Ransomwares et voleurs d'informations : 17 solutions de sécurité soumises au test ATP
Pour attaquer les systèmes Windows, les hackers et les groupes ATP utilisent la plupart du temps des ransomwares ou des voleurs d’informations après une attaque par hameçonnage. Le test avancé Advanced Threat Protection (ATP) montre que même si une attaque n’a pas été détectée dans la phase initiale, tout n’est pas perdu. Dans le cadre de ce test, les experts d’AV-TEST examinent, étape par étape, ce dont sont capables les suites de sécurité dans 10 scénarios complexes. Lors du test actuel, les maliciels ont recours à des techniques d’attaque particulières. Ils se dissimulent dans des scripts ou des packs d’installations ou utilisent des fichiers raccourcis apparemment inoffensifs de Windows. La plupart des 17 produits de protection pour particuliers et entreprises soumis au test protègent de manière fiable et efficace. Mais dans quelques cas isolés, certains produits se sont laissés prendre au piège.
Par le passé, les cybercriminels envoyaient un fichier exécutable par e-mail. Entre-temps, même les novices savent qu’on n’exécute pas un fichier sans prendre de précaution. Cependant, les attaquants utilisent actuellement de nouvelles techniques grâce auxquelles ils camouflent habilement le code d’attaque et le dissimulent dans un script ou d’autres fichiers inoffensifs. Ces techniques permettent de dissimuler les attaques si adroitement que même les experts ne les détectent pas sur-le-champ.
Les fabricants de suites antivirus pour utilisateurs particuliers qui ont participé à l’actuel test Advanced Threat Protection – ou test ATP – réalisé en mai et juin 2024 sur Windows 10 sont les suivants : Avast, AVG, Avira, Bitdefender, McAfee, Microsoft et Surfshark.
En ce qui concerne les solutions pour entreprises, il s’agit de : Avast, Bitdefender (avec 2 versions), Check Point, Cybereason, Microsoft, Microworld, Sophos, Trellix et WithSecure.
Pour le test, les experts utilisent respectivement 5 ransomwares et 5 voleurs d’informations dans 10 scénarios d’attaque réalistes. Chaque maliciel utilise une technique d’attaque différente ou les combine entre elles.
17 produits de sécurité pour Windows soumis au test ATP
Les attaquants utilisent différentes techniques et outils pour empêcher leur détection par les produits de sécurité. Lors de chaque test ATP réalisé au cours de l’année, les techniques des attaquants varient, tout comme les ransomwares et les voleurs d’informations. Cependant, au cours d’un même test, tous les produits sont confrontés aux mêmes attaquants et aux mêmes techniques d’attaque. Nous vous expliquons ces techniques ci-dessous :
LuaJIT scripting interpreter : LuaJIT est un compilateur à la volée pour le langage de programmation Lua. Cette technique consiste à dissimuler des codes malveillants dans des scripts Lua pour les exécuter ensuite sur les ordinateurs des victimes. L'interpréteur n'étant pas très répandu, la détection du code malveillant est plus difficile. Les testeurs utilisent un fichier LuaJIT exécutable qui fait référence à la bibliothèque et exécute ainsi le code malveillant sous forme de script.
NSIS (Nullsoft Scriptable Install System) : Cet outil open source contrôlable par script permet de créer des programmes d’installation de logiciels Windows. Les attaquants dissimulent les maliciels et les faux fichiers dans les packs d’installation qui sont exécutés, puis démarrent le maliciel ou le voleur d’informations.
Code caché dans un fichier LNK : Le code malveillant se cache dans un fichier raccourci apparemment inoffensif (.LNK) extrait via un PowerShell Windows. Ensuite, le code charge le ransomware et le voleur d’informations sur le système Windows et les exécute.
Lors du test ATP, les différentes étapes de détection et de défense sont enregistrées et décrites dans une matrice selon le modèle de la matrice MITRE ATT&CK. Dans le cas des ransomwares, il s’agit de reconnaître trois étapes essentielles, dans le cas des voleurs d’informations, quatre actions. Le laboratoire attribue un demi-point ou un point entier pour chaque étape ou action bloquée. Ainsi, un produit peut obtenir cinq fois 3 points pour chaque ransomware détecté et éliminé, et cinq fois 4 points pour les voleurs d’informations. Le meilleur score de protection est donc de 35 points.
Les 10 scénarios utilisés pour le test
Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.
Résultats du test ATP sur les produits pour particuliers
Lors de ce test, beaucoup de produits pour utilisateurs particuliers ont affiché une bonne performance, mais certains ont également rencontré de sérieux problèmes. Les suites antivirus d’Avast, AVG, McAfee, Microsoft et Surfshark ont réalisé un sans-faute dans les dix scénarios d’attaque avec ransomwares et voleurs d’informations. Tous obtiennent les 35 points maximum du score de protection.
Avira atteint 34 points sur 35. Dans l’un des scénarios, cette suite a eu des problèmes avec un ransomware. Avira a bien détecté l’attaquant, mais n’a pas été en mesure de le bloquer complètement. Au final, certains fichiers étaient cryptés.
Pour Bitdefender, le test ne s’est pas bien passé. Tout d’abord, un voleur d’informations n’a pas été détecté, puis il n’a pas été stoppé. Des fichiers ont donc été volés, et les 4 premiers points se sont envolés. Ensuite, dans deux autres cas, les attaquants avec ransomware ont bien été détectés, mais ils n’ont pas été complètement stoppés. Même si d’autres mécanismes de défense ont fonctionné, certains fichiers ont été cryptés à la fin de 2 scénarios. Deux autres points ont donc été perdus, faisant chuter le score de protection à 29 points sur 35.
Toutes les suites de sécurité ont obtenu le certificat « Advanced Certified » lors de ce test, puisqu’elles ont toutes atteint 75 pour cent des 35 points (soit 26,5 points).
Résultats du test ATP sur les solutions pour entreprises
Du côté des solutions pour entreprises également, le résultat est mitigé. Parmi les 10 produits soumis au test ATP, 7 ont travaillé de manière irréprochable dans les 10 scénarios et obtiennent la note maximale de 35 points au score de protection. Il s’agit des solutions d’Avast, Bitdefender (version Endpoint Security Ultra), Check Point, Microworld, Sophos, Trellix et WithSecure.
Microsoft Defender Antivirus (version Enterprise) a bien détecté une attaque par ransomware, mais n’a pas pu la stopper totalement. Le problème s’est poursuivi jusqu’à la fin, avec un cryptage de certains fichiers, et donc une note finale de 34 sur 35.
Alors que Bitdefender Endpoint Security « Ultra » affiche le score maximal de 35 points pour sa performance sans-faute, la version Endpoint Security ne totalise que 30,5 points sur 35. Lors du test, cette version a certes détecté deux attaques utilisant un ransomware, sans toutefois parvenir à les bloquer complètement. Certains fichiers ont donc été cryptés au final, entraînant une perte de 2 points. Autre cas similaire pour Bitdefender avec un voleur d’informations : il a bien été détecté, mais pas totalement stoppé, ce qui permet aux attaquants de lancer la collecte de données et de voler les informations. Dans ce cas, il ne reste qu’1,5 point sur 4 seulement – les 2,5 autres points sont perdus.
Le produit de Cybereason a rencontré le même problème dans trois scénarios avec des voleurs d’informations, à savoir qu’il détecte les attaquants, mais ne peut pas les stopper. Les attaquants ont alors la voie libre pour exécuter des scripts et des fichiers. Ensuite, d’autres mécanismes de défense ont pris le relai et mis un terme à l’attaque. Au final, Cybereason a perdu trois fois un demi-point, soit 1,5 point au total.
Même cas de figure dans trois scénarios avec ransomware : l’attaquant est toujours détecté, mais pas totalement bloqué. Par trois fois, les attaquants ont pu installer leur arsenal de fichiers et de scripts sur le système. Ensuite, d’autres mécanismes de défense ont mis fin à l’attaque. Mais ces problèmes ont à chaque fois coûté un point entier dans le classement. Cybereason affiche à l’issue du test un score de protection de 30,5 points sur 35.
Tous les produits se voient attribuer le certificat « Advanced Approved Endpoint Protection » puisqu’ils ont atteint au minimum 75 pour cent des 35 points (soit 26,5 points) comme score de protection.
Des attaquants perfides face à des pros de la défense de qualité variable
Une fois encore, le test montre à quel point la défense contre des attaques peut être dynamique. Même lorsqu’un ransomware est parvenu à s’infiltrer dans Windows, le système n’est pas encore perdu. Le test montre que les différents mécanismes de protection agissent encore efficacement à des étapes ultérieures de l’attaque. Sur les 17 produits testés et les 170 scénarios ainsi exécutés, il n'y a eu qu'un seul cas où l'attaquant n'a pas été détecté et n'a donc pas été stoppé. Dans les autres scénarios où le logiciel malveillant n’a pas été détecté dans un premier temps, les programmes de défense sont parvenus à défendre les systèmes efficacement aux étapes suivantes. On note toutefois également quelques cas de vols d’informations ou de cryptage de données.
Les 5 produits pour utilisateurs particuliers d’Avast, AVG, McAfee, Microsoft et Surfshark affichent le brillant score de 35 points pour leur performance irréprochable. Du côté des solutions pour entreprises, ce sont les produits d’Avast, Bitdefender (version Endpoint Security Ultra), Check Point, Microworld, Sophos, Trellix et WithSecure) qui réalisent un sans-faute.