01 Informatique

5 logiciels antivirus

Destinés à sécuriser postes clients et serveurs, les logiciels antivirus se révèlent inégaux en termes de capacité de protection. Les virus sont bien identifiés, mais pas les logiciels espions et de piratage.
01 Informatique
le 09/11/2007 à 00h00
envoyer
par mail
imprimer
l'article
partager sur Viadeo
partager sur Facebook
partager sur LinkedIn
partager sur Scoopeo
partager sur Technorati
partager sur Digg
partager sur Delicious
partager sur Google
partager sur Myspace
partager sur Yahoo!

Notre Laboratoire a testé cinq logiciels de protection, destinés à neutraliser les fichiers et les exécutables dangereux pour le système d'information de l'entreprise. Afin de valider leur efficacité, nous les avons éprouvés en leur soumettant 1 029 exécutables et fichiers contaminés, ou prohibés. Ces derniers sont constitués de virus, mais aussi de logiciels de piratage –conçus pour briser des barrières de sécurité–, de logiciels espions –lesquels récoltent des informations sur les postes de travail–, et de logiciels malveillants –qui altèrent le système, sans pour autant le détruire.

Dans un premier temps, nous avons évalué la facilité d'installation des agents destinés aux postes de travail. Cette dernière s'effectue sans difficultés grâce à des procédures de télédéploiement, depuis un annuaire centralisé de type Active Directory. Les mises à jour des signatures sur les postes sont réalisées sans problème au moins une fois par jour. Elles peuvent être conditionnées à l'authentification du poste client via l'annuaire Active Directory. Utile, cette option sert à vérifier que le poste appartient bien à l'entreprise. Une fois les agents installés, l'ensemble des postes protégés s'administre de manière centralisée à l'aide de consoles spécialisées. Les éditeurs ont fourni plusieurs types de consoles pour effectuer ce travail. Sophos, McAfee et Kaspersky ont opté pour des consoles destinées aux environnements Windows, tandis que Computer Associates (CA) propose une console développée en langage Java, laquelle s'avère multienvironnement. Quant au logiciel de Trend Micro, il est livré avec une interface web, ce qui facilite l'administration distante. Ces consoles affichent un tableau de bord, qui récapitule l'état du déploiement des agents et d'éventuelles erreurs d'installation. Autre bénéfice, elles autorisent la définition de paramètres de protection. L'administrateur peut, en effet, décider d'éradiquer ou de mettre en quarantaine un virus s'il a été détecté sur un poste, ou se contenter de consigner cet événement. Dommage, la plupart des logiciels ne disposent pas d'outils de diagnostic complémentaires, pourtant fort utiles en amont, pour inventorier des points sensibles. Seule la solution de Trend Micro vérifie la présence de mises à jour logicielles sur les postes de travail. Lors du paramétrage des règles d'éradication (quarantaine, suppression), les virus et les logiciels espions sont considérés comme des catégories distinctes par tous les logiciels. Ce qui facilite leur élimination en cas d'alerte. Bon point, Trend Micro est le seul éditeur à proposer également une différenciation par groupes d'utilisateurs, simplifiant ainsi l'édition de règles par départements. Par exemple, le service marketing peut avoir l'usage d'un logiciel compagnon tel que Google Desktop, qui sera déclaré tel un logiciel espion pour le reste de l'entreprise.

Les outils de piratage restent mal détectés

Important, le critère de pertinence s'intéresse à la capacité de détection, donc d'éradication des logiciels dangereux. Les technologies employées pour déceler les menaces sont similaires : tous les logiciels exploitent une base de signatures et des technologies heuristiques qui examinent le comportement d'une application. Ainsi, un programme qui effectue des écoutes clavier et qui accède à des parties peu utilisées de la base de registres sera étiqueté comme potentiellement dangereux. Les résultats chiffrés du tableau mettent en évidence le bon comportement des solutions de Kaspersky Lab et de McAfee en termes de détection. En effet, ces derniers parviennent à localiser respectivement 93,1 et 95,4 % des virus injectés. Leurs concurrents obtiennent des scores nettement inférieurs. Parmi les points faibles, aucun logiciel ne parvient à détecter efficacement les outils de piratage. Cela peut s'expliquer car, en soi, le code qui constitue Bluetooth Scanner, Etherape, ou encore Oracle PL/SQL Fuzzer n'est pas dangereux en phase d'exécution. Par destination, l'usage de ces logiciels sert pourtant à briser des barrières de sécurité. Il est important donc de les détecter. Bilan : au mieux, le logiciel de McAfee arrive à repérer 8 % desdits outils de piratage, et celui de Kaspersky moins de 3 %. Des efforts restent donc à faire pour des suites qui se positionnent comme des logiciels de filtrage généralistes. Le résultat est à peine plus favorable avec les logiciels espions. Sur un total de 25,15 au mieux seront détectés par le logiciel de Trend Micro, ce qui, en soi, constitue un résultat honorable.

Des rapports synthétiques d'activité

Reste la restitution des informations de sécurité, critère déterminant pour connaître l'état des agents antivirus, et des menaces rencontrées par les postes de travail de l'entreprise. Dans l'ensemble, les logiciels proposent tous des rapports synthétiques d'activité, ainsi que des vues par postes. Certains éditeurs se démarquent, tels McAfee et CA, en présentant des courbes de tendance, des historiques, et des rapports d'incidents, qu'il est possible de classer par date. Signalons que le logiciel de McAfee présente le plus de rapports, ce qu'explique la présence du serveur de restitution Crystal Reports. Pour leur part, les solutions de Kaspersky et de CA indiquent le niveau de dangerosité du virus (lire tableau, p. XXX). En matière d'alertes, seul le logiciel de Kaspersky ne prend pas en charge les trappes SNMP. Un point faible, car ce dernier protocole reste très utilisé par les administrateurs réseaux.

Enfin, le dernier critère technique concerne la surconsommation de ressources engendrée par l'analyse antivirus. Lors d'une analyse à la demande, la puissance de calcul est sollicitée, tandis que lors d'une analyse en temps réel, telle que celle pratiquée à l'occasion de nos tests, c'est la mémoire vive disponible qui est sollicitée par le moteur d'antivirus. Bilan, les logiciels de TrendMicro, et dans une moindre mesure de McAfee, sont ceux qui consomment le plus de ressources lors des analyses, ce qui peut freiner la réactivité du poste de travail.

Les logiciels testés

Integrated Threat Management v.8.1, de Computer Associates.
Sophos Anti-Virus 6.5, de Sophos.
Total Protection for Small Business, de McAfee.
Client Server Security Suite for SMB 3.5, de Trend Micro.
Open Space Security Suite, de Kaspersky.

Le périmètre du test

Nous avons demandé aux éditeurs de nous fournir des logiciels capables de protéger des serveurs Microsoft Windows 2000/2003 et des postes de travail Windows XP/Vista contre des virus. Lors des tests, nous avons voulu vérifier que ces outils étaient capables de bloquer non seulement les virus, mais aussi d'autres catégories de menaces, telles que les logiciels de piratage ou les logiciels espions. Symantec n'a pas souhaité participer à notre test.

Les produits recommandés par la rédaction

Recommandé pour sa capacité de filtrage

Ce logiciel obtient de très bons taux de détection des virus et bénéficie d'une console d'administration complète. Manque toutefois à l'appel la gestion des trappes SNMP pour la remontée des alertes réseaux. Les rapports complets peuvent être triés en fonction de multiples critères. Prix annuel : 8 100 euros ht pour 200 postes, serveur compris.

Recommandé pour son efficacité et ses rapports

Cet outil décroche le meilleur score de détection de virus de notre comparatif. Sa console d'administration ePO, très complète, autorise même la gestion de produits tiers. Les rapports générés par Crystal Reports sont granulaires et complets. Sa consommation en ressources processeur est toutefois excessive, ce qu'explique peut-être la présence d'un double moteur, antivirus et contre les logiciels espions. Prix par an : 10 168 euros pour 200 postes, serveur compris.

L'avis de l'analyste : Joseph Graceffa (Advens) : “ la réactivité de l'éditeur est déterminante ”

“ Les antivirus pour postes clients, indispensables à la sécurité informatique de l'entreprise, se valent à peu près tous aujourd'hui. Le taux de détection des virus doit toujours être pris en compte, mais il reste moins important que les capacités d'administration du produit ou la rapidité de réaction de l'éditeur face à une alerte. Lors du déploiement, certains utilisateurs combinent des logiciels différents pour le poste et la passerelle internet, afin de multiplier les protections. A ce stade, il convient de tenir compte de l'hétérogénéité du matériel : un PC obsolète aura du mal à exécuter un antivirus récent. Concernant l'avenir de l'antivirus, le modèle fondé sur les signatures est en perte de vitesse. Cela s'explique, en partie, par l'explosion du volume des mises à jour. L'analyse comportementale aide à y remédier et devrait prendre de l'ampleur au sein des technologies antivirus. Les agents disposeront aussi de nombreuses fonctions supplémentaires (détecteur d'intrusion, chiffrement, client RPV – NDLR). ”

De bons logiciels antivirus

Ce tableau recense les principaux critères de test. Ceux d'installation, de déploiement et de mise à jour ne permettent pas de différencier les logiciels. Concernant la gestion centralisée, les écarts proviennent du format des rapports et de leur qualité. CA et KasperskyLab ne proposent que des rapports au format HTML. Les bonnes notes de Kaspersky et de McAfee s'expliquent par la présence de tableaux granulaires, qui servent à naviguer depuis un niveau synthétique vers un descriptif détaillé complet. En ce qui concerne les règles d'éradication, le logiciel de Trend Micro aide à déterminer la suppression ou la mise en quarantaine des logiciels dangereux par groupe d'utilisateurs et par catégories (virus et logiciels espions).

Kaspersky et McAfee au coude à coude

Côté pertinence du filtrage, les logiciels de McAfee et de Kaspersky obtiennent les meilleurs résultats. Après mise à jour de la base de signatures, le classement demeure identique, mais les scores de détection progressent pour McAfee, et reculent pour le logiciel de Kaspersky. Concernant les logiciels de piratage, ils sont mal détectés. Les taux de détection sont inférieurs à 10 % pour chaque produit. En ce qui concerne les logiciels espions, seul le logiciel de TrendMicro parvient à détecter 60 % d'entre eux, contre 8 % pour celui de McAfee. Des résultats très éloignés des performances obtenues par des outils tels que WebWasher de Webroot. Enfin, l'éradication des logiciels dangereux consomme beaucoup de ressources processeur supplémentaires lors de l'utilisation des logiciels de Kaspersky et de Sophos (respectivement 20 et 26 %).

Méthodologie

Computer Associates - Integrated Threat Management v.8.1

Le logiciel obtient le plus mauvais score de filtrage de notre comparatif. Les fonctions d'administration et les rapports proposés sont dans la moyenne. Le déploiement des agents n'est pas planifiable.

Prix : 5 234 euros

Sophos - Antivirus 6.5

Ce logiciel se place troisième en matière d'efficacité du filtrage antivirus. Les logiciels espions et malveillants ne sont pas correctement reconnus. Les formats de rapports proposés sont nombreux.

Prix : 6 300 euros

McAfee - Total Protection for Small Business

La suite de McAfee dispose du meilleur niveau de filtrage de virus, mais aussi du serveur de restitution Crystal Reports, très élaboré. Les déploiements peuvent être planifiés. La consommation de ressources s'avère parfois excessive.

Prix : 10 168 euros

TrendMicro - Client Server Security Suite for SMB 3.5

Disponible uniquement pour environnements Windows, la suite s'avère performante. La qualité de l'administration est correcte et les formats de rapports disponibles nombreux. Les logiciels espions sont mieux reconnus.

Prix : 5 724 euros

Kaspersky Lab - Open Space Security Suite

Logiciel très efficace, à l'administration complète. Les rapports proposent de nombreuses options de tri. Comme ses concurrents, les logiciels espions et malveillants sont mal reconnus. Les déploiement d'agents peuvent être planifiés.

Prix : 8 100 euros
publicité
à lire aussi
SUR LES MÊMES THÈMES
Douze multifonctions à jet d'encre avec ou sans Wi-Fi à partir de 59 euros
11 baladeurs audio-vidéo à grand écran à partir de 99 euros
Comparatif : les antivirus 2010 face aux menaces inconnues
Dix disques durs multimédias de salon à partir de 149 euros
Dix écrans LCD 24 pouces à partir de 249 euros
Six logiciels de montage vidéo
Rapidité : le match des navigateurs
13 antivirus
10 GPS pour parcourir l'Europe à partir de 149 euros
18 netbooks de 249 à 599 euros
Offrez du son à votre PC avec ces enceintes de 60 à 159 euros
Dix écrans 24 pouces pour votre micro, de 359 à 499 euros
Neuf portables d'exception pour “ fragueur ” itinérant
Six ensembles home cinéma à partir de 180 euros
Cinq mobiles MP3 au banc d'essai
Quatre logiciels d'architecture et de décoration
Cinq lecteurs de DVD/téléviseur TNT portables
Neuf casques hi-fi à moins de 100 euros
Huit grands téléviseurs LCD pour la HD
Quatre cartes graphiques à processeur GeForce 9600 GT