Dernières Actualités
09 mars 2022 | Antivirus pour Windows
Se défendre contre les ransomwares : 28 solutions de protection testées sur Windows 10
La lutte contre les ransomwares a lieu sur les PC domestiques tout autant que sur les ordinateurs de bureau en entreprise. Les suites de sécurité sont-elles efficaces contre ces attaques de cryptage malintentionnées ? Lors du test actuel réalisé en novembre, 15 suites de sécurité pour particuliers et 13 solutions pour entreprises ont démontré leurs capacités à parer une attaque perpétrée par e-mail, script, macro ou ransomware dans dix scénarios réels. Le test Advanced Threat Protection prouve que la seule détection de l’attaquant ne suffit pas toujours. C’est pourquoi, dans les résultats du test, le laboratoire montre en détail toutes les étapes depuis l’attaque jusqu’à son détournement – ou jusqu’au cryptage.
28 programmes soumis au test Advanced Attack
Logiciels de sécurité pour Windows soumis au test contre les ransomwares
Dans sa série de tests intitulée Advanced Threat Protection, le laboratoire d’AV-TEST a mis au banc d’essai 15 suites de sécurité Internet courantes pour particuliers et 13 solutions de sécurité pour entreprises sous Windows 10. Dans 10 scénarios préétablis, les testeurs déterminent étape par étape comment se déroulent les attaques et ce qui se passe entre celles-ci. L’analyse des résultats montre clairement que la pure identification d’un logiciel malveillant ne suffit pas toujours à protéger des conséquences d’un cryptage partiel ou complet.
15 suites de protection courantes pour particuliers des fabricants Avast, AVG, Bitdefender, BullGuard, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Microworld, Norton, PC Matic, Protected.net, Quick Heal et VIPRE Security ont été testées.
Du côté des suites pour entreprises, 13 solutions de protection des points de terminaison ont été soumises au test, à savoir celles d’Avast, Bitdefender (deux versions), Comodo, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Seqrite, Sophos, Symantec et VMware.
Les tableaux récapitulatifs des 15 et 13 solutions de sécurité respectivement testées présentent un résumé de l’évaluation des 10 attaques et le nombre maximal de 36 points à obtenir pour ce test de novembre. En effet, le nombre maximal de points diffère d’un test Advanced Threat Protection à l’autre. Il dépend toujours du type de scénario et du nombre d’étapes testées pour lesquelles des points sont alors attribués.
28 solutions de protection testées : on peut se protéger aussi contre les ransomwares
Lors des tests classiques consistant à se défendre contre un programme malveillant, le seul résultat possible est toujours « Attaquant identifié » ou « Attaquant non identifié ». Lors des tests Advanced Threat Protection, l’identification n’est qu’une première étape qui est enregistrée. Toutes les étapes enregistrées en laboratoire se retrouvent plus tard dans les diagrammes d’évaluation conçus sur le modèle de la matrice MITRE ATT&CK. Cela sonne compliqué, mais c'est en fait très simple. Le graphique montre toutes les étapes d’un scénario d’attaque et la manière dont le logiciel de protection réagit. Lorsqu’une attaque est totalement bloquée au cours de l’une des deux premières étapes « Initial Access » ou « Execution », on considère que l’attaque a été contrée avec succès, et le produit obtient le nombre de points maximal pour son score de protection (3 à 4). Pour une meilleure lisibilité, le champ est alors marqué en vert dans le graphique. Si un champ reste orange, cela signifie que l’élément testé a échoué (no detection). Si on trouve un champ orange en bas du graphique, cela signifie que l’attaque n’a pas été détectée, si on trouve un champ jaune, l’attaque n’a été que partiellement détectée. En cas de ransomware, cela signifie que certains fichiers ont été cryptés, mais pas tous (some files encrypted). Si le dernier champ est orange, tout a été crypté (files encrypted).
Lors du test actuel réalisé en novembre, les produits peuvent totaliser jusqu’à 36 points dans 10 attaques et obtenir ainsi le score de protection maximal. Si un produit n’atteint pas ce score, cela signifie qu’il a rencontré des problèmes dans un ou plusieurs scénarios.
Logiciels pour particuliers face aux ransomwares
Le test Advanced Threat Protection du mois de novembre a mis certaines suites de sécurité à rude épreuve dans des attaques de ransomwares
Solutions pour entreprises face aux ransomwares
Sur les 13 solutions de protection des points de terminaison testées sur Windows 10, 10 affichent des performances de défense parfaites lors du test Advanced Threat Protection contre les attaques aux ransomwares
Pour les particuliers : le résultat du test Advanced Threat Protection de novembre
Lors du test Advanced Threat Protection, 9 suites de sécurité Internet sur les 15 testées ont montré que dans la pratique, elles protégeaient efficacement contre les ransomwares. Les produits suivants ont réussi dans les 10 scénarios et atteint le score de protection maximal de 36 points : Bitdefender Internet Security, F-Secure SAFE, G Data Total Security, Kaspersky Internet Security, Microsoft Defender, Microworld eScan Internet Security Suite, PC Matic, Quick Heal Total Security et VIPRE AdvancedSecurity.
Malwarebytes Premium a certes détecté tous les attaquants, mais il a existé dans deux cas un problème et un cryptage a finalement eu lieu. Ce problème lui vaut un score de protection de 34 points au lieu de 36.
Arrivent ensuite les suites BullGuard Internet Security, Norton 360 et Protected.net Total AV qui obtiennent 33 points sur 36, avec 9 détections d’attaquants. Ces trois solutions ne sont pas parvenues à détecter un attaquant et tous les fichiers ont donc été cryptés par le ransomware.
En queue de peloton se trouvent les suites de protection d’Avast et AVG qui ont totalisé respectivement 30 points sur 36 et détecté 8 attaquants sur 10. Dans deux cas, les suites n’ont pas détecté les attaquants, tout a donc été crypté.
Tous les produits testés ayant totalisé au minimum 75 % des points du score de protection, ils obtiennent le certificat « Avanced Certified ».
Pour les entreprises : le résultat du test Advanced Threat Protection de novembre
Le test Advanced Threat Protection des solutions de protection des terminaux d’entreprises donne des résultats encore meilleurs. Sur les 13 suites pour entreprises testées, 10 obtiennent le score de protection maximal de 36 points grâce à la détection sans faille des 10 attaquants. Il s’agit des solutions Bitdefender Endpoint Security, Bitdefender Endpoint Security (Ultra), Comodo Client Security, F-Secure Elements Endpoint Protection, G DATA Endpoint Protection Business, Kaspersky Endpoint Security, Microsoft Defender Antivirus, Seqrite Endpoint Security, Sophos Intercept X Advanced et VMware Carbon Black Cloud.
Dans deux cas, Malwarebytes Endpoint Protection est parvenu à identifier l’attaquant, mais pas à le stopper. Les deux attaques ont finalement abouti au cryptage des données. Le score de protection n’est donc que de 34 points sur 36, malgré une détection de 10 sur 10.
Avast Business Antivirus Pro Plus et Symantec Endpoint Security Complete ont détecté 8 attaquants sur 10. Les deux attaquants qui sont passés sans être détectés ont occasionné un cryptage. Ceci coûte des points aux deux suites qui n’en totalisent que 30 sur 36 au score de protection.
Pour se voir attribuer le certificat « Advanced Approved Endpoint Protection », un produit doit atteindre au minimum 75 pour cent des points au score de protection lors du test, ce qui représente au moins 27 points dans le test actuel. Tous les participants au test sur les suites pour entreprises ont obtenu ce certificat.
Scénarios de test
Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex.« T1038 » correspondent dans la base de donnée Mitre à « Technics » sous le point 1038 «File and Directory Discovery ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée.
Les tests Advanced Threat Protection sont plus parlants
L’analyse des diagrammes d’attaque montre rapidement que, comme nous l’avons dit, la « simple » détection d’un attaquant par un programme de protection ne suffit pas toujours. Car même un système partiellement crypté par un ransomware est dangereux. Mais comme le montre le test, il existe de nombreux produits sur le marché qui montrent dans ces tests pratiques très réalistes leur efficacité à protéger contre les attaques et en particulier contre les ransomwares.
L’article actuel montre en premier lieu les résultats du test Advanced Threat Protection du mois de novembre. Pour plus d’informations techniques et d’explications, veuillez consulter également l’article APT déjà publié : Les attaques stratégiques exigent des tests stratégiques.
