Envoyé par Gordon Fowler
Personnellement ça m'a pris 2 jours!
Merci McAfee
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Personnellement ça m'a pris 2 jours!
Merci McAfee
Le fonctionnement de détection par signature, a fait que Mc Affee a viré un processus "un tout petit peu vital" du système. Il faudrait voir comment Mc "Cafee" analyse les fichiers pour se mêler les pinceaux comme ça. On parle de svchost mais cela aurait pu être boot.ini hein? Mc Affee ne référence pas les applications courantes et leurs signatures associées? M'étonne pas qu'il fasse n'importe quoi... Vu l'importance du fichier, il est quand même assez judicieux de faire en sorte que cela soit mis en place. Certains éditeurs le font pourtant...
A part si ton système n'est pas à jour, pour que svchost soit infecté il faut quand même être en amont infecté (par un des nombreux moyens connus). Donc, Mc Affee devrait protéger ton système bien avant l'infection. Si par malheur ton fichier est infecté (mort de rire), pourquoi le supprimer? La quarantaine il connait pas Mc Affee? Car quitte à ne pas pouvoir désinfecté le fichier, Mc Affee devrait pouvoir le mettre en quarantaine au cas où, justement, il s'agirait d'un faux positif.......
D'ailleurs, il me semble (il me semble mais j'ai peut-être mal lu ou mal compris) que les gars qui sont en XP SP2 n'ont pas été affectés....................
En utilisation privée, le gars qui prend un gratuit (AVG?), et qui se retrouve avec un écran bleu de la mort, ou encore même qui se fait infecter. Ben il va râler, mais aura moins les boules que le gars qui paie pour un truc qui va faire le "boulot du virus à la place du virus". Tu attends quand même moins d'un truc gratuit en terme de qualité que d'un produit que tu peux parfois payer très cher... D'où limite l'utilité de prendre un truc payant alors que des gratuits font plus d'efforts au niveau détection...
En utilisation entreprise, je ne suis pas forcément d'accord avec toi. Tu le dis toi même Norton est une vraie passoire, et je ne pense pas qu'un Antivir soit moins efficace... De plus, selon le type d'entreprise, des sessions avec compte non administrateurs plus des filtres via proxy sont mis en place justement afin d'éviter que les utilisateurs:
- aillent sur des sites interdit aux mineurs et de hackers
- regardent des vidéos en flash avec des Exploits
- ne reçoivent par mail des types de fichiers non concordant avec les fichiers qu'ils sont censés recevoir
- ne puissent pas installer des programmes infectés
- ne puissent faire du facebook et autre msn.
- what else?
C'est limite une non incitation à aller sur Internet, mais il est évident que c'est en premier lieu le comportement des utilisateurs qui est responsable des infections. Si l'utilisateur est bien (forcé) "éduqué" dans son comportement sur Internet, inutile d'avoir du G-Data sur ta bécane!!! Donc, un simple Anti-virus suffit alors largement. Après pour des raisons (politique) de licences, je pense que certaines entreprises sont prêtes à payer. Mais es-ce pour autant que le "café" est si bon que ça... Je crois que non!!!
Faux. Archi Faux!!! Aucune entreprise ne va rester les bras croisés vu l'ampleur du problème. Vu la concurrence (bien meilleur) sur le marché, et vu aussi les problèmes rencontrés avec Mc Afee, il est évident que les entreprises iront au moins se renseigner. Alors peut-être que justement avant ce problème, les entreprises ne regardaient pas ailleurs en se disant que tous les éditeurs sont les mêmes, mais pas après ce problème. Pas d'utilisation du pc, donc perte d'argent. Et l'Audit Interne va surtout aller faire une "petite" visite aux responsables informatiques pour revoir les process face à ce genre de problème. Et fait moi confiance, Mc Afee ne
fera pas la fête. D'ailleurs ce n'est pas pour rien qu'ils communiquent et qu'ils s'excusent. Ils savent bien que cela va avoir des répercutions lors du renouvellement des licences...
Ce qu'il faut comprendre aussi dans le fonctionnement d'un anti-virus est qu'il fait une analyse en temps réel (fichier, réseau), mais aussi un scan à la demande de l'utilisateur à la recherche de malware. Moi je parle de l'analyse en temps réel. A chaque fois qu'un fichier est analysé en temps réel, les performances du programme sont aussi affectés. Ce qui peut entraîner des bugs, des ralentissements, etc...Tout va bien donc
/me attend de voir venir la prochaine menace qui va justement aller faire coucou à svchost pour de vrai ^^
Là encore il faut voir aussi comment ton svchost va être infecté. Tu ne vas pas allumé ton pc, ne rien installer, ne pas brancher de clé usb, ne pas être connecté à Internet et choper un virus par la force du Saint Esprit!!!
Mc Afee doit faire le boulot en amont si la signature du virus qui infecte ton pc est connu de ses bases de définition. Cela veut dire qu'en plus de ne pas surfer prudemment (sites "osés", de hack, msn, rogue, etc,...), en oubliant de faire des mises à jour de ton système, ben tu es en plus lâché par Mc Afee qui n'est pas à jour dans ses bases de définition (comme Norton?).
Aussi, svchost est un fichier système, donc pour qu'il soit infecté, cela veut dire que l'analyse "heuristique" n'a pas prévu le coup qu'un autre programme essayait de modifier ce fichier? Et finalement en admettant que tu sois infecté, pourquoi le supprimer???
Bah vas-y répète encore j'ai pas compris...
Histoire banale ou pas ?
D'après moi, un autre buzz prendra rapidement la place de celui-ci ; d'ailleurs, ce sujet n'étant plus en page d'accueil des "news" il perd déjà en vues.
Qui se souvient encore de l'affaire "faux positif" de symantec en 2007 ?
Ca attaquait aussi des fichiers vitaux de windows et, si on avait le malheur de relancer le système, c'était foutu => BSOD au boot et mode sans échec inopérant.
Qui s'en souvient ? Pas des masses de monde je pense.
http://www.computerworld.com/s/artic...7&pageNumber=1
Et après ? C'est quoi qui détermine qu'une application est courante ou non ? Tu veux que ces logiciels deviennent plus lourds à charger que l'os lui-même ?Mc Affee ne référence pas les applications courantes et leurs signatures associées? M'étonne pas qu'il fasse n'importe quoi...
Pas plus tard qu'aujourd'hui, c'est savce (symantec) qui a fait mumuse avec des fichiers de matlab... application pourtant très courante chez nous !
Tout comme ça l'a été pour la lutte anti-spam, la constitution de listes telles que tu le suggères provoque, à terme, une inefficacité redoutable tant elles deviennent lourdes à manipuler.
La mise en exception n'est pas une solution, au mieux c'est un palliatif qui "tient la route" le temps de la résolution d'une crise.
Nai propose, par le biai d'une voire deux options de configuration, de placer toute nouvelle signature (en fait, toute maj de package quel qu'il soit) en branche dite "d'évaluation" ; tu associes quelques postes à la dite branche et si tout va bien, tu valides son déploiement au reste du parc.
Peu de personnes le font, par méconnaissance ou manque de temps et/ou de moyens humains ; n'empêche que ceux qui ont mis ça en pratique ont du bien rigoler en voyant les dégâts "chez les autres" (d'ailleurs j'en connais un qui, si il me lit, ne manquera pas de me chambrer la prochaine fois qu'on se verra).
Il connait, ou il ne connait pas, tout dépend de ce qu'a configuré l'administrateur du poste ou du parc.La quarantaine il connait pas Mc Affee? Car quitte à ne pas pouvoir désinfecté le fichier, Mc Affee devrait pouvoir le mettre en quarantaine au cas où, justement, il s'agirait d'un faux positif.......
Chez nous svchost, si effectivement supprimé, attendait bien au chaud en quarantaine ; la manip en principe était donc relativement simple : service mcshield en disabled et arrêté, restauration du fichier, reboot, maj des signatures via l'agent ePO et réactivation du service.
Je ne partage pas ce point de vue.Tu attends quand même moins d'un truc gratuit en terme de qualité que d'un produit que tu peux parfois payer très cher...
Lorsque je bossais en magasin, y'a une dizaine d'années, nous proposions l'installation au choix d'un antivirus gratuit ou d'un antivirus d'une grande marque ; invariablement le client "standard" portait son choix sur le produit payant parce que le "grand nom" était rassurant... Tout comme les distributions linux étaient boudées au profit de windows.D'où limite l'utilité de prendre un truc payant alors que des gratuits font plus d'efforts au niveau détection...
Je ne suis pas d'accord.Faux. Archi Faux!!! Aucune entreprise ne va rester les bras croisés vu l'ampleur du problème. Vu la concurrence (bien meilleur) sur le marché, et vu aussi les problèmes rencontrés avec Mc Afee, il est évident que les entreprises iront au moins se renseigner. Alors peut-être que justement avant ce problème, les entreprises ne regardaient pas ailleurs en se disant que tous les éditeurs sont les mêmes, mais pas après ce problème. Pas d'utilisation du pc, donc perte d'argent. Et l'Audit Interne va surtout aller faire une "petite" visite aux responsables informatiques pour revoir les process face à ce genre de problème. Et fait moi confiance, Mc Afee ne
fera pas la fête. D'ailleurs ce n'est pas pour rien qu'ils communiquent et qu'ils s'excusent. Ils savent bien que cela va avoir des répercutions lors du renouvellement des licences...
Il est inconcevable qu'une entreprise qui dépend 24/7 de la parfaite santé de son parc informatique et qui ne peut pas se permettre un phénomène du type "faux positif" puisse avoir été touchée par cette mise à jour foireuse (cf plus haut "branche évaluation") et, si elle l'a malgré tout été, c'est effectivement au "IT Dept." (comme tu le dis) qu'il faut aller demander des comptes... C-a-d des employés normalement qualifiés et payés pour administrer les solutions en conséquence.
Depuis des années Mcafee propose une solution (via ePO) gérant en standard (mais à condition que l'administrateur fasse le choix) ce principe d'évaluation ; on ne peut pas admettre que cette option ait été écartée si la disponibilité des postes est à ce point cruciale pour l'entreprise x ou y... Je pense, par ailleurs, que ce n'est pas anodin si Mcafee propose du dédommagement aux particuliers (qui ne disposent pas de cette souplesse) et non aux entreprises qui connaissaient ces règles de bonne pratique.
Historiquement, wecorl exploitait une faille du système d'exploitation.Aussi, svchost est un fichier système, donc pour qu'il soit infecté, cela veut dire que l'analyse "heuristique" n'a pas prévu le coup qu'un autre programme essayait de modifier ce fichier?
Parce que c'est ce qui lui est demandé... Tout comme il ne supprimera rien (mise en quarantaine) si cela lui a été configuré.Et finalement en admettant que tu sois infecté, pourquoi le supprimer???
bien vu et très drôle, cela fait des années que je travaille dans l'informatique et au final, malgré les prétendues révolutions, c'est de pire en pire. Mais bon quand le 1er mondial (M$) est assez médiocre, les autres n'ont pas lieu de faire mieux, de toutes façons les clients (pardon les pige...) ne demandent qu'à payer.Mon organisme de recherche a été touché ce matin par le faux positif de Mc Afee. J'ai bien rigolé quand tout le monde a commencé à défiler dans mon bureau "mon ordi est en panne ouiin ça marche plus". J'ai expédié tout le monde voir le seul admin système restant (le 2ème étant en vacances). Moi j'ai tranquillement continué à travailler, je suis sous GNU/Linux...
J'adore le concept du logiciel censé protéger l'ordinateur et qui met le bordel. C'est sympa le monde des OS propriétaires mais ouverts à tous les virus ! Prochaine étape : inventer l'anti-faux-positifs qui protège contre le logiciel qui protège le système...
J'observe que les entreprises ont le don de choisir les solutions logicielles les plus lourdes et parfois les plus médiocres pour des raisons parfois obscures en justifiant cela avec des arguments techniques (sic) ou économiques (la taille financière du fournisseur...). L'utilisateur n' pas toujours son mot à dire.
Rem : j'utilise Windows par habitude et professionnellement.
Le processus d'infection est bien plus compliqué que tu sembles le penser.Aussi, svchost est un fichier système, donc pour qu'il soit infecté, cela veut dire que l'analyse "heuristique" n'a pas prévu le coup qu'un autre programme essayait de modifier ce fichier? Et finalement en admettant que tu sois infecté, pourquoi le supprimer???
Un exemple: Il y a quelques semaines, une faille a été découverte sur tous les IE (6, 7, 8). Cette faille utilise un site forgé par l'attaquant pour pousser l'utilisateur à appuyer sur la touche F1. Dès que c'est fait, un code est exécuté sur la machine.
Pour info, je suis allé sur un site qui faisait un PoC de cet exploit. Et bien ma machine, équipée de McAfee, n'a pas bronché quand j'ai appuyé sur F1 et que du code s'est exécuté sur ma machine.
Maintenant imagine que ce code remplace les premiers octets du code de svchost.exe, pour lui dire d'exécuter un code malicieux: si ton svchost.exe est sur une liste d'exception et n'est pas analysé par ton antivirus, tu l'as dans le ****, et tu ne t'en rendras jamais compte.
Mettre certains exécutables systèmes de ton OS sur liste d'exceptions à ne pas analyser, c'est juste une aberration, et si tu avais trois notions de sécurité informatique tu t'en rendrai compte.
+1 Lat
pour info, dans une des très grosses boîtes dont on entend allègrement parler ici, le service de déploiement bureautique devrait tester en amont les mises à jour avant de les propager au parc informatique complet, il me semble que c'est basique comme raisonnement, et c'est ce qui s'est passé pour moi et mes milliers de collègues, aucun soucis à déplorer car les précautions sont de mise. (nous correspondions pourtant totalement au type d'ordinateurs susceptibles d'être infectés)
Je vais aussi faire un raccourci aussi en disant que tu n'aimes pas Norton et que tu préfères le café... L'objectivité ne va pas être de mise avec toi...
Heu... Attends je cherche... Heu... Les fichiers systèmes permettant à Windows de fonctionner par exemple? Non? C'est pas évident? Svchost par exemple, ou boot.ini? Et pas un fichier d'une application non indispensable au fonctionnement du pc (tout le monde n'utilise pas matlab: certains utilisent scilab...)...C'est pas possible de lister les fichiers indispensables d'un OS et d'éviter de les virer?
Quel rapport? Encore un raccourci pour dire que Mc est parfait?
Relis ce que j'ai écrit sur le sujet (comme lourson d'ailleurs) et essaie de comprendre car tu es à côté de la plaque. Ou encore tu fais semblant de ne pas comprendre...
Primo tu possèdes une vision très "personnelle" du problème. Mais la mémé du coin qui ne connaît rien en sécurité et qui achète un anti-virus pour éviter d'être emmerdé, et qui se retrouve avec un bel écran bleu... Tu y as pensé, ou tu fais mine de ne pas t'en soucier?
Secondo... Le problème en soit n'est pas la mise à jour de la base de définition. Si le Mc Afee reconnait svchost comme infecté à cause de sa mise à jour, il n'est pas obligé de le supprimer vu l'importance de ce dernier. Les faux positifs ne sont pas nouveaux mais comment peut-on oser essayer de défendre le fait qu'en plus de se tromper au niveau de la détection, "Cafee" se trompe aussi dans l'action. D'où la double peine pour un utilisateur qui n'y est pour rien.
Donc deux choses. On est donc bien d'accord sur le fait que supprimer svchost est une connerie. Je ne comprends donc pas pourquoi tout ce roman pour défendre Mc Afee...), mais j'ai du mal à croire que la mémé du coin s'amuse à faire ce genre de chose... A moins... A moins que par défaut, Mc Afee soit configuré pour supprimer le fichier!!! Mais alors ça expliquerait pourquoi il y avait tant de gens touchés par le faux positif!!!
Tu arrives à comprendre le sens de la phrase où je dois aussi te faire un dessin? Je dis justement qu'AVG ce n'est pas fiable..!!! Tu comprends?Autant les problèmes avec des gratuits (AVG?), ça peut aller encore
Ben moi qui croyait que tu ne connaissais pas la mémé du coin. Ben si finalement. Mais es-ce que tu te mets à sa place, ça cela reste autre chose... Sinon tu parles d'un anti-virus ou d'une solution Internet Security? Parce qu'en général le client "standard" ne va pas installer un Zone Alarm en plus de son AV...
Oui c'est inconcevable, pourtant c'est bien arriver non? Une banque par exemple, qui a ce genre de soucis crois-tu qu'elle va en rester là? Une journée perdue par un tel bug, crois-tu que ça fait pas perdre de l'argent? C'est bien mal connaitre les mecs qui bossent à l'Audit Interne...
Bon on avait compris que tu aimais le café. N'empêche que le problème a bien touché à la fois entreprises et particuliers. Et puis c'est intéressant ce que tu dis. Mc Afee pond un truc très peu abouti, et propose en "option" des améliorations (raccourci???)...
On parle de système non mis à jour. Donc, ce dernier mis à jour il ne craint rien alors en attendant une nouvelle faille découverte. On en revient au même point. Que fait Mc Afee pour empêcher que le virus n'infecte le fichier? Cela suppose alors qu'il ne connaissait pas ce virus ou qu'il fait mal sa protection en temps réelle (car il faut voir par quelle voie il infecte le fichier). Donc, déjà que tu scan ton pc ou non, ben il se peut qu'il ne trouve rien. Ensuite, même avec un AV à jour, tu n'es pas à l'abri lorsque tu ne mets pas ton système à jour!!! Tout dépend encore une fois de la voie de l'infection, mais là encore ton AV serait pratiquement "inutile".
Oui ben une faille. Tout est dit!!! Si il n'y a pas de mise à jour de IE (IE 6 ça existe encore!!!C'est pas pour rien que les analyses "heuristiques" ont été mises en place, pour surveiller le comportement "suspect" des fichiers.
Question ton IE est à jour je suppose? Non? De plus un bon AV (pas Norton) va analyser les données en ligne sur ton navigateur Internet, et notamment les scripts (si évidemement sa base de définition est à jour par rapport au problème évoqué). Si Mc Afee attend que tu sois infecté pour agir (supprimer svchost?
Donc, tu as une faille sur IE + Mc Afee qui fait mal son boulot. Plus aussi une faille sur svchost.exe ou dans ton système, car pour pouvoir modifier/supprimer le fichier, cela suppose aussi qu'il y a encore une faille. Et au final si Mc Afee qui est censé surveiller l'activité de IE, ne bloque rien, ce n'est pas parce que tu mets les "projecteurs" sur svchost que cela changera grand chose. Au pire Mc Afee te supprimera svchost après avoir laissé passer l'exécution du code malicieux!!!
Quel poète
Je te dirais déjà de mieux lire la partie de mon post qui évoque ce que tu dénonces, et de lire les explications. Ensuite tu pourras compléter ta "prose".
PS: Lis la partie sur analyser les fichiers en temps réel et sur demande.
PS2: N'y voyez rien de personnel chers amis "pros Mc Afee"
Déjà, où tu as vu que j'étais pro Mc Affee? Je ne l'utilise pas du tout chez moi, et le seul contact que j'ai eu avec cet AV c'est lors de ce dérapage dans ma boite... Je ne suis absolument pas pour les antivirus payant en général, la sécurité devrait être gratuite. Passons.
Si tu travailles en entreprise, ou si tu as moyen de parler à un expert en sécurité la seule chose que je peux te conseiller, c'est d'aller voir cet expert, et de lui demander simplement:
"Est-ce que c'est une bonne idée de mettre certains .exe du système d'exploitation sur liste d'exception à ne pas analyser?"
Il t'expliquera en détail pourquoi c'est une mauvaise idée, et pourquoi AUCUN antivirus n'aura ce comportement par défaut.
D'ailleurs tu as dit que ça faisait longtemps que ton antivirus avait mis ce fichier dans une liste d'exceptions, tu peux me dire quel antivirus tu utilises?
Psychopathe,
j'ai rarement lu un tel ramassis d'inepties dans un seul post. Latinus que tu prends à partie tout au long du post, a juste expliqué son expérience personnelle et professionnelle avec McAffee, ce qui ne me semble pas être ton cas.
J'ajouterais que tu le veuilles ou non, cet av est présent dans énormément de boîtes de (très) gros calibre...
La mémé du coin installe la version enterprise (VirusScan Enterprise 8.7i SP3) de McAffee AV?Primo tu possèdes une vision très "personnelle" du problème. Mais la mémé du coin qui ne connaît rien en sécurité et qui achète un anti-virus pour éviter d'être emmerdé, et qui se retrouve avec un bel écran bleu... Tu y as pensé, ou tu fais mine de ne pas t'en soucier?
Secondo... Le problème en soit n'est pas la mise à jour de la base de définition. Si le Mc Afee reconnait svchost comme infecté à cause de sa mise à jour,
il n'est pas obligé de le supprimer vu l'importance de ce dernier. Les faux positifs ne sont pas nouveaux mais comment peut-on oser essayer de défendre le fait qu'en plus de se tromper au niveau de la détection,
"Cafee" se trompe aussi dans l'action. D'où la double peine pour un utilisateur qui n'y est pour rien.
Je connais des administrateurs/ingénieurs systèmes qui vont se faire taper sur les doigts plus que l'éditeur.Oui c'est inconcevable, pourtant c'est bien arrivé non? Une banque par exemple, qui a ce genre de soucis crois-tu qu'elle va en rester là? Une journée perdue par un tel bug, crois-tu que ça fait pas perdre de l'argent? C'est bien mal connaitre les mecs qui bossent à l'Audit Interne...
Vu qu'il s'agit d'une solution professionnelle, le principe est simple, c'est une protection à la carte, au même titre que la configuration d'un serveur quel qu'il soit, c'est à la charge de l'entreprise de bien configurer son software. Et à l'éditeur du software de lui fournir les outils adaptés à toute situation.Bon on avait compris que tu aimais le café. N'empêche que le problème a bien touché à la fois entreprises et particuliers. Et puis c'est intéressant ce que tu dis. Mc Afee pond un truc très peu abouti, et propose en "option" des améliorations (raccourci???)...
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager