Vous n'êtes pas identifié.
Pages: 1
Réponses : 5 / Vues : 5 991
Cette semaine, nous passons au crible les antivirus des nouvelles suites de sécurité pour évaluer leur résistance face aux menaces inconnues. Le résultat des tests dans ce dossier.
Avec plus de 10 000 nouveaux « objets » malveillants par jour, les solutions de sécurité ne peuvent plus se reposer sur l'antique méthode de détection des malwares par signature. Elles doivent embarquer des protections proactives capables de bloquer et d'isoler les programmes susceptibles d'être dangereux. Programmes plus ou moins dissimulés dans les pages Web, les forums, les contenus multimédias, les sites de partage ou dans les newsgroups.
Dans un tel contexte, il nous a semblé particulièrement intéressant d'étudier le comportement des suites face à des menaces qu'elles ne connaissent pas. Pour mieux comprendre leur fonctionnement et leur potentiel en matière de défense proactive, nous avons soumis les suites 2010 à quelques tests comportementaux.
Le Tour de France des suites de sécurité
Le laboratoire de tests du Groupe 01 a décidé de tester les suites autrement. Au lieu de grands comparatifs ponctuels, nous avons opté pour des tests approfondis réguliers évaluant chacun un élément précis des différentes protections et technologies proposées par les suites. En un sens, notre approche s'apparente un peu au Tour de France. Chaque comparatif doit être vu comme une étape. Les différentes protections de chaque suite comme une « équipe » travaillant ensemble pour protéger l'utilisateur.
Selon les spécialités et les compromis adoptés par chaque suite, selon leur état de forme du moment (n'oublions pas que les menaces évoluent), les unes arriveront en tête sur certaines étapes et d'autres seront en retrait. Chaque étape est importante, mais les utilisateurs n'y accorderont pas le même intérêt. Et nous verrons bien à la fin du « tour » quelles équipes l'emporteront... Après la première étape, le comparatif des antispams sans entraînement préalable, nous attaquons la seconde étape : les défenses proactives déconnectées des antivirus.
Panorama des tests de protections proactives
Les tests des protections proactives ne doivent pas être perçus comme des tests d'efficacité réels mais comme des tests d'intelligence embarquée. Une suite est un assemblage de technologies, de compromis et de priorités. Un mauvais résultat à l'un des tests ne signifie pas que la suite est inefficace ou peu performante, ni que l'utilisateur était réellement en danger. Il traduit un comportement particulier.
Typiquement, certaines suites basent leur protection sur un dialogue permanent entre votre machine et leurs centres de serveurs « en ligne » (ou « in the cloud » pour reprendre l'expression à la mode). Ces tests mesurant l'intelligence embarquée, ils coupent la connexion à Internet et dès lors rompent le lien ombilical qui relie la suite au cloud. Plus une suite s'appuie sur le cloud pour protéger l'utilisateur, plus elle est défavorisée et perdante dans ces tests.
Tester les défenses proactives est un travail de longue haleine et d'une grande complexité. Il faut réaliser une grande quantité de tests très différents sur une longue période pour avoir une vision fidèle des capacités de défense. Mais il faut bien aussi commencer un jour ou l'autre par les évaluer. Et il faut bien commencer quelque part. Nous avons choisi de mettre à l'épreuve les défenses hors connexion au travers de trois tests ciblés.
Cette série de tests est davantage conçue pour éclairer l'utilisateur sur le fonctionnement interne de sa suite que pour mesurer son efficacité dans des conditions réelles d'utilisation. Mieux comprendre le fonctionnement d'une suite permet aussi de mieux en comprendre les faiblesses. La plupart des infections ayant pour origine une action naïve ou maladroite de l'utilisateur, ces tests permettent de mieux appréhender les comportements des suites, les différentes techniques de protection proposées, les différences entre leurs réglages et dès lors les risques encourus selon les réglages adoptés.
Ce comparatif s'appuie sur trois tests pour mettre les suites à rude épreuve : détection des codes inconnus, exécution de codes inconnus et tentatives de pervertissement du système.
Détection des codes inconnus
Le premier test est un test de détection. Il cherche à mesurer l'efficacité des « détections heuristiques », qui consistent à repérer un fichier dangereux sans que celui-ci n'ait été formellement reconnu par une signature spécifiquement réalisée pour lui. Nous avons téléchargé plus de 1 500 fichiers vérolés en moins de 48 heures. Sur ces 1 500 fichiers, 100 ont été retenus comme étant suffisamment différents les uns des autres. Ils ont alors été soumis à la détection des moteurs tels qu'ils étaient 15 jours plus tôt.
L'analyse a d'abord été réalisée avec les paramètres par défaut, puis avec toutes les protections de la suite poussées à leur maximum de sensibilité. Ce test a été réalisé sans connexion à Internet afin d'être sûr qu'aucune suite ne récupère de mises à jour, qui compenseraient ses capacités heuristiques. Les suites s'appuyant sur une analyse « on the cloud » sont évidemment très désavantagées puisqu'on leur interdit l'usage de leur principal niveau de protection.
Exécution de codes inconnus
Le second test est un test d'exécution. Sur les 100 fichiers retenus, nous en avons sélectionné 16 qui n'avaient été reconnus par aucune suite lors de la détection. Et nous avons exécuté ses codes malveillants. La plupart étaient des trojans. Dans ces fichiers malveillants, il y avait aussi deux « bots », dont l'un intégrait un mécanisme de rootkit, ainsi que deux « keygens » (générateurs de clés), qui tentaient d'entrer en communication avec des serveurs de cybercriminels, deux téléchargeurs de « scarewares », deux « scarewares », un keylogger et une installation flash infectée. Nous avons poussé les défenses à leur maximum et, à l'aide de plusieurs outils, surveillé si la menace était totalement, partiellement ou pas du tout neutralisée.
Tentatives de pervertissement du système
La troisième épreuve est un test de protection des zones sensibles. Ce test s'appuie sur une application conçue par nos soins qui tente de pervertir 2 zones critiques du système (soit en y insérant un exécutable soit en modifiant une valeur en base de registres). On regarde ensuite ce qui est passé ou pas. Et on obtient une note de résistance.
Ce que nous voulions avant tout déterminer avec ce test, c'est si les détections heuristiques avaient une utilité et si les réglages qui les accompagnent avaient une réelle importance. Côté efficacité, comme nous le pressentions, les méthodes heuristiques ne sont pas inutiles. Mais elles sont totalement insuffisantes. Avec des mises à jour vieilles de 15 jours, les taux de détection des suites sur des menaces très récentes (moins de 24 heures) sont faibles, voire trop faibles.
Les scores réalisés sont dans la fourchette attendue (moins de 20 %). Les détections heuristiques (on parle bien de détection, pas de protection) ne se sont jamais montrées efficaces à travers les années. Il n'y avait donc aucune raison pour que les versions 2010 fassent radicalement mieux.
L'heuristique révèle des surprises...
A ce petit jeu, c'est Kaspersky qui s'en tire le mieux, avec un score très étonnant... peut-être trop étonnant pour être significatif. Le résultat de ce test est nécessairement lié aux échantillons retenus. Le test ne reflète une vérité que sur cet échantillon réalisé un jour J. La suite a bénéficié d'une circonstance favorable en reconnaissant une même menace déclinée en 10 binaires très différents que les autres suites n'ont pas attrapés.
L'échantillonnage semble avoir donc porté chance à Kaspersky mais ne retire en rien ses qualités puisque toutes les suites étaient à égalité face à ce jeu de fichiers. Il faudra confirmer ce résultat surprenant par d'autres tests, pour déterminer si cette sensibilité est vraiment exceptionnelle ou si elle se révèle vraie tout au long de l'année. F-Secure surprend également, avec une deuxième place qui positionne la suite à égalité avec la G-Data et ses deux moteurs ! Tous les autres concurrents sont dans une même fourchette, allant de 11 à 15 % des échantillons détectés.
... quand les réglages n'en révèlent pas
Le deuxième met en évidence la différence de détection entre le mode normal et le mode sensibilité maximale des détections heuristiques. Force est de constater que ce changement de réglage n'engendre généralement pas de grandes différences (pour un temps de scan qui, lui, est parfois doublé).
G-Data ne disposant pas de réglages précis de l'heuristique, nous avons joué avec son double moteur pour retomber sur une configuration similaire à celle des autres suites. Pour le test en mode normal, nous n'avons donc conservé que le moteur le plus rapide. Pour le test en mode maximal, nous avons réactivé les deux. Et comme on peut le constater, le second moteur a fait progresser sa détection de façon significative. Chez Kaspersky aussi, la mise en œuvre de l'heuristique en mode maximal a engendré un résultat significatif. Pour ces deux suites, nous encourageons donc les utilisateurs avancés à rentrer dans les réglages pour les pousser à leur maximum.
Panda et F-Secure ont détecté un échantillon de plus en mode maxi. En outre, les temps de scan étant relativement proches dans les deux modes, et la quantité de faux positifs (que nous avons mesurée hors tests) ne variant pas, il est là aussi intéressant de pousser les réglages. Les autres suites obtiennent le même résultat quel que soit le réglage adopté. Autant les conserver dans leur mode par défaut !
Nous tenons quand même à rappeler que les résultats de ce test ne signifient absolument pas que, dans la réalité, les utilisateurs auraient été en danger. Avec des protections connectées à leur serveur et des mises à jour réalisées plusieurs fois par jour automatiquement, les suites sont heureusement bien plus efficaces dans la réalité !
Contrairement à une idée répandue, la détection n'est pas la solution à la multiplication des menaces. L'important n'est pas qu'un code malveillant soit détecté, mais que son action soit bien stoppée ! Quand les menaces étaient peu nombreuses, la détection était une excellente parade car elle agissait en amont. Désormais, puisqu'il n'est plus réaliste de pouvoir tout détecter, il faut savoir protéger les machines lorsque les menaces s'exécutent. C'est exactement ce que ce test essaie de mesurer.
Evidemment, cette épreuve est probablement le challenge le plus difficile qui soit pour les différentes suites. Elles doivent se défendre sans connaître la menace. Il faut toutefois signaler que ce test est en théorie plus handicapant pour Norton, TrendMicro, Panda et F-Secure. Ces suites ont des défenses proactives qui reposent en partie sur l'utilisation du « cloud ». Pour éviter que ces suites n'utilisent leur détection classique, nous les avons avons mises à l'épreuve sans connexion à Internet.
Nous avons classé les résultats en trois groupes :
- Succès, le programme a été totalement bloqué ;
- Partiels, l'infection n'a pas eu lieu. Le vrai danger a bien été écarté et l'antivirus a réagi à la menace. Mais des traces en Registry sont toujours visibles et peuvent provoquer des alertes au démarrage de Windows ;
- Echecs, l'infection a eu lieu. Même si l'antivirus a affiché une alerte, si l'infection a bien eu lieu et reste dans le système après la fin de l'exécution du code malveillant, nous avons comptabilisé le résultat comme un échec.
Kaspersky et ses deux sécurités
Lors de ce test, Kaspersky a soulevé un problème particulier. Le logiciel dispose de deux méthodes, complémentaires. La première est une exécution du code dans un mode d'accès restreint au système. La seconde, ce que Kaspersky appelle la « Green Zone ». Dans la Green Zone, l'infection de la machine hôte est impossible, l'application étant en quelque sorte virtualisée.
Les mesures ont été réalisées avec le premier mode, le second n'étant pas directement comparable aux autres. Cela n'empêche pas Kaspersky d'arriver en tête, avec un très bon score. Mais attention, ce score n'a été obtenu que parce que nous avons comparé les suites avec leurs paramètres de défense poussés au maximum (en mode par défaut, la note de Kaspersky redescend à 6/15) !
Norton aurait pu avoir la note parfaite
Norton 2010 a également soulevé un problème. Il est, là, testé en mode totalement déconnecté. Or sa protection Sonar 2 utilise normalement la connexion réseau pour évaluer la « réputation » d'un fichier. Lorsqu'un fichier inconnu est exécuté, Norton 2010 indique à l'utilisateur le nombre d'internautes possédant ce fichier, depuis quand ce fichier est connu du réseau des utilisateurs et si sa source est crédible ou pas.
Avec de tels renseignements, un utilisateur avisé choisira s'il faut ou non exécuter le programme. Dans un tel contexte, Norton 2010 aurait alors obtenu la note maximale de 15/15 ! En mode déconnecté, cette « réputation » des fichiers n'est pas opérationnelle. La note obtenue par Norton 2010 est donc exactement celle que la suite aurait obtenue en mode connecté avec un utilisateur « fou furieux et inconscient », qui aurait forcé l'exécution alors même que la suite lui conseillait de ne pas le faire !
BitDefender et TrendMicro au coude à coude
BitDefender et TrendMicro arrivent en seconde position. Ils obtiennent la même note, mais leur protection est différente, elle n'a d'ailleurs pas arrêté les mêmes codes. La position de BitDefender n'est pas une surprise. Sa protection B-HAVE est mature, améliorée d'année en année. La présence de TrendMicro est en revanche une énorme surprise. Son mécanisme de protection est avant tout basé sur des informations en provenance des serveurs et du réseau d'utilisateurs. La suite se focalise davantage sur les vecteurs de menaces que sur les menaces elles-mêmes. Pour autant les ingénieurs de TrendMicro n'ont pas négligé les défenses proactives classiques.
Une dure épreuve pour toutes les suites
F-Secure arrive dernier. Pourtant sa technologie DeepGuard est assez réputée. Mais dans l'édition 2010, cette technologie repose en grande partie sur des informations provenant des serveurs F-Secure et du réseau d'utilisateurs. Dans le contexte de ce test, DeepGuard s'est retrouvé totalement désemparé. Les trois autres suites arrivent à égalité. Mais leurs notes reflètent des comportements différents. G-Data base essentiellement ses défenses proactives sur son module CommTouch, qui n'agit pas sur les menaces exécutées depuis le disque (le module BitDefender qui propulse l'un de ses moteurs n'a pas la technologie B-Have incorporée.)
La surprise, c'est finalement le score moyen réalisé par la défense TruPrevent de Panda, qui n'a pas réussi à se démarquer des programmes de notre échantillonnage. Rappelons que Panda base surtout la protection de sa suite sur sa technologie « d'intelligence collective », qui nécessite elle aussi l'accès à Internet. Quant à Mc Afee, ses protections sont tout aussi justes que les autres.
A l'aide d'un petit programme de notre cru, tout ce qu'il y a de plus anodin en apparence, nous tentons d'infiltrer le système en copiant différentes formes d'exécutables à trois emplacements critiques du système (dans lesquels une application classique n'a pas à mettre les pieds). Nous allons également pervertir la base de registre pour tenter de modifier des emplacements permettant l'exécution automatique de programmes ou pervertir des paramètres fondamentaux du système comme l'accès au gestionnaire des tâches.
Vista et Windows 7 sont mieux protégés que XP
Ce test est réalisé sous Windows XP car ces emplacements sont désormais protégés par défaut sous Vista et Windows 7. A la fin du test, on relève les compteurs et on mesure jusqu'à quel point la suite de sécurité a su ou non défendre ces zones critiques.
Presque toutes les suites obtiennent le même score. Une note parfaite sur les tentatives de pervertissement du panneau de contrôle et du gestionnaire des tâches. C'est une excellente nouvelle. Toutes les suites 2010 ont bien pris en compte les trois attaques de spyware qui ont fait le plus de dégât en 2008/2009.En revanche, ces suites sont encore très timides sur la protection de positions phares de la base de registres. A notre avis, le minimum n'est même pas atteint.
G-Data prend la troisième position. Son contrôle de la base de registres est tout à fait satisfaisant. Les clés fondamentales sont effectivement protégées. En revanche, la suite pourrait se montrer plus curieuse et moins permissive quand une application anodine s'amuse à installer des codes exécutables dans différents dossiers clés de Windows.
TrendMicro réalise un excellent score. La note parfaite à la fois sur les fichiers et sur la protection de la configuration, et une excellente note sur la base de registres. Pur une raison très simple : il est le seul à avoir réagi et classé (après quelques secondes d'exécution) le programme immédiatement comme dangereux, alertant l'utilisateur et arrêtant nette son exécution. Ce qui explique son score.
La Green Zone de Kaspersky, une solution originale
Kaspersky est présent deux fois sur le graphique. La première note mesure la résistance de la suite lorsque ses protections maximales sont activées. Elle se situe juste derrière TrendMicro mais très au-dessus du reste de la concurrence. La deuxième note mesure l'efficacité de la Green Zone. Le test se prête bien au concept de cette Green Zone puisque nous avons une application bien identifiée, que l'utilisateur lance en connaissance de cause manuellement.
Dans un tel test, la Green Zone de Kaspersky démontre forcément tout son potentiel. C'est une vraie protection contre le pervertissement du système par des codes malveillants. Elle obtient la note maximale de 27/27. Une note qui ne signifie pas pour autant que la Green Zone est une solution parfaite. Elle est effectivement géniale pour isoler le système d'une tentative d'infection.
Dès lors qu'il utilise un programme qui lui semble risqué et dont il ignore la provenance, l'utilisateur a tout intérêt à lancer son exécution avec la fonction Green Zone. Mais cette protection ne protège en rien contre le vol de données et d'informations. Un simple petit programme écrit en 2 minutes, a montré que l'exécution en Green Zone empêchait une application de voir l'intégralité de votre écran ou encore d'aller lire des zones des disques susceptibles de contenir des informations personnelles de l'utilisateur.
Ces tests ne sont pas révélateurs du comportement des suites de sécurité 2010 dans leur utilisation normale. Ils sont révélateurs des technologies « déconnectées » incorporées au cœur des défenses. Pour les mesurer, nous avons poussé les paramètres des suites à leur maximum. Là encore, cela n'est pas ni très réaliste ni très utile. Car les performances peuvent en prendre un coup.
Si vous vous mettez en danger, allez au-delà des réglages par défaut
Les utilisateurs qui se mettent particulièrement en danger ont cependant intérêt à pousser ces protections au-delà de leur seuil par défaut. C'est particulièrement vrai chez Kaspersky, qui offre en la matière une quantité hallucinante de réglages. La maîtrise de ces réglages (notamment en demandant le classement automatique des applications non connues en mode « douteux ») ainsi que la maîtrise de la Green Zone (un concept qui mérite de gagner en maturité et en automatisme pour devenir réellement grand public) constituent une belle assurance anti-malware. A condition toutefois de disposer d'une machine suffisamment performante pour ne pas sentir les impacts.
Hormis Kaspersky et un TrendMicro aussi surprenant que performant, qui sortent tous deux vainqueurs de ce comparatif, il est assez difficile de départager les autres suites sur le terrain de la proactivité déconnectée. Dans ce test, où la défense « en ligne » de CommTouch n'était pas utilisée, force est de constater que la force de G-Data tient avant tout dans sa détection à double moteur. Les deux plus défavorisés semblent avoir été F-Secure, dont la protection DeepGuard 2 apparaît muette sans Internet, et Norton qui finit avec un score honorable sans pourtant avoir pu mettre en avant ce qui fait la grande originalité et la grande force de son édition 2010, la protection par « réputation ».
Prochaines étapes : performances et tests antivirus en mode connecté
Nous préparons d'autres batteries de tests pour mesurer les capacités de protection (plutôt que de détection) et de défense face aux attaques Web. Ces futurs tests seront, cette fois, réalisés en mode connecté pour mieux coller aux usages réels. Mais notre prochain comparatif se concentrera lui sur un autre aspect, fondamental aux yeux de bien des utilisateurs : l'impact des suites 2010 sur les performances du système !
Réponses : 5 / Vues : 5 991
Pages: 1