécanes et “protéger les ordinateurs” donc sophos à distance va désinstaller et réinstaller la suite antivirus sur le poste avec la bonne mise a jour.
Donc aucune opération fastidieuse, rien a faire coté client.
Au grand max ça vous prend 30 min pour tout faire et contrôler. (le plus embêtant étant de laisser désactivé le contrôle des machines, le temps que les machines qui se sont mises a jour et non redemarées entre la mise à jour foireuse et le correctif prennent bien la nouvelle mise à jour).
J’espère que si vous êtes tombés dans ce cas, ma petite astuce vous aidera.
Le 21/09/2012 à 08h48
Le 21/09/2012 à 08h52
Cedric1127 : merci pour la soluce, j’ai un paquet de clients à corriger
" />
Le 21/09/2012 à 08h54
Le 21/09/2012 à 08h58
So… fosse commune pour Madame Michu
" />
Le 21/09/2012 à 08h59
Autre :INpact:
Ca à éclaté les agents backup exec de la solution de sauvegarde de …symantec…
Le 21/09/2012 à 09h17
Le 21/09/2012 à 09h39
Le 21/09/2012 à 09h46
Le 21/09/2012 à 09h49