MENU
13 février 2025 | Texte: Markus Selinger | Antivirus pour Windows
  • Partager :

Test ATP : 26 suites de sécurité repoussent des ransomwares et des voleurs d'informations

En 2024, les services de sécurité informatique n’ont pas cessé d’annoncer que des PC et des serveurs avaient été victimes d’attaques de ransomwares et de voleurs d’informations et que des données avaient été cryptées ou extraites. Quoi qu’il en soit, ces attaques étaient toujours suivies d’une demande de rançon. Ces attaques auraient-elles pu être évitées ? Les logiciels de sécurité sont-ils capables d’identifier les pirates informatiques actuels et de les repousser ? Le test ATP actuel auquel ont été soumis 26 produits de sécurité pour entreprises et utilisateurs particuliers apporte des réponses à ces questions. Le test Advanced Threat Protection montre clairement dans quelle mesure les solutions de protection sont capables d’agir sous Windows et à protéger les systèmes face à des cyberattaques. Les testeurs d’AV-TEST utilisent en effet les exemplaires les plus récents de ransomwares et de voleurs d'informations et envoient les attaquants sur les systèmes en utilisant ces mêmes techniques et stratégies d’attaques. Quelques produits ont été pris de court, d’autres ont tenu bon sans exception.

26 produits de sécurité soumis au test ATP sous Windows – les suites de sécurité pour utilisateurs finaux et entreprises interceptent les voleurs d’informations et les ransomwares
26 produits de sécurité soumis au test ATP sous Windows

– les suites de sécurité pour utilisateurs finaux et entreprises interceptent les voleurs d’informations et les ransomwares

zoom

Les 26 produits pour Windows mis au banc d’essai dans le cadre de ce test se répartissent en 11 suites antivirus pour utilisateurs finaux et 15 solutions de protection des points terminaux en entreprise. Tous ont pour mission de protéger les systèmes Windows à l’aide de diverses techniques et modules de défense. Tout commence par l’analyse classique et la détection de logiciels malveillants, et se poursuit par la détection comportementale et le démasquage des méthodes d’attaque. Il faut savoir que les attaquants ne se contentent pas d’envoyer les programmes malveillants par e-mail. Ils utilisent au contraire des stratégies très élaborées où les e-mails sont parfaitement falsifiés et camouflés pour être indétectables. Ils ont également recours aux techniques les plus récentes pour neutraliser la défense. C’est précisément ces méthodes que le test Advanced Threat Protection analyse.

26 produits de sécurité soumis au test Advanced Threat Protection

Le test consiste à confronter tous les produits à des scénarios d’attaque réels et de réaliser une analyse approfondie. Les fabricants des suites de sécurité pour utilisateurs finaux testées sont Avast, AVG, Avira, Bitdefender, ESET, F-Secure, G DATA, K7 Computing, McAfee, Microsoft et Norton. Les fabricants des solutions pour entreprises qui participent au test sont Acronis, Avast, Bitdefender (avec 2 versions), ESET, Kaspersky (avec 2 versions), Microsoft, Microworld, Net Protector, Qualys, Rapid7, Symantec, Trellix et WithSecure. Le test a été réalisé en novembre et décembre 2024 sous Windows 10.

Suites de sécurité pour particuliers soumises au test ATP

Les produits de protection doivent démontrer dans 10 scénarios leurs capacités à stopper les ransomwares et voleurs d'informations sous Windows 10

zoom ico
Solutions de sécurité pour entreprises soumises au test ATP

Le test Advanced Threat Protection sous Windows 10 montre qu’il existe une large gamme de produits fiables pour la protection des points de terminaison en entreprise

zoom ico

1

Suites de sécurité pour particuliers soumises au test ATP

2

Solutions de sécurité pour entreprises soumises au test ATP

Tous les produits doivent se défendre contre 5 variantes de ransomwares et 5 voleurs de données dans 10 scénarios réels. Le déroulement de chaque attaque est documenté étape par étape avant d’être analysé. Chaque attaque est décrite dans une matrice suivant la norme MITRE ATT&CK. En guise d’évaluation, le laboratoire attribue des points pour chaque attaque détectée et repoussée. Au cours du test, 5 exemplaires de ransomwares et 5 voleurs d'informations attaquent le système. Dans le cas des ransomwares, il s’agit de reconnaître trois étapes essentielles, dans le cas des voleurs d’informations, quatre étapes. Pour chaque action de défense, le produit obtient un demi-point ou un point entier. Le laboratoire peut attribuer cinq fois 3 points pour chaque ransomware éliminé, et cinq fois 4 points pour les voleurs d’informations. Si un attaquant n’est que partiellement intercepté à une étape de la défense, le produit n’obtient qu’un demi-point, voire aucun. La note maximale pour le score de protection final est donc de 35 points pour chaque produit.

Diverses techniques d’attaque sont utilisées, qui reproduisent les techniques auxquelles les attaquants ont recours actuellement dans des attaques réelles. Parfois, les cybercriminels combinent également différentes techniques pour rendre la détection plus difficile. Voici deux techniques d’attaque particulièrement utilisées lors de ce test :

Memory-mapped file I/O : cette technique est une méthode alternative pour accéder à des fichiers sur un disque dur. L’accès aux fichiers se fait via la mémoire, en utilisant un adressage spécifique à la mémoire. Le ransomware peut p. ex. crypter des documents stockés temporairement sans provoquer d’écritures supplémentaires sur le disque dur. Les outils de surveillance des écritures sur le disque dur ne remarquent pas que le logiciel malveillant accède à un document stocké temporairement, puisque les données sont fournies par la mémoire et non par le disque dur.

Dans notre test, les Memory-mapped files I/O sont utilisées pour chiffrer les fichiers avec un ransomware ou pour lire des fichiers lors de l’exfiltration.

Command line et PPID spoofing : l’usurpation de lignes de commande et l’usurpation de PPID (Parent Process ID) sont des techniques utilisées par les programmes malveillants pour s’immiscer dans des activités légitimes sur le système. Ainsi camouflées, elles peuvent échapper à la détection. L’usurpation de lignes de commande consiste à masquer les arguments transmis aux processus malveillants. L’usurpation de PPID consiste à manipuler l’ID du processus parent d’un processus malveillant afin de faire croire qu’il a été lancé par un processus de confiance. Ces techniques de spoofing rendent l’investigation numérique plus difficile et entravent la détection d’activités malveillantes par les outils de sécurité qui analysent les relations entre les processus ou les activités des lignes de commande.

Dans nos attaques, des instances PowerShell sont lancées pour exécuter des tâches. Ces instances sont lancées avec des PPID et des lignes de commande falsifiées.

Les 10 scénarios utilisés pour le test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, p. ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Pour les utilisateurs particuliers : les résultats du test ATP

Le test des produits pour utilisateurs particuliers révèle quelques surprises. Seuls 4 produits sur les 11 testés ont obtenu un résultat irréprochable dans les 10 scénarios, et remportent les 35 points au score de protection : Bitdefender, ESET, McAfee et Microsoft.

Les suites d’Avast, AVG et Norton ont certes détecté les attaquants dans les 10 scénarios, mais ont rencontré des difficultés avec un voleur de données et un ransomware : elles ont remarqué l’attaquant, mais n’ont pas pu le bloquer complètement. Les deux programmes malveillants ont eu recours pour leur attaque à une technique où un script AutoHotKey est créé et utilisé. Les suites ne sont pas non plus parvenues à empêcher la création du script. Néanmoins, l’attaque a été stoppée à une étape ultérieure de l’exécution du script. Chaque produit a ainsi perdu 1 point pour chaque problème rencontré avec le malware, soit 2 points au total. À la fin, le score de protection d’Avast, AVG et Norton s’élève à 33 points.

G DATA et F-Secure n’ont détecté que 9 des attaquants. Ces deux suites ont échoué face à un autre voleur d’informations et ont ainsi perdu 4 points. Sans oublier que chaque suite a certes détecté un exemplaire de ransomware, sans toutefois le bloquer dans les premières étapes. Les deux suites n’ont également pas été en mesure de stopper la création d’un script d’attaque. Lors de son exécution, la suite G-Data a au moins pu stopper l’attaque, elle n’a donc perdu qu’un seul point. La suite de sécurité de F-Secure n’y est pas parvenue et le système a été crypté, entraînant une perte de 2,5 points. À la fin du test, G Data affiche un score de protection de 30 points sur 35, F-Secure de 28,5 points.

Concernant Avira et K7 Computing, la situation est vite expliquée : ils n’ont identifié que 8 attaques sur 10. Un ransomware et un voleur d’informations n’ont rencontré aucune résistance, ainsi 7 points (4 et 3 points) ont été perdus. Les deux suites affichent un score de protection final de 28 au lieu de 35 points.

Toutes les suites de sécurité ont obtenu le certificat « Advanced Certified » décerné par AV-TEST, puisqu’elles ont toutes atteint 75 pour cent des 35 points (soit 26,5 points).

Pour les entreprises : les résultats du test ATP

Les 15 solutions de protection pour entreprises testées dans le cadre du test ATP ont réalisé une performance solide. 12 d’entre elles n’ont laissé aucune chance aux attaquants, et ce dans les 10 scénarios. Elles ont ainsi obtenu les 35 points maximum du score de protection : Acronis, Bitdefender (les deux versions), ESET, Kaspersky (les deux versions), Microsoft, Microworld, Qualys, Symantec, Trellix et WithSecure.

La solution de Net Protector a rencontré de légers problèmes dans la détection d’un ransomware. L’attaquant a bien été détecté, mais pas bloqué immédiatement. Le ransomware a eu le temps de placer un script d’attaque. Toutefois, l’attaque a été stoppée avant que le script soit exécuté. Ceci a fait perdre un point à cette solution qui totalise donc 34 points sur 35.

La solution de protection des points de terminaison d’Avast a également eu fort à faire avec un voleur d’informations et un ransomware. L’attaquant a certes été identifié, mais dans un premier temps, il a pu continuer à opérer sans entrave. Le malware a même pu créer des scripts d’attaque dans les deux cas. Mais Avast est tout de même parvenu à stopper définitivement les attaquants au moment de l’exécution des scripts. Ces problèmes ont fait perdre au produit deux fois un point, avec un score de protection final de 33 points sur 35.

La solution de Rapid7 a bien détecté les 10 attaquants lors du test, mais elle a atteint ses limites avec deux d’entre eux. Un voleur d’informations s’est livré à une véritable bataille avec cette solution. Dans un premier temps, l’attaquant a été détecté, mais n’a pas pu être stoppé. Ensuite, un script a été créé qui a commencé à collecter des données. Rapid7 n’est pas parvenu à empêcher l’exécution de ce script. À la fin, le malware a même pu extraire et envoyer certaines données. Et ce n’est qu’à cette étape que la solution a réussi à stopper l’attaquant. Ce premier incident a coûté 2 points sur 3 à Rapid7.

La deuxième complication, cette fois avec un ransomware, a commencé d’une manière presque identique. Seulement cette fois, après la première détection, Rapid7 n’a rien pu faire contre l’attaquant. Au bout du compte, le système a été crypté. La solution de Rapid7 a tout de même atteint le score de protection de 29,5 points sur 35.

Tous les produits pour entreprise soumis au test ATP ont obtenu le certificat « Advanced Approved Endpoint Protection » puisqu’ils ont atteint au minimum 75 pour cent des 35 points (soit 26,5 points) comme score de protection.

Certains produits doivent s’améliorer

Avec ses épreuves approfondies, le test ATP montre surtout dans le cas des produits pour particuliers qu’il existe de très bonnes suites de sécurité, mais que certaines peuvent encore s’améliorer. Seuls 4 produits sur 11 ont décroché le score maximal à l’issue du test : Bitdefender, ESET, McAfee et Microsoft.

Les suites antivirus d’Avast, AVG et Norton ont réalisé une très bonne performance, remportant 33 points sur 35. Certes, elles ont d’abord failli face au programme malveillant, mais ont réussi à retourner la situation.

En ce qui concerne les solutions pour entreprises, le tableau a meilleure allure. 12 solutions de protection des points de terminaison de Windows ont passé le test sans commettre une seule erreur, et franchissent la ligne d’arrivée avec le score maximal de 35 points. Seuls 3 fabricants doivent améliorer leurs produits.

Particuliers 12/2024

Free Antivirus
Internet Security
Internet Security for Windows
Total Security
Security Ultimate
Total
Internet Security
Total Security
Total Protection
Defender Antivirus (Consumer)
Norton 360

Solutions pour Entreprises 12/2024

Cyber Protect
Ultimate Business Security
Business Security
Business Security Enterprise
PROTECT Advanced
Endpoint Security
Small Office Security
Defender Antivirus (Enterprise)
eScan Enterprise EDR
Endpoint Security
Endpoint Protection
Rapid7
Endpoint Security Complete
Endpoint Security
Elements Endpoint Protection

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.