• Partager :

Des outils antivirus spéciaux sur le banc d’essai : ces protecteurs sont-ils efficaces en cas de besoin ?

Suite à l’attaque d’un programme malveillant, les outils antivirus spéciaux endossent généralement le rôle de véritables sauveurs. Le laboratoire d’AV-TEST a évalué 5 outils spéciaux populaires pendant presque un an afin de vérifier s’ils supprimaient bien les virus des ordinateurs Windows infectés et s’ils les réparaient intégralement.

Les outils antivirus spéciaux

peuvent sauver la mise aux utilisateurs – 5 d’entre eux doivent ici faire leurs preuves.

zoom

Les outils antivirus spéciaux permettent de sauver, de nettoyer et de restaurer entièrement une grande partie des systèmes attaqués par des programmes malveillants. Du moins, c’est ce qu’affirment les fabricants et de nombreux utilisateurs sur Internet. Le laboratoire d’AV-TEST a voulu en savoir plus et a donc évalué 5 outils spéciaux pendant presque un an lors de 4 séries de tests sophistiqués. Chacun des 5 outils de nettoyage a dû contrôler 53 systèmes au total, en supprimer les programmes malveillants et réparer les dommages subis. Tous les logiciels malveillants utilisés lors des tests étaient de vieilles connaissances des scanners de ces outils. En effet, le test visait à évaluer la qualité de la réparation et non l’identification.

Test de réparation d’outils antivirus spéciaux 2015/16

les 5 outils testés ont généralement fait bonne figure ; l’outil le plus fiable est celui de Kaspersky avec 52 systèmes nettoyés sur 53.

zoom ico
Kaspersky Virus Removal Tool

cet outil gratuit a nettoyé 52 des 53 systèmes d’essai ce qui correspond à la meilleure performance de l’année.

zoom ico
Bitdefender Rescue CD

l’outil démarre indépendamment, télécharge les dernières données en ligne puis nettoie l’ordinateur.

zoom ico
Cryptrolocker Locky

le programme malveillant chiffre les données de l’utilisateur et exige une rançon pour lui fournir la clé. Ici, seuls des outils spécialement développés par les fabricants peuvent apporter leur aide – les outils de nettoyage normaux sont généralement impuissants dans pareil cas.

zoom ico

1

Test de réparation d’outils antivirus spéciaux 2015/16

2

Kaspersky Virus Removal Tool

3

Bitdefender Rescue CD

4

Cryptrolocker Locky

Des tests laborieux pour des réponses univoques

Un test reposant sur 53 programmes malveillants par outil ne semble pas trop compliqué. Mais cette impression est trompeuse. Pour chaque vérification, les testeurs ont ainsi dû infecter un ordinateur Windows avec un programme malveillant puis consigner les modifications apportées. Étant donné que la majorité des logiciels malveillants reconnaissent les machines virtuelles et se comportent alors de manière différente, seuls des ordinateurs normaux ont été employés lors du test. Lors de l’évaluation, chaque système a ensuite été démarré avec un outil spécial. Les testeurs ont alors activé l’identification et le nettoyage, ils ont effectué toutes les opérations manuellement avant d’analyser la qualité de la restauration. Au final, cela représente 265 procédures de test individuelles avec une grande portion de travail manuel.

De bons alliés en cas d’urgence

Le test a évalué les cinq outils suivants, lesquels sont disponibles gratuitement sur Internet :

• AVG Rescue CD
Avira EU-Cleaner
• Bitdefender Rescue CD
• ESET SysRescue
• Kaspersky Virus Removal Tool

Les résultats sont bons, même si certains outils comme ESET SysRescue et Avira EU-Cleaner n’ont pas identifié quelques attaquants connus durant le test. Ils n’ont pas reconnu 3 ou 4 des attaquants et se sont alors retrouvés impuissants. Avec un taux d’environ 65 %, les outils n’ont tout de même pas démérité lors de la réparation intégrale du système.

Les outils AVG Rescue CD, Bitdefender Rescue CD et Kaspersky Virus Removal Tool s’en sortent mieux. AVG et Kaspersky ont cependant respectivement échoué à une reprise à supprimer les composants actifs du programme malveillant qui avait pourtant été reconnu. Seul l’outil de Bitdefender n’a pas trébuché une seule fois lors des deux premières étapes de reconnaissance et de suppression.

Kaspersky nettoie 52 des 53 systèmes

En principe, les outils ne devraient toutefois pas se contenter d’éliminer les composants principaux d’un programme malveillant. Tous les fichiers résiduels importés devraient être supprimés en même temps. L’outil Kaspersky Virus Removal Tool est le seul à avoir brillé par sa performance dans cette section en ne laissant aucun résidu dans 52 des 53 tests. Cela correspond à un taux de nettoyage de 98,7 %. Tous les autres outils n’ont pas fini leur travail en laissant des fichiers dans 32 à 45 des 53 tests.

Dans l’ensemble, le résultat des autres outils est plutôt correct car ils permettent quand même presque toujours de sortir l’utilisateur de sa situation critique.

Aperçu du tableau

Afin de faciliter la compréhension, le tableau avec les différents outils a été divisé en plusieurs parties. Il présente les sections suivantes :

1. Le programme malveillant a-t-il été identifié ?
2. Les composants actifs ont-ils entièrement été supprimés ?
3. Des fragments de fichiers inoffensifs ont-ils été conservés et toutes les modifications du système ont-elles été annulées ?
4. Le logiciel de protection ou de nettoyage a-t-il tout parfaitement supprimé et restauré ?

La dernière colonne du tableau indique le pourcentage de réparation totale du système. Avec un taux de 98,7 %, Kaspersky Virus Removal Tool occupe sans conteste le premier rang. Bitdefender Rescue CD et AVG Rescue CD le suivent avec 79,9 et 78 %.

Si les utilisateurs veulent tout simplement éviter de se retrouver dans une mauvaise passe, ils devraient installer une suite de protection. Le dernier test en continu publié (Voici comment les suites de protection réparent votre système après qu’un programme malveillant l’ait attaqué) montre qu’une bonne suite de sécurité Internet permet de réduire presque à zéro le risque d’une attaque réussie par un programme malveillant. Même si une suite ne reconnait le programme malveillant qu’après qu’il se soit introduit dans le système, certains des produits atteignent un taux de nettoyage et de réparation de 100 %.
 

Cas particulier : l’attaque d’un ransomware ou d’un cryptolocker

Maik Morgenstern, Directeur technique d'AV-TEST GmbH
Maik Morgenstern, Directeur technique d'AV-TEST GmbH

Lors du test, le laboratoire a utilisé de très nombreux types de logiciels malveillants comme les chevaux de Troie, les vers informatiques ou les aspirateurs de mots de passe mais pas de cryptolockers. En effet, ils constituent un cas spécial particulièrement difficile. 

Il faut d’abord savoir que les ransomwares et les cryptolockers ne diffèrent pas vraiment. Les spécialistes aiment utiliser les deux notions. Le terme de ransomware désigne tous les programmes malveillants qui veulent extorquer de l’argent en bloquant une partie de l’ordinateur et en cryptant certaines données. Les cryptolockers visent aussi à soutirer de l’argent mais ils chiffrent pour cela presque toujours toutes les données. Les 53 programmes malveillants utilisés pour le test incluent des injecteurs, virus, vers informatiques, téléchargeurs, aspirateurs de mots de passe, portes dérobées ou des chevaux de Troie. Les ransomwares ou cryptolockers n’ont pas été testés car ces programmes malveillants ne se cachent pas dans le système mais déclenchent en général aussitôt une procédure de cryptage et envoient le code de déverrouillage correspondant sur Internet. Ainsi, un outil de nettoyage ne peut rien faire s’il se contente de reconnaitre le programme malveillant. L’outil doit également connaître le code de base adapté pour déverrouiller le système. De nombreux fabricants empruntent donc un autre chemin pour lutter contre les ransomwares ou cryptolockers :

Ils envoient des ordinateurs non protégés mais spécialement surveillés surfer sur Internet afin qu’ils soient attaqués de manière ciblée par un cryptolocker recherché. Ce dernier se met directement à crypter et envoie le code de déverrouillage sur Internet. De cette manière, il est non seulement possible d’intercepter le code mais aussi de le suivre jusqu’à son serveur d’enregistrement. Grâce à cette méthode, certains fabricants ont par le passé pu découvrir des serveurs entiers remplis de codes de déverrouillage et les ont envoyés aux utilisateurs rackettés. Une fois que le code de déverrouillage est disponible, les experts tentent d’analyser le code et le programme de chiffrement afin de percer l'algorithme. S’ils y parviennent, alors ils créent un outil avec une sorte de clé universelle qui est transférée gratuitement aux utilisateurs concernés.

Les experts peuvent aussi parfois avoir de la chance : il arrive régulièrement que les auteurs de virus fassent des erreurs lors de la mise en œuvre du codage. L’outil de chiffrement est alors plus facile à décrypter.

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.