Le site AV Comparatives, connu pour ses tests réguliers des antivirus du marché, publie les résultats de son étude consacrée à la détection des virus inconnus. Le site a pour cela soumis des virus récents à des antivirus dont la configuration avait été figée au 2 février dernier. Selon AV Comparatives aucun des virus présents dans l'échantillon des tests n'était connu des dix-sept antivirus évalués.

Le site indique avoir configuré chaque antivirus au mieux de ses capacités, notamment en activant leurs détection générique au maximum de sa sensibilité. Il leur a ensuite soumis un échantillon d'un peu plus de vingt mille nouveaux virus (ou variantes). La note finale de chaque produit dépend de deux critères : combien de virus inconnus sont détectés, et combien de faux positifs (détections d'un fichier non-infecté comme étant un virus) sont relevés.

Les résultats sont particulièrement instructifs : les grands noms du marché (Symantec, McAfee, Kaspersky) se révèlent peu à l'aise avec les virus inconnus, mais prouvent leur robustesse en obtenant le moins de faux positifs. A l'inverse, certains challengers semblent à première vue très bons à la détection des virus inconnus, jusqu'à ce que l'on s'aperçoive qu'ils considèrent presque chaque nouveau fichier comme un virus, et sont donc essentiellement inutiles (Fortinet, par exemple).

And the winner is...

Dans ces conditions, le "meilleur" antivirus sera celui qui obtiendra le plus haut score de détection des virus inconnus tout en ayant le moins de faux positifs. A ce petit jeu, c'est indiscutablement Nod32 qui s'en tire le mieux (il s'agit véritablement de l'antivirus montant !). Vient ensuite la masse des produits considérés "plutôt bons", parmi laquelle on retrouve deux grands noms (Symantec et McAfee) et les meilleurs challengers (F-Secure, Norman, Avast...). Viennent enfin les produits considérés à peine "corrects", parmi les lesquels figurent Kaspersky, Microsoft, BitDefender et d'autres. Ces derniers affichent cependant un score de détection très bas et ne sont sauvés que parce qu'ils ne provoquent pas, ou peu, de faux-positifs.

Enfin, deux éditeurs échouent sur toute la ligne au point qu'AV Comparatives s'avoue incapable de leur décerner la moindre reconnaissance : il s'agit de Fortinet (beaucoup trop de faux positifs) et AVG (détection insuffisante)

D'une manière générale, les antivirus se montrent relativement doués pour détecter les virus exécutables Windows mais peinent sur les scripts malicieux. Ces derniers représentent cependant hélas un vecteur d'infection devenu courant sur le web.

Une précision toutefois au sujet de ce classement : le test ne mesure que la capacité à détecter des virus inconnus à l'aide de méthodes génériques (ou, au pire, de signatures "globales"). Les résultats ne présument en rien de la qualité de ces produits lorsque leurs bases de signatures sont à jour. Il s'agit donc certes d'un critère important, mais pas unique dans le choix d'un antivirus. Certains des produits moins bien classés sont d'ailleurs très bons dans le domaine de la détection par signature. La qualité du moteur d'analyses, de la base de signatures et la réactivité de l'éditeur sont également des critères particulièrement importants (et, pour les entreprises, les fonctions de déploiement et d'administration centralisées).

Mais il reste toutefois que la détection générique est une technique complexe, preuve d'une vraie maîtrise technologique. Et pour lour les entreprises, il s'agit en outre de la seule arme face aux attaques ciblées à l'aide de codes malicieux conçus sur-mesure, de plus en plus courantes.

• Téléchargez le rapport du test (document PDF, en anglais)
• Le site de AV Comparative (en anglais)