Vidéo: QUEL ANTIVIRUS CHOISIR en 2020 ? (Novembre 2024)
Vous dépendez de votre antivirus ou de votre suite de sécurité pour protéger vos données et vos appareils, mais dans quelle mesure se protège-t-il? Les logiciels de sécurité ne sont que des logiciels et sont sujets à des défauts, comme tout autre type de programme. Les codeurs peuvent prendre des mesures simples pour s’assurer qu’une faille logicielle n’ouvre pas le programme pour exploiter une attaque. Cependant, le dernier rapport du laboratoire allemand AV-Test Institute montre que les fournisseurs de sécurité protègent leurs produits contre les attaques directes.
Une solution facile
Le rapport d'AV-Test indique que les meilleurs programmes ne comportent qu'une seule erreur sur 2 000 lignes de code. Le problème est qu'un programme majeur ne contiendra pas des milliers mais des millions de lignes de code. Cela fait beaucoup d'erreurs. Toutes les erreurs n'ouvrent pas le programme aux attaques de logiciels malveillants, mais certaines le font.
Pour réussir son attaque, un exploit doit obliger le programme victime à exécuter du code malveillant. Certains le font en insérant le code sous forme de données et en obligeant la victime à l'exécuter. D'autres manipulent la pile ou le tas, zones de mémoire utilisées par les programmes pour le stockage temporaire. Le blocage de plus de données dans une mémoire tampon que la mémoire réelle ne le permet, est un autre moyen d’obtenir du code arbitraire dans l’espace mémoire d’un programme.
Il existe deux technologies matures pouvant contrecarrer de nombreux exploits. La protection d'exécution de données (DEP) empêche simplement l'exécution de code dans toute zone de mémoire marquée comme contenant des données. Cela seul élimine un point d'entrée pour un exploit.
La randomisation du format d'espace d'adressage (ASLR), comme son nom l'indique, mélange les secteurs de mémoire utilisés par un programme afin que l'attaquant ne puisse pas prédire où trouver le secteur contenant le code vulnérable. Les deux techniques sont largement utilisées dans Windows même. Pour la plupart des compilateurs modernes, la mise en œuvre de chacune de ces technologies de protection est aussi simple que d'inverser un commutateur.
Méthodologie de test
Les chercheurs d'AV-Test ont rassemblé 24 produits de sécurité côté consommateur et huit produits destinés aux entreprises. Pour chaque produit, ils ont effectué un recensement simple. Ils ont énuméré tous les fichiers exécutables, bibliothèques de liens dynamiques, pilotes et fichiers.sys associés à l'application et ont indiqué si chaque module implémentait DEP, ASLR ou les deux. Ils ont évalué les produits 32 bits et 64 bits séparément.
Comme je l'ai mentionné, les résultats couvraient un large éventail. ESET était le seul produit de consommation avec une couverture de 100%; Symantec était le seul produit commercial à ce niveau. Avira, G Data, McAfee et AVG protègent complètement leurs produits 64 bits avec DEP et ASLR. Cependant, la couverture dans leurs éditions 32 bits variait de 90% à 100%.
À l'autre bout du spectre, eScan Internet Security Suite couvrait en moyenne 17, 5% de couverture. Kingsoft Antivirus en gérait en moyenne 19%, mais n'utilisait pas du tout la PED dans ses produits 64 bits.
Étant donné que l'activation de ces mécanismes de protection consiste simplement à basculer un commutateur de compilateur, pourquoi les vendeurs l'ignoreraient-ils? AV-Test a obtenu un certain nombre de réponses. Certains fournisseurs ont utilisé des bibliothèques tierces non compilées avec sécurité. Certains ont déclaré utiliser une technologie de sécurité propriétaire non compatible avec DEP et ASLR. Et certains ont déclaré que certains fichiers ne sont pas utilisés activement par le programme, ils n'ont donc aucune importance. (Alors pourquoi ne pas les enlever?)
Protection, performance, utilisabilité
Parallèlement au rapport d'auto-protection, AV-Test a publié le dernier rapport sur la protection antivirus, les performances et la convivialité. Vous pouvez voir les détails de leur méthodologie de test en ligne. Les résultats complets des tests sont également disponibles en ligne. Je vais frapper les points forts ici.
Kaspersky a marqué 18 points, comme il l'a fait la dernière fois, et Avira a gagné 1, 5 point par rapport à la dernière fois, rejoignant Kaspersky au sommet. Sur la piste de descente, ZoneAlarm et Vipre ont enregistré une baisse de 3, 5 points par rapport à la dernière fois. Pour ZoneAlarm, tout était dans le test de performance, où son score est passé d'un 6 parfait à 2, 5. Vipre a perdu des points dans les trois zones. Son score total de 8, 5 points est bien inférieur aux 10 points requis pour la certification.
J'apprécie vraiment que des laboratoires comme AV-Test étendent leurs évaluations à de nouveaux domaines, comme le contrôle des produits de sécurité pour leur propre protection. À tout le moins, ce rapport incitera les fournisseurs de sécurité à se passer de DEP et d’ASLR. Oui, il y a des raisons valables de les omettre pour des fichiers spécifiques, mais en l'absence de ces raisons, il suffit d'inverser le commutateur!
