09 mars 2022 | Antivirus pour Windows
  • Partager :

Se défendre contre les ransomwares : 28 solutions de protection testées sur Windows 10

La lutte contre les ransomwares a lieu sur les PC domestiques tout autant que sur les ordinateurs de bureau en entreprise. Les suites de sécurité sont-elles efficaces contre ces attaques de cryptage malintentionnées ? Lors du test actuel réalisé en novembre, 15 suites de sécurité pour particuliers et 13 solutions pour entreprises ont démontré leurs capacités à parer une attaque perpétrée par e-mail, script, macro ou ransomware dans dix scénarios réels. Le test Advanced Threat Protection prouve que la seule détection de l’attaquant ne suffit pas toujours. C’est pourquoi, dans les résultats du test, le laboratoire montre en détail toutes les étapes depuis l’attaque jusqu’à son détournement – ou jusqu’au cryptage.

28 programmes soumis au test Advanced Attack

Logiciels de sécurité pour Windows soumis au test contre les ransomwares

zoom

Dans sa série de tests intitulée Advanced Threat Protection, le laboratoire d’AV-TEST a mis au banc d’essai 15 suites de sécurité Internet courantes pour particuliers et 13 solutions de sécurité pour entreprises sous Windows 10. Dans 10 scénarios préétablis, les testeurs déterminent étape par étape comment se déroulent les attaques et ce qui se passe entre celles-ci. L’analyse des résultats montre clairement que la pure identification d’un logiciel malveillant ne suffit pas toujours à protéger des conséquences d’un cryptage partiel ou complet.

15 suites de protection courantes pour particuliers des fabricants Avast, AVG, Bitdefender, BullGuard, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Microworld, Norton, PC Matic, Protected.net, Quick Heal et VIPRE Security ont été testées.

Du côté des suites pour entreprises, 13 solutions de protection des points de terminaison ont été soumises au test, à savoir celles d’Avast, Bitdefender (deux versions), Comodo, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Seqrite, Sophos, Symantec et VMware.

Les tableaux récapitulatifs des 15 et 13 solutions de sécurité respectivement testées présentent un résumé de l’évaluation des 10 attaques et le nombre maximal de 36 points à obtenir pour ce test de novembre. En effet, le nombre maximal de points diffère d’un test Advanced Threat Protection à l’autre. Il dépend toujours du type de scénario et du nombre d’étapes testées pour lesquelles des points sont alors attribués.

28 solutions de protection testées : on peut se protéger aussi contre les ransomwares

Lors des tests classiques consistant à se défendre contre un programme malveillant, le seul résultat possible est toujours « Attaquant identifié » ou « Attaquant non identifié ». Lors des tests Advanced Threat Protection, l’identification n’est qu’une première étape qui est enregistrée. Toutes les étapes enregistrées en laboratoire se retrouvent plus tard dans les diagrammes d’évaluation conçus sur le modèle de la matrice MITRE ATT&CK. Cela sonne compliqué, mais c'est en fait très simple. Le graphique montre toutes les étapes d’un scénario d’attaque et la manière dont le logiciel de protection réagit. Lorsqu’une attaque est totalement bloquée au cours de l’une des deux premières étapes « Initial Access » ou « Execution », on considère que l’attaque a été contrée avec succès, et le produit obtient le nombre de points maximal pour son score de protection (3 à 4). Pour une meilleure lisibilité, le champ est alors marqué en vert dans le graphique. Si un champ reste orange, cela signifie que l’élément testé a échoué (no detection). Si on trouve un champ orange en bas du graphique, cela signifie que l’attaque n’a pas été détectée, si on trouve un champ jaune, l’attaque n’a été que partiellement détectée. En cas de ransomware, cela signifie que certains fichiers ont été cryptés, mais pas tous (some files encrypted). Si le dernier champ est orange, tout a été crypté (files encrypted).

Lors du test actuel réalisé en novembre, les produits peuvent totaliser jusqu’à 36 points dans 10 attaques et obtenir ainsi le score de protection maximal. Si un produit n’atteint pas ce score, cela signifie qu’il a rencontré des problèmes dans un ou plusieurs scénarios.

Logiciels pour particuliers face aux ransomwares

Le test Advanced Threat Protection du mois de novembre a mis certaines suites de sécurité à rude épreuve dans des attaques de ransomwares

zoom ico
Solutions pour entreprises face aux ransomwares

Sur les 13 solutions de protection des points de terminaison testées sur Windows 10, 10 affichent des performances de défense parfaites lors du test Advanced Threat Protection contre les attaques aux ransomwares

zoom ico

1

Logiciels pour particuliers face aux ransomwares

2

Solutions pour entreprises face aux ransomwares

Pour les particuliers : le résultat du test Advanced Threat Protection de novembre

Lors du test Advanced Threat Protection, 9 suites de sécurité Internet sur les 15 testées ont montré que dans la pratique, elles protégeaient efficacement contre les ransomwares. Les produits suivants ont réussi dans les 10 scénarios et atteint le score de protection maximal de 36 points : Bitdefender Internet Security, F-Secure SAFE, G Data Total Security, Kaspersky Internet Security, Microsoft Defender, Microworld eScan Internet Security Suite, PC Matic, Quick Heal Total Security et VIPRE AdvancedSecurity.

Malwarebytes Premium a certes détecté tous les attaquants, mais il a existé dans deux cas un problème et un cryptage a finalement eu lieu. Ce problème lui vaut un score de protection de 34 points au lieu de 36.

Arrivent ensuite les suites BullGuard Internet Security, Norton 360 et Protected.net Total AV qui obtiennent 33 points sur 36, avec 9 détections d’attaquants. Ces trois solutions ne sont pas parvenues à détecter un attaquant et tous les fichiers ont donc été cryptés par le ransomware.

En queue de peloton se trouvent les suites de protection d’Avast et AVG qui ont totalisé respectivement 30 points sur 36 et détecté 8 attaquants sur 10. Dans deux cas, les suites n’ont pas détecté les attaquants, tout a donc été crypté.

Tous les produits testés ayant totalisé au minimum 75 % des points du score de protection, ils obtiennent le certificat « Avanced Certified ».

Pour les entreprises : le résultat du test Advanced Threat Protection de novembre

Le test Advanced Threat Protection des solutions de protection des terminaux d’entreprises donne des résultats encore meilleurs. Sur les 13 suites pour entreprises testées, 10 obtiennent le score de protection maximal de 36 points grâce à la détection sans faille des 10 attaquants. Il s’agit des solutions Bitdefender Endpoint Security, Bitdefender Endpoint Security (Ultra), Comodo Client Security, F-Secure Elements Endpoint Protection, G DATA Endpoint Protection Business, Kaspersky Endpoint Security, Microsoft Defender Antivirus, Seqrite Endpoint Security, Sophos Intercept X Advanced et VMware Carbon Black Cloud.

Dans deux cas, Malwarebytes Endpoint Protection est parvenu à identifier l’attaquant, mais pas à le stopper. Les deux attaques ont finalement abouti au cryptage des données. Le score de protection n’est donc que de 34 points sur 36, malgré une détection de 10 sur 10.

Avast Business Antivirus Pro Plus et Symantec Endpoint Security Complete ont détecté 8 attaquants sur 10. Les deux attaquants qui sont passés sans être détectés ont occasionné un cryptage. Ceci coûte des points aux deux suites qui n’en totalisent que 30 sur 36 au score de protection.

Pour se voir attribuer le certificat « Advanced Approved Endpoint Protection », un produit doit atteindre au minimum 75 pour cent des points au score de protection lors du test, ce qui représente au moins 27 points dans le test actuel. Tous les participants au test sur les suites pour entreprises ont obtenu ce certificat.

Scénarios de test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex.« T1038 » correspondent dans la base de donnée Mitre à « Technics » sous le point 1038 «File and Directory Discovery ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Les tests Advanced Threat Protection sont plus parlants

L’analyse des diagrammes d’attaque montre rapidement que, comme nous l’avons dit, la « simple » détection d’un attaquant par un programme de protection ne suffit pas toujours. Car même un système partiellement crypté par un ransomware est dangereux. Mais comme le montre le test, il existe de nombreux produits sur le marché qui montrent dans ces tests pratiques très réalistes leur efficacité à protéger contre les attaques et en particulier contre les ransomwares.

L’article actuel montre en premier lieu les résultats du test Advanced Threat Protection du mois de novembre. Pour plus d’informations techniques et d’explications, veuillez consulter également l’article APT déjà publié : Les attaques stratégiques exigent des tests stratégiques.

 

Résultats des tests particuliers : Avast, AVG, Bitdefender

Avast 1/2
zoom ico
Avast 2/2
zoom ico
AVG 1/2
zoom ico
AVG 2/2
zoom ico
Bitdefender 1/2
zoom ico
Bitdefender 2/2
zoom ico

1

Avast 1/2

2

Avast 2/2

3

AVG 1/2

4

AVG 2/2

5

Bitdefender 1/2

6

Bitdefender 2/2

Résultats des tests particuliers : BullGuard, F-Secure, G DATA

BullGuard 1/2
zoom ico
BullGuard 2/2
zoom ico
F-Secure 1/2
zoom ico
F-Secure 2/2
zoom ico
G DATA 1/2
zoom ico
G DATA 2/2
zoom ico

1

BullGuard 1/2

2

BullGuard 2/2

3

F-Secure 1/2

4

F-Secure 2/2

5

G DATA 1/2

6

G DATA 2/2

Résultats des tests particuliers : Kaspersky, Malwarebytes, Microsoft

Kaspersky 1/2
zoom ico
Kaspersky 2/2
zoom ico
Malwarebytes 1/2
zoom ico
Malwarebytes 2/2
zoom ico
Microsoft 1/2
zoom ico
Microsoft 2/2
zoom ico

1

Kaspersky 1/2

2

Kaspersky 2/2

3

Malwarebytes 1/2

4

Malwarebytes 2/2

5

Microsoft 1/2

6

Microsoft 2/2

Résultats des tests particuliers : Microworld, Norton, PC Matic

Microworld 1/2
zoom ico
Microworld 2/2
zoom ico
Norton 1/2
zoom ico
Norton 2/2
zoom ico
PC Matic 1/2
zoom ico
PC Matic 2/2
zoom ico

1

Microworld 1/2

2

Microworld 2/2

3

Norton 1/2

4

Norton 2/2

5

PC Matic 1/2

6

PC Matic 2/2

Résultats des tests particuliers : Protected.net, Quick Heal, VIPRE Security

Protected.net 1/2
zoom ico
Protected.net 2/2
zoom ico
Quick Heal 1/2
zoom ico
Quick Heal 2/2
zoom ico
VIPRE Security 1/2
zoom ico
VIPRE Security 2/2
zoom ico

1

Protected.net 1/2

2

Protected.net 2/2

3

Quick Heal 1/2

4

Quick Heal 2/2

5

VIPRE Security 1/2

6

VIPRE Security 2/2

Résultats des tests entreprises : Avast, Bitdefender, Bitdefender (Ultra)

Avast 1/2
zoom ico
Avast 2/2
zoom ico
Bitdefender 1/2
zoom ico
Bitdefender 2/2
zoom ico
Bitdefender (Ultra) 1/2
zoom ico
Bitdefender (Ultra) 2/2
zoom ico

1

Avast 1/2

2

Avast 2/2

3

Bitdefender 1/2

4

Bitdefender 2/2

5

Bitdefender (Ultra) 1/2

6

Bitdefender (Ultra) 2/2

Résultats des tests entreprises : Comodo, F-Secure, G DATA

Comodo 1/2
zoom ico
Comodo 2/2
zoom ico
F-Secure 1/2
zoom ico
F-Secure 2/2
zoom ico
G DATA 1/2
zoom ico
G DATA 2/2
zoom ico

1

Comodo 1/2

2

Comodo 2/2

3

F-Secure 1/2

4

F-Secure 2/2

5

G DATA 1/2

6

G DATA 2/2

Résultats des tests entreprises : Kaspersky, Malwarebytes, Microsoft

Kaspersky 1/2
zoom ico
Kaspersky 2/2
zoom ico
Malwarebytes 1/2
zoom ico
Malwarebytes 2/2
zoom ico
Microsoft 1/2
zoom ico
Microsoft 2/2
zoom ico

1

Kaspersky 1/2

2

Kaspersky 2/2

3

Malwarebytes 1/2

4

Malwarebytes 2/2

5

Microsoft 1/2

6

Microsoft 2/2

Résultats des tests entreprises : Seqrite, Sophos

Seqrite 1/2
zoom ico
Seqrite 2/2
zoom ico
Sophos 1/2
zoom ico
Sophos 2/2
zoom ico

1

Seqrite 1/2

2

Seqrite 2/2

3

Sophos 1/2

4

Sophos 2/2

Résultats des tests entreprises : Symantec, VMware

Symantec 1/2
zoom ico
Symantec 2/2
zoom ico
VMware 1/2
zoom ico
VMware 2/2
zoom ico

1

Symantec 1/2

2

Symantec 2/2

3

VMware 1/2

4

VMware 2/2

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.