Laisser passer les virus, c’est plutôt un comble pour une passerelle antivirus ! C’est pourtant le cas de celle de Sophos lorsqu’elle reçoit un avis de non-remise (Delivery Status Notification) d’un email infecté par MyDoom.Ces courriers, générés automatiquement par les serveurs de messagerie lorsqu’ils sont incapables de distribuer un email, contiennent parfois le message original en pièce jointe. Et avec MyDoom, qui se créait des dizaines de fausses adresses, les avis de non remise ne manquaient pas !Dans le cas particulier des serveurs de messagerie qmail configurés pour inclure le message original, ce fameux avis de non-remise n’est pas formaté de façon très standard : il lui manque le délimiteur qui permet d’identifier les différentes parties d’un email (MIME boundary).Et c’est justement sur ce délimiteur que Sophos Antivirus s’appuie pour savoir que l’email dispose d’une pièce jointe et l’analyser. Sans lui, le courrier lui semble n’être qu’un vulgaire texte attaché à un autre, et il passe le filtre sans encombre… avec le virus. A la réception, en revanche, le client email du poste de travail est tout à fait capable d’extraire la pièce jointe du mail original !Si cela n’est pas prouvé pour l’instant, il n’est pas impossible que le coup puisse être tenté avec n’importe quel virus, voire même que des pirates puissent créer eux-même des messages modifiés, imbriqués à la façon de poupées russes, afin de faire passer leurs création sans encombre.A cette première faille s’ajoute également un déni de service potentiel sur la passerelle de Sophos. L’attaque exploite toujours la mauvaise interprétation des en-têtes MIME des courriers : lorsque l’un d’entre eux se termine de façon abrupte dans le mail, Sophos Antivirus continue d’essayer de lire la suite… pour toujours ! L’antivirus entre alors dans une boucle sans fin qui le neutralise.Ces deux failles touchent Sophos Anti-Virus version 3.78. L’éditeur à publié les correctifs nécessaires, disponibles sur son site web.