Dernières Actualités
07 juillet 2026 | Texte: Markus Selinger | Antivirus pour Windows
Cyberattaques : un outil d’automatisation pour Windows propage des ransomwares et des infostealers
Détecter un logiciel malveillant, qu’il s’agisse d’un rançongiciel ou d'un voleur d'informations, n'est qu'une première étape. Le neutraliser en est une autre. Notamment, lorsque les attaquants détournent, qui plus est, des outils Windows légaux, comme par exemple Autolt, pour mener à bien leurs desseins. Que se passe-t-il si une solution de protection ne détecte pas les pirates ou ne parvient pas à les bloquer malgré la détection ? Le test Advanced Threat Protection – ou test ATP – répond précisément à ces questions. À travers 10 scénarios, le test vérifie si une solution de protection utilise bien tout son arsenal d’outils de protection supplémentaires dans la pratique et si elle assure la protection promise. Si ce n’est pas le cas, l’attaque du rançongiciel ou du voleur d’informations réussit. Mais le test montre que les solutions de protection maîtrisent leur sujet.
Ransomwares et infostealers s'attaquent à Windows 11
17 suites de protection pour particuliers et entreprises montrent, lors du test ATP, l’efficacité avec laquelle elles repoussent ces dangereux attaquants
Même pour les experts, il est difficile de s’y retrouver parmi tous ces groupes de hackers. De nouveaux groupes émergent constamment et proposent même leur infrastructure en location à des « affiliés », c’est à dire des partenaires criminels qui mènent les attaques, dans le cadre du «ransomware-as-a-service » (RaaS). Cela augmente considérablement la menace sur Internet. Bien sûr, ce genre de services sur le darknet existe aussi pour les logiciels voleurs d’informations et autres logiciels malveillants.
Que
Le test Advanced Threat Protection est clairement structuré : chaque solution de protection doit faire ses preuves sur un PC de test dans 10 scénarios réels, 5 fois contre des ransomwares et 5 fois contre des infostealers. Pour ce faire, le laboratoire utilise différentes techniques d’attaque ou les combine. Il peut s’agir, par exemple, d’attaques par injection, de code PowerShell spécifique ou d’outils détournés, comme dans le test actuel. En effet, les attaquants misent souvent ces derniers temps sur des attaques automatisées avec l’outil AutoIt. C’est pourquoi il joue un rôle particulier dans ce test :
AutoIt: est un outil Windows très populaire qui utilise un langage de script similaire au BASIC pour automatiser des actions sous Windows, comme les clics, les saisies au clavier, le contrôle des fenêtres et des tâches simples d’installation ou d’administration. Il permet aussi de compiler des scripts dans des fichiers EXE pour qu’ils s’exécutent sans installation supplémentaire d’AutoIt.
Les attaquants utilisent AutoIt pour créer et diffuser des scripts malveillants. Comme cet outil est connu et légal, son utilisation passe tout d’abord inaperçue. Lors de nos attaques, nous utilisons des scripts AutoIt qui implémentent des chargeurs de shellcode, chargés de décrypter et d’exécuter du code malveillant en mémoire. Ces scripts sont soit diffusés avec l’interpréteur AutoIt, soit compilés en fichiers exécutables à l’aide d’Aut2Exe. Lors de leur exécution sur le système cible, le chargeur basé sur AutoIt simule le comportement du ransomware ou de l’infostealer, voleur d’informations.
Tous les produits doivent repousser les attaquants dans les 10 scénarios. Les graphiques des résultats obtenus pour chaque produit montrent à la fin de cet article dans quelle mesure ils y parviennent. Les autres tableaux de test indiquent le nombre de points obtenus par les solutions pour leur score de protection. La note maximale pouvant être attribuée par les testeurs est de 35 points. Chaque ransomware détecté permet de remporter jusqu’à 3 points, chaque voleur d'informations jusqu’à 4 points. En cas de problèmes de défense, des points entiers ou des demi-points peuvent être retirés.
Les 10 scénarios utilisés pour le test
Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, p. ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière et le contexte dont les programmes malveillants opèrent et s'installent sur le système.
Test ATP avec 8 suites de sécurité pour particuliers
Dans le dernier test ATP, 7 des 8 suites de sécurité pour Windows testées ont obtenu le score maximal. Elles détectent les attaquants dans les 10 scénarios et ne se laissent pas induire en erreur par les nouvelles techniques d’attaque. Ces suites ont donc obtenu la note maximale de 35 points : Avast, AVG, Bitdefender, K7 Computing, Kaspersky, McAfee et Norton.
Le seul produit qui a rencontré des problèmes est la suite d’ESET. Lors du test, elle n’arrive ni à détecter un voleur d’informations ni à l’arrêter par d’autres moyens. L’attaquant s’en prend au système sans être dérangé et vole les données. Il faut donc retirer 4 points.
Dans un autre cas avec un ransomware, l’attaquant a bien été détecté, mais pas totalement bloqué. L’attaque est ensuite partiellement bloquée par d’autres modules de défense, mais au final, le ransomware l’emporte et le système est crypté. ESET perd ici 1,5 point supplémentaire. Au final, il ne reste donc plus que 29,5 points sur les 35 possibles.
Tout produit qui obtient 75 % des 35 points (soit 26,5 points) au score de protection lors du test et qui participe aux séries de tests Windows régulières reçoit le certificat « Advanced Certified » d’AV-Test. Toutes les suites destinées aux particuliers répondent à ces critères et obtiennent le certificat.
9 solutions de protection pour entreprises soumises au test ATP
L'évaluation des 9 solutions d'entreprise dans le cadre du test ATP s'avère très satisfaisante pour de nombreux fournisseurs. 8 produits de protection des terminaux destinés aux PC de bureau sous Windows 11 n'ont rencontré aucune difficulté dans les 10 scénarios du test et ont repoussé tous les attaquants. Obtiennent pour cette performance les 35 points maximum au score de protection : Acronis, Avast, Kaspersky (les deux versions), Microworld, Norton, Qualys et Trellix.
Le produit de Net Protector échoue au test à cause de deux problèmes. Bien qu’il détecte immédiatement les 10 attaquants, il ne parvient à en isoler que 8. La protection ne bloque que partiellement un voleur d’informations et un ransomware, ce qui permet aux attaques de se poursuivre. Même les modules de protection supplémentaires utilisés n’arrivent pas à bloquer complètement les attaquants. Au final, les données sont soit cryptées par le ransomware, soit volées par l’infostealer. Net Protector a donc perdu 2,5 points dans un cas, et 2 dans l’autre. Au décompte final, le score de protection de Net Protector est de 30,5 points sur 35.
Toutes les solutions testées remplissent les critères pour obtenir le certificat « Advanced Approved Endpoint Protection ». En effet, elles ont obtenu 75 % des 35 points (26,5 points) au score de protection et participent régulièrement aux tests Windows bimestriels. .
Le test ATP affiche de nombreux résultats exceptionnels
Le dernier test ATP témoigne d’un travail de recherche et de développement solide chez les fournisseurs de produits de sécurité destinés aux particuliers et aux entreprises. 15 des 17 suites de sécurité testées ne se laissent pas tromper, même par les techniques d’attaque les plus récentes ou par des logiciels malveillants modifiés. Elles détectent et éliminent sans faille toutes les menaces du test.
Seules deux suites de sécurité ont rencontré des problèmes dans certains cas isolés. Mais face aux ransomwares et aux infostealers, il n’y a pas de place pour l’erreur. C’est à cet endroit que les fournisseurs doivent s’améliorer.




























