Antivirus : l’agent Trend Micro sème la pagaille sous Windows 7 32 bits

[Mise à jour, 24 juin 2022 @17h49] Joint par téléphone, Nourfedin Zejnulahi, directeur technique de Trend Micro France, revient sur la chronologie des événements. Les premiers incidents ont été signalés au support français de l’éditeur à la mi-journée, ce mardi 21 juin. Trois hôpitaux étaient concernés. Les équipes locales de l’éditeur ont commencé à se rapprocher des clients affectés, tandis que la « Critical Account Team » était mobilisée. L’expérience des équipes en Asie, concernées quelques heures plus tôt, a permis d’appréhender la manière dont la situation allait se développer en Europe. Surtout, des premières mesures de résolution ont pu être proposées.

Une mise à jour correctrice des modèles comportementaux a été rendue disponible vers 18h. Moins d’une heure plus tard, les premiers retours positifs de clients en capacité de la déployer via Apex Central parvenaient à Trend Micro. Pour une majorité de clients, la situation était quasiment réglée. Elle a toutefois continué à être surveillée le mercredi 22 juin.

Mais les choses se sont avérées plus complexes pour certains clients, notamment 4 en France, sur la dizaine d’entreprises touchées. C’est là que les efforts ont dû être concentrés. Car ces clients étaient dans des configurations dont le support avait été préalablement arrêté.

Les équipes d’assurance qualité ne les avaient pas intégrées à leurs protocoles de test avant de pousser la première mise à jour des modèles comportementaux. Et dans certains cas, la mesure correctrice recommandée de désactivation de la surveillance comportementale n’était pas même applicable. Outre les systèmes sous Windows 7 32 bits, des problèmes ont également été observés avec certains systèmes durcis sous Windows 8.

Aujourd’hui, l’une des questions clés, pour les clients ayant été affectés, est désormais celle de leur capacité à migrer vers des configurations supportées.

[Article original, 24 juin 2022 @15h46] Ce mardi 21 juin 2022, une personne travaillant dans un centre hospitalier universitaire de Vendée faisait état d’une vaste panne informatique, sur les réseaux sociaux.

Nos confrères de Ouest France évoquaient l’incident quelques heures plus tard, faisant état de « centaines d’ordinateurs » ayant connu des « ratés » au Centre hospitalier universitaire (CHU) de Nantes. Contactée, la direction du CHU reconnaissait « des problèmes informatiques » ayant « provoqué des dysfonctionnements dans différents services ».

Selon une publication sur la page Facebook du CHU, les « services de standard téléphonique et d’admissions » fonctionnaient « au ralenti ».

Certains commentaires apportent des précisions sur la situation traversée par les personnels du CHU de Nantes : tous les postes de travail sous Windows 7, y compris des équipements biomédicaux, ont été affectés et rendus inutilisables. Mais rien d’imputable aux équipes informatiques du CHU : l’incident aurait été causé par l’antivirus installé. Celui-ci n’est pas nommé dans les commentaires.

Des sources distinctes nous ont toutefois confirmé l’origine de l’incident : l’antivirus de Trend Micro. Selon celles-ci, le CERT Santé a été mobilisé pour traiter un problème qui a été loin de se cantonner au CHU Nantes. Des situations comparables ont notamment été observées outre-Rhin. L’auteur spécialiste de l’informatique Günter Born s’en est fait l’écho dans un billet de blog.

Trend Micro a publié une note d’information sur le problème. Dans celle-ci, l’éditeur explique qu’il touche les agents de protection des postes de travail et serveurs Apex One et Worry-Free Business Security. Ce sont les postes Windows 7 32 bits qui sont concernés, et plus spécifiquement ceux pour lesquels est activée la fonction de surveillance comportementale : la mise à jour 1.237.000 des modèles comportementaux s’est avérée problématique. Les postes de travail concernés se sont mis à redémarrer de manière inopinée juste après l’ouverture de session, invoquant la survenue d’une erreur critique.

Une version 1.238.000 de ces modèles, le fichier Behavior Monitoring Configuration Pattern, corrigeant le problème, a été mise à disposition sur les serveurs de mises à jour de Trend Micro dès le 22 juin.

L’éditeur a ainsi réagi rapidement alors même qu’il ne supporte plus Windows 7 et Windows 2008 R2 pour son offre Worry-Free Business Security On-Premise (éditions Standard et Advanced) depuis le 22 juin 2021. L’installation et l’utilisation sont toujours possibles depuis cette date, mais « les contenus du correctif de juin 2021 et les futures versions ne seront pas déployés à l’agent de sécurité sur les machines fonctionnant avec ces systèmes d’exploitation ».  

Nous avons adressé une demande de commentaires à Trend Micro. Cet article sera mis à jour lorsque ceux-ci nous parviendront.