Investigation & transformation numériques

Sécurité

Techniques fines d’attaque SSL

Lors de la récente conférence Black Hat DC 2009, un certain Moxie Marlinspike a fait une présentation intéressante montrant les différentes techniques qu’il a explorées permettant de contourner de façon efficace et aussi discrète que possible vis à vis de l’utilisateur la sécurisation SSL des sites Web.

Vous pouvez visualiser sa présentation ici.

Technique présentée

Il y a quelques années, l’auteur a présenté l’outil « SSLSniff » permettant de gérer une attaque de type « man in the middle » sur une connexion SSL entre un client et un serveur Web. C’est un des outils utilisés dans l’attaque des certificats SSL basés sur des MD5 dont j’ai parlé ici-même voici quelques semaines. Il s’agit ici d’améliorations de ce programme d’attaque.

Une des premières particularités des sites web sécurisés que Marlinspike met en avant est l’habitude très courante des banques et autres services en ligne de mettre en place des boîtes de dialogue de connexion qui sont effectivement sécurisées (l’identifiant et le mot de passe sont envoyés par une connextion HTTPS) mais sont lancées à partir d’une page web elle-même non sécurisée (http://www.exempledebanque.fr). L’utilisateur n’est donc pas familiarisé avec les fonctions de sécurité et il faut en fait être assez savant, aller dans le code de la page web qu’on visite pour s’assurer que son mot de passe est bien transmis de façon chiffrée.

A contrario, l’auteur démontre que lorsqu’on essaye d’impliquer l’utilisateur dans la vérification de la sécurité, il peut être rapidement perdu : d’une version à l’autre d’un navigateur la façon dont est affichée la sécurité varie beaucoup, le petit cadenas n’apparaît pas toujours au même endroit, les couleurs ne sont pas toujours les mêmes, etc…

L’idée présentée par l’auteur est donc de profiter du fait que la plupart du temps l’utilisateur accède à une page sécurisée en passant par la page d’accueil non chiffrée du site visité. En remplaçant à la volée, dans le code de la page les https:// par des http:// il force le navigateur à rester en clair. La connexion https est effectuée uniquement entre le serveur web et l’attaquant. L’avantage de cela est que l’utilisateur ne voit sur son navigateur aucun message d’avertissement lié à la détection d’un certificat SSL invalide.

Ensuite, l’attaquant introduit dans la communication une icone « favorie » ressemblant au petit cadenas que l’utilisateur a l’habitude de voir… firefox-google Sur le présent blog, vous voyez par exemple le petit logo en forme de W sur fond bleu de wordpress.com à côté de l’URL : firefox-wordpress

Enfin, son programme SSLSniff gère un certain nombre de particularités des échanges entre le navigateur et le site Web (les cookies sécurisés, la gestion des sessions, …) soit en les empêchant d’arriver jusqu’au navigateur, soit en les manipulant (voir la présentation vers la 34ème minute pour comprendre les détails).

Résultats

Ses essais lui ont permis en 24 heures d’intercepter (en se positionnant sur un noeud Tor) des identifiants yahoo, Gmail, ticketmaster, rapidshare, hotmail, paypal, linkedin, facebook… Ce qui montre la faisabilité de cette attaque sur des sites web très utilisés. L’auteur profite de l’occasion pour rappeler que des mots de passe sont souvent utilisés à l’identique sur plusieurs sites par les mêmes utilisateurs.

Les essais suivants lui ont aussi permis de s’assurer que sur 24 heures, aucune tentative de connexion sécurisée forcée (qui contournerait donc son programme SSLSniff) n’a été remarquée.

Encore plus fort

La suite de sa présentation est encore plus intéressante. Tout d’abord il rappelle la possibilité d’utiliser aujourd’hui des noms des domaine comportant des caractères spéciaux, comme les caractères accentués du français, les caractères chinois, etc… Certains d’entre eux sont très ressemblants aux caractères classiques, comme le « a » cyrillique qui ressemble à un a classique à l’affichage, mais est codé différemment.

Ensuite, il a enregistré un nom de domaine (ijjk.cn), pour lequel il a fait signer un certificat SSL pour le domaine entier (donc pour *.ijjk.cn) et ensuite, en utilisant des caractères du codage IDN (noms de domaines internationalisés) qui ressemblent aux . / et ?, comme les caractères / de l’exemple ci-contre : firefox-google-slash (regardez bien ceux qui entourent « accounts », ce sont en fait des caractères différents du /). Et donc on se retrouve à visiter un site appartenant au domaine possédé par l’attaquant du type https://quelque-chose-de-long-ressemblant-à-mon-adresse-de-banque.ijjk.cn dont le certificat SSL sera correct !

Comment faire pour se protéger contre ce type d’attaques ?

La première fois que vous vous connectez sur le site sécurisé de votre banque (ou autre), vérifiez bien que le certificat correspond au site que vous voulez visiter et possède une chaîne de certification sans intermédiaire louche. Ensuite, mémorisez dans votre navigateur l’adresse sécurisée de connexion du site plutôt que de taper à chaque fois l’adresse de la page d’accueil…

21 février 2009 by Cybercriminalité Sécurité 2

Google empoisonné

poison

Poison

L’actualité autour de Google a été particulièrement chargée ce week-end et l’erreur de manipulation qui a conduit tous les utilisateurs du moteur de recherche à ne plus savoir où cliquer pendant près d’une heure samedi 31 janvier 2009 a été largement reprise par la presse grand public.

Mais j’ai relevé une autre actualité très intéressante – ou inquiétante. Le blog de la société TrendLabs nous signale la diffusion particulièrement offensive d’un ver dénom « AQPLAY-A » ces temps-ci. Sa particularité ? Son mode de diffusion par l’empoisonnement massif des résultats du moteur de recherche Google (ou SEO poisoning – search engine optimisation). Il s’agit de l’utilisation abusive de mots-clés et de techniques de référencement permettant de se retrouver en tête des résultats du moteur de recherche.

Ainsi, TrendLabs relève plus de 400.000 requêtes parfaitement légitimes sur la partie « Vidéo » du moteur de recherches conduisant systématiquement à un site web invitant à télécharger un plug-in se faisant passer pour une mise à jour du moteur d’affichage Flash de la société Adobe et sensé permettre d’afficher la vidéo recherchée.

Et ce n’est pas la première fois qu’une telle technique est utilisée. Les exemples sont nombreux : ainsi, le 28 mars dernier, le chercheur en sécurité Dancho Danchev expliquait de façon détaillée les techniques utilisées combinant l’empoisonnement SEO et l’injection dans le cache Google de fenêtres IFRAME insérées par la méthode du cross-site scripting (XSS) (quelques explicationsen suivant ce lien), favorisant la contamination des visiteurs. De même, en décembre 2007, Redtape chez MSNBC.com publiait un article assez complet sur les différentes techniques mises en œuvre.

C’est effectivement le rôle d’une société comme Google d’être attentive à ces phénomènes et à faire rapidement le ménage dès qu’un abus est repéré. Et elle le fait régulièrement, comme noté dans les articles cités. Mais l’utilisateur doit aussi être attentif : ne pas cliquer sur des résultats de recherche au contenu bizarre, ne pas installer des logiciels conseillés par des sites web auxquels on n’a pas de raison de faire confiance et se méfier des fenêtres pop-up intempestives et autres méthodes agaçantes d’incitation au clic dont abusent systématiquement ces sites de diffusion de logiciels malicieux.

3 février 2009 by Cybercriminalité Sécurité 0

Suite de l’affaire McColo

Comme on pouvait s’y attendre, les niveaux de pourriels continuent de progresser et on devrait atteindre assez rapidement les niveaux d’avant la fermeture de l’hébergeur McColo.

Cet article du site CRN détaille les évolutions prévisibles dans ce domaine. Ainsi que cet article sur SecurityFocus. De même, les craintes autour d’un futur botnet basé sur le ver Downadup/Conficker laissent présager les pires évolutions dans ce domaine pour les mois à venir.

Affaire à suivre…

28 janvier 2009 by Cybercriminalité Sécurité 0

La sécurité des certificats SSL en cause

lock-iconDes spécialistes venant des USA, des Pays-Bas et de Suisse (Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger) ont annoncé avoir mis en défaut les certificats de sécurité SSL de sites Web émis par des sociétés de sécurité reconnues, lors du 25C3, la conférence Chaos Communication Congress 2008 organisée par le Chaos Computer Club allemand, qui s’est tenue à Berlin du 27 au 30 décembre 2008.

Tout d’abord, à quoi cela sert-il ? Différents algorithmes sont utilisés pour produire des « hachages » sensés représenter de façon unique tout document numérique. Les fonctions de hachage à usage cryptographique doivent posséder différentes caractéristiques :

  • la très grande difficulté de retrouver ou de recalculer le document numérique initial ;
  • à partir d’un premier document et de sa valeur de hachage, il est très difficile de retrouver un document numérique ayant la même valeur de hachage (en particulier, toute modification, même mineure, du document initial, entraîne une modification très importante de la signature calculée) ;
  • il est très difficile de tomber au hasard sur deux documents ayant la même valeur de hachage.

Par document numérique, on entend une suite d’octets de longueur non nulle (un fichier informatique, un flux d’informations numériques, …) Mais, on comprend donc très bien que ces fonctions qui à tout document numérique associent un nombre dont la longueur est donnée, ont forcément un risque de collision non nul. En effet, puisque la variété des documents numériques de toutes tailles est infinie et que l’on cherche à la représenter par une valeur finie, il y a pour chaque valeur de hachage un grand nombre de documents numériques théoriquement possible.

Il existe différentes fonctions de hachage utilisées classiquement: MD5, SHA-1, Tiger,… La longueur des signatures MD5 est de 32 octets ou 128 bits. Dans un certificat utilisé pour identifier un serveur web, cette fonction de hachage est utilisée sur l’ensemble des informations contenues dans le certificat (le nom du serveur, ses dates de validité, etc.) et c’est cette valeur qui est ensuite signée numériquement par une fonction cryptographique. Sur l’image ci-dessous vous pouvez-lire ces différentes informations pour le certificat SSL du site web www.verisign.com :

Certificat www.verisign.com

Plus précisément, ces certificats sont signés par une autorité de certification qui est elle-même reconnue par une autorité de certification « racine ». Ce sont – normalement – les certificats de ces autorités de certification « racines » qui sont pré-installés dans nos navigateurs (il est possible d’en installer volontairement d’autres, en fonction de besoins internes à son entreprise par exemple).

Dès 2004, des chercheurs ont démontré qu’il était possible de fabriquer des documents différents possédant la même signature MD5.  Ce qui a été rapidement très inquiétant c’est qu’il était possible de fabriquer des documents très ressemblants (des PDF par exemple) ayant la même signature, mais dont un élément important était différent (dans l’exemple présent sur ce site : http://www.win.tue.nl/hashclash/Nostradamus/, 12 documents prédisant le résultat de l’élection présidentielle avec des noms différents).

Ce qui est inquiétant aujourd’hui c’est que d’importants prestataires en matière de fourniture de certificats permettant d’identifier des sites web (et d’autres fonctions de signature électronique en fait), autorités de certification reconnues par tous les navigateurs Internet, autorisent encore la fabrication de certificats basés sur des hachages MD5.

De façon assez amusante, mais pas surprenante étant donnée la puissance de calcul des consoles de jeux, les chercheurs qui ont présenté leurs résultats au 25C3 ont utilisé des batteries de consoles Sony Playstation 3. Ils ont ainsi démontré qu’il était possible de fabriquer, pour un coût assez raisonnable un certificat pour une autorité de certification « pourrie ». Cette autorité de certification leur permet de fabriquer des certificats reconnus par la plupart des navigateurs Internet.

Quelle réponse apporter ?

Les auteurs de cette démonstration donnent un certain nombre de recommandations :

  • ils confirment tout d’abord que les autorités de certification identifiées comme utilisant encore des fonctions MD5 ont été prévenues et sont en train de prendre des mesures immédiates (voir par exemple l’annonce de Verisign) ;
  • ne plus utiliser MD5 dans des fonctions de signature, et éviter sur de nouveaux projets d’utiliser SHA-1 (en effet, il existe différents indices montrant que SHA-1 devrait rencontrer le même sort assez rapidement…).

On peut aussi souhaiter que la profession d’autorité de certification soit un peu mieux réglementée. En effet, différentes publications ont montré récemment qu’il était possible, dans certaines conditions, d’obtenir un certificat pour un nom de domaine dont on n’est pas propriétaire…

Pourquoi est-ce que tout cela est important ? Ce n’est pas tant le risque que votre communication soit interceptée, mais surtout que vous ayez confiance dans l’identité du serveur auquel vous vous connectez.

Mais que peut faire l’utilisateur individuel en pratique ? Peut-être faire confiance aux sociétés émettrices de certificats, qui grâce au système des listes de révocation vont rapidement débarrasser l’Internet de ces certificats malhonnêtes (note du 06 janvier 22:20, encore qu’il semble qu’ils ne soient pas décidés à utiliser la révocation, pour éviter de léser leurs clients). Mais pour les applications les plus importantes (votre banque par exemple), vous pouvez jeter un coup d’œil à l’algorithme utilisé pour la signature. Voici la marche à suivre :

Sous Mozilla, par exemple, une fois connecté sur le site de ma banque, je double clique sur le cadenas de sécurité ce qui me permet d’afficher le certificat utilisé (semblable à l’image d’illustration utilisée plus haut) et je demande ensuite à afficher les détails de ce certificat. Dans la liste des caractéristiques, je retrouve un champ intitulé : « Algorithme de signature des certificats » (sous Internet Explorer, on retrouve « Algorithme de signature »). Dans mon cas cela affiche : « PKCS #1 SHA-1 avec chiffrement RSA ». Pas de MD5 ici !

3 janvier 2009 by Sécurité 3

Quelques dates à retenir

Des événements à venir :

23 décembre 2008 by Criminalistique numérique Cybercriminalité Prospective Sécurité 0

Interpellations par la gendarmerie dans le « warez »

Warez

Warez

Une quinzaine de personnes suspectées d’avoir participé à un forum organisant la diffusion de contrefaçons de films sur Internet ont été interpellés mardi dans le cadre d’une opération nationale initiée par la brigade de recherches de la gendarmerie nationale de Paris-Exelmans.

La Voix du Nord signale l’interpellation dans cette affaire de trois jeunes de la région d’Arras. 01net détaille le mode opératoire : l’intrusion frauduleuse dans les systèmes d’entreprises pour disposer d’espace de stockage et la diffusion sur le forum du groupe (de la « team ») des adresses de ces serveur pour mettre à disposition les contenus contrefaits fournis par les différents membres.

Ce n’est pas la première telle opération de la gendarmerie, qui s’attaque à la source des échanges organisés de contrefaçon de musique ou de vidéo :

En juillet de cette année, le SRPJ de Montpellier avait procédé à l’interpellation des auteurs présumés (affaire Carnage) de la création d’une contrefaçon du film Bienvenue chez les Chtis (et d’autres infos ici affaire Cinefox).

Au-delà des personnes qui téléchargent ces contenus d’origine illégale, il s’agit dans ces affaires des maillons essentiels de la contrefaçon d’œuvres de l’esprit. Ils sont soupçonnes de commettre de façon concertée :

  • des actes de contrefaçon (copie des supports originaux, copie du film en salle, copie des films avant leur sortie grâce à des complicités dans les circuits de production ou de distribution…). Une telle infraction constitue un acte de contrefaçon, réprimé par le code de la propriété intellectuelle et puni d’un maximum de trois ans d’emprisonnement et de 300.000 euros d’amende et jusqu’à cinq ans et 500.000 euros d’amende pour des faits commis en bande organisée ;
  • l’intrusion dans des serveurs et la copie sur ces serveurs ainsi contrôlés des contrefaçons pour les partager avec les membres des forums de partage. De tels faits sont punis par les articles 323-1 à 323-7 du code pénal, de cinq ans d’emprisonnement et 75.000 euros d’amende.

Évidemment, les peines maximum ne devraient pas être prononcées, toutefois, il ne faut pas négliger cet aspect particulier de la contrefaçon qui présente un risque pour les entreprises. En effet, il ne s’agit plus ici d’échanges entre « personnes consentantes » via des réseaux pair à pair, mais de l’abus des ressources de personnes innocentes – et souvent des entreprises – dont effectivement les machines étaient mal sécurisées, mais qui au mieux n’auront qu’une visite courtoise des autorités et au pire vont mettre plusieurs semaines à rétablir un fonctionnement correct de leurs systèmes.

Et il existe encore des dizaines de forums (ou « boards ») qui revendiquent de tels actes de contrefaçon. Souvent et historiquement, il s’agit de la scène « warez » de contrefaçon ou de contournement des protections des logiciels, mais de plus en plus souvent orientés exclusivement vers la musique et surtout les films commerciaux.

En conclusion, cette affaire et d’autres à venir sont une incitation supplémentaire de mieux sécuriser et surveiller correctement l’utilisation de vos machines et serveurs connectés à Internet !

22 novembre 2008 by Actualité judiciaire Cybercriminalité Sécurité 1

Vers une sécurité renforcée des réseaux et de l’information en Europe

ec-consultationDu 07 novembre 2008 au 09 janvier 2009, la commission Européenne mène une consultation en ligne , à destination du public le plus large, sur la politique à mener au niveau de l’Union Européenne pour la sécurité des réseaux et de l’information.

Les questions portent sur trois thèmes :

  • défis : « quels sont les défis principaux pour la sécurité des réseaux et de l’information à considérer aux niveaux national, de l’UE et international, notamment en ce qui concerne la résilience des réseaux de télécommunications et des infrastructures électroniques d’information ? »,
  • priorités : « quelles seraient les trois priorités-clés qu’une politique devrait aborder pour relever les défis dus à l’évolution de la sécurité des réseaux et de l’information aux niveaux de l’UE et international ? »
  • et moyens : « Quels instruments sont nécessaires au niveau de l’UE pour aborder les défis et pour soutenir les priorités politiques dans le domaine de la sécurité des réseaux et de l’information? En particulier, quels instruments ou mécanismes sont-ils nécessaires pour améliorer la préparation pour traiter les cyber-disruptions à grande échelle et pour assurer des niveaux élevés de sécurité et de résilience des réseaux et infrastructures électroniques ? ».

Personnellement, parmi les défis, je citerais : le manque d’information sur les phénomènes, le temps de réaction disponible qui se restreint (attaques 0-day, haut débit…), les paradis numériques, la compétence des utilisateurs, l’avènement de l’identité numérique partout et de la démocratie électronique.

Mes trois priorités seraient : l’amélioration de la circulation de l’information par la confiance, la formation et le développement de capacités de réaction coordonnées (au plan national, européen ou international).

L’exemple de l’affaire McColo récente est exemplaire à ce sujet, qui a montré que finalement les acteurs techniques pouvaient agir efficacement pour lutter contre les sources de problèmes (et donc ne sont pas toujours neutres sur le réseau) et la suite nous montrera que l’absence d’action policière et judiciaire coordonnée (supposée) risque de voir rebondir les mêmes acteurs avec les mêmes compétences ailleurs… Dans d’autre cas, les services d’enquête ou les organismes officiels chargés de la sécurité informatique dans les Etats ont dû agir par leurs seuls moyens judiciaires ou administratifs, sans aucun soutien des opérateurs.

Enfin, en termes de moyens : ils doivent être juridiques (la création d’un Espace Schengen du numérique), un rôle peut-être plus opérationnel de l’agence européenne ENISA (ou une coordination ENISA/Eurojust/Europol/OLAF sur ces sujets), et une implication préventive des acteurs techniques.

A vos clavier pour contribuer vous aussi !

18 novembre 2008 by Prospective Sécurité 0

HCFDC – De la sécurité informatique à la cyberdéfense

img_colloque_131108

Colloque HCFDC

Le Haut comité français pour la défense civile (HCFDC) organisait le 14 novembre 2008, dans les locaux de l’INHES à la Plaine Saint Denis (93), un colloque sur la « Cyberdéfense ». Il était conclu par une intervention du sénateur Roger ROMANI qui a été le rapporteur du rapport d’information de la commission des affaires étrangères, de la défense et des forces armées sur la Cyberdéfense.

Ce colloque était organisé en partenariat avec le Secrétariat général de la défense nationale (SGDN) et sa Direction centrale de la sécurité des systèmes d’information (DCSSI) et sponsorisé par Agilent et Thalès.

Le programme de la conférence était organisé autour de 4 tables rondes :

  • Typologie des menaces ;
  • Cartographie, enjeux et complexités ;
  • Cibles et impacts ;
  • Réponses et solutions.

Des différentes présentations on retiendra que :

  • il est encore difficile aujourd’hui d’évaluer l’impact des différentes attaques contre les systèmes d’information en France et dans le Monde ;
  • la future agence nationale de la sécurité des systèmes d’information est en bonne voie, avec un futur périmètre bien plus large que celui de la DCSSI actuelle et donc notamment avec un impact plus important sur la sécurité de l’information des entreprises et des citoyens (certification de logiciels et de solutions de sécurité) et certainement un pouvoir de contrainte plus fort sur la sécurité existant dans les administrations ;
  • des progrès sont reconnus dans la mise en place de politiques de sécurité des SI dans les grandes entreprises, les démarches semblent beaucoup plus mûres ;
  • le constat est maintenant tangible d’une évolution vers des cyberconflits, parallèles aux conflits physiques, comme l’ont montré les incidents des derniers mois (Estonie, Géorgie, attaques imputées à des chinois, etc.) et la France, l’Europe, doivent s’y préparer ;
  • les représentants des services dits répressifs (dont moi-même) ont beaucoup insisté sur l’intérêt d’associer mieux la sphère judiciaire dans la lutte contre les abus criminels contre les systèmes d’information et notamment sur la nécessité selon les cas de porter plainte ou de signaler les faits intéressants.

J’en retire aussi qu’il subsiste un grand flou autour des évolutions à venir de l’Internet et de la démarche de cyberdéfense :

  • quel avenir pour la gouvernance de l’Internet (rôle de l’ICANN, rôle que veut se donner l’Union Européenne, rôle des nouvelles puissances extrême-orientales,…) ?
  • quel va être l’impact d’IP v6 sur la sécurité des systèmes d’information et la cybercriminalité en général ?
  • quelle direction concrète doivent prendre des pays comme la France en matière de lutte informatique offensive (le Livre blanc sur la défense et la sécurité nationale donne quelques pistes, page 207) ?
15 novembre 2008 by Cybercriminalité Prospective Sécurité 1

Chute du spam suite à la coupure de l’Internet d’un hébergeur peu sécurisé

Un hébergeur de la région de San Francisco a été déconnecté de l’Internet par ses différents fournisseurs de connectivité suite à des signalements qui soulignaient son implication dans une majeure partie des pourriels circulant ces dernières semaines sur Internet.

Dans sa suite d’articles, un journaliste, auteur d’un blog (Security Fix) du Washington Post, Brian Krebs, déclare avoir collecté de nombreuses informations démontrant l’implication des machines hébergées par la société McColo Corp. de San Jose, Californie. Après quatre mois d’observations il a décidé de contacter les fournisseurs de connectivité à Internet de cette société qui semblent avoir réagi très rapidement et ont coupé très rapidement tous les liens de cette société. Il semble que la société Kaspersky, ainsi qu’un rapport publié par HostExploit.com (ici la dernière version de ce rapport) soient la source des informations qui ont mené ce journaliste à s’activer sur ce dossier.

Selon les différents chiffres cités par le journaliste, obtenus auprès de différentes sources en Europe et aux Etats-Unis, près de 60 à 70% des spams circulant actuellement ont ainsi pu être éliminés d’un seul coup. Selon SANS, le réseau de cet hébergeur servait aussi à la diffusion d’images de mineurs à caractère sexuel.

Évidemment, une telle chute du spam sera de courte durée, et les émetteurs de ces messages non sollicités se reporteront sur d’autres ressources de l’Internet qui sont vulnérables. Le même journaliste cite en effet le cas d’un autre hébergeur californien qui avait subi le même sort au mois de Septembre 2008 et il n’avait fallu que quelques jours pour que les spammeurs trouvent de nouveaux hôtes.

A la lecture des différentes études publiées, il semblerait que les réseaux les plus utilisés par les cybercriminels ne sont pas tous situés dans les pays habituellement cités, mais ils peuvent se trouver aussi bien aux Etats-Unis et très certainement au coeur de l’Europe. C’est assez logique, puisque cela permet de disposer d’une excellente connectivité avec les futures victimes…

12 novembre 2008 by Cybercriminalité Sécurité 2

Un anti-virus reconnaît comme troyen une DLL de Windows

Virus

Virus

Ce n’est pas la première fois qu’un logiciel anti-virus cause de telles difficultés avec des faux-positifs. C’est toutefois moins courant que l’anti-virus en question (AVG) s’en prenne à un composant du système d’exploitation. The Register évoque l’affaire dans cet article.

La conséquence pour l’utilisateur qui supprime le fichier DLL en question : un système qui ne démarre plus.

Cela pose tout de même la question de savoir comment un particulier peut réagir efficacement face aux messages parfois incompréhensibles des logiciels anti-virus et autres firewalls. Et il en est de même pour l’usager lambda dans une entreprise.

Cela veut dire pour moi, que d’une part, même pour un logiciel aussi simple qu’un anti-virus, il ne faut pas oublier de former les utilisateurs aux actions basiques qu’il sera amené à accomplir (où est-ce que je clique ?) et prévoir des procédures adaptées en cas d’infection supposée (est-ce qu’on laisse l’utilisateur se débrouiller seul ou bien faut-il faire systématiquement intervenir quelqu’un du support informatique ?)

Mise à jour du 15/11/2008: A noter (source) qu’AVG offre à tous les abonnés à ses mises à jour payantes une année de licence gratuite.

Mise à jour du 17/11/2008: Un nouvel incident noté avec AVG qui a reconnu par erreur un composant du logiciel Adobe Flash comme malveillant. L’erreur a été corrigée en mois de trois heures.

11 novembre 2008 by Sécurité 0