08 novembre 2022 | Texte: Markus Selinger | Antivirus pour Windows
  • Partager :

29 solutions de sécurité soumises au test de défense contre les ransomwares

Une attaque au ransomware réussie a toujours des conséquences fatales. Si, dans le domaine privé, seuls quelques PC sont contaminés, dans les réseaux d’entreprises, le ransomware se propage à vitesse grand V sur tous les PC et disques durs disponibles. Pendant son test Advanced Threat Protection, AV-TEST a analysé les performances des solutions de sécurité pour PC privés et PC d’entreprise face aux ransomwares. Confrontées à 10 scénarios différents, certaines solutions ont eu fort à faire.

Test Advanced Threat Protection

29 solutions de protection contre les ransomwares

zoom

« Fatale », voilà l’adjectif qui résume le mieux une attaque au ransomware réussie. Nombreuses sont les entreprises qui ont déjà fait cette malheureuse expérience. En Allemagne, des organisations renommées telles que Hipp, dpa et la Chambre de commerce et de l’industrie ont été touchées, en Europe et dans le monde Energias de Portugal, Rockstar Games ou Colonial Pipeline. Presque toutes les victimes déplorent le cryptage des PC de production, de serveurs et de disques durs accompagné d’une demande de rançon. Souvent, la production a été interrompue, et les entreprises ont subi chaque jour des dommages supplémentaires.

Beaucoup d’utilisateurs particuliers et d’entreprises utilisent une solution de protection pour protéger leurs systèmes Windows des ransomwares. Avec son test Advanced Threat Protection, AV-TEST a testé sur 29 de ces produits si la protection contre les attaques aux ransomwares était efficace. Il s’agit pour chaque solution de protection de contrer des attaques dans 10 scénarios proches de la pratique. Même si la plupart des produits y parviennent très bien, on note ici ou là quelques faux pas qui viennent ternir les résultats.

29 produits soumis à un test pratique

Dans un test de détection classique, il n’y a que deux résultats possibles : « détecté » ou « non détecté ». Dans le test actuel d’une plus grande ampleur, c’est un peu différent. Dans un premier temps, on note comme d’habitude si la solution détecte l’attaque ou non. À ce stade, il est encore possible qu’elle la détecte même plus tard grâce à d’autres actions, la stoppe et supprime au moins une partie des attaquants. 

C’est pourquoi le test Advanced Threat Protection présente dans les graphiques d’évaluation toutes les étapes d’une attaque au ransomware, et à partir de quel moment la solution de protection stoppe l’attaque intégralement, partiellement ou pas du tout. Toutes les étapes sont alors évaluées, le laboratoire attribuant dans ce test jusqu’à 4 points à chaque scénario. Les produits peuvent ainsi atteindre un score de protection maximal de 40 points dans 10 scénarios.

Le laboratoire a testé les produits pour utilisateurs particuliers suivants: Ahnlab, Avast (avec 2 versions), AVG, Avira, Bitdefender, G DATA, K7 Computing, Malwarebytes, McAfee, Microsoft, Microworld, NortonLifeLock, PC Matic, Trend Micro et VIPRE Security.

Le laboratoire a testé les produits pour entreprises suivants: Ahnlab, Avast, Bitdefender (avec 2 versions), Check Point, Comodo, G DATA, Malwarebytes, Microsoft, Seqrite, Trellix, Trend Micro et VMware.

Pour ces deux groupes d’utilisateurs, les résultats sont très intéressants. Tous les produits pour particuliers détectent le ransomware dès le départ, mais seulement 10 sur 16 empêchent toutes les autres étapes de l’attaque. Le score le plus bas réalisé ici se situe même à 31 points seulement.
Du côté des solutions pour entreprises, 8 produits sur 13 atteignent le score maximal de 40 points, même si une attaque n’a pas été détectée. Si certains produits ne sont pas parvenus à empêcher toutes les étapes d’une attaque, le score le plus bas se situait à 36 points sur 40, ce qui reste somme toute satisfaisant.

Test approfondi contre les ransomwares

Les suites de sécurité pour Windows sont-elles efficaces contre les ransomwares ? Le test Advanced Threat Protection a la réponse.

zoom ico
Ransomware : protection efficace en entreprise

Le test Advanced Threat Protection montre l’efficacité des suites de sécurité Windows pour entreprises face aux ransomwares.

zoom ico

1

Test approfondi contre les ransomwares

2

Ransomware : protection efficace en entreprise

Test : des solutions face à de rudes adversaires

Chacun des 10 scénarios du test est défini et décrit de manière technique et précise dans les graphiques ci-dessous. Par exemple, une attaque est précédée d’un harponnage avec une pièce jointe à un e-mail. Le fichier contenu dans la pièce jointe est exécuté et commence en effet à attaquer et à crypter le système. Toutes les étapes du scénario indiquées dans les graphiques sont spécifiées par les codes « Techniques » de MITRE ATT&CK et utilisées par le laboratoire. Ainsi, le scénario est donc parfaitement compréhensible, même pour les spécialistes. Pour les lecteurs intéressés, le laboratoire explique les étapes techniques d’un test Advanced Threat Protection dans l’article déjà publié : Nouvelles défenses :des solutions EPP et EDR contre les attaques ATP et les rançongiciels sur le banc d'essai.

Les différents graphiques présentant les résultats se lisent de la façon suivante : Le déroulement du test est présenté sur une ligne par ransomware attaquant. Il y a donc 10 lignes de résultats. Si un ransomware est bloqué par la suite de protection au cours de l’une des deux premières étapes (initial access ou execution), on considère que l’attaque a été contrée avec succès. Si c’est le cas, le code couleur affiche la couleur verte : attaque stoppée. Jaune signifie : partiellement stoppée. Orange signale : attaque non stoppée (no detection). Le champ jaune à la fin peut indiquer deux résultats : si l’attaque n’a été que partiellement détectée, alors soit certains fichiers sont cryptés (some files encrypted), soit le ransomware a été empêché de crypter, mais il reste dans le système (malware remains on system). Si on trouve un champ orange à la fin de la série de graphiques, cela signifie que l’attaque n’a pas été détectée et que le ransomware a pu s’exécuter complètement (files encrypted).

Pour chaque ransomware entièrement détecté et stoppé, le laboratoire attribue 4 points. En revanche, il retire un certain nombre de points si les attaques n’ont été que partiellement détectées. Bien entendu, une attaque non détectée ne rapporte aucun point. Dans le présent test, une solution peut obtenir 4 points par scénario – soit 40 points pour le score de protection au total. Attention : si les tests Advanced Threat Protection sont effectués régulièrement tous les deux mois, les scénarios peuvent varier et avec eux le nombre de points maximum du score de protection.

Scénarios de test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex.« T1059.001 », correspondent dans la base de données Mitre à « Techniques » sous le point 1059.001 «Command and Scripting Interpreter PowerShell ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Protection efficace pour les particuliers

Le test montre que la plupart des 16 suites de sécurité pour particuliers tiennent leurs promesses en matière de protection. 10 produits sur 16 identifient tous les attaquants sans problème et stoppent également toutes les autres étapes. Tous obtiennent les 40 points maximum du score de protection : Ahnlab, Avast (avec les deux versions), AVG, Avira, Bitdefender, Microsoft, Microworld, PC Matic et Trend Micro.

Les 6 produits suivants détectent également tous les ransomwares attaquants, mais n’ont pu les stopper qu’en partie. Malwarebytes avec 37,5 points, ainsi que G DATA et McAfee avec 37 points ont rencontré quelques problèmes de détection, mais parviennent dans presque tous les cas stopper le ransomware à des étapes ultérieures. Dans le cas de Malwarebytes, certains fichiers ont été cryptés. Dans presque tous les cas, une « run key », une clé de registre Windows, a été installée qui n’a toutefois rien engendré de particulier.

Pour VIPRE Security et NortonLifeLock qui ont obtenu respectivement 36 et 35,5, le tableau est similaire. Mais le nombre de cas non détectés qui ont toutefois été stoppés plus tard est plus élevé. Là aussi, des clés de registre ont été installées. Dans le cas de VIPRE Security, certains fichiers ont été cryptés.

Quant à K7 Computing, il n’a obtenu que 31 points sur 40 possibles. Ce produit identifie bien tous les attaquants pendant le test, mais il n’est capable de stopper la suite de l’attaque que partiellement. À plusieurs reprises, il autorise l’entrée d’une clé de registre, et le cryptage des données n’est lui aussi empêché que partiellement.

À l’issue du test, tous les produits ont obtenu le certificat « Advanced Certified ». Pour obtenir ce certificat, il faut atteindre un score minimum de 75 pour cent (30 points) sur le score de protection maximum de 40 points.

Particuliers 06/2022

V3 Endpoint Security
Free Antivirus
One Essential
Internet Security
Internet Security for Windows
Internet Security
Defender Antivirus (Consumer)
eScan Internet Security Suite
Application Whitelisting
Internet Security
Premium
Total Security
Total Protection
VIPRE AdvancedSecurity
Norton 360
Total Security

Solutions pour entreprises contre les ransomwares

Le tableau des solutions pour entreprises montre en un coup d'œil que 12 produits testés sur 13 ont détecté tous les attaquants. Seul Trend Micro n’y est pas parvenu dans un cas. Cependant, la détection à elle seule ne signifie pas automatiquement que l’attaque au ransomware va être complètement contrée. Bonne nouvelle : 8 produits sur 13 réussissent à la fois à détecter et à stopper complètement les attaques. Ils ont donc obtenu les 40 points maximum du score de protection : Ahnlab, Avast, Bitdefender (avec les deux versions), Comodo, G DATA, Malwarebytes et Microsoft.

Ils sont suivis de près par les solutions de Check Point et Seqrite qui totalisent 38,5 points. En cas d’attaque, tous deux ont le même problème, à savoir que le ransomware peut procéder aux premières étapes de l’attaque, y compris installer une clé de registre Windows. Ce n’est qu’ensuite que ces sentinelles stoppent l’attaque, rendant alors la clé de registre inoffensive.

Dans un cas de figure, Trellix rencontre le même problème que les deux produits précédents. Toutefois, l’attaque n’a pas été totalement stoppée et certains fichiers ont été cryptés. Au final, Trellix obtient donc 37,5 points.

VMware et Trend Micro terminent le test en totalisant chacun 36 points. Lors du test, deux attaques ont posé des problèmes à VMware. La première est contrée lors d’étapes ultérieures, et ne laisse derrière elle qu’une clé de registre. La deuxième attaque fait face à une défense un peu moins efficace et parvient à crypter des fichiers.

Dans 9 cas sur 10, Trend Micro affiche une défense irréprochable. À la 10e attaque, l’attaquant n’est cependant détecté ni au début ni au cours d’étapes ultérieures, ce qui permet au ransomware de parvenir à ses fins.

Pour qu’un produit obtienne le certificat « Advanced Approved Endpoint Protection », il doit totaliser 75 pour cent (30 points) du maximum de 40 points. Le résultat le plus faible du test est de 36 points. Ainsi, toutes les solutions testées obtiennent le certificat.

Solutions pour Entreprises 06/2022

V3 Endpoint Security
Business Antivirus Pro Plus
Endpoint Security
Endpoint Security (Ultra)
Client Security
Endpoint Protection Business
Endpoint Protection
Defender Antivirus (Enterprise)
Endpoint Security
Endpoint Security
Endpoint Security
Carbon Black Cloud
Apex One

Détecter, c’est bien – contrer complètement une attaque, c’est mieux

Le test actuel illustre bien la difficulté à se protéger contre les ransomwares. Tous les produits testés – pour particuliers et pour entreprises – ont détecté tous les attaquants à une exception près. Toutefois, dans certains cas, diverses solutions ne parviennent à stopper le ransomware qu’à une étape ultérieure. Il arrive même que certains fichiers soient cryptés.

Quoi qu’il en soit, le test montre que la plupart des produits sont des partenaires fiables pour se protéger contre les ransomwares. Parmi les solutions pour entreprises, 8 sur 13 atteignent le score de protection maximal de 40 points. Du côté des utilisateurs privés, 10 suites sur 16 y parviennent. Les autres produits ne stoppent le ransomware qu’à une étape ultérieure de l’attaque. Certes, il n’y a presque pas de dommages, mais ces erreurs coûtent des points. Le cryptage de fichiers n’a lieu que dans des cas isolés. L’attaque du ransomware n’a atteint son but que dans un cas seulement sur les 290 scénarios analysés. Un résultat plus que satisfaisant qui procure un sentiment de sécurité.

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.