Votre antivirus peut-il gérer une attaque malveillante du jour au lendemain?

Tester la protection antivirus basée sur les signatures est un jeu d'enfant. Vous rassemblez des centaines ou des milliers d'échantillons de programmes malveillants connus, effectuez une analyse et notez le nombre de produits antivirus détectés. Cependant, pour un virus neuf (ou un autre type de malware) zéro jour, aucune signature n'est nécessairement disponible. Il est difficile de tester la protection contre les menaces de type «jour zéro», mais les chercheurs d’AV-Comparatives ont mis au point une technique qui les satisfait. Notez cependant que tous les fournisseurs d’antivirus n’approuvent pas ce test particulier; bon nombre d'entre eux ont choisi la dernière édition, dont les résultats viennent d'être publiés.

Par définition, il n'est pas possible d'exécuter un test avec des échantillons réels à jour zéro. Au moment où les chercheurs pourraient capturer et valider un échantillon, les fournisseurs d'antivirus étaient déjà en train de préparer une signature. AV-Comparatives simule la détection du jour zéro en "gelant" la base de données de signatures d'un produit, puis en utilisant uniquement les échantillons apparus après le grand gel.

Certains produits détecteront les nouveaux logiciels malveillants à l'aide de techniques heuristiques, en les identifiant par leur similarité avec les logiciels malveillants connus ou par d'autres caractéristiques. Les chercheurs ont lancé chaque échantillon non capturé par les heuristiques, en indiquant si la détection basée sur le comportement du produit ou une autre protection en temps réel empêchait l'infestation. Les produits bénéficiaient d'un crédit total pour avoir bloqué le logiciel malveillant tout seul et d'un demi-crédit dans les cas où le blocage nécessitait une décision correcte de la part de l'utilisateur.

Très bonne détection

Sur la seule base de leurs taux de détection, 11 des 16 produits testés auraient obtenu la note ADVANCED +, la meilleure note. Bitdefender a dominé ce groupe, avec 97% de détection; Kaspersky et Emsisoft ont tous deux géré 94%. Panda et Avast auraient gagné ADVANCED. Microsoft aurait également obtenu la note ADVANCED, mais AV-Comparatives l'utilise uniquement comme base. Au bas, AnhLab et Vipre auraient été classés STANDARD.

Pesky Faux Positifs

Les systèmes de détection heuristiques et basés sur le comportement doivent être très soigneusement réglés pour éviter de signaler les programmes valides comme dangereux - c'est ce que nous appelons un faux positif. Un bon nombre des produits testés ont perdu des points pour un trop grand nombre de faux positifs. Le test de détection ayant été effectué à l'aide de signatures figées en février dernier, les chercheurs ont pu réutiliser les résultats faussement positifs d'un test effectué en mars.

Six des produits testés ont perdu un niveau d'évaluation en raison d'un trop grand nombre de faux positifs. Pour Emsisoft, eScan et G Data, cela signifiait que l'on passait de ADVANCED + à ADVANCED, tandis que Panda passait de ADVANCED à STANDARD. Quant à AhnLab et Vipre, ils atteignaient déjà le niveau le plus bas, leur classement final est donc devenu simplement TESTED; ils n'ont pas passé.

Controverse nuageuse

Les fournisseurs qui soumettent leurs produits à des tests par AV-Comparatives doivent accepter de participer à tous les tests requis. Le test de détection de fichier basé sur la signature est l’un des ensembles requis; Symantec n'approuve pas ce test. C'est pourquoi vous ne trouverez pas de résultats pour Norton dans les rapports AV-Comparatives.

Le test proactif, en revanche, est facultatif. Selon le rapport, "AVG, McAfee, Qihoo, Sophos et Trend Micro ont décidé de ne pas y participer, leurs produits étant fortement tributaires du cloud." Le test du jour zéro exclut nécessairement la détection basée sur un nuage, car il n'y a aucun moyen de "geler" le nuage. Ces vendeurs pensaient que leurs produits auraient de mauvais résultats sans accès à une connexion cloud.

Bien que AV-Comparatives ait permis à ces fournisseurs de se retirer, le rapport les réprimande un peu. "Même plusieurs semaines plus tard, certains échantillons de logiciels malveillants utilisés n'étaient toujours pas détectés par certains produits dépendant du cloud, même lorsque leurs fonctionnalités basées sur le cloud étaient disponibles", précise-t-il. "Nous considérons que c'est une excuse marketing si les tests rétrospectifs (…) sont critiqués pour ne pas être autorisés à utiliser les ressources du cloud." Le rapport conclut: "Si un fichier est complètement nouveau / inconnu, le cloud ne sera généralement pas en mesure de déterminer s’il est bon ou malveillant."

Si votre antivirus a obtenu les meilleures notes lors de ce test, c'est un bon signe qu'il va se défendre contre les toutes nouvelles menaces «jour zéro». Mais comme le test n'utilise pas littéralement des échantillons jamais vus dans le monde réel, un score médiocre (ou aucune participation) ne prouve pas nécessairement qu'il ne fera pas l'affaire. Pour une compréhension complète, vous voudrez examiner une grande variété de tests et les analyses antivirus approfondies et pratiques de PCMag.