Les outils de détection automatique dans Sharepoint frappent des fichiers zippés contenant des logiciels malveillants, même protégés par un mot de passe et à but de recherche

Le chercheur en cybersécurité Andrew Brandt a alerté, le 15 mai 2023, sur un excès de zèle de l’outil de détection automatique des malwares de Microsoft dans Sharepoint. Cet outil scanne désormais tous les fichiers, même s’ils sont zippés et protégés par un mot de passe. Or des chercheurs en cybersécurité ont souvent besoin de conserver ou de se transmettre des échantillons de malwares pour les étudier.

Andrew Brandt avait ainsi l’habitude de partager ces éléments via un fichier Zip doté d’un mot de passe. Il a donc été fort surpris de constater que « quelques Zips protégés par un mot de passe » portaient désormais la mention « Malware détecté », ce qui les rend pratiquement inutilisables.

Cette alerte a permis d’engager une discussion publique avec le chercheur en sécurité Kevin Beaumont. Selon ce dernier, l’outil de Microsoft testait désormais automatiquement les mots de passe les plus probables des fichiers Zip, afin d’en ouvrir le maximum pour les scanner.

Andrew Brandt a d’ailleurs reconnu qu’il protégeait ces dossiers Zip avec un mot de passe très simple, « infected ». S’il comprend la démarche de Microsoft, légitime pour « d’autres personnes qu’un analyste de logiciels malveillants », il s’inquiète des conséquences sur son travail.

« Cette façon de procéder, qui consiste à s’immiscer dans vos affaires, va devenir un gros problème pour les personnes comme moi qui doivent envoyer des échantillons de logiciels malveillants à leurs collègues. (…) Cela aura un impact sur la capacité des chercheurs en malwares à faire leur travail », conclut l’expert cyber.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.