Deutsch
English
Français
Español
- Partager :
Linux : test de 16 suites de protection contre les programmes malveillants spécifiques à Windows et Linux
Étant donné que de plus en plus d’ordinateurs Linux servent à relier des ordinateurs Windows, ils devraient aussi être protégés par une suite antivirus. Le laboratoire d’AV-TEST a testé 16 solutions de protection actuelles avec Ubuntu, lesquelles combattent les attaquants de Linux et de Windows. Les résultats ont un goût amer pour certains produits : ils laissent en partie passer 85 % des programmes malveillants pour Windows et jusqu’à 75 % des logiciels malveillants spécifiques à Linux.
la base installée est certes faible mais avec les serveurs Internet, elle possède une interface importante.
L’univers Linux est souvent considéré comme un havre protégé des programmes malveillants tels que les chevaux de Troie, etc. Cependant, de nombreux ordinateurs Linux sont reliés à des ordinateurs Windows. Ainsi, près de la moitié de tous les serveurs Internet fonctionnent avec un système Linux. Et ces serveurs sont utilisés par des milliards d’internautes. Les serveurs Internet constituent donc une cible intéressante pouvant servir de tête de pont aux programmes malveillants pour Windows.
les solutions pour bureau et serveur ont parfois montré de graves faiblesses d’identification.
la solution pour ordinateur a atteint les meilleurs taux de reconnaissance pour les fichiers Windows et Linux.
la solution pour serveur protège de manière fiable les réseaux avec des données Windows et Linux.
la solution pour bureau a fait preuve d’une bonne identification lors du test et sa version de base peut être utilisée gratuitement.
50 % de tous les serveurs Internet fonctionnent avec Linux
Une attaque réussie n’infecte normalement pas le système ou le kernel. L’objectif est plutôt de maîtriser les programmes fonctionnant sur l’ordinateur Linux ou le serveur Internet. Ces programmes se laissent plus facilement détourner ou bien utiliser comme moyen de propagation. Les serveurs Internet ont ainsi déjà été victimes de grandes attaques de hackers avec SQL-Injection ou Cross Site Scripting. Mais les ordinateurs personnels avec Linux constituent également une cible de choix. En effet, ils utilisent aussi des programmes avec des failles de sécurité comme le navigateur Firefox ou des outils comme Adobe Reader.
Les programmes malveillants qui se sont infiltrés dans le système n’endommagent que rarement l’ordinateur Linux puisqu’ils attendent en principe un système Windows. Les fichiers infectés restent simplement en place jusqu’à ce que l’opportunité se présente d’infecter un système Windows. Il suffit pour cela souvent de copier des fichiers d’un environnement Linux vers Windows.
Depuis peu, il existe aussi de plus en plus de chevaux de Troie et autres virus spécialisés sur Linux. Ils ne sont pas encore très sophistiqués puisque même les attaquants connaissent les bons mécanismes de protection de Linux. Ils misent plutôt sur l’aide de l’utilisateur. Ce dernier assiste sans le savoir les programmes malveillants par de mauvaises manipulations. Le cas le plus fréquent est l’installation de logiciels ou de mises à jour par le biais de sources de logiciels étrangères. Pendant l’installation, l’utilisateur est alors fréquemment invité à accorder brièvement des droits d’utilisateur root. Si l’utilisateur donne son accord, alors des composants essentiels du système sont remplacés par des versions manipulées. L’attaquant a ainsi créé une porte d’entrée dans le système et peut en prendre le contrôle à volonté, par exemple pour un botnet.
Il y a parfois de graves faiblesses d’identification
16 solutions de protection pour systèmes Linux ont été examinées dans le laboratoire d’AV-TEST. La plupart des solutions sont conçues pour des ordinateurs personnels, les autres pour des serveurs. La distribution Ubuntu a servi d’environnement d’essai car elle est la plus répandue. Le laboratoire a utilisé la version pour bureau 12.04 LTS 64 bits (kernel 3.13.0-54). Le test a examiné les solutions de protection pour Linux suivantes : Avast, AVG, Bitdefender, ClamAV, Comodo, Dr. Web, eScan, ESET, F-Prot, F-Secure, G Data, Kaspersky Lab (avec deux versions), McAfee, Sophos et Symantec. La structure du test compte trois parties : la reconnaissance de programmes malveillants pour Windows, la reconnaissance de ceux pour Linux et le test de faux positifs.
Reconnaissance de logiciels malveillants pour Windows
Au total, 8 des 16 produits ont reconnu entre 99,7 et 99,9 % des 12 000 attaquants pour Windows utilisés dans le test : Avast, F-Secure, Bitdefender, ESET, eScan, G Data, Kaspersky Lab (version serveur) et Sophos. Seule la suite de protection de Symantec a atteint les 100 %.
Les taux d'identification de McAfee et Comodo sont clairement inférieurs avec respectivement 85,1 % et 83 %. Les résultats de Dr. Web (67,8 %), F-Prot (22,1 %) et ClamAV (15,3 %) sont dramatiquement faibles !
Reconnaissance de logiciels malveillants pour Linux
Des programmes malveillants de plus en plus perfides sont développés pour Linux puis mis en circulation. Le laboratoire a lancé 900 attaquants pour Linux sur les systèmes. Ces attaquants étaient en principe déjà connus. Le résultat diffère cependant nettement des taux de reconnaissance avec Windows. Seule la version Endpoint de Kaspersky a réussi à atteindre un taux d'identification de 100 % avec Linux. ESET et AVG suivent de près avec 99,7 % et 99 %. Les versions pour serveur de Kaspersky Lab et Avast reconnaissent tout de même plus de 98 % des attaquants. Symantec, qui avait obtenu le meilleur résultat avec Windows, n’identifie plus que 97,2 % des logiciels malveillants avec Linux. Ensuite, c’est la chute libre.
Les lanternes rouges en matière de reconnaissance des programmes malveillants pour Linux sont représentées par ClamAV, McAfee, Comodo et F-Prot. Leurs valeurs se situent entre 66,1 et 23 %. Dans le pire des cas, 77 attaquants sur 100 ne sont tout simplement pas identifiés sur Linux malgré l’utilisation du logiciel de protection.
Bonne identification ami ou ennemi
Dans la prochaine catégorie du test, le laboratoire a fait analyser par tous les produits plus de 210 000 fichiers Linux inoffensifs. Cela a permis de vérifier le taux de faux positifs de toutes les suites. Le résultat est impressionnant : seul Comodo a mal identifié un seul fichier, tous les autres produits ont fait un sans-faute.
Linux est sûr. En êtes-vous sûr ?
La plupart des utilisateurs de Linux sont convaincus qu’ils utilisent l’un des systèmes les plus sûrs qui soient. Cet énoncé ne se vérifie que dans la mesure où l’on ne prend en compte que le système et rien d’autre. En effet, ce sont de nouveau les applications étrangères fragiles ou les erreurs d’utilisation qui transforment les ordinateurs Linux ou bien les serveurs en émetteurs de virus. Cela est confirmé par la dernière étude de Kaspersky (en anglais) pour le premier trimestre 2015 : plus de 12 700 attaques étaient originaires d’un botnet basé sur un système Linux, tandis que seulement 10 300 attaques provenaient de botnets avec un système Windows. De plus, la longévité des botnets basés sur Linux est bien plus grande que celle de ceux basés sur Windows. Cela est lié au fait qu’il est bien plus difficile de dépister de tels réseaux zombie et de les rendre inoffensifs parce que, contrairement aux appareils et aux serveurs Windows, les serveurs utilisant Linux sont rarement équipés d’une solution de protection spécifique.
Dans de nombreux forums consacrés à Linux, les solutions gratuites de Comodo, ClamAV et F-Prot sont recommandées pour les utilisateurs privés. Il s’agit ici d’un mauvais conseil. Le test prouve que les utilisateurs privés feraient mieux de choisir les versions gratuites Sophos for Linux ou Bitdefender Antivirus Scanner for Unices. Il existe même une solution gratuite pour les serveurs : AVG Server Edition for Linux.
Dans ce test, les meilleurs taux de reconnaissance avec Linux et Windows ont été obtenus par la solution d’ESET suivie par les versions pour terminaux de Symantec et Kaspersky Lab pour les postes de travail en entreprise. Pour les serveurs, il est recommandé d’utiliser Kaspersky Anti-Virus for Linux File Server, AVG Server Edition for Linux et Avast File Server Security.
Commentaire d’invité : une importante ligne de défense pour les réseaux hétérogènes
L’utilisation d’un produit antivirus pour Linux est surtout utile dans les réseaux hétérogènes où les produits qui servent alors de filtre peuvent empêcher l’introduction de logiciels malveillants du côté de Windows. Cela présuppose toutefois de bons taux de reconnaissance. Si un dixième des programmes malveillants passe inaperçu, alors l’antivirus ne présente pas d’utilité. Les résultats actuels d’AV-TEST offrent ici un bon point de repère pour savoir quelles solutions antivirus pour Linux utiliser afin de sécuriser son ensemble d’ordinateurs.
Les spécialistes ne seront guère surpris d’apprendre que le logiciel gratuit ClamAV ne passe pas l’obstacle du taux de reconnaissance. La condition préalable pour développer des stratégies de défense efficaces contre les programmes malveillants est d’avoir une énorme base de données actualisée en temps réel avec des millions de programmes malveillants et un parc d’ordinateurs de test. Cette condition est cependant difficilement réalisable pour un projet communautaire. Mais les fabricants commerciaux ne tiennent pas forcément le haut du pavé comme le prouvent le produit de F-Prot avec ses résultats encore plus faibles ainsi que la solution de Comodo aux performances presque aussi faibles. Tous deux sont des produits gratuits.
Même un nom célèbre associé à un logiciel payant ne garantit pas d’obtenir une qualité maximale comme le montre le produit professionnel de McAfee avec ses résultats en dessous de la moyenne. À l’inverse, les solutions AVG Server Edition for Linux 2013 et ESET NOD32 AV for Linux Desktop brillent par des taux de reconnaissance exemplaires. L’une est gratuite pour les utilisateurs finaux, l’autre se situe dans la moyenne inférieure des prix et toutes deux sont conçues pour des petits réseaux. De manière générale, on peut remarquer que les produits fiables pour Windows s’en sortent aussi bien avec Linux. Cela tombe sous le sens mais c’est bien d’en avoir une fois la preuve noir sur blanc.
Globalement, il faut être conscient que les produits antivirus ne constituent de toute façon que la deuxième ligne de défense contre les programmes malveillants : la première ligne repose sur les épaules de l’utilisateur. Qui se tient au courant des logiciels malveillants, actualise régulièrement ses systèmes, n’ouvre pas de ports superflus, n’installe que des logiciels de sources dignes de confiance, refuse l’exécution automatique de contenus actifs dans le navigateur Internet et ne clique pas sans sourciller sur tout ce qui se présente sur son client de messagerie ou son bureau, n’a pas de raison de s’inquiéter des programmes malveillants pour Linux.
Qui utilise un réseau mixte n’a donc presque pas d’autre choix que de filtrer préalablement et soigneusement sur Linux les données transmises aux ordinateurs Windows. Le test comparatif actuel d’AV-TEST constitue une aide précieuse pour choisir un outil adapté à cette tâche.
