Test de Mai 2007 d'av-antivirus (Màj)
en mai fait ce qu'il te plait ... oui mais bien protégé !
Article rédigé avec la participation de Txon.
Comme pour faire écho au récent et classique test d'anti-virus réalisé par virus.gr, c'est au tour de av-comparatives (Andreas Clementi) de proposer son verdict daté de Mai 2007.
Le panel d'outils testés fait intervenir des outils payants dont certains moteurs se retrouvent dans des outils gratuits (Avast, Antivir), mais nous regretterons le choix de tester la version 6 de KAV à l'heure où les utilisateurs de l'antivirus Kaspersky ont pu migrer à la version 7 ... donnée pour plus performante dans ce genre d'exercices.
Ils sont testés sur une large gamme (qu'on espère complête ^^') de maliciels :
- Virus Windows
- Scripts malveillants
- Vers
- Portes dérobées
- Chevaux de Troie
- Autres maliciels
Ainsi, tous les maliciels utilisés ont été mis en circulation aprés le 2 février 2007 et étaient inconnus des bases virales des éditeurs à la date des tests: c'est donc bien les défenses heuristiques et pro-actives qui sont testées.
La métodologie complète se trouve (en langue anglaise) au format pdf ici.
Si la proportion de ces maliciels inconnus reste aujourd'hui toute relative (quoique finalement assez méconnue ) par rapport au nombre total de maliciels connus et répertoriés circulant sur le web, cette façon de tester les défenses proposées par les logiciels antivirus, en se concentrant sur le comportement face aux nouvelles menaces, permet de mieux situer le niveau réel de protection.
C'est donc à la lumière de ces deux tests que nous vous conseillons de vous faire votre opinion.
Les résultats du test : >>> ici <<< **
Pour compléter avec les tests de KAV 7 : >>> là <<< (merci à anarchist)
Liste des logiciels testés:
AntiVir PE Premium v7 (AVIRA), AntiVirusKit v17(G-Data), Avast! Professional v4.7 (Alwil), AVG Anti-Malware v7 (Grisoft), BitDefender Pro v10 (Softwin), Dr. Web v4 (Dr. Web), eScan Anti-Virus v8 (MicroWorld), Forticlient v3 (Fortinet), F-Prot Anti-Virus v6 (Frisk Software), F-Secure Anti-Virus v7 (F-Secure), KAV 6 (Kaspersky Labs), McAfee VirusScan v11 (McAfee), Microsoft OneCare v1.5 (Microsoft), NOD32 Anti-Virus v2.7 (ESET), NormanVirusControl v5.82 (Norman ASA), Norton Anti-Virus v14 (Symantec) et TrustPort AV WS 2.5 (AEC).
Nos remarques :
Les maliciels employés ne sont pas exclusivement des virus, tenant ainsi compte de la multiplicités des menaces, de leur évolution et leur concomitance de plus en plus fréquente. L'anti-virus est alors considéré comme devant se charger d'une tâche précise, empécher l'installation des nuisances, mais sur un front large : quel que soit le logiciel source de nuisance.
Cela ne peut se faire en constituant des "listes noires", qui par nature évoluent chaque heure et relèvent presque d'une course contre le temps : celles-ci ne sont pour autant pas inutiles, mais la méthode des bases virales doit être complétée par des techniques d'analyses heuristiques ou pro-actives.
Par ailleurs, les maliciels agissant de moins en moins souvent seuls (maliciel "hydre *"), et leurs dommages favorisant les infections supplémentaires, le nettoyage de tous les différents composants malveillants nécessite de la part des logiciels de désinfection d'agir contre les malwares et leurs effets dans leur globalité.
Ce sont les virus, les portes dérobées et les chevaux de Troie qui sont les mieux repérés : cela est sans doute du au fait que ces attaques sont le terrain classique d'action des anti-virus.
Mais ils le sont à des niveaux allant du "pire" au "pas trop mal".
Toutefois, les meilleurs détecteurs étant également les plus gros producteurs de faux positifs, ce ne sont pas ceux qui seront finalement préférés : Fortinet fait les frais de son scanner heuristique sans doute trop sensible; Bit defender, Antivir n'en sont pas loin non plus, tout comme Mc-Afee ou Nod32.
Ces résultats sont difficiles à interpréter : ils résultent plus d'un choix des éditeurs d'équilibre entre détection et mauvaise détection, ce qui montre que personne n'est au point.
La reconnaissance des vers pose au contraire bien plus de difficultés, puisque seuls Fortinet et Nod32 (dans une moindre mesure) peuvent être considérés comme un peu opérationnels.
S'il s'agit d'un script, tout le monde est pris à défaut, les meilleurs taux de détections étant de 1/3 environ (F-Secure Anti-Virus, TrustPort AV WS, NormanVirusControl).
Aucun test n'est clairement mentionné concernant les Rootkits, sans doute est-ce dans la catégorie (ravageuse pour tout le monde) "Other malwares" qu'ils sont catalogués pour l'instant ?
Par conséquent, aucun test de résistance à la désactivation n'est mentionné non plus.
La rapidité du scan semble avoir été moins déterminante que d'habitude dans leur évaluation, et ce n'est pas un mal.
Enfin, nous insistons sur le regrêt de constater l'absence de KAV 7.0 du test : nul doute que le test d'août corrigera cette défaillance, qui sort ni plus ni moins celui qui dans les tests basés sur des listes virales obtient presque systématiquement les meilleurs résultats.
Néanmoins, ce test, volontairement amputé de ce qui constitue habituellement un test d'anti-virus, en dit long sur les mutations observées par les auteurs concernant les maliciels ces derniers mois, et l'on peut donc s'attendre à des boulversements des futurs classements aux tests (même classiques), à moins que ce ne soit des réactions de certains éditeurs.
Bonne lecture .
* Hydre (définition Txon) : Logiciel malveillant à plusieurs "têtes" c.a.d constitué de plusieurs modules qui forment un ensemble aux missions diversifiées. Ses caractéristiques principales sont ...
- un camouflage général par des fonctions "rootkits" multiples,
- une "tête immortelle", protégée contre les logiciels de défense (tout particulièrement les plus réputés),
- un système de propagation visant l'infection dun plus grand nombre afin de constituer un réseau de PCs "zombies",
- la surveillance de l'intégrité d'ensemble et la possibilité de réinstaller tout élément qui aurait été éradiqué, souvent avec une "signature" différente,
- une capacité évolutive par l'éventuelle adjonction de nouvelles "têtes", ou au contraire par la suppression des missions achevées dont les traces pourraient être découvertes.
** le site av-comparatives interdit désormais la reproduction de ses travaux.