Des milliers de PC Windows XP en panne : un fiasco signé McAfee

24 avril 2010

En raison d’un fichier de mise à jour insuffisamment testé, des milliers d’ordinateurs sous Windows XP SP3 ont été victimes de reboot en boucle. Plus de 1000 magasins d’un distributeur australien ont ainsi été impactés. McAfee a présenté des excuses.

Mercredi 21 avril, McAfee mettait à jour sa base de signatures de virus. Très rapidement l’éditeur était informé par ses utilisateurs d’un dysfonctionnement. En cause un faux positif introduit par la mise à jour et qui a conduit le moteur antivirus VirusScan (à partir de la version 8.7) à considérer un fichier système (svchost.exe) comme malveillant.

D’après McAfee et les entreprises concernées par le bug, seuls les ordinateurs tournant sous Windows XP SP3 ont été affectés. Toutefois, compte tenu de la nature de la panne (un redémarrage en boucle des machines) et de la part de marché de Windows XP dans l’entreprise, les victimes potentielles sont nombreuses.

McAfee a d’abord soigné son image en minimisant l’incident

Pourtant, dans un premier message publié le 21 avril sur son blog, McAfee explique que peu de ses clients sont impactés (moins de 1%). Les retours sur le terrain sont eux bien moins optimistes. Steve Shillingford, un consultant, déclare à InformationWeek avoir été sollicité par une multinationale dont 50.000 postes étaient victimes du bug de McAfee.

Le site australien de ZDNet rapporte la fermeture de magasins de la chaîne Cole où 10% des terminaux sur les points de vente ont dû être éteints. En tout ce sont ainsi 1.100 magasins du distributeur australien qui ont été affectés.

Associated Press fait état de pannes similaires dans un tiers des hôpitaux américains de l’état de Rhode Island. Dans le Kentucky, ce sont les postes informatiques embarqués dans les voitures des policiers qui sont tombés en panne.

De nombreux témoignages d’entreprises dont les postes étaient indisponibles

Sur Twitter, ComputerWorld constate que de très nombreux messages de frustration ont été postés par des utilisateurs de l’antivirus de McAfee. Même s’il a nié l’ampleur de l’incident, l’éditeur n’est pas resté inactif. Il a mis au point un outil corrigeant automatiquement la base de signatures et restaurant le fichier « svchost.exe » mis en quarantaine.

Quant à la cause de ces pannes, elle s’explique par une erreur dans le processus d’assurance qualité (QA) de McAfee. L’anomalie aurait dû en principe être détectée lors des phases de test et donc avant que le fichier DAT ne soit diffusé auprès des utilisateurs.

McAfee, qui a présenté des excuses sur son blog, s’abrite derrière un récent changement dans son environnement de QA. Pour éviter qu’un tel incident ne se reproduise, le responsable du support technique, Barry McPherson, assure que McAfee implémente actuellement de nouveaux protocoles dans sa procédure de test.

Une faille dans les tests et Windows XP SP3 non contrôlé

Un document confidentiel remis à ZDNet.com par une source anonyme précise que deux procédures du protocole n’ont pas été suivies (« Standard Peer Review » et « Risk Assessmet »). En outre, des configurations de test auraient été négligées, et en particulier VirusScan 8.7 sur Windows XP SP3.

Dans les colonnes de ComputerWorld, John Pescatore, analyste spécialisé en sécurité chez Gartner, met lui aussi en cause une anomalie majeure dans le processus de test de l’éditeur, mais s’étonne également que le fichier svchost.exe ait été supprimé ou mis en quarantaine sans l’affichage de messages d’alerte sur les postes.

Une autre cause de cet incident est la rapidité des éditeurs à diffuser de nouvelles signatures, rapidité qui est d’ailleurs un argument commercial. En outre avec des solutions comme Enterprise Policy Orchestrator (EPO) de McAfee, les nouvelles versions des signatures sont immédiatement déployées. L’objectif étant de réduire la période d’exposition à une attaque.

Mais si la vitesse peut contribuer à réduire les risques, dans un environnement complexe comme celui d’une entreprise, elle peut aussi générer des effets de bords et déboucher sur des faux positifs aux conséquences catastrophiques. Comme pour les mises à jour d’OS, des tests avant déploiement sont une étape préalable.