Des menaces très variées

Le virus

Ce code exécutable se greffe sur tout type de fichier ou de programme et n’agit qu’après intervention de l’utilisateur (exécution du programme, ouverture du fichier, etc.). Il a pour vocation de causer des dégâts sur la machine
infectée (suppression de fichiers, corruption de la table d’allocation du disque dur, etc.) mais aussi de se propager d’un ordinateur à un autre. On distingue plusieurs types de virus (virus macro, rétrovirus, virus de boot, scripts Java,
etc.).

Le ver

Proche du virus, ce programme n’a pas besoin d’intervention humaine pour infecter un ordinateur. Il peut notamment s’insinuer en passant par un port réseau non protégé. Le plus souvent, toutefois, il se présente sous la forme
d’un fichier attaché à un mail, et il ne s’exécute que si on l’ouvre. Il se propage alors seul en utilisant le carnet d’adresses du PC infecté. Une fois sur place, le ver peut ouvrir des portes d’accès sur le PC, détruire des données, ou permettre
l’envoi, depuis le PC, de multiples requêtes vers un site Internet, pour le saturer.

Le rootkit

Très à la mode ces derniers temps, le rootkit est un code ‘ malicieux ‘ complexe et difficilement détectable qui exploite une faille connue du système d’exploitation pour infecter
une machine. Une fois entré, généralement sous la forme d’un pilote, il modifie le noyau du système afin de prendre le contrôle du système d’exploitation. Le rootkit agit alors avec les droits d’administrateur, ce qui lui permet de cacher des
processus illicites, des clés du Registre ou des fichiers aux yeux d’un programme d’analyse, tel qu’un antivirus ou un antispyware.

Le cheval de Troie

Sous l’apparence d’un logiciel ‘ utile ‘, ce programme (appelé trojan en anglais) recèle une fonction néfaste enfouie. Grâce à son camouflage licite, il
contourne les mécanismes de sécurité classiques du système qu’il infecte de façon à permettre le contrôle à distance de la machine : lecture/écriture de données, transferts de fichiers, contrôle de la souris et du clavier, etc. Contrairement au
ver, il ne se réplique pas, mais sait demeurer inoffensif (donc invisible) jusqu’à une date particulière.

Le keylogger

De très petite taille (pour passer inaperçu), ce type de logiciel enregistre tout ce qui est tapé au clavier par l’utilisateur, à son insu. Les données collectées sont ensuite envoyées à intervalles réguliers vers le PC d’un
pirate où elles sont analysées, révélant ainsi des mots de passe, des numéros de carte de crédit, etc.

Le spyware

Un spyware, ou logiciel espion, est conçu pour collecter les données personnelles de l’utilisateur comme ses habitudes de consommation, les sites qu’il visite, les logiciels qu’il utilise, etc. Comme avec le keylogger, mais avec
des incidences moins fâcheuses, les données collectées durant une période prédéfinie sont finalement transférées sur Internet à l’insu de l’utilisateur pour être exploitées, notamment à des fins commerciales.

L’usurpation d’adresse IP

Egalement connue sous le nom d’IP Spoofing, la technique d’usurpation d’adresse IP consiste à faire croire au PC visé qu’il communique via Internet avec une autre machine en laquelle il a toute confiance, de
façon à lui soutirer des informations critiques. Dans le détail, il s’agit d’envoyer des paquets de données vers le PC cible en remplaçant dans chacun d’eux l’adresse IP de l’ordinateur ‘ pirate ‘ par
l’adresse d’une machine acceptable (celle d’une banque, par exemple), puis de récupérer les paquets de données renvoyés, docilement, par le PC visé.

Le scan des vulnérabilités

Cette technique d’analyse à distance ne requiert aucun code à installer ou à exécuter sur le PC de l’utilisateur. Il s’agit plutôt une phase d’exploration préalable. Elle a pour objectif de dresser à distance la liste des ports
réseaux de l’ordinateur cible qui ne sont pas protégés en utilisant un logiciel qui tente successivement de se connecter à chacun des ports réseau. Une fois identifiés, les ports ouverts sont utilisés pour introduire des codes malicieux sur le
PC.

Comment nous avons testé

Afin d’analyser l’efficacité des 12 suites de sécurité testées, nous les avons installées, avec leurs paramètres par défaut, sur un disque dur sérieusement infecté. Puis nous avons étudié comment elles se
comportaient…

Notre plate-forme d’essai

Pour évaluer les 12 suites de sécurité de ce dossier, nous avons configuré notre PC de test avec deux partitions distinctes équipées chacune de Windows XP SP2 nu, bénéficiant de l’ensemble des mises à jour recommandées par
Microsoft, mais dénué de toute protection (pare-feu désactivé). La première partition renfermait un dossier contenant 11 676 fichiers infectés par 937 virus différents (virus classiques, chevaux de Troie, etc. ). Elle contenait également un
dossier avec 61 faux virus de type Eicar, des fichiers tests conçus par l’institut du même nom (European Institute for Computer Antivirus Research). La boîte d’envoi du logiciel Outlook Express de cette installation XP contenait
en ensemble de courriels infectés prêts à être envoyés. La seconde partition renfermait pour sa part une collection de spywares actifs, opérationnels dès le démarrage du système d’exploitation.

Celle-ci contenait également un dossier dans lequel les programmes d’installation de ces mêmes spywares étaient conservés. Nous avons fait une image de ce disque dur massivement infecté que nous restaurions systématiquement
avant d’installer puis de tester une nouvelle suite. Pour les installations, nous avons suivi à chaque fois la procédure standard prévue par l’éditeur, c’est-à-dire sans modifier le moindre paramètre, reproduisant ainsi le comportement d’un
utilisateur néophyte.

Bien évidemment, nous procédions, avant le démarrage de nos analyses, à la mise à jour en ligne de la suite testée, afin de disposer du plus haut niveau de protection possible.

Notre batterie de tests

Analyse à la demande

Nous avons lancé une analyse complète du disque dur puis celle d’un dossier spécifique à la recherche de fichiers infectés. Outre l’efficacité de la détection, nous avons noté la capacité du logiciel à supprimer les virus
effectivement identifiés, mais aussi la durée de l’analyse, l’utilisation du processeur et la quantité de mémoire nécessaire. Les suites qui, par défaut, n’analysaient pas l’ensemble des fichiers ont alors été configurées pour forcer une analyse
complète afin de voir l’impact de cette modification sur les résultats (sans que la note tienne compte de cette ‘ séance de rattrapage ‘). Nous avons ensuite lancé la même analyse sur la partition
contenant les spywares déjà installés et avons relevé combien étaient identifiés et totalement éradiqués (c’est-à-dire dont tous les fichiers.exe,.dat et.dll sont supprimés du disque dur).

Protection en temps réel

A partir du PC de test, nous avons envoyé à destination de notre propre adresse de messagerie les e-mails infectés, en vérifiant si la suite les détectait correctement, en envoi comme en réception. Ensuite, nous avons visité
un grand nombre de sites Internet infectés (des sites ‘ warez ‘, notamment) en utilisant Internet Explorer. Puis nous avons installé nos spywares de test, et lancé des programmes simulant des tentatives
de connexion sortante vers Internet. Enfin, nous avons tenté d’accéder à distance au PC de test en sondant plusieurs centaines de ses ports réseaux. A chaque fois, nous avons vérifié le comportement de la suite de sécurité. Précisons que pour le
test du pare-feu, une première analyse a été réalisée en désactivant les autres modules de la suite (antivirus, antispyware, etc. ), afin d’évaluer son efficacité propre.

Possibilités de réglages et confort d’utilisation

Bien que cela ne soit pas primordial, il est préférable qu’une suite de sécurité soit simple à utiliser. Outre la clarté de sa fenêtre principale et la qualité de sa documentation, nous avons évalué la facilité d’accès aux
différents modules et options ainsi que la pertinence des réglages par défaut. Nous avons également fait l’inventaire des différents réglages disponibles, notamment la possibilité de définir les options de mise à jour, de programmer une analyse à
intervalles réguliers, ou encore de démarrer le PC depuis le CD d’installation. Ce dernier point étant crucial en cas de blocage total du PC.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Roger Bouchez, Jean-Marie Portal et Stéphane Reynaud