Tentative d’exécution de codes malveillants

Evidemment, cette épreuve est probablement le challenge le plus difficile qui soit pour les différentes suites. Elles doivent se défendre sans connaître la menace. Il faut toutefois signaler que ce test est en théorie plus handicapant pour Norton, TrendMicro, Panda et F-Secure. Ces suites ont des défenses proactives qui reposent en partie sur l'utilisation du « cloud ». Pour éviter que ces suites n'utilisent leur détection classique, nous les avons avons mises à l'épreuve sans connexion à Internet.

Nous avons classé les résultats en trois groupes :
- Succès, le programme a été totalement bloqué ;
- Partiels, l'infection n'a pas eu lieu. Le vrai danger a bien été écarté et l'antivirus a réagi à la menace. Mais des traces en Registry sont toujours visibles et peuvent provoquer des alertes au démarrage de Windows ;
- Echecs, l'infection a eu lieu. Même si l'antivirus a affiché une alerte, si l'infection a bien eu lieu et reste dans le système après la fin de l'exécution du code malveillant, nous avons comptabilisé le résultat comme un échec.

Lors de ce test, Kaspersky a soulevé un problème particulier. Le logiciel dispose de deux méthodes, complémentaires. La première est une exécution du code dans un mode d'accès restreint au système. La seconde, ce que Kaspersky appelle la « Green Zone ». Dans la Green Zone, l'infection de la machine hôte est impossible, l'application étant en quelque sorte virtualisée.

Les mesures ont été réalisées avec le premier mode, le second n'étant pas directement comparable aux autres. Cela n'empêche pas Kaspersky d'arriver en tête, avec un très bon score. Mais attention, ce score n'a été obtenu que parce que nous avons comparé les suites avec leurs paramètres de défense poussés au maximum (en mode par défaut, la note de Kaspersky redescend à 6/15) !

Norton 2010 a également soulevé un problème. Il est, là, testé en mode totalement déconnecté. Or sa protection Sonar 2 utilise normalement la connexion réseau pour évaluer la « réputation » d'un fichier. Lorsqu'un fichier inconnu est exécuté, Norton 2010 indique à l'utilisateur le nombre d'internautes possédant ce fichier, depuis quand ce fichier est connu du réseau des utilisateurs et si sa source est crédible ou pas.

Avec de tels renseignements, un utilisateur avisé choisira s'il faut ou non exécuter le programme. Dans un tel contexte, Norton 2010 aurait alors obtenu la note maximale de 15/15 ! En mode déconnecté, cette « réputation » des fichiers n'est pas opérationnelle. La note obtenue par Norton 2010 est donc exactement celle que la suite aurait obtenue en mode connecté avec un utilisateur « fou furieux et inconscient », qui aurait forcé l'exécution alors même que la suite lui conseillait de ne pas le faire !

BitDefender et TrendMicro arrivent en seconde position. Ils obtiennent la même note, mais leur protection est différente, elle n'a d'ailleurs pas arrêté les mêmes codes. La position de BitDefender n'est pas une surprise. Sa protection B-HAVE est mature, améliorée d'année en année. La présence de TrendMicro est en revanche une énorme surprise. Son mécanisme de protection est avant tout basé sur des informations en provenance des serveurs et du réseau d'utilisateurs. La suite se focalise davantage sur les vecteurs de menaces que sur les menaces elles-mêmes. Pour autant les ingénieurs de TrendMicro n'ont pas négligé les défenses proactives classiques.

F-Secure arrive dernier. Pourtant sa technologie DeepGuard est assez réputée. Mais dans l'édition 2010, cette technologie repose en grande partie sur des informations provenant des serveurs F-Secure et du réseau d'utilisateurs. Dans le contexte de ce test, DeepGuard s'est retrouvé totalement désemparé. Les trois autres suites arrivent à égalité. Mais leurs notes reflètent des comportements différents. G-Data base essentiellement ses défenses proactives sur son module CommTouch, qui n'agit pas sur les menaces exécutées depuis le disque (le module BitDefender qui propulse l'un de ses moteurs n'a pas la technologie B-Have incorporée.) 

La surprise, c'est finalement le score moyen réalisé par la défense TruPrevent de Panda, qui n'a pas réussi à se démarquer des programmes de notre échantillonnage. Rappelons que Panda base surtout la protection de sa suite sur sa technologie « d'intelligence collective », qui nécessite elle aussi l'accès à Internet. Quant à Mc Afee, ses protections sont tout aussi justes que les autres.