Spécial sécurité : McAfee, l'A.V. marri ? Ah !

Aujourd'hui, nos confrères de CNIS, un magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur la mésaventure de McAfee, éditeur de solutions de sécurité dont une mise à jour du moteur anti-viral intégrait, par erreur, au sein de la liste des virus à bloquer impérativement, l'un des fichiers clé de certaines versions du noyau de Windows XP SP3. Avec les conséquences que l'on sait. Ils s'attardent également sur Intune, le nouveau service dans le nuage de Microsoft pour l'administration des postes de travail.

Sommaire:
1 - McAfee l’A.V. marri ? Ah !
2 - Microsoft : Stirling refondu, Intune protège dans le cloud

1 - McAfee l’A.V. marri ? Ah !

Il n’est plus nécessaire d’imaginer une attaque en DNS spoofing pour détourner de sa fonction première le mécanisme de mise à jour des signatures d’un antivirus : certains éditeurs s’en chargent eux-mêmes. Ainsi McAfee, qui, en « poussant » sa mise à jour DAT 5958, a intégré à sa liste de virus à bloquer impérativement… l’un des fichiers stratégiques de certaines versions du noyau de Windows XP (SP3). Et pas n’importe quel fichier, puisqu’il s’agit, nous apprend le Sans, de Svchost.exe, déclaré positif par l’antivirus de McAfee sous l’appellation de W32/Wecorl.a. Les clients victimes de cette mésaventure sont, depuis 24 H, plongés dans l’enfer d’un reboot systématique. L’éditeur travaille d’arrache-pied pour trouver une solution automatique… mais l’on se demande bien par quel miracle les particuliers frappés par cette crise de cyber-autisme pourraient en réchapper.

Certes, il existe bien une mesure de contournement manuelle conseillée par le response team de NAI. Encore faut-il que la victime possède deux ordinateurs, dont l’un sous un système d’exploitation différent ou non protégé par ce même antivirus. Ceci afin de pouvoir télécharger la « bonne » version de la base de signatures et de récupérer au passage la procédure soit de la « Recommended Manual Recovery Procedure using the Extra DAT where DAT 5958 is currently installed », soit celle de « l’ Alternate Manual Recovery Procedure using DAT 5959 where DAT 5958 is currently installed ». Lesquelles exigent un démarrage en « safe mode » et un art consommé de la commande cd (que ne connaissent généralement plus les usagers grand public des environnements graphiques). Voilà qui nous promet quelques réinstallations massives dans les jours à venir.

2 - Microsoft : Stirling refondu, Intune protège dans le cloud

« Forefront Protection Manager (FPM) will not be released to market » nous apprend un billet du blog de l’équipe Forefront. Un décalage du calendrier provoqué par un recentrement des efforts sur les outils serveurs et logiciels d’administration. La partie « poste client », plus connue sous le nom de code Stirling, voit donc sa sortie annulée, après avoir, par le passé, été repoussée sine die. Cet abandon ne signifie pas pour autant la mort du projet, qui devrait être intégré dans System Center Configuration Manager.

Simultanément à cette annonce, et dans le cadre de la série d’annonces consacrées à System Center, Microsoft annonce les premières préversions d’Intune, un service « cloud » de protection/administration/gestion du poste de travail. Cette super-console d’administration assure la protection des postes contre les malwares, la gestion des mises à jour (comme le ferait SUS), l’administration des PC, politiques de sécurité y comprises, l’assistance à distance et l’inventaire matériel et logiciel du parc administré. Intune est le tout dernier des services Microsoft Online, après les plateformes Azure/SQL Azure, les applications métier Dynamic CRM Online, les outils de téléconférence Office Communication Online, les architectures de travail collaboratif Sharepoint Online et la messagerie unifiée Exchange Server Online.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)