Une erreur sur une signature de malware a conduit les logiciels antivirus de Sophos à prendre un fichier sensible de Windows pour un élément malveillant ce dimanche, ce qui a empêché certains utilisateurs d’accéder à leur ordinateur. Ainsi winlogon.exe, un composant important du sous-système Windows Login, a été identifié comme un cheval de Troie appelé Troj/FarFli-CT. Le fichier a été bloqué et certains utilisateurs sont retrouvés devant un écran noir en se connectant à leur ordinateur. En quelques heures, Sophos avait livré un correctif pour résoudre le problème et précisé dans un billet que cela n’affectait qu’une version 32 bits spécifique de Windows 7 SP1 et que cela ne concernait pas XP, Vista, pas plus que Windows 8 ni 10.
En s’appuyant sur le nombre de demandes arrivées au support et les retours des clients, l’éditeur estime que très peu d’utilisateurs ont finalement été affectés. Mais dans un tweet, l’une des personnes concernées exprime ses doutes sur cette estimation basse. Tandis qu’un autre dit être resté au téléphone pendant deux heures pour joindre le support de Sophos. « Nous aurions aimé recevoir un mail », exprime un troisième en évoquant le coût du temps perdu sur la résolution du problème et l’inquiétude des équipes IT. Un autre encore confirme qu’une partie de son week-end s’est envolé à cause de l’affichage de ce faux positif.
Rebooter en Safe Mode, empêcher le démarrage de Sophos AV
Dans de nombreux cas, il suffisait que les administrateurs suppriment les alertes de la console de Sophos Enterprise, de Central ou de Home en indiquant qu’elles étaient résolues ou notées. Les utilisateurs qui se sont retrouvés devant un écran noir devaient rebooter en Safe Mode, empêcher le service Sophos Anti-virus de démarrer automatiquement, puis lancer l’OS normalement.
Sophos n’est pas le premier éditeur d’anti-virus à identifier des faux positifs qui bloquent les ordinateurs. Mais à sa décharge, il a réagi vite et livre le correctif de façon opportune pendant le week-end. On peut néanmoins se demander pourquoi en 2016 il existe encore des programmes anti-virus qui confondent des fichiers légitimes de Windows avec des malwares. Les détections de faux positifs ont été beaucoup plus fréquentes par le passé, mais la plupart des éditeurs d’anti-virus ont depuis établi des listes blanches des logiciels connus pour éviter de tels incidents. Les fichiers de Windows en particulier devraient figurer en tête de listes pour ces listes blanches parce qu’en bloquant ou supprimant certains d’entre eux, on peut rendre un ordinateur inutilisable.
Bonjour, pour whitelister les fichiers systèmes, il suffit d'utiliser un serveur WSUS et de faire des tests de préproduction.
Signaler un abusOui enfin whitelister les fichiers systèmes de Windows sans vérifier qu'ils sont authentiques, cela laisse la porte ouverte à tous les virus qui remplace ces fichiers pour exécuter du code malicieux.
Signaler un abusComme ces fichiers peuvent être mis à jour par Microsoft, ce n'est malheureusement pas si simple...