Comparatif : les antivirus 2010 face aux menaces inconnues

Loïc Duval – 01net. – le 09/10/2009 :

Avec plus de 10 000 nouveaux « objets » malveillants par jour, les solutions de sécurité ne peuvent plus se reposer sur l’antique méthode de détection des malwares par signature. Elles doivent embarquer des protections proactives capables de bloquer et d’isoler les programmes susceptibles d’être dangereux. Programmes plus ou moins dissimulés dans les pages Web, les forums, les contenus multimédias, les sites de partage ou dans les newsgroups.

Dans un tel contexte, il nous a semblé particulièrement intéressant d’étudier le comportement des suites face à des menaces qu’elles ne connaissent pas. Pour mieux comprendre leur fonctionnement et leur potentiel en matière de défense proactive, nous avons soumis les suites 2010 à quelques tests comportementaux.


Le Tour de France des suites de sécurité

Le laboratoire de tests du Groupe 01 a décidé de tester les suites autrement. Au lieu de grands comparatifs ponctuels, nous avons opté pour des tests approfondis réguliers évaluant chacun un élément précis des différentes protections et technologies proposées par les suites. En un sens, notre approche s’apparente un peu au Tour de France. Chaque comparatif doit être vu comme une étape. Les différentes protections de chaque suite comme une « équipe » travaillant ensemble pour protéger l’utilisateur.

Selon les spécialités et les compromis adoptés par chaque suite, selon leur état de forme du moment (n’oublions pas que les menaces évoluent), les unes arriveront en tête sur certaines étapes et d’autres seront en retrait. Chaque étape est importante, mais les utilisateurs n’y accorderont pas le même intérêt. Et nous verrons bien à la fin du « tour » quelles équipes l’emporteront… Après la première étape, le comparatif des antispams sans entraînement préalable, nous attaquons la seconde étape : les défenses proactives déconnectées des antivirus.

Panorama des tests de protections proactives

Les tests des protections proactives ne doivent pas être perçus comme des tests d’efficacité réels mais comme des tests d’intelligence embarquée. Une suite est un assemblage de technologies, de compromis et de priorités. Un mauvais résultat à l’un des tests ne signifie pas que la suite est inefficace ou peu performante, ni que l’utilisateur était réellement en danger. Il traduit un comportement particulier.

Typiquement, certaines suites basent leur protection sur un dialogue permanent entre votre machine et leurs centres de serveurs « en ligne » (ou « in the cloud » pour reprendre l’expression à la mode). Ces tests mesurant l’intelligence embarquée, ils coupent la connexion à Internet et dès lors rompent le lien ombilical qui relie la suite au cloud. Plus une suite s’appuie sur le cloud pour protéger l’utilisateur, plus elle est défavorisée et perdante dans ces tests.

Tester les défenses proactives est un travail de longue haleine et d’une grande complexité. Il faut réaliser une grande quantité de tests très différents sur une longue période pour avoir une vision fidèle des capacités de défense. Mais il faut bien aussi commencer un jour ou l’autre par les évaluer. Et il faut bien commencer quelque part. Nous avons choisi de mettre à l’épreuve les défenses hors connexion au travers de trois tests ciblés.

Cette série de tests est davantage conçue pour éclairer l’utilisateur sur le fonctionnement interne de sa suite que pour mesurer son efficacité dans des conditions réelles d’utilisation. Mieux comprendre le fonctionnement d’une suite permet aussi de mieux en comprendre les faiblesses. La plupart des infections ayant pour origine une action naïve ou maladroite de l’utilisateur, ces tests permettent de mieux appréhender les comportements des suites, les différentes techniques de protection proposées, les différences entre leurs réglages et dès lors les risques encourus selon les réglages adoptés.


Leave A Comment