Ransomware : 12 suites et solutions antivirus Win11 soumises au test avancé ATP
Le test Advanced Threat Protection (ATP) va beaucoup plus loin que les tests classiques : il évalue dans 10 scénarios réalistes les produits de sécurité affrontant des ransomwares et des voleurs d'informations qui utilisent ou combinent les techniques d’attaque les plus modernes. Ceci permet d’analyser si la défense résiste à chaque étape de l’attaque ou si elle échoue. Les 12 produits pour utilisateurs particuliers et entreprises mis au banc d’essais doivent faire leurs preuves face à des techniques telles que le « COM hijacking », le « reflective code loading », le « decoupling » et le « low entropy encoding ». De nombreux produits ont bien accompli leur mission, mais pas tous. Dans certains cas, le dernier coupe-feu a failli et les données ont été cryptées, volées voire les deux.
Le coude à coude entre les fabricants de suites de sécurité et les cybercriminels se poursuit indéfiniment. Il n’en sera pas autrement en 2025. Au contraire, les attaquants cherchent et trouvent toujours de nouveaux points faibles ou utilisent des techniques pour dissimuler leurs attaques avec des codes malveillants ou pour détourner des outils Windows licites à leurs fins. Lors de l’actuel test ATP, les attaquants – mais cette fois-ci ceux du laboratoire – ont eu recours aux techniques les plus récentes telles qu’elles sont utilisées dans les cyberattaques quotidiennes.
Les 12 produits suivants ont participé au test Advanced Threat Protection : les suites antivirus pour particuliers de Bitdefender, ESET, McAfee et NPAV et les solutions pour entreprises de Bitdefender (avec 2 versions), ESET, Kaspersky (avec 2 versions), Microworld, Qualys et Trellix. Toutes les données ont été collectées et analysées en septembre et octobre 2024 sous Windows 11.
12 solutions de protection testées sous Windows 11
Dans 10 scénarios réels, les experts d’AV-TEST ont testé au total 12 produits de protection – 4 pour les utilisateurs privés et 8 solutions de protection des points terminaux pour les entreprises. Les 10 attaques en laboratoire commencent toutes par un e-mail d’hameçonnage et une pièce jointe dangereuse, mais qui semble inoffensive au premier abord. Elle renferme des fichiers LNK Windows, des installateurs MSI, des fichiers EXE ou simplement des fichiers HTA pour HTML. Dans tous les fichiers se trouvent des programmes malveillants sous la forme d’un code caché qui exécute directement les attaques ravageuses ou ouvre la porte à de funestes renforts.
Les 10 attaques réalistes ont été effectuées sur des PC Windows 11 où était installée une suite de protection. Chaque scénario d’attaque est décrit dans une matrice suivant la norme MITRE ATT&CK. Chaque étape d’une attaque y est précisément définie et les actions de défense y sont documentées. De cette manière, un programme malveillant peut être détecté d’emblée ou stoppé à des étapes ultérieures. Au cours du test, les ransomwares ont attaqué 5 fois, les voleurs d'informations 5 fois. Dans le cas des ransomwares, il s’agit de reconnaître trois étapes essentielles, dans le cas des voleurs d’informations, quatre actions. Le laboratoire attribue un demi-point ou un point entier pour chaque action bloquée. Ainsi, un produit de protection peut obtenir cinq fois 3 points pour chaque ransomware éliminé, et cinq fois 4 points pour les voleurs d’informations. Le meilleur score de protection qu'un produit peut obtenir est donc de 35 points.
Les techniques suivantes ont été utilisées séparément ou combinées lors des attaques. Dans tous les cas, ceci rend leur détection plus difficile pour une solution de protection.
COM hijacking : le COM hijacking est une technique dans laquelle le programme malveillant exploite la structure COM (Component Object Model). Elle s’enregistre à la place des objets COM légitimes pour exécuter du code malveillant. Pour ce faire, l’attaquant modifie les entrées de registre qui indiquent quel objet COM doit être appelé. Le code malveillant est ainsi chargé lorsque certaines applications ou processus système appellent ces composants COM. Le programme malveillant utilise donc des droits élevés de processus fiables, ce qui rend sa détection plus difficile.
Dans nos exemples, le COM hijacking est utilisé pour inscrire une DLL modifiée avec du code malveillant sous forme de bibliothèque cache de vignettes dans l’arborescence du registre de l’utilisateur actuel afin de garantir son exécution par Explorer.exe.
Reflective code loading : la technique reflective code loading ou injection ressemble beaucoup à l’injection de processus, à la différence près que le code est chargé dans la mémoire du processus et non pas dans un processus séparé. De cette manière, le chargement réfléchissant peut contourner les détections basées sur les processus, car l’exécution du code aléatoire est masquée au sein d’un processus légitime et inoffensif. Ce type d’injection de code est donc sans fichier, puisqu’il ne fait que transférer le code dans un processus.
Dans nos exemples, le chargement du code réfléchissant est effectué à l’aide d’un chargeur DLL personnalisé, écrit dans le langage de programmation « zig », et l’attribution et l'exécution des logiciels malveillants sont traitées entièrement dans la mémoire, ce qui permet de contourner la détection des fichiers.
Decoupling : le decoupling, ou découplage, fait référence à la répartition de fonctions sur plusieurs processus. De ce fait, les outils de sécurité ont plus de mal à retrouver l’origine des actions malveillantes. En exécutant certaines fonctions dans des processus séparés, le logiciel malveillant brise l’arborescence classique des processus, dissimule son activité et rend l’analyse forensique plus difficile. Cette technique utilise souvent des composants système Windows fiables pour exécuter des tâches malveillantes.
Dans nos exemples, le découplage est réalisé en planifiant une tâche dans Windows. Ensuite, le code PowerShell qui est écrit au préalable dans le registre est exécuté. Le logiciel malveillant s’assure ainsi que les fonctions clés sont exécutées dans un ou d’autres processus liés, ce qui réduit la visibilité du composant malveillant dangereux.
Low entropy encoding : le codage avec une faible entropie est une technique utilisée par les programmes malveillants pour dissimuler des données ou des charges utiles. Cela se fait généralement par l’utilisation de schémas de codage simples ou de tableaux de référence qui font paraître le contenu codé inoffensif. Les contenus codés à haute entropie déclencheraient des mécanismes de détection.
Dans nos exemples, des blocs de code JavaScript sans relation sont utilisés pour générer un tableau de référence pour le codage qui dissimule le contenu malveillant dans les données à faible entropie et rend l’identification plus difficile par les analyses basées sur l’entropie.
Les 10 scénarios utilisés pour le test
Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.
Test ATP sur les produits pour utilisateurs finaux
Les quatre suites antivirus testées ont obtenu des résultats très différents. Les suites de Bitdefender Total Security et McAfee Total Protection ont détecté les attaquants dans les 10 scénarios et immédiatement stoppé leurs actions. Les deux suites ont donc obtenu le total de 35 points à leur score de protection. Les utilisateurs de ces produits ont donc déjà en main l’un des meilleurs programmes antivirus pour Windows 11 en 2025.
Les résultats d’ESET et NPAV laissent encore un peu à désirer. Dans l’un des scénarios avec ransomware, ESET n’a ni détecté le fichier ni entrepris quoi que ce soit à une étape ultérieure. Au final, des données ont été cryptées, entraînant une perte des 3 points. Dans un autre scénario, ESET a bien identifié le voleur de données, mais n’a pris aucune mesure – ce qui donne un score de 0,5 point sur 4. Au total, ESET a perdu 6,5 points et atteint un score de protection final de 28,5 points sur 35.
La suite de NPAV a rencontré des problèmes dans 4 scénarios. Dans 2 cas d’attaques avec ransomware, elle a certes détecté ce dernier, sans toutefois le stopper. Et même à des étapes ultérieures, le ransomware a pu sévir en toute liberté. La suite de sécurité n’est parvenue à interrompre le cryptage définitif que dans un cas, dans un autre, elle n’y est pas parvenue. Il ne lui reste donc que 3 points sur les 6 (2 fois 3) possibles.
Tableau similaire face à deux voleurs de données : dans les deux cas, l’attaquant n’a pas été détecté d’emblée. Dans le cas d’un attaquant, les autres mesures de défense se sont révélées efficaces et l’attaque a été stoppée. En revanche, le deuxième voleur de données a pu collecter et extraire les données sans être perturbé. La solution de NPAV n’obtient que 4 points sur les 8 (2 fois 4) possibles. Le score final est donc de 28 points, avec un écart de 7 points par rapport au score de protection maximal de 35 points.
Toutes les suites de sécurité ont obtenu le certificat « Advanced Certified » décerné par AV-TEST, puisqu’elles ont toutes atteint 75 pour cent des 35 points (soit 26,5 points).
Test ATP sur les solutions pour entreprises
Lors du test avancé, 8 solutions pour entreprises sont mises au banc d’essai. Les résultats sont probants : les produits de protection des point terminaux de Bitdefender (2 solutions), ESET, Kaspersky (2 solutions), Microworld et Trellix n’ont commis aucune erreur au test et atteignent tous le score de protection maximal de 35 points.
Seule la solution de Qualys a rencontré des difficultés avec les programmes malveillants. Cette solution pour entreprises a certes détecté tous les attaquants, mais un ransomware et un voleur de données ont pu agir sans entrave. Le voleur de données a pu être partiellement intercepté à l’aide d’autres outils – mais il a fini par sortir vainqueur en emportant des données volées. Pour la solution, cela signifie une perte de 2,5 points sur 4. Le scénario avec le ransomware s’est déroulé de manière similaire. Là aussi, une étape ultérieure a presque été stoppée, mais au final, certaines données étaient cryptées, Qualys a donc perdu un autre point. La solution ne totalise donc que 31,5 points sur 35 au score de protection.
Tous les produits pour entreprise soumis au test ATP ont obtenu le certificat « Advanced Approved Endpoint Protection » puisqu’ils ont atteint au minimum 75 pour cent des 35 points (soit 26,5 points) comme score de protection.
Conclusion : plus de lumière que d’ombre au tableau
Le test ATP avancé montre très bien avec quelle efficacité la plupart des produits de protection empêchent les attaquants d'atteindre leur cible. Cela mérite d’être salué, car les cybercriminels utilisent une dynamique extrême lors de leurs attaques et modifient constamment leurs techniques. Lors de l’évaluation, il est toujours intéressant de voir qu’un produit peut ne pas détecter un attaquant dans un premier temps, mais parvenir à l’intercepter grâce à d’autres outils. Même le cryptage de données « isolées » peut alors être considéré comme positif. Car un cryptage complet sur plusieurs disques durs représente un désastre d’une tout autre ampleur.
En ce qui concerne les produits pour les utilisateurs privés, les suites de Bitdefender et de McAfee présentent des performances irréprochables. Elles font donc partie des meilleures suites antivirus pour Windows 11 pour 2025.
Du côté des solutions pour entreprises, 7 produits testés sur 8 atteignent le meilleur score, à savoir Bitdefender (2 solutions), ESET, Kaspersky (2 solutions), Microworld et Trellix.