L'antivirus de Microsoft recalé par des experts militaires français
par mail
l'article
La suite logicielle de sécurité de Microsoft, Windows Live OneCare, commercialisée depuis le début de l'année, a décidément du mal à convaincre les spécialistes du secteur. Déjà tancée en mars dernier par un site et un magazine étrangers, c'est au tour de chercheurs militaires français de souligner le manque d'efficacité de ce produit.
Les résultats des tests menés par l'équipe du laboratoire de virologie et de cryptologie de l'Ecole supérieure et d'application des transmissions de Rennes, qui dépend du ministère de la Défense, seront publiés prochainement dans une revue française (1). A la différence des autres tests, menés régulièrement par des organismes et des magazines, l’analyse du laboratoire a porté sur deux aspects précis. Le premier, classique, a concerné les codes malveillants connus des éditeurs. Le second a consisté à étudier le comportement de OneCare face à des menaces inconnues, élaborées par les chercheurs eux-mêmes.
Sans vouloir réaliser un test comparatif au sens propre, les experts hexagonaux ont quand même voulu comparer les résultats du produit de Microsoft avec l’antivirus de Kaspersky, réputé pour avoir un des taux de détection les plus élevés du marché, et Norton Antivirus de Symantec.
Les premiers tests ont donc porté sur l’analyse de 89 584 codes malveillants très connus et réputés, du simple macro-virus au ver polymorphe incluant des virus Unix, DOS et Win16/32 (une majorité) compressés ou non dans des archives au format Zip. Le résultat est sans appel : OneCare n’en a repéré que 26 291, soit un pourcentage de détection assez faible de 29,35 %. Mais c’est quand même mieux que Norton (25 593 virus détectés). C'est le logiciel de Kaspersky qui s'est montré le plus efficace sur ce premier test avec une détection atteignant 100 %, selon le laboratoire de virologie.
Une base de données insuffisante
“ Ce faible résultat s’explique par le fait que OneCare n’utilise que de la recherche de signatures [sorte d'empreinte digitale d'un virus, NDLR]. Un virus peut facilement passer à travers cet antivirus. Il suffit de modifier légèrement un code connu ou d'utiliser des techniques virales connues et peu sophistiquées. Mais si OneCare se distingue sur ce point, il faut noter d’une part que ce n’est pas le seul, et, d'autre part, que tous les produits peuvent ainsi être contournés ”, souligne le Lieutenant-Colonel Eric Filiol qui dirige le laboratoire de virologie. Les mauvais résultats de Windows Live OneCare s'expliquent par une base de données de signatures insuffisante, comparée à d'autres.
La seconde partie de l’étude cherchait à vérifier si OneCare et les autres logiciels étaient capables de repérer des codes malveillants inconnus. L’objectif était de déterminer leur capacité de détection comportementale et donc de repérer les “ mouvements suspects ”. Pour cela, le laboratoire les a soumis, par exemple, à un keylogger (un logiciel capable d'enregistrer les frappes de touches du clavier) développé en interne. Aucun des trois logiciels ne l’a repéré. Même constat inquiétant avec “ Back Orifice 2000 ”, une application connue et qui permet de se connecter à distance à un PC à l'insu de son propriétaire. Son installation se fait sans aucune alerte de OneCare, alors que Kaspersky et Norton la signalent correctement.
Une solution “ en retrait ”
Enfin, la détection d’un cheval de Troie “ fait maison ” a permis de tester à la fois l’antivirus et le pare-feu (firewall) de OneCare. Là aussi, le code malveillant n’a pas eu de mal à s’immiscer. Les trois antivirus écopent, précisons-le, d'un zéro pointé, avec néanmoins une petite exception pour Kaspersky qui émet quand même un message d’alerte. Mais “ son message n’est pas suffisamment pertinent pour permettre à la grande majorité des utilisateurs de prendre une décision avisée ”, considère Eric Filiol.
En revanche, le firewall de OneCare a montré dans ce dernier cas une efficacité, toute relative néanmoins. Comparé à celui de Windows XP, également soumis à ce cheval de Troie, le pare-feu de OneCare émet quand même une alerte et peut éventuellement bloquer l’application suspecte selon le réglage défini par l’utilisateur. Testé également sur ce point, ZoneAlarm, de ZoneLabs, signale mais ne bloque pas l’attaque.
L’équipe de chercheurs du laboratoire de virologie et de cryptologie conclut après ces tests que “ OneCare est donc en retrait par rapport à ses concurrents et, qu'à ce jour, il représente une solution encore imparfaite pour concurrencer sérieusement les produits bien établis. ” Voilà une phrase qui, à n'en pas douter, fera réagir Microsoft.
(1) Dans le numéro 32 de la revue française MISC (Multi-system & Internet Security Cookbook).
01net. - 01men - RMC - BFM Radio - BFM TV - La Tribune - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
