13/11/2017 at 13:51

J’ai été numéro un pendant plusieurs années lorsque tu cherchais “McAfee grosse merde”, “McAfee problème”. “

Ca fait 10 ans que John McAfee te dit de le désinstaller c’est de ta faute si tu persistes ! Il t’as meme fait un tuto rapide pour t’expliquer la chose concretement : https://www.youtube.com/watch?v=bKgf5PaBzyg

https://threats.kaspersky.com/en/product/LibreOffice-2/

L’antivirus a probablement détecté un pattern qui ressemblait à une tentative d’exploitation d’une faille de LibreOffice. L’histoire ne dit pas si quelqu’un a envisagé de consulter le journal de l’antivirus (ces trucs ça enregistre ce que ça fait, pour info, je ne sais pas pour Avast mais tous les antivirus payants que j’ai vu; Eset ou Sophos, quand ils bloquent quelque chose c’est loggé avec l’explication du pourquoi)

L’antivirus avait certainement tort, mais bon des fois des dév utilisent des librairies anciennes et boguées qui génèrent des fichiers qui sont acceptés par les applications consommatrices bien qu’ils contiennent des erreurs. J’ai même une fois rencontré un dev qui distribuait de bons gros virus biens velus avec son appli parce que sa machine était compromise. Je crois qu’il s’était scandalisé qu’on puisse le remettre en cause à cause des élucubrations d’un antivirus (après tout les antivirus c’est pleins de bogues, ce n’est pas comme les applis des vrais développeurs qui sont 100% sans erreur).

Même problème mais avec MySQL : cette bouse immonde n’arrivait pas à gérer le fait que MySQL génère trop de fichiers temporaires pour ses transactions SQL, et hop à un moment totalement aléatoire, il supprimait les fichiers temporaires et MySQL pétait un câble. Et tout cette “coupure” était totalement aléatoire, ce qui fait que je voyais ma base remplie des fois à 20%, des fois à 80%… alors que sur Linux, tout ça ne me serait jamais arrivé (ça fait partie des raisons pour lesquelles je bosse à temps plein sous Linux maintenant).

Mais vous vous en remettrez, hein ?

Comment je suis solidaire !

Parce qu’avant de mettre la zone sur le réseau, cette s****erie d’Avast aura déjà bien mis le merdier en local.

Tu installes le trial d’un module Matlab ? BIM ! Je te bloque, on sait jamais c’est peut-être un troyan ! J’ai peur !

Tu mets à jour ton IDE ? BAM ! Les nouvelles dll je les mets dans ton cul !

Et bien entendu, quand il supprime des fichiers, pas de message d’erreur, pas de log, rien ! Ya juste plus rien qui marche et va donc débugger ça Ducon ! Ça tombe bien, j’avais que ça à foutre.

Je me demande si Windows Defender n’est pas indirectement responsable du comportement indélicat des antivirus payants. Vu que Windows est livré avec un antivirus gratuit, les solutions payantes, pour justifier leur existence, sont forcées de mettre en place des systèmes ultra-intrusifs pour bien montrer qu’ils sont là. Et, fuite en avant aidant, montrer que eux c’est pas des tapettes de Bisounours, les virus ils vont chercher jusque dans les chiottes, Poutine-style ! D’ailleurs, regardes comment je te nique ton dossier Program Files pour te montrer à quel point je suis un antivirus badass, beuar !

C’est comme si les flics allaient défoncer ta porte la nuit et te tabasser pour te prouver qu’ils sont efficaces face à des bandits.

Manque plus qu’une petite conjonction Murphy/Bonaldi pour que ça arrive au plus mauvais moment, quand tu es à la bourre pour livrer, ou mieux, en démo client. Oh oui ! Fouettes-moi encore !

Et au milieu de toutes ces conneries, on arrive encore à trouver un petit peu de temps pour faire ce truc bizarre, auquel personne ne comprend rien : bosser. On a du mérite quand-même …

Donc j’en suis resté à une version plus ancienne.

Remarque, j’ai testé rapidos la dernière version de ZA sur une machine virtuelle et celle-ci a eu aucun souci. J’avais pas trop cherché à comprendre à l’époque (ça merde sur mon PC physique et pas sur un PC virtuel) mais en lisant ce topic, je me dis que ce n’est peut-être pas que ZA en cause mais c’est peut-être ZA+AV ensembles…

J’avais découvert il y a quelque temps que Avast faisait planter nos dispositifs (des capteurs industriels avec du code embarqué freeRTOS + lwIP pour la pile IP) et la cause était Avast qui faisait plein de merdouille avec les paquets IP.

Dans wireshark (quelle merveille ce logiciel) on pouvait voir plein de “dup ack” et de “spurious retransmission” … ouai carrément, je suis pas encore sûr d’avoir compris ce qu’était le dernier.

En gros la moitié des packets IP était merdé et sur cette moitié la moitié était renvoyé et sur cette moitié la moitié était re-merdé etc (Kaspersky doit faire un truc hautement foireux du même genre).

Donc sur nos capteurs la pile IP se mettait à prendre beaucoup trop de ressource et un watchdog légitime faisait rebooter le capteur (sur un PC 1000x puissant ça passe sans problème), résultat : pas moyen pour le client d’accéder à l’interface web avec AVAST activé et même pire une tentative de connexion avec Avast déclenche un reboot.

Après 2 jours d’investigation et de solutions bancale (bas oui, quand on commence à rentrer dans le code de lwIP on sait juste quand on commence), par chance la version 2.0.2 de lwIP ne présentait pas le problème… bon interface extrêmement lente car Avast continue ses merdouille mais au moins les capteurs ne reboot plus.

Mais y a un truc encore plus cavalier que faisait AVAST : c’est d’aller sur la page de login et comme c’est pas de l’HTTPS il se permettait de tester quelque login/pass genre admin/admin admi/administrator etc, j’imagine que le but c’est de fièrement dire à l’utilisateur que son mot de passe est trop faible mais la manière est pour le moins inhabituel.

Le problème pour nous c’est que quand on vend un système installable n’importe où sur son réseau local et dont le client peut changer l’IP c’est difficile voir impossible d’utiliser HTTPS : le self signed les clients vont pas comprendre (sans compter le developpement qui manque pour ajouter HTTPS à notre équipement).

Bref: mort aux anti-virus c’est aussi merdique que de s’installer sois même un virus.