Notre Laboratoire a testé cinq logiciels de protection, destinés à neutraliser les fichiers et les exécutables dangereux pour le système d'information de l'entreprise. Afin de valider leur efficacité, nous les avons éprouvés en leur soumettant 1 029 exécutables et fichiers contaminés, ou prohibés. Ces derniers sont constitués de virus, mais aussi de logiciels de piratage -conçus pour briser des barrières de sécurité-, de logiciels espions -lesquels récoltent des informations sur les postes de travail-, et de logiciels malveillants -qui altèrent le système, sans pour autant le détruire.

Dans un premier temps, nous avons évalué la facilité d'installation des agents destinés aux postes de travail. Cette dernière s'effectue sans difficultés grâce à des procédures de télédéploiement, depuis un annuaire centralisé de type Active Directory. Les mises à jour des signatures sur les postes sont réalisées sans problème au moins une fois par jour. Elles peuvent être conditionnées à l'authentification du poste client via l'annuaire Active Directory. Utile, cette option sert à vérifier que le poste appartient bien à l'entreprise. Une fois les agents installés, l'ensemble des postes protégés s'administre de manière centralisée à l'aide de consoles spécialisées. Les éditeurs ont fourni plusieurs types de consoles pour effectuer ce travail. Sophos, McAfee et Kaspersky ont opté pour des consoles destinées aux environnements Windows, tandis que Computer Associates (CA) propose une console développée en langage Java, laquelle s'avère multienvironnement. Quant au logiciel de Trend Micro, il est livré avec une interface web, ce qui facilite l'administration distante. Ces consoles affichent un tableau de bord, qui récapitule l'état du déploiement des agents et d'éventuelles erreurs d'installation. Autre bénéfice, elles autorisent la définition de paramètres de protection. L'administrateur peut, en effet, décider d'éradiquer ou de mettre en quarantaine un virus s'il a été détecté sur un poste, ou se contenter de consigner cet événement. Dommage, la plupart des logiciels ne disposent pas d'outils de diagnostic complémentaires, pourtant fort utiles en amont, pour inventorier des points sensibles. Seule la solution de Trend Micro vérifie la présence de mises à jour logicielles sur les postes de travail. Lors du paramétrage des règles d'éradication (quarantaine, suppression), les virus et les logiciels espions sont considérés comme des catégories distinctes par tous les logiciels. Ce qui facilite leur élimination en cas d'alerte. Bon point, Trend Micro est le seul éditeur à proposer également une différenciation par groupes d'utilisateurs, simplifiant ainsi l'édition de règles par départements. Par exemple, le service marketing peut avoir l'usage d'un logiciel compagnon tel que Google Desktop, qui sera déclaré tel un logiciel espion pour le reste de l'entreprise.

Important, le critère de pertinence s'intéresse à la capacité de détection, donc d'éradication des logiciels dangereux. Les technologies employées pour déceler les menaces sont similaires : tous les logiciels exploitent une base de signatures et des technologies heuristiques qui examinent le comportement d'une application. Ainsi, un programme qui effectue des écoutes clavier et qui accède à des parties peu utilisées de la base de registres sera étiqueté comme potentiellement dangereux. Les résultats chiffrés du tableau mettent en évidence le bon comportement des solutions de Kaspersky Lab et de McAfee en termes de détection. En effet, ces derniers parviennent à localiser respectivement 93,1 et 95,4 % des virus injectés. Leurs concurrents obtiennent des scores nettement inférieurs. Parmi les points faibles, aucun logiciel ne parvient à détecter efficacement les outils de piratage. Cela peut s'expliquer car, en soi, le code qui constitue Bluetooth Scanner, Etherape, ou encore Oracle PL/SQL Fuzzer n'est pas dangereux en phase d'exécution. Par destination, l'usage de ces logiciels sert pourtant à briser des barrières de sécurité. Il est important donc de les détecter. Bilan : au mieux, le logiciel de McAfee arrive à repérer 8 % desdits outils de piratage, et celui de Kaspersky moins de 3 %. Des efforts restent donc à faire pour des suites qui se positionnent comme des logiciels de filtrage généralistes. Le résultat est à peine plus favorable avec les logiciels espions. Sur un total de 25,15 au mieux seront détectés par le logiciel de Trend Micro, ce qui, en soi, constitue un résultat honorable.

Reste la restitution des informations de sécurité, critère déterminant pour connaître l'état des agents antivirus, et des menaces rencontrées par les postes de travail de l'entreprise. Dans l'ensemble, les logiciels proposent tous des rapports synthétiques d'activité, ainsi que des vues par postes. Certains éditeurs se démarquent, tels McAfee et CA, en présentant des courbes de tendance, des historiques, et des rapports d'incidents, qu'il est possible de classer par date. Signalons que le logiciel de McAfee présente le plus de rapports, ce qu'explique la présence du serveur de restitution Crystal Reports. Pour leur part, les solutions de Kaspersky et de CA indiquent le niveau de dangerosité du virus (lire tableau, p. XXX). En matière d'alertes, seul le logiciel de Kaspersky ne prend pas en charge les trappes SNMP. Un point faible, car ce dernier protocole reste très utilisé par les administrateurs réseaux.

Enfin, le dernier critère technique concerne la surconsommation de ressources engendrée par l'analyse antivirus. Lors d'une analyse à la demande, la puissance de calcul est sollicitée, tandis que lors d'une analyse en temps réel, telle que celle pratiquée à l'occasion de nos tests, c'est la mémoire vive disponible qui est sollicitée par le moteur d'antivirus. Bilan, les logiciels de TrendMicro, et dans une moindre mesure de McAfee, sont ceux qui consomment le plus de ressources lors des analyses, ce qui peut freiner la réactivité du poste de travail.