Assiste.com
cr 01.04.2012 r+ 21.08.2020 r- 20.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Encyclopédie |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
Pour les comparatifs antivirus en eux-même, voir : Tests et comparatifs des antivirus.
Paris le 30.10.2013
Alors il existe un véritable culte des tests comparatifs antivirus ! Ça fait gagner de l'audience et de l'argent.
Ce type de tests prétendus « comparatifs antivirus », basés sur la confrontation de quelques antivirus à une collection de virus bien rangés dans un répertoire, est à la portée du premier potache venu et n'a aucune signification.
Les véritables tests et comparatifs d'antivirus sont des travaux cauchemardesques à conduire. Ils sont à la portée d'une toute petite poignée de laboratoires hautement spécialisés (3 ou 4 laboratoires au monde), lourdement équipés et ayant l'oreille de tous les éditeurs d'antivirus.
Avant de lire les résultats des vrais tests et comparatifs d'antivirus il convient d'être vigilant et de garder un esprit critique, voire sceptique.
La lecture préalable de l'article, « Analyses et évaluations de produits antivirus dans le monde réel - État actuel des lieux » (en anglais, sur le site du National Institute of Standards and Technology (NIST - « Institut national des normes et de la technologie »), une agence du département du Commerce des États-Unis.), est vivement conseillée car certains tests et / ou certains organismes testeurs (nombreux à l'époque - le 22.10.1996) ont souvent été soupconnés de partialité et / ou de favoritisme. Cet article met en cause/doute la crédibilité des « organismes crédibles » en éveillant chez le lecteur, la méfiance et la défiance. Apprenez à lire entre les lignes et à deviner ce qui n'est pas dit. C'est très instructif.
Un certain nombre de questions doivent toujours vous venir à l'esprit chaque fois que vous lisez un test d'antivirus ou un comparatif d'antivirus, afin d'en peser/mesurer la crédibilité.
Tout d'abord, tordons le cou à tous ces tests comparatifs qui soumettent un panel d'antivirus à une collection de virus bien sagement rangés dans un répertoire sur un disque dur.
Qu'est-ce que je veux d'un antivirus ?
Je me fiche complètement d'un antivirus capable de détecter une collection de virus dormants, stokés dans un répertoire ! C'est trop tard ! Ils sont déjà là et n'auraient jamais dû arriver là ! A la limite, ces tests « imbéciles » ne testent pas un antivirus mais l'amplitude d'une base de signatures (qui devrait alors comporter plusieurs dizaines de millions de signatures et leurs variantes par des méthodes d'analyses heuristiques), ce qui n'a aucune signification, d'autant que les antivirus « haut de gamme » travaillent en analyse comportementale de l'objet analysé, en lançant son exécution dans un environnement fictif, simulé et confiné (« Sandbox » ou « machine virtuelle ») et se moquent complètement des signatures qui ne servent qu'à accélérer le processus en cherchant à savoir si l'objet est connu.
Ai-je besoin des deux : un antivirus et un antimalware ?
Pourquoi ajouter un antimalware alors que j'ai déjà un antivirus ? Parce que les virus classiques ne représentent plus que 0,5% des malveillances.
Déjà, au tout début des années 2000, Assiste prédisait la fusion inéluctable et rapide des antispywares et antitrojans avec les antivirus. Pourquoi ? Parce que les antispywares et antitrojans, etc. fonctionnent sur la base de signatures et que les antivirus savent le faire depuis bien plus longtemps qu'eux. Les antivirus avaient méprisé tout ce qui n'était pas des virus purs, mais la mutation des parasites était en route.
En plus, les classes de malveillances non virales se multipliaient jusqu'à atteindre des centaines de classes (Chevaux de Troie, Backdoor, Spywares, Adwares, Barres d'outils, Dialers, etc.) qui finirent toutes par se regrouper sous l'unique terme de malveillances (malwares). Voir ce terme.
Nous annoncions également, depuis 2007, que les « Virus » ne représentaient quasiment plus rien par rapport aux autres formes d'attaques et parasites.
Mais comme le terme de « Virus » était bien ancré dans l'inconscient collectif, c'est ce terme qui perdure.
L'éditeur d'une importante solution antivirus et antimalware, la société Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques (malwares), écrivait, en 2012 :
« Notre laboratoire d'analyse a calculé que les virus classiques constituent moins de 0,5 % de la totalité des menaces. .../... « Emsisoft anti-malware » inclut toutes sortes de menaces, telles que les :
Alors, oui, il faut les deux et, principalement, à côté de votre antivirus, il faut Malwarebytes en version temps réel (version « premium »).
Les antitrojan, antispyware, antiadware, antidialer, antikeylogger, anti-tout et le reste, etc. ont fait florès jusqu'en 2003, mais, le 17 août 2004, le plus puissant d'entre-eux, PestPatrol, fut racheté par Computer Associates (et Microsoft répliqua immédiatement en rachetant GIANT Antispywares le 16 décembre 2004... Lire l'article Fusion entre les antivirus, anti-spywares, anti-trojans, anti-adware, etc.
Aujourd'hui, tous les produits qui subsistent sont, simultanément, des antivirus et antimalware. Tous les éditeurs d'antivirus, aux surfaces financières plus solides que les jeunes antimalware, ont racheté des sociétés éditrices d'antimalware ou leur bases de signatures.
Certains antimalwares, plus « gros » que les autres, aux assises financières solides, ont refusé d'être rachetés et ont fait l'inverse, ajoutant des signatures de « virus » à leurs bases de signatures de « malwares ».
Et puis il y a le cas de Malwarebytes qui, avec des technologies maison plus récentes et plus avancées que les classiques/anciens antivirus et antimalware, dont l'antériorité pèse comme un passif, est un antivirus et antimalware au sommet et domine par ses propres moyens. Voir Malwarebytes.
Aidez Assiste – autorisez quelques publicités et cliquez-les |
Nous sommes, là, devant le cas typique du test le plus imbécile qui soit. Il peut être conduit par un simple particulier n'y connaissant rien ! Ce genre de stupidité doit déclencher les foudres de toute personne un peu impliquée dans la sécurité des systèmes d'information, de la vie privée, des données et des ordinateurs.
Ce genre de tests permet de tester la base de données (la base de signatures) de l'antivirus, la technologie " Réactive " et le moteur "On-demand" des antivirus (l'analyse de fichiers), face à "une collection de parasites" récupérés à droite ou à gauche, donc une collection de trucs déjà connus pour être des virus, parfois depuis plusieurs années. C'est sans intérêt. C'est exactement le truc dont personne n'a besoin !
Non seulement les virus sont anciens mais, en plus, les virus et malveillances actuels déploient des trésors de technologies pour empêcher la constitution de bases de données de signatures exhaustives.
Aidez Assiste – autorisez quelques publicités et cliquez-les |
Seule compte l'observation du comportement d'un antivirus lorsqu'il observe le comportement d'un virus dans un environnement confiné : « bac à sable » (« sandbox ») ou « machine virtuelle ».
Il faut activer chacune des malveillances (les faire s'exécuter).
Ce qui intéresse, dans un test d'antivirus et un comparatif d'antivirus, c'est leurs comportements face à des parasites actuellement en circulation, c'est-à-dire qui ont moins de deux ou trois semaines. Les autres, plus anciens, sont depuis longtemps parfaitement traités.
Les échantillons de cette liste, la « Wild List », ne sont pas diffusés. Les petits rigolos qui font leurs tests imbéciles n'y auront jamais accès.
Aidez Assiste – autorisez quelques publicités et cliquez-les |
Les technologies réactives des antivirus et antimalwares (leurs utilisations à la demande [« On-demand »]) peuvent être parfaitement visualisées (et facilement comprises par l'utilisateur). Il suffit de lancer, par exemple, les versions gratuites de :
Ces outils vont probablement trouver des malveillances qui ont pénétré l'appareil. C'est trop tard. Elles n'auraient jamais du pénétrer/être là. Une analyse imbécile, à la demande (« On-demand » - cas de la confrontation des antivirus à une collection de virus dormants), c'est juste :
Recommander un antivirus sur la base d'un test « On-demand » est un manque complet de lucidité ! C'est une méconnaissance du fonctionnement des systèmes d'exploitation, des virus et parasites, et des outils de lutte contre les parasites. C'est une méconnaissance des fondamentaux de la sécurité informatique. Ce type de comparatifs antivirus permet juste de « faire du papier » pour attirer le gogo !
Reconnaissons que cela permet de comparer entre eux les antivirus qui ne disposent pas de comportement "On-access". La belle affaire ! Ce sont, justement, tous les antivirus que l'on doit rejeter. En plus, il n'en reste qu'un : ClamAV , dans le monde Linux/BSD (et sa version Windows ClamWin ainsi que son utilisation temps réel sous Windows avec Clam Sentinel, mais uniquement basé sur les signatures, rien sur l'analyse comportementale, le sandboxing, pas même l'analyse heuristique, etc. le réel temps réel) !
Mais comparer ensembles des antivirus dotés de technologie « Proactive » et « On-access » ou « On-execution » avec des antivirus gratuits sans module « On-access », c'est faire injure aux bons produits.
Aidez Assiste – autorisez quelques publicités et cliquez-les |
Seules comptent, avec les antivirus :
Il faut ouvrir chaque objet exécutable de la WildList dans un environnement confiné et surveillé (« Sandbox » ou « machine virtuelle ») avant de l'autoriser ou de lui interdire de s'ouvrir dans la machine réelle.
Aidez Assiste – autorisez quelques publicités et cliquez-les |
Faire un comparatif antivirus sur la base des virus « in the wild » (à condition d'avoir accès à cette liste et à la collection de leurs échantillons) et de quelques autres, actifs actuellement (par exemple un échantillon des 300 virus les plus actifs actuels), représente un travail titanesque. Il faut, brossé à grands traits :
Après quoi, il reste à refaire le test de protection Internet durant un scéance de navigation (pages de phishing, téléchargement viraux, sites tentant d'exploiter une faille de sécurité, document tentant d'exploiter une faille d'un plugin etc.
Après quoi, il reste à refaire le test contre des eMail piégés entrant et contre les liens piégés qu'ils embarquent.
Etc. Après un an de test, les résultats sont déjà périmés ! Seuls des organismes lourdement équipés pour cela, payés par des demandes d'enquêtes continues (de la part de sites gouvernementaux, des Etats, des grandes entreprises, des revues qui peuvent se payer une telle débauche d'hommes et de moyens, etc.) sont crédibles.
Tests de résidents ?
Est-ce que les tests ont portés sur l'analyse anti-anti-hook (l'anti-hook est la capacité d'un processus à détecter qu'un autre processus tente de regarder qui il est et à l'en empêcher ou à lui donner de fausses informations afin de rester caché), difficile à conduire, et significative d'un test bien fait ?
Quels informations techniques sur les tests et les résultats sont publiées ?
Date du test, numéro de version de chaque binaire, numéro de version de chaque base de signatures, captures d'écrans, réglages des anti-trojans testés, logs produits, liste des parasites contenues dans la collection de test, nombre de détections par le scanner mais, surtout, nombre d'éradications par le scanner, balayage de tout un PC en sus de la collection de tests et nombre de faux positifs... Si aucune information n'est disponible, les résultats des tests sont sujet à caution.
Bien entendu, les antivirus, bases de signatures et code binaire, doivent être tous figés à une date et heure donnée, à la seconde près. Il faut donc obtenir toutes ces licences en même temps, tous les installer sur 12, 15 ou 20 machines, et lancer une mise à jour simultanée de tous les antivirus puis faire les "ghost".
Les antivirus doivent être tous réglés de la même manière. Il n'est pas question d'en régler un, que l'on souhaiterait enfoncer, en mode "superficiel" ou "rapide" ou "léger", et de régler un autre, que l'on souhaiterait promouvoir, en mode "parano".
Le tout doit être sauvegardé et reproductible (les "ghosts" et la collection de virus), en cas de plainte déposée par un éditeur d'antivirus écorné par le test.
Ce n'est pas à la portée d'un particulier, ni d'un site, ni d'une revue informatique.
Depuis 2008, les tests sont normalisés et étendent les test basés sur EICAR. Ils doivent répondre aux spécifications de :
Les laboratoires effectuant des tests significatifs sont, à l'exclusion de tout autre :
Aidez Assiste – autorisez quelques publicités et cliquez-les |
Un regard porté sur quelques tests comparatifs d'antivirus.
Antivirus installés "out of the box" (sans aucun réglage car les utilisateurs sont des cons qui utilisent leurs antivirus tel quel). Le comparatif porte sur l'analyse "On-demand" d'une collection de 7009 "menaces". Nous sommes, là, devant le cas typique du test le plus imbécile qui soit. Il peut être conduit par un simple particulier n'y connaissant rien ! Ce genre de tests permet de tester la base de données (la base de signatures) de l'antivirus, pas l'antivirus ! Le test porte sur la technologie " Réactive " et le moteur "On-demand" des antivirus (l'analyse de fichiers), face à "une collection de parasites" récupérés à droite ou à gauche, donc une collection de trucs déjà connus pour être des virus, parfois depuis plusieurs années. C'est sans intérêt.
La dernière phrase de leurs conditions de test (D'une règle générale,...) est complètement alambiquée et incompréhensible. Si on veut porter quelque chose à leur crédit, on peut tenter de comprendre cette phrase de la manière suivante : un test "On-access" a été conduit et tous les antivirus auraient été testés en accédant à 50 sites Internet piégés (probablement des exploitations de failles de sécurité conduisant à des "Drive by Download"). Chaque antivirus testé aurait été percé au moins 10 fois ! A moins qu'il ne faille comprendre qu'il s'agit d'un test de filtrage d'URLs, auquel cas cela n'a pas beaucoup d'intérêt car, d'une part, les antivirus se partagent les quelques bases d'URLs blacklistées, qui ne proviennent généralement pas d'eux mais de Google SafeBrowsing et quelques autres (Norton Safe Web, etc. ...) et des Internautes (tous les services de "Web Réputation" et "Sites de confiance") et, d'autre part, cela signifierait que les tests "On-access" n'ont pas été effectués, ce que je suis plutôt porté à croire.
Mêmes remarques que pour leur test de 2012, ci-dessus. Celui de 2013 ne porte plus que sur 1644 virus connus, toujours en tests inutiles : technologie " Réactive " et moteur "On-demand" des antivirus (l'analyse de fichiers). Toutefois, il faut porter au crédit de Clubic, mouture 2013, qu'ils disent, dès la première page, que leur test n'est pas un test, et qu'ils laissent les tests aux spécialistes des tests.
D'autres comparatifs réalisés par des laboratoires comme AV Comparatives, AV Test ou Dennis Technologies se concentrent davantage sur des résultats chiffrés. Nous réalisons certes un test de détection sur un nombre plus réduit de menaces collectées sur le web, mais nous n'avons pas l'ambition de nous substituer à des laboratoires dédiés à ces tests.
La critique du comparatif antivirus 2012 de Clubic avait porté ses fruits et Clubic s'était abstenu d'en faire un de même nature en 2013. Mais la tentation est trop forte.
Donc, en 2014, bis repetita ! Oh ! Stéphane Ruscher commence bien son article par " On aimerait s'en passer, mais ils restent indispensables. " Donc, même chose que pour 2012, cette fois avec une collection de 10001 menaces.
Aidez Assiste – autorisez quelques publicités et cliquez-les |
Aidez Assiste – autorisez quelques publicités et cliquez-les |