Logo mcafee Mieux vaut tard que jamais
Ces derniers n'avaient pas averti de la vulnérabilité jusqu'à sa correction vendredi dernier. Dans un communiqué, la société McAfee s'en excuse et invite ses clients, parmi lesquels un tiers des plus grosses entreprises d'outre-Atlantique et européennes, à appliquer les mises à jour correspondantes pour son antivirus. La porte-parole Siobhan MacDermott a indiqué qu'il n'y avait eu aucune attaque de rapportée.

La faille affectait un composant du produit " ePolicy Orchestrator " utilisé pour la gestion du logiciel de sécurité sur des dizaines de milliers d'ordinateurs dans le monde. En particulier ceux du Ministère de la Défense des Etats-Unis qui annonçait le mois dernier le choix de McAfee pour protéger son système d'éventuelles intrusions.


Faille partiellement corrigée par mégarde

Selon le chef de la sécurité de la firme de Santa Clara, John Viega, la vulnérabilité avait été reparée par inadvertance il y a six mois de cela alors qu'un ingénieur de McAfee faisait d'autres changements dans le logiciel. Les personnes mal intentionnées pouvaient éventuellement prendre le contrôle d'ordinateurs comportant des données dites sensibles, supprimer des fichiers ou implanter des programmes malicieux, a t-on précisé.

" Nous n'avions pas vraiment réalisé que nous avions réparé le problème. (...) Nous en avons corrigé un mais c'était par accident. " ajoute Viega.

En janvier, McAfee sortait une mise à jour basée sur de nouvelles fonctionnalités améliorées. Plusieurs entreprises et ministères sont souvent réticents pour mettre à jour leurs logiciels à moins que cela ne soit nécessaire car il y a toujours la peur de faire une action qui puisse nuire au réseau informatique.

C'est pourquoi McAfee reconnaît son erreur et leur recommande expressément de mettre à jour immédiatement ses produits. A noter que la faille avait tout de même été découverte par eEye Digital Security il y a quelques jours et rapportée à McAfee.

" McAfee s'excuse pour tout impact involontaire sur les utilisateurs faisant suite à la notification de cette vulnérabilité. (...) Nous savons que notre aptitude à protéger les clients rapidement dans ce genre d'événements dépend beaucoup de votre confiance en notre travail. " indiqua la firme dans un courriel envoyé à ses clients.

Seules les versions corporate ou entreprises sont concernées, les versions utilisateurs ne le sont pas, précise t-on du côté de Santa Clara.