32 produits sur le banc d’essai : les logiciels antivirus arrivent-ils à se protéger eux-mêmes ?
Le laboratoire d’AV-TEST ne relâche pas la pression quand il s’agit d’évaluer l’autoprotection des solutions de sécurité pour particuliers et entreprises. Voilà pourquoi ses experts ont testé 32 suites de protection afin de vérifier qu’elles utilisaient bien des techniques de protection comme l’ASLR et la DEP. Les testeurs ont également examiné de plus près les canaux de distribution et les mesures de protection supplémentaires.
Pour la troisième fois déjà, les experts d’AV-TEST ont contrôlé l’autoprotection d’une grande partie des logiciels de protection disponibles sur le marché. Ce faisant, ils se sont concentrés sur la protection des fichiers avec l’ASLR et la DEP que tous les programmeurs peuvent facilement utiliser, mais que certains ont parfois l’imprudence d’oublier. Les testeurs ont également vérifié si des canaux sécurisés étaient utilisés pour distribuer les versions d’essai ce qui permet d’éviter que les attaquants puissent répandre des suites logicielles manipulées. La technique « Forced Integrity Checking » (Vérification d’identité forcée) permet de protéger les fichiers exécutables par le biais de certificats. L’utilisation de cette mesure a également été vérifiée.
De nombreux fabricants ont retenu la leçon
En novembre 2014, la publication des premiers résultats sur l’autoprotection des logiciels antivirus avec l’ASLR et la DEP avait asséné un verdict impitoyable à certains fabricants. Les résultats de certains fournisseurs se révélaient en effet très décevants. Pourtant, les testeurs avaient seulement vérifié si les techniques de programmation ASLR et DEP étaient utilisées concernant les fichiers PE en mode utilisateur (Portable Executable) pour 32 et 64 bits. Cette technique est simple à utiliser pour les fabricants, elle est économique et n’influence pas la performance de leurs suites. Cet article d’octobre 2015 explique en détail la technique de l’ASLR et de la DEP. En 2014, seuls 2 fabricants utilisaient continuellement cette technique. Le plus mauvais taux était alors inférieur à 20 %.
La frayeur causée par le test s’est révélée efficace puisque les résultats étaient nettement meilleurs lors du test suivant en 2015. La lanterne rouge de 2014, dont le taux n’avait atteint que 18,7 %, affichait tout à coup un résultat dépassant 95 %.
Le test actuel compte désormais 19 suites de sécurité pour particuliers et 13 solutions pour entreprises. Pas moins de 16 solutions se protègent en utilisant toujours l’ASLR et la DEP. Ainsi, même les fabricants peuvent tirer la leçon de leurs erreurs. Les experts de l’institut estiment que certains produits peuvent encore s’améliorer. La lanterne rouge de cette année affiche un taux d’utilisation de l’ASLR et de la DEP de 36,3 %.
Suite aux tests précédents, certains fabricants avaient annoncé au laboratoire que leurs fichiers n’atteindraient jamais un taux de 100 % lors du test. En effet, ils disent utiliser leurs propres techniques de protection qui seraient incompatibles avec l’ASLR et la DEP. Ces fabricants ne souhaitent toutefois pas divulguer quelles techniques précises ils emploient.
1er test de sécurité : 16 des 32 suites emploient toujours l’ASLR et la DEP
De nombreux produits utilisent la technique de l’ASLR et de la DEP pour leurs fichiers de programmes, et ce, dans les versions 32 et 64 bits. La répartition des produits pour particuliers et entreprises est précisée ci-dessous.
19 solutions pour particuliers
Les suites d’Avira, Bitdefender, ESET, F-Secure, Kaspersky Lab, MicroWorld, Symantec et Trend Micro ont toujours recours à l’ASLR et à la DEP pour se protéger. BullGuard les suit de très près avec 99,6 %, G Data avec 98,8 % et AVG avec 97,2 %. Les autres fabricants tels que Comodo, Emsisoft, Avast, McAfee, ThreatTrack, Quick Heal et K7 n’utilisent pas cette protection de manière assez résolue. Leurs résultats se situent entre 92,2 et 58,5 %. La lanterne rouge d’Ahnlab n’utilise même l’ASLR et la DEP que dans 36,3 % des cas. Ce fabricant doit ici rapidement passer à l’action.
13 solutions pour entreprises
Dans les produits pour entreprises, les fabricants utilisent les techniques de protection ASLR et DEP avec bien plus de rigueur. Ainsi, les produits d’AVG, Bitdefender, ESET, F-Secure, Kaspersky Lab et Symantec emploient toujours cette technique. Les suites de Trend Micro, McAfee, G Data et Sophos ne doivent plus que régler quelques détails puisqu’elles atteignent 98,1 et 99 %. Les développeurs de Seqrite ont encore beaucoup à faire. Le taux d’utilisation de 77,1 % est en effet bien trop faible.
2e test de sécurité : les fichiers de programmes sont-ils signés ?
Certes, la signature de fichiers par le biais de certificats est une vieille connaissance des programmeurs, mais elle représente une valeur sûre. Les signatures et les certificats de fichiers sont essentiels car ils aident à identifier le fabricant dont ils proviennent. Les fichiers non signés constituent toujours une vulnérabilité éventuelle. Pour se protéger, un logiciel doit pouvoir vérifier l’authenticité et l’intégrité de ses propres fichiers. Pour cela, les signatures numériques avec des certificats valables et des valeurs de hachage fournissent une aide précieuse. Voilà pourquoi le laboratoire a également testé l’utilisation d’un certificat et sa validité concernant tous les fichiers PE en mode utilisateur (Portable Executable) pour 32 et 64 bits. Ici aussi, certains fabricants ont fait preuve d’une très bonne performance tandis que d’autres doivent rapidement corriger leurs certificats de fichiers.
Certificats des logiciels pour particuliers : les fabricants Bitdefender, Comodo, Emsisoft, ESET, G Data, Kaspersky Lab, McAfee et Symantec utilisent des certificats valables pour absolument tous leurs fichiers PE avec 32 et 64 bits. Un grand nombre de ces fabricants font aussi partie de ceux qui utilisent l’ASLR et la DEP dans 100 % des cas. Avira, F-Secure, BullGuard, MicroWorld, Ahnlab et AVG comptent de 1 à 5 fichiers sans signature ou avec un certificat non valable. Chez Trend Micro et Avast, les testeurs ont respectivement découvert 6 et 8 fichiers dont la signature n’était pas correcte. Les produits de ThreatTrack et Quick Heal présentent même 13 et 40 fichiers non sécurisés.
Certificats des logiciels pour entreprises : les fabricants ont accordé bien plus d'attention aux solutions pour entreprises pour ce qui est de la signature correcte des fichiers. Parmi les 13 produits examinés, 8 avaient parfaitement signé tous leurs fichiers : Bitdefender, ESET, F-Secure, G Data, Kaspersky Lab (les deux versions), Symantec (la version cloud) et Trend Micro. AVG, Sophos et Symantec Endpoint Security ne présentent qu’un seul fichier non signé. McAfee compte 4 fichiers sans signature tandis que sur les 256 fichiers PE de Seqrite, 42 n’étaient pas signés ce qui représente plus de 16 %.
3e test de sécurité : distribution du logiciel par des canaux sécurisés
En principe, chaque fournisseur devrait utiliser le protocole de transfert HTTPS pour distribuer son logiciel sur son propre site Internet. Même les navigateurs tels que Chrome avertissent les utilisateurs que le protocole utilisé n’est pas sécurisé par le biais d’une écriture rouge dans la barre d’adresse. Il s’agit en effet du seul moyen d’établir une communication sûre avec le serveur. HTTP laisse la porte ouverte aux attaques de l'homme du milieu (MITM). Un téléchargement peut alors être manipulé et un fichier d’installation falsifié peut être transmis au visiteur du site. En général, l’utilisateur ne s’en aperçoit pas. S’il exécute le fichier manipulé, ce dernier ne sera pas signé et Windows le signalera. Mais qui va faire preuve de méfiance lors de l’installation d’un logiciel de sécurité ?
Tandis qu’il n’existe quasiment pas de téléchargements directs pour les solutions professionnelles, presque tous les fabricants proposent leurs versions d’essai aux particuliers. Ce contrôle rapide des téléchargements fait l'effet d'une douche froide : 13 des 19 fabricants proposent leurs versions d’essai avec un protocole HTPP non sécurisé. Seuls Avira, Bitdefender, ESET, F-Secure, G Data et Kaspersky Lab ont recours au protocole sécurisé HTTPS.
Les antivirus se doivent de montrer l’exemple
Les fabricants de logiciels de sécurité devraient être les premiers à utiliser toutes les mesures possibles pour sécuriser leur produit. En effet, ils ont un rôle exemplaire dans ce secteur. Certains fabricants assument pleinement cette responsabilité : Bitdefender, ESET et Kaspersky Lab utilisent l’ASLR et la DEP dans tous les cas, ils signent tous les fichiers PE avec des certificats valables et proposent des téléchargements sûrs.
De nombreux fabricants ne doivent plus que régler quelques détails pour atteindre à leur tour une performance irréprochable. Ils devraient et vont sans doute y arriver sans problème. AV-TEST vérifiera bientôt leurs progrès lors du prochain test.
Les logiciels de protection fragilisent-ils l’ordinateur ?
Maik Morgenstern, CTO AV-TEST GmbH
Le test montre que certains fabricants fragilisent leur propre logiciel de protection en faisant preuve de négligence concernant certaines failles de sécurité éventuelles. Cependant, ce serait une grave erreur de renoncer pour cela à la protection.
Le résultat du test confirme l’avis de certains spécialistes qui affirment que les logiciels antivirus présentent eux-mêmes des vulnérabilités potentielles. Cependant, ces spécialistes estiment souvent que cela ne sert donc à rien d’utiliser un logiciel de protection. Cette conclusion est évidemment absurde.
Bien sûr, il faut tout de même reprocher à certains fabricants de ne pas réussir à utiliser de simples mécanismes de protection comme l’ASLR et la DEP sur tous leurs fichiers de produits. Cela concerne en particulier des entreprises comme Comodo, Emsisoft, Avast, McAfee, ThreatTrack Quick Heal, K7, Ahnlab et Seqrite. L’utilisation de ces techniques est vraiment simple et comme le test le démontre, leurs concurrents en sont bien capables. Un grand nombre des entreprises susmentionnées échouent aussi (en partie misérablement) du point de vue de la deuxième mesure de protection, la signature de fichiers. Ce fait est d’autant moins excusable que seuls certains fichiers ne sont pas ou sont mal signés ; la grande majorité des fichiers est signée. Il s’agit donc là de négligence. Par-dessus le marché, de nombreux fabricants proposent de télécharger leurs versions d’essai avec un protocole HTTP non sécurisé ce qui fournit encore plus d’arguments aux critiques des logiciels antivirus.
Comme le montrent les tests continus en matière de protection, les logiciels remplissent correctement leur fonction première. Les suites de sécurité fonctionnent bien, présentent généralement un taux de reconnaissance élevé et ne laissent passer que très peu de choses. Mais cela ne suffit pas. Le terme de suite de protection n’englobe pas seulement les nombreux modules d’un produit. Certains fabricants n’ont toujours pas compris qu’une suite doit être cohérente dans son ensemble : elle doit offrir la meilleure protection à l’utilisateur tout en étant parfaitement sûre elle-même, à commencer par le téléchargement de la version d’essai sur un serveur protégé. Seuls Bitdefender, ESET et Kaspersky Lab semblent avoir vraiment compris le concept cohérent de la suite de protection.