08 juillet 2025 | Texte: Markus Selinger | Antivirus pour Windows

ATP : test en live contre les malwares de vol de données et de cryptage

Les utilisateurs particuliers y perdent souvent toutes leurs photos de vacances et d’autres souvenirs – pour les entreprises, c’est parfois toute leur existence qui est en jeu. Lorsque les voleurs de données ou les ransomwares frappent, les données se retrouvent capturées ou hautement cryptées à un niveau professionnel. Un logiciel de protection efficace pour les utilisateurs particuliers et les entreprises est censé empêcher de tels scénarios. Mais y parvient-il vraiment ? Le test Advanced Threat Protection (ATP) apporte des réponses claires à cette question. Car au cours de ce test en live, les testeurs lancent 10 attaquants très dangereux sur les systèmes et observent étape par étape ce qui se passe. Les résultats de l’actuel test avec 16 suites de sécurité offrent un tableau très hétérogène : les unes assurent une défense infaillible, les autres n’empêchent ni le cryptage ni le vol de données.

Test ATP sous Windows –

comment les suites antivirus empêchent le vol et le cryptage de données

Lorsqu’un voleur de données ou un ransomware attaque, le scénario au début est toujours plus ou moins le même. La plupart du temps, il s’agit d’un e-mail d’hameçonnage avec un malware dans ses bagages. Beaucoup pensent qu’à peine cet e-mail arrivé sur le système Windows, les dés sont déjà jetés : la suite de sécurité détecte l’attaque ou non. Mais ce n’est pas tout à fait vrai. En effet, même si le logiciel de protection échoue à la première étape, cela ne veut pas dire que tout est perdu. Une suite antivirus de qualité ne se compose pas uniquement d’un système de détection, mais dispose également de nombreux autres modules qui se soutiennent mutuellement et qui souvent coopèrent parfaitement pour bloquer le programme malveillant à des étapes ultérieures.

Le test Advanced Threat Protection – ou test ATP – montre que cela peut fonctionner. Il consiste à suivre étape par étape dans 10 scénarios en live la manière dont 5 échantillons de ransomware et 5 échantillons de voleurs d'informations attaquent les systèmes Windows testés. La détection du malware qui s’est introduit dans le système ou y est exécuté n’est que la première étape de la défense. Ce qui est intéressant, c’est lorsque d’autres modules, malgré une non-détection, stoppent le programme malveillant à des étapes ultérieures et finissent par le neutraliser. Parfois, il reste un dommage négligeable sur le système, comme un fichier texte ou image. Cependant, dans certains cas, la lutte est acharnée jusqu’au bout et certaines données sont dérobées ou cryptées. Mais comparé à une perte totale des données, cela reste un résultat acceptable en cas de coup dur.

16 solutions de sécurité soumises au test ATP

8 suites de protection destinées aux particuliers et 8 solutions endpoint pour entreprises ont été mises sur le banc d’essai pour ce test avancé. Tous les produits ont été testés en mars et avril 2025 sous Windows 10 Professional.

Les fabricants des suites de sécurité pour utilisateurs finaux testées sont Avast, AVG, Avira, F-Secure, Kaspersky, McAfee, Microsoft et Norton. Les solutions de protection des points terminaux sont fournies par Acronis, Avast, Kaspersky (avec 2 versions), Microsoft, Microworld, Trellix et WithSecure.

Suites de sécurité pour particuliers soumises au test ATP

Lors de l’actuel test Advanced Threat Protection sous Windows 10, toutes les solutions de sécurité ne sont pas à la hauteur des attaquants

Solutions endpoint soumises au test ATP

Concernant les solutions de protection pour entreprises, 5 solutions évaluées sur 8 résistent aux attaques dans les 10 scénarios

Suites de sécurité pour particuliers soumises au test ATP

Solutions endpoint soumises au test ATP

Dans le tableau, un score de protection est attribué à chaque solution, avec un maximum de 35 points possibles. Chaque neutralisation totale d’un ransomware permet de remporter jusqu’à 3 points, jusqu’à 4 points pour un voleur d'informations. Pour les 5 variantes par type d’attaque, des demi-points peuvent être attribués dans les 10 scénarios.

Le laboratoire décrit le déroulement de toutes les actions de défense dans une matrice suivant la norme MITRE ATT&CK. Même lorsqu’un produit ne reconnaît pas immédiatement l’attaquant, d’autres actions de défense peuvent intervenir et ainsi stopper l’attaque. Le test montre précisément à quelle étape ceci se produit – ou non.

Dernières techniques d’attaque utilisées

Pour le test actuel de mars-avril, une technique d’attaque spéciale a été utilisée que tous les programmes malveillants ont exploitée dans les 10 scénarios en laboratoire :

MSBuild (Microsoft Build Engine) : Cet outil fiable de Windows fait partie de NET Framework et Visual Studio. Il permet de créer (compiler) des applications exécutables à partir de fichiers projet (.proj, .csproj, etc.).

Cependant, les attaquants ajoutent du code dangereux dans un fichier projet et le proposent à la compilation par l’utilisateur. Lors de ce processus, le code dangereux s'exécute en tant que logiciel malveillant sans fichier dans la mémoire vive et peut ainsi contourner les mesures de protection, car MSBuild est considéré comme une application fiable.

Les 10 scénarios utilisés pour le test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, p. ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.

ATP : qualité des produits pour utilisateurs particuliers

Le test ATP réalisé en mars-avril sur les produits pour utilisateurs particuliers réserve quelques mauvaises surprises. Sur les 8 suites évaluées, seules 3 assurent une défense irréprochable dans les 10 scénarios et obtiennent ainsi le score maximal de 35 points : Kaspersky, McAfee et Microsoft.

Norton détecte 9 attaquants, mais un voleur de données parvient tout de même à ses fins, ce qui entraîne une perte de 3,5 points. Le 10e programme malveillant, un ransomware, n’est pas détecté – autre perte de 3 points. Le score de protection de Norton s’élève à 28,5 points.

Le test s’est révélé redoutable pour les suites d’Avast, AVG, Avira et F-Secure. Toutes n’ont détecté que 8 attaquants sur 10. Les produits ont laissé passer respectivement un voleur d'informations et un ransomware sans opposer de défense. Il est intéressant de noter qu’il s’agissait à chaque fois des mêmes échantillons de malware. Au total, chaque produit a perdu 7 points et atteint un score de protection final de 28 points sur 35.

Les produits testés ont obtenu le certificat « Advanced Certified » à ce test, puisqu’ils ont tous atteint 75 pour cent des 35 points maximum (soit 26,5 points).

ATP : qualité des produits pour entreprises

Les solutions pour entreprises terminent le test avec de bien meilleurs résultats que celles pour particuliers, mais pas sans problèmes non plus. Les 5 produits d’ Acronis, Kaspersky (deux versions), Microsoft et Microworld réussissent le test sans avoir commis une seule erreur avec un score de protection de 35 points.

La suite de protection des points de terminaison de WithSecure détecte certes elle aussi les 10 attaquants, mais elle fait face à des problèmes par la suite. Elle ne parvient à stopper le voleur de données identifié qu’à des étapes ultérieures. Ceci fait perdre un point à cette solution qui totalise donc 3 points sur 4. Un ransomware lui cause également des problèmes et la perte d’autres points. Là encore, l’attaquant est toujours détecté, mais pas immédiatement bloqué. La suite de WithSecure n’y parvient qu’à des étapes ultérieures. Au décompte final, le score de protection de WithSecure est de 33 points sur 35.

La solution de protection des points de terminaison de Trellix identifie 9 attaquants sur 10. Pendant qu’un voleur d'informations parvient à ses fins sans être détecté, un ransomware est identifié, mais il n’est pas stoppé. À la fin, le système se retrouve crypté. Trellix obtient un résultat final de 28,5 points sur 35.

La solution pour entreprises d’Avast neutralise 8 attaquants sur 10 sans restriction. Dans le cas d’un vol de données et d’un ransomware, la solution échoue et les attaquants prennent le contrôle des systèmes sans être dérangés. Cette solution atteint un score de protection final de 28 points sur 35.

Toutes les solutions testées remplissent les conditions pour l’attribution du certificat « Advanced Approved Endpoint Protection » puisqu’elles ont atteint 75 pour cent des 35 points (soit 26,5 points) comme score de protection. Seul Acronis n’obtient pas le certificat, car celui-ci est réservé aux produits également certifiés lors du test mensuel régulier et qui y remplissent les critères.

Conclusion : le test ATP est difficile et laisse des traces

Du côté des produits pour utilisateurs finaux, les tableaux révèlent des pertes de points non négligeables. En revanche, les suites de Kaspersky, McAfee et Microsoft prouvent qu’il peut y avoir des performances sans fautes en matière de sécurité. Elles terminent le test avec les meilleures notes : 10 attaquants détectés et neutralisés et 35 points au score de protection.

Le résultat des produits pour entreprises est nettement meilleur, mais il est loin d’être parfait. Acronis, les deux versions de Kaspersky, Microsoft et Microworld opèrent de manière infaillible et s’assurent les 35 points au score de protection.

Certains produits identifient certes les attaquants à chaque scénario, mais n’empêchent le programme malveillant de sévir qu’à des étapes ultérieures. À l’inverse, la défense échoue parfois, alors même que le programme malveillant est déjà détecté.

Pourtant, nombre des produits testés prouvent que les développeurs des fournisseurs de sécurité informatique font du bon travail et qu’ils ont encore une bonne longueur d’avance sur les pirates.