Les antivirus sont-ils aussi efficaces que l’affirment les éditeurs ? On peut en douter si l’on en croit les résultats du challenge PWN2KILL, organisé le week-end dernier à Paris lors du colloque sur la sécurité informatique iAWACS (1) de l’Esiea (2).
Ce concours, dont le but était d’infecter un ordinateur sous Windows 7 (en mode utilisateur sans mot de passe administrateur) protégé, a prouvé qu’aucun des quinze antivirus (3) du marché n’a bloqué plus de deux attaques sur sept ! Les sept candidats – dont la plupart sont étudiants en informatique – disposaient de PC ordinaires sur lesquels ont été émulées quinze machines virtuelles, dotées chacune d’un logiciel de sécurité du marché.
Les programmes malveillants développés par chaque candidat, apportés sur une clé USB, ont été copiés sur chaque machine virtuelle, avant d’être exécutés par le candidat lui-même. Un scénario vraisemblable dans la vie réelle, les utilisateurs cliquant sans le savoir sur des fichiers infectés qu’ils ont téléchargés ou qu’ils ont reçus par courriel.
Sur les sept candidats, un seul a vu son programme malveillant bloqué par tous les antivirus. Cette intrusion (complexe) consistait à empêcher le logiciel de sécurité de se lancer pour attaquer ensuite la machine, mais elle a bogué. Sur les quatre attaques qui ont eu raison de la totalité des antivirus, deux reposaient sur l’exécution de macros et rendaient le PC incontrôlable, sauf à payer diverses rançons ! Les résultats complets du concours sont publiés en ligne.
Les éditeurs rappellent les bonnes pratiques
Au final, c’est Guillaume Fahrner (mastère Supelec) qui a remporté le 1er prix. A noter que Baptiste David a eu le 3e prix alors qu’il n’est qu’en première année. Pour Eric Filiol, directeur de la recherche de l’Esiea et coorganisateur du challenge, « Tous les antivirus sont à égalité dans la nullité. Ces résultats prouvent que la détection de signatures virales n’est plus suffisante. Le plus inquiétant est que sur une échelle de 1 à 10, le niveau technique moyen des attaques est de 4 environ. Face à des attaques plus sophistiquées, le résultat aurait été encore plus désastreux. Autre constat alarmant : une des attaques reposait sur un code malveillant de trois lignes, vieux de dix ans et montré sur YouTube. Or, il a mis K.O tous les antivirus ! »
En revanche, cette expérience ne fournit pas d’informations sur la réactivité des éditeurs et leur capacité à fournir rapidement à leurs clients des antidotes lorsqu’une nouvelle menace fait son apparition sur le Web et commence à se répandre. « Ce challenge montre que les logiciels de sécurité n’arrivent pas à repérer ce qui est dangereux en temps réel », reconnaît Boris Sharov, PDG de l’antivirus russe Dr.Web.
De son côté, GData précise que « ce résultat est un bon moyen de rappeler qu’un logiciel de sécurité doit être complété par une bonne pratique de l’ordinateur. Mettre régulièrement à jour son système et ses applications, ne pas surfer sur des sites douteux ou encore ne pas ouvrir de pièces jointes provenant d’inconnus sont quelques principes de base à appliquer ».
Malgré ce bilan très négatif, l’installation d’un antivirus reste une nécessité. Pour Christophe Devine (expert en sécurité travaillant pour la société Sogeti/Esec), qui avait remporté la première édition du concours (au mois d’octobre 2009), « Il est important pour le grand public d’avoir un antivirus car il protège contre des codes malveillants connus. » Après les antivirus, la prochaine édition du challenge s’attaquera aux firewalls. Les résultats pourraient être aussi inquiétants.
(1) International Alternative Workshop on Aggressive Computing and Security.
(2) Ecole supérieure d’informatique, électronique et automatisme.
(3) Avast (gratuit), AVG, Avira, BitDefender, Dr.Web, F-Secure, G-Data, Kaspersky, McAfee, Microsoft AV, Nod 32, Norton, Sophos, Safe ‘N’ Sec et Trend Micro.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
