Passer au contenu

CounterSpy Enterprise : un bon nettoyeur en local

L’antispyware de Sunbelt tire son épingle du jeu en matière de nettoyage de poste en local. Mais la détection des logiciels espions en temps réel est décevante.

Le serveur antispam CounterSpy Enterprise (CE) version 1.5.265 de Sunbelt Software est destiné à prévenir l’installation de logiciels espions en temps réel sur les postes de travail d’un réseau. Voire à éradiquer ceux déjà
présents à l’occasion d’analyses à la demande soit de l’utilisateur, soit administrativement programmées.

L’utilisation : une administration correcte

Pour travailler, l’administrateur ne dispose que d’un logiciel d’administration en anglais. Celui-ci permet de déployer l’agent à distance sur les postes de travail, à l’aide d’un exécutable MSI autoextractible, sachant qu’un
mode Push est également disponible. L’agent peut être invisible sur le poste ou interagir avec l’utilisateur. Aucun récapitulatif n’est fourni, qui permettrait, par exemple, de consulter un historique des mises à jour. Bon point, les trois services
de base, Rapports (Reporting), Mises à jour (Updating) et Stratégies (Policy) sont chacun accessibles par une IP spécifique. Cela permet d’employer un serveur dédié pour la mise à
jour d’un ordinateur portable, et d’en consacrer un autre à la fabrication de rapports de type Crystal Reports.Les stratégies intègrent la planification des analyses, des mises à jour (agent et base de signatures) et les actions à entreprendre lors d’une analyse (quarantaine, suppression). L’administrateur ne peut pas déclarer une application
locale comme une exception. Il ne peut qu’exclure un spyware parmi une liste fournie, afin, par exemple, de ne pas désactiver un compagnon de navigation, tel CoolWebSearch. La gestion de la quarantaine est granulaire, car la console liste les
fichiers, ainsi que les entrées de la base de registres.

L’efficacité : des spyware rarement bloqués

En matière de protection en temps réel, les agents de surveillance peuvent être paramétrés suivant trois options : bloquer, alerter ou autoriser. Lors de l’installation de la barre de navigation NaviSearch sur un poste, nous
n’avons constaté aucune remontée d’alerte documentée vers l’administrateur. Seulement une demande de blocage ou d’autorisation locale. Grâce au blocage, NaviSearch ne s’installera pas ; son exécution automatique semblant alors désactivée.
Toutefois, les spyware ZeroPopUp et CoolWebSearch ont, quant à eux, réussi à s’installer. Une analyse avec l’outil HijackThis révèle que le système a bel et bien été altéré, et que CE n’a pas notifié la création de 39 entrées dans la base de
registres, ni l’installation de 17 fichiers, dont une bibliothèque DLL.Quatre logiciels espions sont parvenus à s’installer : Adserver.com, Exact. BargainBuddy, eXact. NaviSearch et, surtout, eXact. Downloader, un cheval de Troie dangereux. Même constat pour le logiciel DownloadWare, qui sera bien
déployé sur le poste client, et ce, malgré une action de blocage. En revanche, l’éradication à la demande fonctionne mieux : les changeurs de paramètres de navigation, logiciels publicitaires et compagnons Web 411Ferret,
180search Assistant, et WebSearch seront parfaitement supprimés (fichiers, entrées de registres, instructions de lancement, cookies, etc.).La restauration d’un spyware désiré fonctionne également. Voilà pour le fonctionnement en local. L’exécution d’éradication distante s’est révélée inopérante, faute de communication entre le serveur et l’agent. Constatée par l’éditeur,
qui indique que cette ‘ lacune ‘ a depuis été corrigée dès la version 1.5.268 du logiciel.

Notre avis : un logiciel incomplet

Un logiciel antispyware doit bloquer toute installation de logiciels espions en temps réel. Il est également supposé détecter sur demande leur présence. En mode temps réel, CounterSpy Enterprise ne parvient qu’à neutraliser parfois
l’exécution automatisée des logiciels espions, qui parviennent tout de même à s’installer.Pour sa part, l’analyse déclenchée à distance ne fonctionne pas, dommage pour une solution entreprise destinée aux parcs plus ou moins vastes. La console d’administration ne notifie pas la nature du problème de communication entre le
serveur et les agents. Il manque à ce titre un statut de ladite communication. Le logiciel se rattrape sur ses réelles capacités de suppression des principaux spyware après analyse à la demande en local et la qualité de ses cinq types de rapports au
format Crystal Reports, sachant que d’autres formats d’exportation sont aussi proposés (PDF, DOC, RTF…). Difficile quand même d’être convaincu.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Francisco Villacampa