News

Que vaut votre antivirus ?

Written by Jerome Saiz (SecurityVibes)
Published on Monday 20 February 2006
0 comment(s) | Subnetwork France

| | Other Tools

Un amateur passionné compare les antivirus du moment. Un test simple, mais rondement mené et bien documenté. Bilan : Kaspersky est largement en tête tandis que quelques grands noms du marché obtiennent des scores décevants. Une lecture très intéressante, à prendre toutefois avec quelques pincettes... que Les Nouvelles.net vous offre !

Le site grec Virus.gr, animé par un collectionneur de virus passionné, publie régulièrement des comparatifs antivirus. Le dernier en date est paru en décembre dernier et il met face à face les grands noms du marché, des produits moins connus et, étonnement, quelques anti-spywares.Le bilan est mitigé : sans trop de surprise, Kaspersky Antivirus est en tête du classement. Après quelques ratées lors du passage à la version 4, le produit semble ainsi désormais être revenu à ce qu'il était : un moteur antivirus sacrement efficace. Il est suivi par F-Secure, qui exploite plusieurs moteurs... dont celui de Kaspersky !Arrive ensuite un peloton intéressant : on retrouve d'abord des produits moins connus, tels CyberScrub ou eScan Virus Control, et après seulement les premiers produits réputés. McAfee est ainsi cinquième, BitDefender sixième, Norton Antivirus dixième, Panda treizième et AVG quinzième.Parmi les lanternes rouges (ou plutôt les moins performants des produits connus par chez nous), Norman atterri à la vingtième place, Sophos à la vingt-et-unième, tandis que la version Windows de l'antivirus libre ClamAV est vingt-cinquième et que eTrust Antivirus, de CA, décroche la vingt-sixième place.

Anti-spywares et anti-trojansSigne des temps, le comparatif inclue également son lot d'anti-spywares et anti-trojans. Evidemment, ils obtiennent des scores particulièrement faibles car la collection utilisée pas Virus.gr est clairement virale. Mais il est intéressant de constater que la proportion de virus intégrant des capacités de cheval de Troie ou embarquant un spyware ou un adware est suffisamment élevée pour que certains de ces anti-tout détectent jusqu'à 10% de la base virale.Bien entendu, ces résultats pourront être commentés - et critiqués - à l'infini. C'est malheureusement le lot de tout comparatif antivirus (et nous en avons réalisé plus que notre part, pour la presse magazine notamment, dès 1997).Le premier reproche pourra ainsi être que l'auteur ne teste les antivirus que sur une base virale statique. Son comparatif porte donc uniquement sur la qualité du scanner "on demand", et non de celui qui protège la mémoire en temps réel. Et il est bien connu qu'au sein d'un même produit, les deux peuvent être de qualité très différente ! (la mémoire est beaucoup plus difficile à analyser qu'un fichier, dont la structure est connue. Et ceci avant même d'entrer dans des considérations de performance).Ainsi lors d'un comparatif que nous réalisions il y a quelques années, le virus Bolzano était parfaitement détecté par Panda et Norton Antivirus lorsqu'il était sous la forme d'un fichier infecté. Mais s'il était activé, ces deux antivirus étaient incapables de le stopper. Le parasite infectait le disque dur sans difficulté tandis que les antivirus continuaient de donner l'alerte à chaque nouveau fichier contaminé... sans l'arrêter pour autant !Dans un test statique, ils auraient eu une bonne note, alors qu'ils étaient en réalité totalement démunis face à ce virus.

La détection générique en questionAutre point de question : le test porte sur une collection virale immense (250.000 souches). On aurait aujourd'hui plutôt tendance à demander à un antivirus d'être efficace contre les parasites en circulation (In the wild, beaucoup moins nombreux) et à son éditeur d'être suffisamment réactif pour adapter la base de signatures aux menaces réelles.Mais attention : si, du seul point de vue de l'utilisateur, la protection contre les menaces en circulation peut sembler suffisante, ces résultats nous permettent de lire autre chose entre les lignes : la qualité des techniques de détection générique de chaque produit.Car en l'absence de signature pour un vieux virus, un bon produit n'aura toutefois pas de mal à le détecter grâce à des techniques heuristiques (ou comportementales, si les virus sont activés).Ainsi dans ces résultats, les antivirus qui obtiennent un piètre score sont peut-être tout à fait efficaces par ailleurs contre les virus en circulation (c'est le cas par exemple de Sophos ou eTrust, qui mettent en avant leur détection proche de 100% des virus présents dans la fameuse "Wild List"). Mais leur mauvais résultat ici montre que leurs techniques de détection génériques sont, au mieux, faillibles et, au pire, inexistantes.Pourtant la détection générique trouve, aujourd'hui plus que jamais, son utilité dans la protection contre les parasites écrits sur-mesure pour mener des attaques ciblées, que ce soit contre des entreprises ou contre les particuliers afin de dérober les identifiants de banque en ligne.En dépit de ces observations, il convient toutefois de saluer le travail du webmaster de Virus.gr. Entretenir une collection de virus, même plus réduite que la sienne, est un travail colossal. A la lecture du protocole du test, la sienne est correctement classée, et il apporte une attention aux détails que tout bon spécialiste reconnaîtra (caractère unique des échantillons, réplication, checksumming, etc...).Une telle rigueur dans son protocole devrait l'aider à affronter l'assaut des éditeurs mal classés, qui n'ont probablement pas manqués de lui tomber dessus avec toute la mauvaise foi qu'on leur connaît !