Modules de test sur Windows
Protection
Quelle efficacité un produit de sécurité a-t-il réellement face à des menaces réelles ? Chez AV-TEST, les produits doivent se défendre contre des attaques actuelles au lieu d'être testés en théorie sur des bancs d'essai simulés. Dans des tests soigneusement conçus, toutes les armes employées par les cybercriminels sont utilisées : malwares de type « zero day », téléchargements à l’insu des utilisateurs (drive-by downloads), téléchargement de sites Internet, attaques via e-mails contaminés pour n'en citer que quelques unes.
Étape 1 - Test de la fonction de protection : protection contre les attaques de malwares « 0 day » provenant d'Internet, y compris les pages Web et e-mails malveillants (real-world test)
Ce module de test reflète les menaces réelles auxquelles sont confrontés les programmes de protection. Les produits doivent se défendre contre des attaques en ligne de malwares actuels et protéger les voies de contamination qu'ils utilisent le plus. Ce système de test sophistiqué enregistre la performance de défense lors du test en conditions réelles (real-world test) en plusieurs étapes. Seuls sont utilisés les programmes malveillants qui ont été identifiés par AV-TEST dans les dernières 24 heures au maximum.
Déroulement du test en conditions réelles (real-world test)
-
Tandis que les produits destinés aux particuliers sont installés avec la configuration standard, le fabricant peut imposer la configuration lorsqu'il s'agit de produits pour entreprises. Les produits sont actualisés et ont un accès total à Internet à tout moment.
-
Une image du système non infecté est réalisée à l'aide du programme d'analyse d'AV-TEST.
-
Puis, on ouvre un site Internet ou un e-mail contaminé avec un code malveillant.
-
Si un programme de protection bloque l'attaque et signale des accès dangereux, ceci est consigné. Chaque fonction de protection utilisée est enregistrée, quel que soit l'endroit où une attaque est bloquée et quelle que soit la technique. Voici comment cela se passe pour parer des attaques de malware via l'ouverture de sites Internet :
- L'accès à l'URL est bloqué
- L'exploit sur le site Internet est reconnu et bloqué
- Le téléchargement de composants malveillants est bloqué
- L'exécution de composants malveillants est bloquée
-
Étant donné que la reconnaissance de composants ou d'opérations malveillants ne signifiant pas nécessairement que les malwares sont bien bloqués, toutes les opérations sur le système de test sont surveillées en permanence. Ainsi, il est possible de constater si les attaques sont entièrement, partiellement ou pas du tout bloquées.
AV-TEST crée des conditions identiques et reproductibles pour tous les produits soumis à un test. Pour cela, le test se déroule simultanément pour tous les produits et pour chaque scénario et les systèmes de test utilisés sont configurés de manière identique.
Étape 2 - Test de la fonction de reconnaissance : reconnaissance de malwares très répandus et fréquemment apparus pendant les 4 derniers semaines (kit de référence d’AV-TEST)
Le kit de référence d’AV-TEST se compose de programmes malveillants pour Windows très répandus qui ont été découverts par AV-TEST pendant le test et dans les 4 semaines précédant le test.
La raison de cette démarche est que des infections se répètent parce que des produits ne sont pas mis à jour, ne sont pas correctement configurés ou ne sont pas encore en mesure de protéger contre des attaques. Dans ce contexte, nous contrôlons la capacité des produits à détecter des malwares datant de quelques jours et à identifier de potentielles infections dans le réseau ou sur l'ordinateur privé.
Déroulement du test avec le kit de référence d’AV-TEST
-
Tandis que les produits destinés aux particuliers sont installés avec la configuration standard, le fabricant peut imposer la configuration lorsqu'il s'agit de produits pour entreprises. Les produits sont actualisés et ont un accès total à Internet à tout moment.
-
Un scan à la demande est effectué pour contrôler le kit de référence d'AV-TEST.
-
Tous les fichiers non identifiés lors du scan à la demande sont exécutés sur le système de test pour contrôler l'identification dynamique.