Nous avons reçu, en mai 2021, un email de la part d'une de nos clientes: Lorsqu'elle visitait son site créé avec WebForge, son antivirus BitDefender lui indiquait une menace potentielle:
Après investigation, il s'est avéré que cette alerte concernait un fichier utilisé par WebForge depuis 2011 sur tous nos sites, et que nous garantissions sans virus. Par ailleurs, les autres antivirus du marché ne détectaient aucun problème. Nous avons donc considéré qu'il s'agissait d'un faux positif. Nous avons légèrement modifié le fichier pour qu'il ne soit plus détecté par BitDefender, afin d'offrir rapidement à nos clients une solution, et nous avons contacté BitDefender pour comprendre la raison de ce faux positif.
BitDefender nous a confirmé qu'il s'agissait d'un faux positif, et l'a retiré de leur système. Le faux positif avait été introduit dans leur solution environ 1 mois avant que nous en ayons eu connaissance. Malheureusement, malgré notre insistance, nous n'avons pas eu d'explication claire sur la raison du faux positif. BitDefender s'est contenté de nous indiquer:
“A priori il n'y a rien de particulier dans votre script qui a entraîné sa détection, il s'agit d'un faux positif pur, une erreur de détection.”
Une réaction rapide
WebForge est une plateforme totalement centralisée. Cela signifie que les correctifs que nous appliquons régulièrement concernent tous les sites de nos clients. Ceci nous permet d’être très réactifs dans ces cas contrairement à nos concurrents qui déploient les sites internet sur des hébergements séparés.
Concrètement, les sites WebForge sont hébergés sur des serveurs physiques différents, mais tous gérés par nos soins. L’application WebForge est dupliquée sur chacun de ces serveurs. Lorsque nous faisons une modification sur notre application (qu’il s’agisse d’une nouvelle fonctionnalité ou d’un correctif), nous la testons d’abord sur notre serveur dédié aux tests, et si les résultats des tests sont satisfaisants, nous propageons la modification sur tous nos serveurs de production. Ainsi, en quelques minutes, la modification est en place pour l’ensemble des sites de nos clients.
Dans le cas précis du faux positif de BitDefender, il nous a fallu quelques heures pour analyser le problème, moins d'une heure pour créer un correctif et le tester, et moins de 20 minutes pour que le correctif soit appliqué à l'ensemble de nos serveurs, et donc à la totalité des sites de nos clients.
Nous sommes heureux d'avoir choisi ce genre d'architecture, sans laquelle il aurait fallu plusieurs jours pour corriger tous les sites de nos clients. Plusieurs jours pendant lesquels BitDefender aurait continué à alerter à tort d'une menace.
Quel impact et quelles responsabilités?
Ce genre d'incident a principalement un impact sur la réputation. Il est donc difficile de chiffrer l’impact que ça a. Mais on peut bien se douter que ça a un coût non négligeable. Par exemple, qui ferait confiance à une société qui vend du support informatique, si le site même de la société semble infecté? Lorsqu’un antivirus affiche un message d’alerte sur un site, la réaction spontanée d’un visiteur sera de se méfier, et pas de se demander s’il s’agit d’une erreur.
Selon la société BitDefender elle-même, les faux positifs d’antivirus (tous types confondus) coûtent plus d’un million d’euros par an aux entreprises.
Naturellement, les sociétés qui développent des antivirus ne prennent aucune responsabilité en cas de faux positif. Dans un cas comme celui-ci, c'est donc la faute à "pas de chance".
Dans les abonnements que nos clients contractent, WebForge fournit une garantie de fonctionnement. La résolution de ce problème n’a donc engendré aucuns frais supplémentaires pour nos clients. Nous sommes heureux d’avoir pu résoudre ce problème rapidement, et espérons que l’impact a été minime pour nos clients.
Si nous avons pu être un peu déçus par le manque de clarté dans la réponse de BitDefender quant à la raison du faux positif, nous comprenons leur position, et nous les remercions pour la rapidité de leur réaction.