13 mars 2023 | Texte: Markus Selinger | Antivirus pour Windows
  • Partager :

Les logiciels de protection face aux logiciels rançonneurs nouvelle génération

Dans une étude de large envergure, AV-TEST a testé des suites de sécurité pour particuliers et entreprises. Tous les produits ont été éprouvés face aux techniques utilisées actuellement par les logiciels de rançon. Les cybercriminels ont recours à d’astucieux procédés tels que les fichiers polyglottes, le DLL side-loading ou les fichiers auto-extractibles compressés protégés par mot de passe comme ceux utilisés par Emotet par exemple. Au total, les 25 produits mis au banc d’essai ont relevé une grande partie des défis – mais pas tous. L’article de la série des tests Advanced Threat Protection ci-dessous met en lumière les résultats dans une évaluation condensée.

Logiciels de sécurité contre rançongiciels dans le test Advanced Threat Protection
Logiciels de sécurité contre rançongiciels

dans le test Advanced Threat Protection

zoom

En plus des tests de détection classiques, le laboratoire d’AV-TEST propose une évaluation de différentes suites de sécurité pour particuliers et entreprises effectuée dans le cadre d’un test en live contre les logiciels rançonneurs aux stratégies perfides. Pour réaliser l’étude actuelle, le laboratoire a utilisé les techniques d’attaque suivantes, telles que celles utilisées par Emotet :

Fichier polyglotte : Pour cette technique, l’attaquant utilise des fichiers préparés spécialement et qui sont combinés entre eux. Pour le test actuel, les experts ont combiné un fichier LNK avec un fichier ISO. Avec cette combinaison, il est plus difficile pour les suites de sécurité d’analyser et de détecter ces fichiers et donc d’empêcher leur exécution.

DLL side-loading : Ici, les attaquants profitent d’erreurs de programmation courantes dans des logiciels standards. Une DLL (bibliothèque de liens dynamiques) malveillante est copiée dans le répertoire de l’application. L’application ne le remarque pas et télécharge la DLL. Le processus exécute alors les instructions des attaquants, alors qu’il paraît tout à fait normal et inoffensif.

Fichiers auto-extractibles compressés protégés par mot de passe : Cette technique, nested password protected self-extracting archives en anglais, a également été utilisée par Emotet pour empêcher sa détection par des programmes de protection.

Un produit testé dans le cadre du test Advanced Threat Protection obtient comme distinction un certificat spécial, mais uniquement si le score de protection atteint au moins 75 pour cent des 30 points maximum, soit 22,5 points en l'occurrence. Les produits destinés aux particuliers obtiennent le certificat « Advanced Certified », les produits destinés aux entreprises le certificat « Advanced Approved Endpoint Protection ».

Vous trouverez également une explication plus détaillée des tableaux évaluatifs et des différents codes couleurs sous forme de feu de signalisation dans l’article « Test et étude : les logiciels de sécurité sont-ils efficaces contre les ransomwares actuels sous Windows 11 ? ».

Logiciels de protection pour particuliers contre logiciels rançonneurs

Le test Advanced Threat Protection met en scène des techniques telles que celles utilisées par Emotet lors de ses attaques

zoom ico
Protection contre les rançongiciels pour les entreprises

Les solutions de protection pour les entreprises ont montré lors du test Advanced Threat Protection l’efficacité avec laquelle elles résistent aux attaques de rançongiciels utilisant les techniques les plus récentes

zoom ico

1

Logiciels de protection pour particuliers contre logiciels rançonneurs

2

Protection contre les rançongiciels pour les entreprises

Produits pour particuliers soumis au test Advanced Threat Protection

Les suites de sécurité pour utilisateurs finaux testées en laboratoire sont celles des fabricants : Avast (2 versions), AVG, Bitdefender, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Microworld, Norton, PC Matic et VIPRE Security.

Avast avec One Essential, AVG, Bitdefender, F-Secure, Kaspersky, Microsoft, Microworld et PC Matic ont détecté toutes les techniques d’attaque spéciales des 10 différents scénarios de rançongiciels, ce qui leur permet d’atteindre le score de protection maximal de 30 points.

D’autres produits ont certes détecté les intrus de manière fiable, mais n’ont pas été capables d’en repousser certains, ou seulement en partie. G DATA a rencontré des problèmes à une étape : il a bien identifié le logiciel rançonneur, mais n’a réussi à le bloquer que partiellement, ce qui a conduit au cryptage de certains fichiers, et à la note de 29 points.

VIPRE Security obtient 28,5 points sur 30, faute d’avoir pu éviter le cryptage alors qu’il avait détecté l’attaque.

Il est arrivé la même chose à Norton. Le logiciel rançonneur a certes été identifié, mais le cryptage du système n’a pas été bloqué : 27,5 points.

Malwarebytes Premium a bien détecté les 10 attaquants, mais n’a pu les bloquer que partiellement. Trois malwares sont ainsi parvenus à crypter certains fichiers. Résultat : 27 points sur 30.

Avast (Free Antivirus) a dû déclarer forfait dans un scénario : l’intrus n’a pas été identifié et le rançongiciel a pu se déployer complètement. Comme les 9 autres attaques ont été parées sans erreur, la suite totalise tout de même 27 points.

Produits pour entreprise soumis au test Advanced Threat Protection

Côté protection des entreprises, les solutions suivantes ont réalisé des performances irréprochables et obtiennent le score de protection maximal de 30 points : Avast, Bitdefender (2 versions), Check Point, Xcitium, Kaspersky (2 versions), Microsoft, WithSecure et VMware.

G Data et Trellix ont certes identifié tous les attaquants, sans toutefois réussir à bloquer totalement l’agresseur à une étape, ce qui a entraîné le cryptage de certains fichiers. Ces solutions totalisent néanmoins 29 points au score de protection.

Des scénarios de test perfectionnés contre des techniques d’attaques sophistiquées

La série des tests Advanced Threat Protection représente un défi pour chaque produit mis au banc d’essai, car elle le confronte à des scénarios d’attaque complexes et dynamiques, comme au quotidien. Les procédures utilisées dans ce test décrivent les 10 scénarios 1 à 10 illustrés dans les onglets ci-dessous. Afin que les professionnels puissent comprendre le test plus facilement, le laboratoire utilise pour la description les codes « Techniques » de MITRE ATT&CK définis au niveau international.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Le test montre que de nombreuses suites de sécurité pour utilisateurs finaux protègent parfaitement contre les attaques des rançongiciels : Avast, AVG, Bitdefender, F-Secure, Kaspersky, Microsoft, Microworld et PC Matic. Cependant : 5 produits de sécurité sur 13 ont rencontré des problèmes avec les intrus. Certains n’ont été que partiellement détectés et certains fichiers ont été cryptés.

Les produits destinés aux entreprises affichent de meilleurs résultats : 10 produits sur 12 ont identifié immédiatement tous les attaquants et les ont tous repoussés : Avast, Bitdefender, Bitdefender Ultra, Check Point, Xcitium, Kaspersky Endpoint Security, Kaspersky Small Business Security, Microsoft, WithSecure et VMware. Les deux autres solutions ont eu des difficultés, ce qui a conduit à des cryptages partiels.

Particuliers 10/2022

Free Antivirus
One Essential
Internet Security
Internet Security
eScan Internet Security Suite
Total Security
Internet Security
Premium
Defender Antivirus (Consumer)
Norton 360
Application Whitelisting
Advanced Security

Solutions pour Entreprises 10/2022

Business Antivirus Pro Plus
Endpoint Security (Ultra)
Endpoint Security
Endpoint Security
Endpoint Protection Business
Small Office Security
Endpoint Security
Defender Antivirus (Enterprise)
Endpoint Security
Carbon Black Cloud
Elements Endpoint Protection
Client Security

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.