Protégé jusqu’à la mort


Ce matin là, comme dans toutes les démos importantes avec un client, rien ne marchait. D’abord la multiprise, puis la prise Ethernet physique, puis la connexion elle-même. Pour faire bonne mesure, j’avais moi aussi un bug dans le code que je n’ai pu résoudre qu’en changeant de bâtiment (ne cherchez pas…).

Un moment merveilleux de communion avec tous les dev du monde qui ont connu cette expérience spirituelle de destruction de moral et de crédibilité.

Après quelques blagues et une utilisation de la partie du service qui marchait qui m’ont permis de garder la face, un nouveau problème fit son apparition.

Un fichier .odt que je générais était corrompu au téléchargement.

God left

And he’s right

Pourtant, ça marchait, j’en étais certain.

Aucune erreur. Rien. Tout était nickel de bout en bout. Sur ma machine, tout va bien. Sur les leurs, plantage direct de Libre Office.

Je change de navigateur sur mon laptop ou leurs tours. Queud.

Je change d’OS. La même.

Avec CURL ? Zob.

Et puis je note un truc étrange : la taille du fichier n’est pas la même sur leur machine. Elle change à chaque putain de téléchargement.

Je reste un instant interloqué. Et par “un instant interloqué” j’entends 2h surcaféine à trafiquer sur 3 machines différentes toutes les hypothèses tordues possibles, frénétiquement, et la bave aux lèvres.

Quand soudain l’idée me vint. La grâce divine.

Jesus saves

Jesus saves. For later.

Je désactive leur antivirus.

Miracle, ça marche.

Karspersky protégeait leurs machines jusqu’à la mort.

Je ne sais pas ce qui se passait dans sa petite tête, mais il lobotomisait de quelques Ko tous les documents, en mode frappe préventive américaine. Peu importe, leur admin n’aurait de toute façon pas été capable de corriger le problème.

La solution est de se passer des forces de l’ordre et faire justice soit même : tout foutre en SSL pour que le petit salopiot arrête de mettre son nez dans mes paquets. Ils sont sur un intranet. Avec un VPN. Mais fuck, ils seront bien protégés.

Something queer this way come

Also, openssl -days 10000000

15 thoughts on “Protégé jusqu’à la mort

  • TropDeSkyTueKaspersky

    Ahahah… tellement classique…

    Et on parle pas des problèmes de performance que ces saletés d’antivirus induisent…

  • Stéphane Wirtel

    Tu m’étonnes ;-) j’ai eu le probleme avec un flush, mais pas devant client, mais pour un expert, tu passes pour un “con”. Comme quoi, nous ne sommes plus habitués ave des Anti-Virus… ;-)

  • Romain

    C’est un argument supplémentaire en faveur de SSL partout… ce qui n’est pas forcément simple pour les boites (j’en connais qui passent des jours à trouver qui contacter pour avoir un certificat signé).

  • Sam Post author

    Ben là c’est de l’intranet donc c’est du self signed. Mais ils n’ont pas les compétences internes pour déployer sur tous les postes un certificat racine donc tous les utilisateurs vont devoir rajouter une exception de sécurité. Non seulement c’est très improductif, en prime:

    • les utilisateurs vont prendre la mauvaise habitude de le faire pour tout à moins qu’on les forme. Ce qui ne sera pas fait. Donc en fait, perte de culture sécurité.

    • pas de nom de domaine local donc si il changent l’adresse IP de leur VM, ils doivent refaire le certif.

    • plus de boulot pour moi en tout (déploiement, doc, etc) mais budget fixe, donc non payé.

    • la procédure d’installe devient plus complexe, réduisant encore plus les chances pour eux de réussir à installer une instance par eux-même plus tard. Du coup perte d’autonomie.

    Bottom line, c’est pas du tout un win-win.

  • furankun

    Encore une victoire de canard! bien joué!

    Et que crèvent les sys admin qui naviguent à vue (oui je suis un petit peu remonté en ce moment)

  • Tranche

    Ha ils sont cavalier ces anti-virus !

    J’avais découvert il y a quelque temps que Avast faisait planter nos dispositifs (des capteurs industriels avec du code embarqué freeRTOS + lwIP pour la pile IP) et la cause était Avast qui faisait plein de merdouille avec les paquets IP.

    Dans wireshark (quelle merveille ce logiciel) on pouvait voir plein de “dup ack” et de “spurious retransmission” … ouai carrément, je suis pas encore sûr d’avoir compris ce qu’était le dernier.

    En gros la moitié des packets IP était merdé et sur cette moitié la moitié était renvoyé et sur cette moitié la moitié était re-merdé etc (Kaspersky doit faire un truc hautement foireux du même genre).

    Donc sur nos capteurs la pile IP se mettait à prendre beaucoup trop de ressource et un watchdog légitime faisait rebooter le capteur (sur un PC 1000x puissant ça passe sans problème), résultat : pas moyen pour le client d’accéder à l’interface web avec AVAST activé et même pire une tentative de connexion avec Avast déclenche un reboot.

    Après 2 jours d’investigation et de solutions bancale (bas oui, quand on commence à rentrer dans le code de lwIP on sait juste quand on commence), par chance la version 2.0.2 de lwIP ne présentait pas le problème… bon interface extrêmement lente car Avast continue ses merdouille mais au moins les capteurs ne reboot plus.

    Mais y a un truc encore plus cavalier que faisait AVAST : c’est d’aller sur la page de login et comme c’est pas de l’HTTPS il se permettait de tester quelque login/pass genre admin/admin admi/administrator etc, j’imagine que le but c’est de fièrement dire à l’utilisateur que son mot de passe est trop faible mais la manière est pour le moins inhabituel.

    Le problème pour nous c’est que quand on vend un système installable n’importe où sur son réseau local et dont le client peut changer l’IP c’est difficile voir impossible d’utiliser HTTPS : le self signed les clients vont pas comprendre (sans compter le developpement qui manque pour ajouter HTTPS à notre équipement).

    Bref: mort aux anti-virus c’est aussi merdique que de s’installer sois même un virus.

  • Fred

    Moi j’ai eu un pb analogue avec ZA. Les dernières versions me pourrissent tous mes téléchargements et transferts ftp. Que ce soit une image téléchargée par le navigateur ou incluse dans un mail ou un fichier ftp (y compris un transfert ftp transmis entre mon PC physique et un de mes PC virtuels !!!).

    Donc j’en suis resté à une version plus ancienne.

    Remarque, j’ai testé rapidos la dernière version de ZA sur une machine virtuelle et celle-ci a eu aucun souci. J’avais pas trop cherché à comprendre à l’époque (ça merde sur mon PC physique et pas sur un PC virtuel) mais en lisant ce topic, je me dis que ce n’est peut-être pas que ZA en cause mais c’est peut-être ZA+AV ensembles…

  • Jimmy Korrigan

    Bonjour,

    Comment je suis solidaire !

    Parce qu’avant de mettre la zone sur le réseau, cette s****erie d’Avast aura déjà bien mis le merdier en local.

    Tu installes le trial d’un module Matlab ? BIM ! Je te bloque, on sait jamais c’est peut-être un troyan ! J’ai peur !

    Tu mets à jour ton IDE ? BAM ! Les nouvelles dll je les mets dans ton cul !

    Et bien entendu, quand il supprime des fichiers, pas de message d’erreur, pas de log, rien ! Ya juste plus rien qui marche et va donc débugger ça Ducon ! Ça tombe bien, j’avais que ça à foutre.

    Je me demande si Windows Defender n’est pas indirectement responsable du comportement indélicat des antivirus payants. Vu que Windows est livré avec un antivirus gratuit, les solutions payantes, pour justifier leur existence, sont forcées de mettre en place des systèmes ultra-intrusifs pour bien montrer qu’ils sont là. Et, fuite en avant aidant, montrer que eux c’est pas des tapettes de Bisounours, les virus ils vont chercher jusque dans les chiottes, Poutine-style ! D’ailleurs, regardes comment je te nique ton dossier Program Files pour te montrer à quel point je suis un antivirus badass, beuar !

    C’est comme si les flics allaient défoncer ta porte la nuit et te tabasser pour te prouver qu’ils sont efficaces face à des bandits.

    Manque plus qu’une petite conjonction Murphy/Bonaldi pour que ça arrive au plus mauvais moment, quand tu es à la bourre pour livrer, ou mieux, en démo client. Oh oui ! Fouettes-moi encore !

    Et au milieu de toutes ces conneries, on arrive encore à trouver un petit peu de temps pour faire ce truc bizarre, auquel personne ne comprend rien : bosser. On a du mérite quand-même …

  • Sam Post author

    Beaucoup de référence au vieux NPA ici. Age du posteur entre 30 et 45 ans ?

  • Jimmy Korrigan

    Oui ben désolé, hein, ya pas que des jeunes startupeurs aux dents longues qui suivent votre blog. Ya aussi quelques vieux cons.

    Mais vous vous en remettrez, hein ?

  • Olivier Pons

    J’ai été numéro un pendant plusieurs années lorsque tu cherchais “McAfee grosse merde”, “McAfee problème”.

    Même problème mais avec MySQL : cette bouse immonde n’arrivait pas à gérer le fait que MySQL génère trop de fichiers temporaires pour ses transactions SQL, et hop à un moment totalement aléatoire, il supprimait les fichiers temporaires et MySQL pétait un câble. Et tout cette “coupure” était totalement aléatoire, ce qui fait que je voyais ma base remplie des fois à 20%, des fois à 80%… alors que sur Linux, tout ça ne me serait jamais arrivé (ça fait partie des raisons pour lesquelles je bosse à temps plein sous Linux maintenant).

  • TrollRuss

    bon pour répondre à une question qui ne préoccupe personne:

    https://threats.kaspersky.com/en/product/LibreOffice-2/

    L’antivirus a probablement détecté un pattern qui ressemblait à une tentative d’exploitation d’une faille de LibreOffice. L’histoire ne dit pas si quelqu’un a envisagé de consulter le journal de l’antivirus (ces trucs ça enregistre ce que ça fait, pour info, je ne sais pas pour Avast mais tous les antivirus payants que j’ai vu; Eset ou Sophos, quand ils bloquent quelque chose c’est loggé avec l’explication du pourquoi)

    L’antivirus avait certainement tort, mais bon des fois des dév utilisent des librairies anciennes et boguées qui génèrent des fichiers qui sont acceptés par les applications consommatrices bien qu’ils contiennent des erreurs. J’ai même une fois rencontré un dev qui distribuait de bons gros virus biens velus avec son appli parce que sa machine était compromise. Je crois qu’il s’était scandalisé qu’on puisse le remettre en cause à cause des élucubrations d’un antivirus (après tout les antivirus c’est pleins de bogues, ce n’est pas comme les applis des vrais développeurs qui sont 100% sans erreur).

  • DuCon

    Vous êtes hyper drôlatiques, les gars! Comme y disent les américains: you made my day! Et puis, de lire des histoires comme les vôtres, ça console pour toutes les fois où j’ai eu l’air d’un con lors d’une démo!

  • benbout

    Olivier Pons

    13/11/2017 at 13:51

    J’ai été numéro un pendant plusieurs années lorsque tu cherchais “McAfee grosse merde”, “McAfee problème”. “

    Ca fait 10 ans que John McAfee te dit de le désinstaller c’est de ta faute si tu persistes ! Il t’as meme fait un tuto rapide pour t’expliquer la chose concretement : https://www.youtube.com/watch?v=bKgf5PaBzyg

Comments are closed.

Des questions Python sans rapport avec l'article ? Posez-les sur IndexError.