Les logiciels de protection face aux logiciels rançonneurs nouvelle génération
Dans une étude de large envergure, AV-TEST a testé des suites de sécurité pour particuliers et entreprises. Tous les produits ont été éprouvés face aux techniques utilisées actuellement par les logiciels de rançon. Les cybercriminels ont recours à d’astucieux procédés tels que les fichiers polyglottes, le DLL side-loading ou les fichiers auto-extractibles compressés protégés par mot de passe comme ceux utilisés par Emotet par exemple. Au total, les 25 produits mis au banc d’essai ont relevé une grande partie des défis – mais pas tous. L’article de la série des tests Advanced Threat Protection ci-dessous met en lumière les résultats dans une évaluation condensée.
En plus des tests de détection classiques, le laboratoire d’AV-TEST propose une évaluation de différentes suites de sécurité pour particuliers et entreprises effectuée dans le cadre d’un test en live contre les logiciels rançonneurs aux stratégies perfides. Pour réaliser l’étude actuelle, le laboratoire a utilisé les techniques d’attaque suivantes, telles que celles utilisées par Emotet :
Fichier polyglotte : Pour cette technique, l’attaquant utilise des fichiers préparés spécialement et qui sont combinés entre eux. Pour le test actuel, les experts ont combiné un fichier LNK avec un fichier ISO. Avec cette combinaison, il est plus difficile pour les suites de sécurité d’analyser et de détecter ces fichiers et donc d’empêcher leur exécution.
DLL side-loading : Ici, les attaquants profitent d’erreurs de programmation courantes dans des logiciels standards. Une DLL (bibliothèque de liens dynamiques) malveillante est copiée dans le répertoire de l’application. L’application ne le remarque pas et télécharge la DLL. Le processus exécute alors les instructions des attaquants, alors qu’il paraît tout à fait normal et inoffensif.
Fichiers auto-extractibles compressés protégés par mot de passe : Cette technique, nested password protected self-extracting archives en anglais, a également été utilisée par Emotet pour empêcher sa détection par des programmes de protection.
Un produit testé dans le cadre du test Advanced Threat Protection obtient comme distinction un certificat spécial, mais uniquement si le score de protection atteint au moins 75 pour cent des 30 points maximum, soit 22,5 points en l'occurrence. Les produits destinés aux particuliers obtiennent le certificat « Advanced Certified », les produits destinés aux entreprises le certificat « Advanced Approved Endpoint Protection ».
Vous trouverez également une explication plus détaillée des tableaux évaluatifs et des différents codes couleurs sous forme de feu de signalisation dans l’article « Test et étude : les logiciels de sécurité sont-ils efficaces contre les ransomwares actuels sous Windows 11 ? ».
Produits pour particuliers soumis au test Advanced Threat Protection
Les suites de sécurité pour utilisateurs finaux testées en laboratoire sont celles des fabricants : Avast (2 versions), AVG, Bitdefender, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Microworld, Norton, PC Matic et VIPRE Security.
Avast avec One Essential, AVG, Bitdefender, F-Secure, Kaspersky, Microsoft, Microworld et PC Matic ont détecté toutes les techniques d’attaque spéciales des 10 différents scénarios de rançongiciels, ce qui leur permet d’atteindre le score de protection maximal de 30 points.
D’autres produits ont certes détecté les intrus de manière fiable, mais n’ont pas été capables d’en repousser certains, ou seulement en partie. G DATA a rencontré des problèmes à une étape : il a bien identifié le logiciel rançonneur, mais n’a réussi à le bloquer que partiellement, ce qui a conduit au cryptage de certains fichiers, et à la note de 29 points.
VIPRE Security obtient 28,5 points sur 30, faute d’avoir pu éviter le cryptage alors qu’il avait détecté l’attaque.
Il est arrivé la même chose à Norton. Le logiciel rançonneur a certes été identifié, mais le cryptage du système n’a pas été bloqué : 27,5 points.
Malwarebytes Premium a bien détecté les 10 attaquants, mais n’a pu les bloquer que partiellement. Trois malwares sont ainsi parvenus à crypter certains fichiers. Résultat : 27 points sur 30.
Avast (Free Antivirus) a dû déclarer forfait dans un scénario : l’intrus n’a pas été identifié et le rançongiciel a pu se déployer complètement. Comme les 9 autres attaques ont été parées sans erreur, la suite totalise tout de même 27 points.
Produits pour entreprise soumis au test Advanced Threat Protection
Côté protection des entreprises, les solutions suivantes ont réalisé des performances irréprochables et obtiennent le score de protection maximal de 30 points : Avast, Bitdefender (2 versions), Check Point, Xcitium, Kaspersky (2 versions), Microsoft, WithSecure et VMware.
G Data et Trellix ont certes identifié tous les attaquants, sans toutefois réussir à bloquer totalement l’agresseur à une étape, ce qui a entraîné le cryptage de certains fichiers. Ces solutions totalisent néanmoins 29 points au score de protection.
Des scénarios de test perfectionnés contre des techniques d’attaques sophistiquées
La série des tests Advanced Threat Protection représente un défi pour chaque produit mis au banc d’essai, car elle le confronte à des scénarios d’attaque complexes et dynamiques, comme au quotidien. Les procédures utilisées dans ce test décrivent les 10 scénarios 1 à 10 illustrés dans les onglets ci-dessous. Afin que les professionnels puissent comprendre le test plus facilement, le laboratoire utilise pour la description les codes « Techniques » de MITRE ATT&CK définis au niveau international.
Le test montre que de nombreuses suites de sécurité pour utilisateurs finaux protègent parfaitement contre les attaques des rançongiciels : Avast, AVG, Bitdefender, F-Secure, Kaspersky, Microsoft, Microworld et PC Matic. Cependant : 5 produits de sécurité sur 13 ont rencontré des problèmes avec les intrus. Certains n’ont été que partiellement détectés et certains fichiers ont été cryptés.
Les produits destinés aux entreprises affichent de meilleurs résultats : 10 produits sur 12 ont identifié immédiatement tous les attaquants et les ont tous repoussés : Avast, Bitdefender, Bitdefender Ultra, Check Point, Xcitium, Kaspersky Endpoint Security, Kaspersky Small Business Security, Microsoft, WithSecure et VMware. Les deux autres solutions ont eu des difficultés, ce qui a conduit à des cryptages partiels.