18 août 2022 | Texte: Markus Selinger | Antivirus pour Windows
  • Partager :

Sécurité contre ransomware: 34 solutions soumises au test Advanced Threat Protection

Les vagues d’attaque aux ransomwares s’intensifient de plus en plus, d’autant qu’il existe désormais le « Ransomware-as-a-Service » qui permet aux cybercriminels inexpérimentés de lancer eux aussi des attaques. Les solutions de sécurité pour entreprises et utilisateurs particuliers disponibles sur le marché peuvent-elles résister à ces vagues ? Les tests Advanced Threat Protection d’AV-TEST permettent de montrer rapidement le niveau d’efficacité de ces solutions contre les ransomwares. Ils consistent à documenter et à évaluer comment ces solutions réagissent à chaque étape d’une attaque dans des scénarios réels. Résultat : beaucoup de produits de sécurité fonctionnent bien – mais pas tous.

Se défendre contre les ransomwares

Test Advanced Threat Protection avec 34 suites et solutions de sécurité

zoom

Comme si les attaques des groupes APT normales n’étaient pas déjà suffisamment stressantes, un nouveau modèle, le RaaS (« Ransomware-as-a-Service ») s’impose de plus en plus. Cela signifie que des groupes APT concèdent des licences à des pirates ayant peu d’expérience avec les ransomwares. Le ransomware leur est livré, avec l’infrastructure incluse. À chaque demande de rançon, une partie de l’argent va directement dans la poche du groupe APT. Ce modèle a bien entendu pour conséquence une multiplication des attaques aux ransomwares, actuellement et à l’avenir. C’est pourquoi il est d’autant plus important de savoir dans quelle mesure les solutions de protection détectent, stoppent et éliminent les attaquants. Contrairement aux programmes malveillants classiques, la pure détection du ransomware ne conduit pas nécessairement à sa neutralisation. Cependant : même un ransomware qui n’a pas été détecté immédiatement peut encore être stoppé en cours d’attaque. Les tests Advanced Threat Protection d’AV-TEST permettent de déterminer si tout cela fonctionne bien. Lors du test, tous les produits – qu’ils soient destinés aux entreprises ou aux particuliers – doivent passer 10 épreuves sous forme de scénarios en direct mettant en scène un ransomware.

34 solutions testées – 340 scénarios en direct

Les produits mis au banc d’essai se partagent en deux groupes de 17 produits chacun. Les produits pour utilisateurs particuliers sont ceux d’AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, G Data, K7 Computing, Kaspersky, Malwarebytes, McAfee, Microsoft, NortonLifeLock, PC Matic, Protected.net, Trend Micro et VIPRE Security.

Les 17 autres produits pour entreprises sont les solutions d’AhnLab, Avast, Bitdefender (2 produits), Comodo (bientôt Xcitium) , G DATA, Kaspersky (2 produits), Malwarebytes, Microsoft, Sangfor Technologies, Seqrite, Symantec, Trellix, Trend Micro, VMware et WithSecure (anciennement F-Secure Business).

Chaque solution doit détecter et bloquer un ransomware dans 10 scénarios réels définis ou anticiper les étapes ultérieures et stopper l’attaque. Les 10 scénarios sont expliqués dans les graphiques ci-dessous.  Par exemple, un e-mail arrive avec un fichier compressé en annexe. Le fichier contenu dans l’annexe s’exécute immédiatement après avoir été décompressé. À partir de là, le ransomware commence à prendre le contrôle du système et à le crypter en différentes étapes. Les scénarios de test détaillent le type d’attaque à chaque étape. Pour cela, le laboratoire indique les définitions en codes « techniques » MITRE ATT&CK. Pour les lecteurs intéressés, le laboratoire explique les différentes étapes techniques d’un test Advanced Threat Protection dans l’article déjà publié : Nouvelles défenses :des solutions EPP et EDR contre les attaques ATP et les rançongiciels sur le banc d'essai.

Logiciels de protection contre attaques aux ransomwares

Le test Advanced Threat Protection montre l’efficacité des 17 suites de protection testées face à 10 scénarios réels avec ransomware

zoom ico
Solutions de sécurité pour entreprises contre ransomwares

Le ransomware : la hantise de toutes les entreprises! Le test Advanced Threat Protection montre les performances des solutions de sécurité en matière de défense

zoom ico

1

Logiciels de protection contre attaques aux ransomwares

2

Solutions de sécurité pour entreprises contre ransomwares

34 suites x 10 scénarios contre ransomware

Si une attaque est totalement bloquée au cours de l’une des deux premières étapes (initial access ou execution), on considère que l’attaque a été contrée avec succès. Pour évaluer rapidement le tableau, le laboratoire utilise un code de couleurs. La couleur verte signifie : attaque stoppée, jaune : partiellement stoppée, orange : attaque non stoppée (no detection). Le champ jaune à la fin peut indiquer deux résultats : si l’attaque n’a été que partiellement détectée, alors soit certains fichiers sont cryptés (some files encrypted), soit le ransomware a été empêché de crypter, mais il reste dans le système (malware remains on system). Si on trouve un champ orange à la fin de la série de graphiques, cela signifie que l’attaque n’a pas été détectée et que le ransomware a pu s’exécuter complètement (files encrypted).

Le système de points est tout aussi simple que l’évaluation : pour une détection ou une neutralisation totale, le laboratoire attribue jusqu’à 4 points par scénario. En revanche, il retire un certain nombre de points si les attaques n’ont été que partiellement détectées. Les valeurs des 10 scénarios déterminent alors le score de protection qui est de 40 points maximum pour ce test. Attention : si les tests Advanced Threat Protection sont effectués régulièrement tous les deux mois, les scénarios peuvent varier et avec eux le nombre de points maximum du score de protection.

Scénarios de test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex.« T1059.001 », correspondent dans la base de données Mitre à « Techniques » sous le point 1059.001 « Command and Scripting Interpreter: PowerShell ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Utilisateurs particuliers : 12 produits fonctionnent de manière irréprochable

Lors de ce test, pas moins de 17 produits ont été mis à l’épreuve dans 10 scénarios d’attaque réels avec ransomware. 12 suites de protection ont affiché de très bons résultats. Elles ont détecté le ransomware immédiatement et empêché toute autre action. Pour cette performance, les produits suivants ont obtenu les 40 points maximum du score de protection : AhnLab, Avast, AVG, Avira, F-Secure, Kaspersky, McAfee, Microsoft, NortonLifeLock, PC Matic, Protected.net et VIPRE Security.

Viennent ensuite Bitdefender et K7 Computing qui totalisent 39 points sur 40, car les deux n’ont détecté une attaque que partiellement dans un scénario. Dans le cas de Bitdefender, un petit nombre de différents fichiers a été crypté. Dans le cas de K7 Computing, le cryptage a certes été stoppé, mais le programme malveillant est resté dans le PC et constitue donc un danger. La suite de Trend Micro a connu le même problème, et ce pas moins de trois fois. Elle n'a donc obtenu que 37 points.

Malwarebytes s’est permis deux détections partielles, dont l’une a entraîné le cryptage de certains fichiers. Dans le deuxième cas, en plus du cryptage de quelques fichiers, une clé de registre a été placée et le fond d’écran a été modifié. Comme toute action non stoppée est pénalisée, cette suite n’a totalisé que 36,5 points.

La suite de protection de G DATA a manqué la détection de l’attaque dans deux scénarios, et le ransomware ont donc pu s’exécuter. G DATA a ainsi perdu deux fois les quatre points et ne parvient qu’au score de 32 points.

Pour qu’un produit obtienne le certificat « Advanced Certified », il doit atteindre au moins 75 % (30 points) des 40 points maximum du score de protection à l’issue du test. Tous les produits y sont parvenus.

Entreprises : beaucoup d’entre elles réalisent un sans-faute

Les solutions pour entreprises testées réalisent pour la plupart de très bonnes performances. 12 produits sur les 17 testés atteignent les 40 points maximum du score de protection,

suivis de Bitdefender avec ses deux solutions, totalisant 39 points à cause d’une détection partielle dans chaque cas.

Seqrite a connu quelques problèmes dans trois cas et ne remporte que 37 points. Une fois, la suite n’a détecté une attaque que partiellement et certaines données ont été cryptées. Dans les autres cas, le ransomware a certes été détecté et stoppé, mais il est resté dans le système, ce qui représente un risque supplémentaire.

Trend Micro a rencontré cette même difficulté à trois reprises. Certes, le danger guette toujours, mais au moins rien n’a été crypté : Trend Micro remporte également 37 points.

Dans deux scénarios, la solution pour entreprises de G DATA n’a pas détecté les attaquants et laissé le ransomware se déployer. Cela lui a coûté 8 points et au final, elle ne parvient donc qu’au score de 32 points.

Tous les produits pour entreprises se voient attribuer le certificat « Advanced Approved Endpoint Protection », puisqu’ils atteignent 75 pour cent (30 points) des 40 points maximum du score de protection.

Ransomware neutralisé – avec ou sans service

Alors que bon nombre des produits connus réalisent des performances brillantes dans les tests de détection classiques, ils doivent prouver leurs capacités lors du test Advanced Threat Protection d’AV-TEST selon qu’ils détectent ou non un ransomware. En matière de ransomware, ceci est extrêmement important, car si celui-ci réussit à passer et à se déployer, le système est alors crypté et le reste du réseau est exposé à un grand danger.

Le test montre que les suites de sécurité pour utilisateurs particuliers obtiennent de bons résultats. 12 suites sur 17 atteignent la note maximale de 40 points. Parmi elles, on trouve la suite gratuite Avast Free AntiVirus ainsi que Microsoft Defender. Ceux qui recherchent une suite de sécurité fiable et plus complète se tourneront vers les produits payants d’AhnLab, AVG, Avira, F-Secure, Kaspersky, McAfee, NortonLifeLock, PC Matic, Protected.net ou VIPRE Security.

Les résultats sont tout aussi convaincants en ce qui concerne les suites pour entreprises. Dans cette catégorie, 12 produits sur 17 ont obtenu le score maximal de 40 points : AhnLab, Avast, Comodo, Kaspersky (avec 2 versions), Malwarebytes, Microsoft, Sangfor Technologies, Symantec (Broadcom), Trellix, VMware et WithSecure (anciennement F-Secure Business). Les entreprises trouveront donc un large éventail de solutions certifiées « Advanced Approved Endpoint Protection » pour protéger leur réseau et leurs postes de travail.

Résultats des tests particuliers : AhnLab, Avast, AVG

AhnLab 1/2
zoom ico
AhnLab 2/2
zoom ico
Avast 1/2
zoom ico
Avast 2/2
zoom ico
AVG 1/2
zoom ico
AVG 2/2
zoom ico

1

AhnLab 1/2

2

AhnLab 2/2

3

Avast 1/2

4

Avast 2/2

5

AVG 1/2

6

AVG 2/2

Résultats des tests particuliers : Avira, Bitdefender, F-Secure

Avira 1/2
zoom ico
Avira 2/2
zoom ico
Bitdefender 1/2
zoom ico
Bitdefender 2/2
zoom ico
F-Secure 1/2
zoom ico
F-Secure 2/2
zoom ico

1

Avira 1/2

2

Avira 2/2

3

Bitdefender 1/2

4

Bitdefender 2/2

5

F-Secure 1/2

6

F-Secure 2/2

Résultats des tests particuliers : G DATA, K7 Computing, Kaspersky

G DATA 1/2
zoom ico
G DATA 2/2
zoom ico
K7 Computing 1/2
zoom ico
K7 Computing 2/2
zoom ico
Kaspersky 1/2
zoom ico
Kaspersky 2/2
zoom ico

1

G DATA 1/2

2

G DATA 2/2

3

K7 Computing 1/2

4

K7 Computing 2/2

5

Kaspersky 1/2

6

Kaspersky 2/2

Résultats des tests particuliers : Malwarebytes, McAfee, Microsoft

Malwarebytes 1/2
zoom ico
Malwarebytes 2/2
zoom ico
McAfee 1/2
zoom ico
McAfee 2/2
zoom ico
Microsoft 1/2
zoom ico
Microsoft 2/2
zoom ico

1

Malwarebytes 1/2

2

Malwarebytes 2/2

3

McAfee 1/2

4

McAfee 2/2

5

Microsoft 1/2

6

Microsoft 2/2

Résultats des tests particuliers : NortonLifeLock, PC Matic, Protected.net

NortonLifeLock 1/2
zoom ico
NortonLifeLock 2/2
zoom ico
PC Matic 1/2
zoom ico
PC Matic 2/2
zoom ico
Protected.net 1/2
zoom ico
Protected.net 2/2
zoom ico

1

NortonLifeLock 1/2

2

NortonLifeLock 2/2

3

PC Matic 1/2

4

PC Matic 2/2

5

Protected.net 1/2

6

Protected.net 2/2

Résultats des tests particuliers : Trend Micro, VIPRE Security

Trend Micro 1/2
zoom ico
Trend Micro 2/2
zoom ico
VIPRE Security 1/2
zoom ico
VIPRE Security 2/2
zoom ico

1

Trend Micro 1/2

2

Trend Micro 2/2

3

VIPRE Security 1/2

4

VIPRE Security 2/2

Résultats des tests entreprises : AhnLab, Avast, Bitdefender

AhnLab 1/2
zoom ico
AhnLab 2/2
zoom ico
Avast 1/2
zoom ico
Avast 2/2
zoom ico
Bitdefender 1/2
zoom ico
Bitdefender 2/2
zoom ico

1

AhnLab 1/2

2

AhnLab 2/2

3

Avast 1/2

4

Avast 2/2

5

Bitdefender 1/2

6

Bitdefender 2/2

Résultats des tests entreprises : Bitdefender (Ultra), Comodo, G DATA

Bitdefender (Ultra) 1/2
zoom ico
Bitdefender (Ultra) 2/2
zoom ico
Comodo 1/2
zoom ico
Comodo 2/2
zoom ico
G DATA 1/2
zoom ico
G DATA 2/2
zoom ico

1

Bitdefender (Ultra) 1/2

2

Bitdefender (Ultra) 2/2

3

Comodo 1/2

4

Comodo 2/2

5

G DATA 1/2

6

G DATA 2/2

Résultats des tests entreprises : Kaspersky, Kaspersky (Small Office), Malwarebytes

Kaspersky 1/2
zoom ico
Kaspersky 2/2
zoom ico
Kaspersky (Small Office) 1/2
zoom ico
Kaspersky (Small Office) 2/2
zoom ico
Malwarebytes 1/2
zoom ico
Malwarebytes 2/2
zoom ico

1

Kaspersky 1/2

2

Kaspersky 2/2

3

Kaspersky (Small Office) 1/2

4

Kaspersky (Small Office) 2/2

5

Malwarebytes 1/2

6

Malwarebytes 2/2

Résultats des tests entreprises : Microsoft, Sangfor Technologies, Seqrite

Microsoft 1/2
zoom ico
Microsoft 2/2
zoom ico
Sangfor Technologies 1/2
zoom ico
Sangfor Technologies 2/2
zoom ico
Seqrite 1/2
zoom ico
Seqrite 2/2
zoom ico

1

Microsoft 1/2

2

Microsoft 2/2

3

Sangfor Technologies 1/2

4

Sangfor Technologies 2/2

5

Seqrite 1/2

6

Seqrite 2/2

Résultats des tests entreprises : Symantec, Trellix, Trend Micro

Symantec 1/2
zoom ico
Symantec 2/2
zoom ico
Trellix 1/2
zoom ico
Trellix 2/2
zoom ico
Trend Micro 1/2
zoom ico
Trend Micro 2/2
zoom ico

1

Symantec 1/2

2

Symantec 2/2

3

Trellix 1/2

4

Trellix 2/2

5

Trend Micro 1/2

6

Trend Micro 2/2

Résultats des tests entreprises : VMware, WithSecure

VMware 1/2
zoom ico
VMware 2/2
zoom ico
WithSecure 1/2
zoom ico
WithSecure 2/2
zoom ico

1

VMware 1/2

2

VMware 2/2

3

WithSecure 1/2

4

WithSecure 2/2

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.