No replies to this topic

[Txon]

Salut !

Les antirootkits "HIDS" « standalone » (non inclus dans des logiciels de protection généralistes), ont souvent servi de miroir aux alouettes pour attirer les utilisateurs vers des produits commerciaux à l'efficacité incertaine. Ainsi, les ARKs gratuits de AVG, Mc Afee, Panda ou Sophos sont-ils avant tout des outils publicitaires destiné à la vente des suites de sécurité de ces éditeurs.

Les essais effectués en mars 2007 par l'équipe de Rootkit Unhooker ont montré que les ARKs vieillissent mal faute d'adaptation aux techniques de camouflage sans cesse renouvelées et de plus en plus difficiles à détecter.

Certains utilitaires sont dangereux en ce sens qu'ils donnent l'illusion de la sécurité alors que le PC est infesté. Les antirootkits (ARK) n'échappent pas à cette règle alors que les techniques de furtivité se généralisent et que la présence des nouveaux maliciels est de plus en plus difficile à détecter.

Seuls quatre ARKs avaient été retenus, IceSword et Darkspy qui n'évoluent plus depuis cette époque car leurs auteurs ont trouvé du travail, GMER et, bien sûr en tête, RkUnhooker. Tous les logiciels des grands éditeurs étaient par contre ridiculisés.

En mars 2008, comme nous l'avait signalé noisette, les élèves de l'école informatique Epitech avaient fait un comparatif qui mélangeait de l'ancien à du nouveau et des ARKs de grands éditeurs à d'autres de développeurs indépendants.

« On sent les produits imparfaits, perfectibles, et quelquefois défectueux dans leur conception. Actuellement, la plupart de ces logiciels ne peuvent être considérés comme digne de confiance ».

Les essais étaient pourtant effectués avec des rootkits déjà majoritairement anciens.

• Seuls trois ARKS tiraient leur épingle du jeu : GMER, RKUnhooker (encore en version 3.7) et Safety Check.
• Au contraire, McAfee Rootkit Detective a été particulièrement grotesque.

Cet été, l'équipe du très sérieux Castelcops a mis à jour sa liste des antirootkits sans faire vraiment de test comparatif, mais en attribuant à chacun un nombre d'étoiles proportionnel à sa qualité.

• RkUnhooker version 3.8 est le seul qui frôle le maximum avec quatre étoiles +
• D'autres, comme GMER et le vieil Icesword ont quatre étoiles. Chez les grands éditeurs, F-Secure BlackLight et Avast! Antirootkit (basé sur GMER) entrent dans cette catégorie.
• Les autres notés, avec trois étoiles ou seulement deux, ne méritent pas ou plus qu'on s'attarde sur eux. C'est le cas d'ARKs qui ont eu leur période de gloire mais ne sont plus maintenus comme Darkspy, RootkitRevealer et System Virginity Verifier (un des tous premiers (2005), open-source, développé par Joanna Rutkowska) et aussi des produits d'éditeurs trop connus.

Il faut cependant noter la présence de nombreux autres antirootkits non jugés dont le nouveau (et très prometteur) RootRepeal.

Surtout si vous avez fait des essais de certains des ARKs non évalués par Castlecops, n'hésitez pas à nous faire part des résultats et/ou de vos commentaires.

@+