McAfee met 15 mois pour corriger un bug dans son antivirus d’entreprise

C’est début novembre 2014 que les italiens de MediaService.net ont prévenu McAfee d’un défaut d’implémentation d’une mesure de protection de VirusScan Enterprise 8.8 (et antérieur) : celle-ci doit empêcher qu’un utilisateur disposant des droits d’administration sur sa machine ne puisse désactiver l’antivirus ; un mot de passe est censé l’en empêcher, à moins que Windows ne s’exécute en mode de dépannage.

L’idée est plus que louable, mais selon Maurizio Agazzini, de MediaService.net, la mise en œuvre est resté longtemps imparfaite : la console locale de l’antivirus contrôle bien que le mot de passe fourni pour désactiver l’antivirus est correct ; mais le moteur d’antivirus n’effectue, lui, aucun contrôle. Dès lors, un attaquant peu directement le solliciter pour lui demander de se désactiver.

McAfee vient finalement – le 25 février dernier – de publier un correctif pour ce bug, et Maurizio Agazzini, de rendre l’information publique sur son site Web.

Mais dix jours après la première communication, McAfee s’est enfin décidé à réagir à une relance, demandant que lui envoyées de nouveau les informations relatives à la vulnérabilité. Ce n’est que près d’un mois plus tard que l’éditeur a confirmé la découverte de l’Italien. Mais au bout de trois mois sans réaction de McAfee, Agazzini est allé aux nouvelles. En vain. Ce n’est que début mai que l’éditeur lui répond à nouveau, cette fois-ci pour indiquer qu’un correctif est prévu pour… le troisième trimestre 2015.

Las, le 20 août, McAfee demande à Agazzini d’attendre pour rendre publique sa trouvaille : jusqu’au 31 mars 2016. L’Italien avait finalement prévu de communiquer mi-avril, comme le montre l’alerte qu’il publie sur son site Web ; il l’aura finalement fait quelques semaines plus tôt. Non sans toutefois ménager largement McAfee, malgré la lenteur dont il a fait ici preuve.

A sa décharge, on relèvera que cette vulnérabilité n’affiche qu’un score CVSS v3 global de 2.9. D’autres produits sont toutefois affectés : DLP et Device Control 9.4 et 9.3 Patch 6, Device Contrôle 9.3 et 9.4, ou encore Endpoint Security pour Mac et pour Windows 10.1, et Host IPS 8.0 Patch 7. McAfee explique par ailleurs que la correction de ce bug a demandé de modifier l’architecture « des mécanismes d’autoprotection du produit, ce qui a affecté fonctionnellement de multiples produits dépendants ».