McAfee a demandé aux clients de ses applications antivirus pour Mac de « juste autoriser les certificats non approuvés » après qu'un administrateur de l'entreprise a accidentellement révoqué la clé numérique utilisée pour certifier son logiciel. Depuis plus d'une semaine, les utilisateurs n'ont pas pu installer les produits McAfee sur un Mac, et les la seule solution de contournement jusqu'à présent est d'autoriser les certificats non fiables, ce qui pourrait présenter des risques pour ses clients Machines.
Ars Technica rapporte que la liste de révocation de certificats d'Apple indique la raison de l'annulation de McAfee comme un "compromis clé", mais les responsables de McAfee insistent qu'ils n'ont jamais perdu le contrôle du certificat sensible utilisé pour prouver que les applications proviennent de sources légitimes et qu'ils ne nuisent pas aux utilisateurs Machines.
La date de révocation est le 6 février, ce qui signifie que les utilisateurs Mac n'ont pas pu installer les produits McAfee pendant plus d'une semaine. Il existe une solution de contournement, mais cela signifie compromettre la sécurité d'un Mac.
"On nous a dit que comme solution de contournement, nous devions simplement autoriser les certificats non fiables jusqu'à ce qu'ils le découvrent", a déclaré à Ars un administrateur informatique d'une grande organisation. "Ils nous disent de faire confiance aux certificats non fiables, et cela nous met définitivement en danger."
Selon le vice-président exécutif du développement de produits de McAfee, Barney Bryan, la clé de l'entreprise a été révoquée par inadvertance par un administrateur qui gérait une mise à niveau du matériel de développement. Plutôt que de révoquer sa clé d'utilisation individuelle, l'administrateur a accidentellement révoqué les clés de signature de code qu'Apple utilise pour certifier les applications de confiance et protéger son écosystème des logiciels malveillants.
Comme vous vous en doutez, les ingénieurs de McAfee sont en train de réparer le problème, mais en attendant, le seul conseil qu'il a à offrir est un mauvais conseil.
"Ce n'est pas quelque chose que nous voudrions dire aux gens", a déclaré Bryan lorsqu'on lui a demandé des informations selon lesquelles le personnel d'assistance de McAfee demandait aux clients d'accepter les certificats non fiables. "C'est une solution de contournement qui fonctionnerait, mais ce n'est pas une solution de contournement avec laquelle nous serions à l'aise."
Étonnamment, bien qu'il soit devenu un problème il y a plus d'une semaine, McAfee n'a découvert que son certificat avait été révoqué il y a deux jours - c'est pourquoi il ne l'a toujours pas réparé. Mais il ne s'agit pas seulement d'obtenir une nouvelle clé, rapporte Ars. Les ingénieurs McAfee doivent d'abord reconstruire et signer à nouveau les applications, puis effectuer des tests d'assurance qualité pour s'assurer qu'elles fonctionnent correctement.
Qui sait combien de temps cela prendra; Même Bryan n'a pas pu fournir une estimation.
Pour l'instant, les clients McAfee n'ont aucun moyen de savoir que les applications qu'ils installent sont de véritables applications McAfee. C'est un gros problème pour les utilisateurs. Ils doivent savoir décider s'ils doivent se passer des produits antivirus McAfee jusqu'à ce que le problème soit résolu, ou accepter des certificats non fiables et espérer que les applications qu'ils installent sont sûres.
Passant par: Ars Technica
