Tentative d’exécution de codes malveillants

• Comparatif : les antivirus 2010 face aux menaces inconnues
• Méthodologie de tests
• Les détections heuristiques en action
• Tentative d’exécution de codes malveillants
• La défense des zones sensibles du système
• Conclusion

Contrairement à une idée répandue, la détection n’est pas la solution à la multiplication des menaces. L’important n’est pas qu’un code malveillant soit détecté, mais que son action soit bien stoppée ! Quand les menaces étaient peu nombreuses, la détection était une excellente parade car elle agissait en amont. Désormais, puisqu’il n’est plus réaliste de pouvoir tout détecter, il faut savoir protéger les machines lorsque les menaces s’exécutent. C’est exactement ce que ce test essaie de mesurer.

Evidemment, cette épreuve est probablement le challenge le plus difficile qui soit pour les différentes suites. Elles doivent se défendre sans connaître la menace. Il faut toutefois signaler que ce test est en théorie plus handicapant pour Norton, TrendMicro, Panda et F-Secure. Ces suites ont des défenses proactives qui reposent en partie sur l’utilisation du « cloud ». Pour éviter que ces suites n’utilisent leur détection classique, nous les avons avons mises à l’épreuve sans connexion à Internet.

Nous avons classé les résultats en trois groupes :
– Succès, le programme a été totalement bloqué ;
– Partiels, l’infection n’a pas eu lieu. Le vrai danger a bien été écarté et l’antivirus a réagi à la menace. Mais des traces en Registry sont toujours visibles et peuvent provoquer des alertes au démarrage de Windows ;
– Echecs, l’infection a eu lieu. Même si l’antivirus a affiché une alerte, si l’infection a bien eu lieu et reste dans le système après la fin de l’exécution du code malveillant, nous avons comptabilisé le résultat comme un échec.

Kaspersky et ses deux sécurités

Lors de ce test, Kaspersky a soulevé un problème particulier. Le logiciel dispose de deux méthodes, complémentaires. La première est une exécution du code dans un mode d’accès restreint au système. La seconde, ce que Kaspersky appelle la « Green Zone ». Dans la Green Zone, l’infection de la machine hôte est impossible, l’application étant en quelque sorte virtualisée.

Les mesures ont été réalisées avec le premier mode, le second n’étant pas directement comparable aux autres. Cela n’empêche pas Kaspersky d’arriver en tête, avec un très bon score. Mais attention, ce score n’a été obtenu que parce que nous avons comparé les suites avec leurs paramètres de défense poussés au maximum (en mode par défaut, la note de Kaspersky redescend à 6/15) !

Norton aurait pu avoir la note parfaite

Norton 2010 a également soulevé un problème. Il est, là, testé en mode totalement déconnecté. Or sa protection Sonar 2 utilise normalement la connexion réseau pour évaluer la « réputation » d’un fichier. Lorsqu’un fichier inconnu est exécuté, Norton 2010 indique à l’utilisateur le nombre d’internautes possédant ce fichier, depuis quand ce fichier est connu du réseau des utilisateurs et si sa source est crédible ou pas.

Avec de tels renseignements, un utilisateur avisé choisira s’il faut ou non exécuter le programme. Dans un tel contexte, Norton 2010 aurait alors obtenu la note maximale de 15/15 ! En mode déconnecté, cette « réputation » des fichiers n’est pas opérationnelle. La note obtenue par Norton 2010 est donc exactement celle que la suite aurait obtenue en mode connecté avec un utilisateur « fou furieux et inconscient », qui aurait forcé l’exécution alors même que la suite lui conseillait de ne pas le faire !

BitDefender et TrendMicro au coude à coude

BitDefender et TrendMicro arrivent en seconde position. Ils obtiennent la même note, mais leur protection est différente, elle n’a d’ailleurs pas arrêté les mêmes codes. La position de BitDefender n’est pas une surprise. Sa protection B-HAVE est mature, améliorée d’année en année. La présence de TrendMicro est en revanche une énorme surprise. Son mécanisme de protection est avant tout basé sur des informations en provenance des serveurs et du réseau d’utilisateurs. La suite se focalise davantage sur les vecteurs de menaces que sur les menaces elles-mêmes. Pour autant les ingénieurs de TrendMicro n’ont pas négligé les défenses proactives classiques.

Une dure épreuve pour toutes les suites

F-Secure arrive dernier. Pourtant sa technologie DeepGuard est assez réputée. Mais dans l’édition 2010, cette technologie repose en grande partie sur des informations provenant des serveurs F-Secure et du réseau d’utilisateurs. Dans le contexte de ce test, DeepGuard s’est retrouvé totalement désemparé. Les trois autres suites arrivent à égalité. Mais leurs notes reflètent des comportements différents. G-Data base essentiellement ses défenses proactives sur son module CommTouch, qui n’agit pas sur les menaces exécutées depuis le disque (le module BitDefender qui propulse l’un de ses moteurs n’a pas la technologie B-Have incorporée.) 

La surprise, c’est finalement le score moyen réalisé par la défense TruPrevent de Panda, qui n’a pas réussi à se démarquer des programmes de notre échantillonnage. Rappelons que Panda base surtout la protection de sa suite sur sa technologie « d’intelligence collective », qui nécessite elle aussi l’accès à Internet. Quant à Mc Afee, ses protections sont tout aussi justes que les autres.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.