25 septembre 2024 | Texte: Markus Selinger | Antivirus pour Windows
  • Partager :

Test ATP de longue durée : 31 produits de sécurité passent le test avancé sous Windows 10 pendant 6 mois

Qu’ils soient destinés aux particuliers ou aux entreprises, les produits de sécurité n’ont pas la tâche facile : ils doivent protéger les systèmes 24/24 et faire face aux toutes nouvelles menaces. Parfois, les produits détectent les agresseurs immédiatement, parfois seulement à une étape ultérieure du processus de défense. C’est précisément ce point qui fait l’objet du test Advanced Threat Protection. Dans l’actuel test de longue durée, 31 produits montrent leurs capacités à détecter les agresseurs, mais également à protéger efficacement les systèmes Windows 10. Les résultats sont intéressants et réservent aussi quelques surprises.

Test ATP de longue durée sur 6 mois : 31 produits de protection affichent des performances stables au cours de ce test avancé
Test ATP de longue durée sur 6 mois :

31 produits de protection affichent des performances stables au cours de ce test avancé

zoom

Pour les utilisateurs particuliers tout comme pour les responsables IT dans les entreprises, les mêmes questions se posent toujours : la solution de protection choisie est-elle la bonne ? Quelle autre solution à utiliser ? Les tests effectués par les experts d’AV-TEST donnent des réponses à ces questions. L’actuel test de longue durée montre que beaucoup de produits offrent une qualité de protection continue. Mais le test ATP de longue durée – ATP est l’abréviation de Advanced Threat Protection – présente aussi d’autres particularités. Beaucoup des produits testés ont participé à 1, 2 voire 3 tests, ce qui fournit des résultats comparatifs. Le test permet de déterminer si les produits détectent les agresseurs et si oui, s’ils peuvent les stopper immédiatement ou à des étapes ultérieures.

Test ATP : des attaques réelles telles qu’elles se produisent quotidiennement

Mais le test ATP présente une autre particularité : le laboratoire ne copie pas simplement les malwares sur les systèmes Windows. Ils laissent au contraire les programmes malveillants déployer leurs perfides techniques d’attaque. Par exemple, après une attaque d’hameçonnage, une pièce jointe dangereuse accède à un système Windows. Là, elle s’infiltre dans un processus en cours qui dispose lui-même de tant de droits qu’il peut démarrer d’autres outils Windows et les manipuler. Voici ci-dessous une liste des techniques d’attaque utilisées par les agresseurs et reproduites dans les tests. Soit elles sont utilisées explicitement, ou encore combinées dans des chaînes d’attaques.

Reflective code injection : La technique « reflective code injection » charge le code dans la mémoire du processus. De cette manière, le chargement réfléchissant peut contourner les détections basées sur les processus, car l’exécution du code aléatoire est masquée au sein d’un processus légitime et inoffensif. Ce type d’injection de code est donc ainsi sans fichier.

Fileless malware – logiciel malveillant sans fichier : Avec un logiciel malveillant sans fichier, le code dangereux n’est pas introduit dans le système via un fichier. Au lieu de cela, le code malveillant s’écrit lui-même depuis la mémoire, par ex. directement dans le registre de Windows. L’attaquant utilise pour cela les outils de Windows comme PowerShell.

Bring a scripting interpreter : Les attaquants utilisent des interpréteurs de script tels que PowerShell pour exécuter des scripts malveillants. Toutefois, beaucoup de programmes de protection surveillent justement les interpréteurs. Une nouvelle variante est apparue : l’attaque avec des interpréteurs de logiciels tels que AutoHotkey (AHK). Un script installe l’interpréteur et exécute ensuite un script AHK qui introduit un ransomware ou un voleur de données dans le système Windows.

Lors des tests, on utilise également le compilateur à la volée LuaJIT pour le langage de programmation Lua. Cette technique consiste à dissimuler des codes malveillants dans des scripts Lua pour les exécuter ensuite sur les ordinateurs des victimes.

Microsoft Software Installer : MSI (Microsoft Installer) est un programme Windows pour les processus d’installation qui fournit une application à installer avec les données et les commandes nécessaires dans un pack pour l’ordinateur de l’utilisateur final. Les cyberattaquants dissimulent des fichiers malveillants dans un fichier MSI et donnent des instructions de commande.

NSIS (Nullsoft Scriptable Install System) : Cet outil open source contrôlable par script permet de créer des programmes d’installation de logiciels Windows. Les attaquants dissimulent les maliciels et les faux fichiers dans les packs d’installation qui sont exécutés, puis démarrent le ransomware ou le voleur d’informations.

Code caché dans un fichier LNK : Le code malveillant se cache dans un fichier raccourci apparemment inoffensif (.LNK) extrait via un PowerShell Windows. Ensuite, le code charge le ransomware et le voleur d’informations sur le système Windows et les exécute.

    Test ATP de longue durée sous Windows 10 :

    Les suites de sécurité pour particuliers réalisent de solides performances au cours du  test de longue durée sur 6 mois

    zoom ico
    Solutions pour entreprises soumises au test ATP de longue durée :

    En matière de continuité de la défense sous Windows 10, seule la version Ultra de Bitdefender atteint le score maximal

    zoom ico

    1

    Test ATP de longue durée sous Windows 10 :

    2

    Solutions pour entreprises soumises au test ATP de longue durée :

    31 produits soumis au test ATP

    Tous les produits ont participé à 1, 2 ou 3 tests ATP. Chacun des tests est toujours effectué dans un délai de 2 mois. Ainsi, certains produits ont été testés sous Windows 10 pendant 6 mois de janvier à juin 2024, d’autres solutions pendant 4 mois, et certaines ont passé un test pendant seulement 2 mois. Si les résultats des produits soumis à un test sont intéressants, les tests réalisés sur une période de 4 à 6 mois offrent un bon aperçu de la qualité de protection dans la continuité.

    Lors du test ATP, les différentes étapes de détection et de défense sont enregistrées et décrites dans une matrice selon le modèle de la matrice MITRE ATT&CK. Dans le cas des ransomwares, il s’agit de reconnaître trois étapes essentielles, dans le cas des voleurs d’informations, quatre actions. Le laboratoire attribue un demi-point ou un point entier pour chaque étape ou action bloquée. Ainsi, un produit peut obtenir cinq fois 3 points pour chaque ransomware détecté et éliminé, et cinq fois 4 points pour les voleurs d’informations. Dans un test, le meilleur score de protection est donc de 35 points. Les produits qui ont participé à 2 tests peuvent atteindre un score de protection de 70 points, et jusqu’à 105 points avec 3 tests.

    Test ATP de longue durée : 14 produits pour utilisateurs particuliers

    Dans le récapitulatif des tests ATP sur les produits destinés aux particuliers, on trouve 14 suites de sécurité connues. Certains produits n’ont pas atteint le score de protection maximal. Si tel est le cas, cela signifie qu’ils ont commis de petites erreurs qui leur ont fait perdre quelques points.

    Dans le premier groupe soumis à 3 tests, on trouve les 4 suites de Microsoft, Bitdefender, Avast et AVG. Le résultat surprise lors de ce test de longue durée : La suite Defender Antivirus (Consumer) de Windows a détecté les 30 attaques lors du test, atteignant un score total de 103,5 points sur 105 possibles. Defender se place ainsi à la tête du classement, suivi de près par Bitdefender avec 29 attaques détectées sur 30, et un score de 99 points sur 105. Les suites d’Avast de AVG ont également détecté toutes les 30 attaques, obtenant 94 points sur 105 sur les 3 tests.

    Le deuxième groupe soumis à 2 tests se compose de 8 produits. On y trouve les fabricants G Data, McAfee, Microworld, Norton, PC Matic qui ont totalisé chacun 70 points sur 70. Cela signifie qu’ils ont détecté et stoppé les 20 attaques des 2 tests.

    Dans ce groupe se trouvent également Avira, ESET et F-Secure. Là, les suites ont certes détecté tous les attaquants, mais rencontré parfois des problèmes de défense. Cela leur a coûté de précieux points : Avira obtient 69 points, ESET 65 et F-Secure 57 sur 70.

    Le troisième groupe soumis à 1 test se compose de 2 produits : Kaspersky et Surfshark. Les deux ont réalisé des performances parfaites, affichant le score de protection maximal de 35 points.

    Résultat du test ATP de longue durée : 17 solutions de sécurité pour entreprises

    Le principe du test ATP sur les solutions pour entreprises est identique à celui sur les produits pour particuliers. Dans le récapitulatif avec 1, 2 et 3 tests, on trouve 17 solutions de sécurité destinées aux entreprises. Ici encore, certains produits n’atteignent pas le score de protection maximal. Si tel est le cas, cela signifie qu’ils ont commis de petites erreurs de défense qui leur ont fait perdre quelques points.

    Dans le premier groupe soumis à 3 tests, on trouve 4 produits. Parmi eux, 2 versions différentes de Bitdefender, ainsi qu’Avast et Check Point. Les trois ont détecté les 30 attaques de manière infaillible. Le seul produit qui obtient le score maximal de 105 points  lors du test de longue durée est la solution Bitdefender Endpoint Security Ultra. Celui-ci témoigne d’une solide continuité au niveau de la protection. Se placent en seconde position la version Endpoint Security de Bitdefender avec 100,5 points sur 105. Avast arrive ensuite avec 100 points, Check Point avec 98 points.

    Le deuxième groupe soumis à 2 tests se compose de 8 produits pour entreprises. Dans ce groupe, toutes les solutions testées ont détecté les 20 attaques sur les systèmes. Les produits d’ ESET, HP Security, les deux versions de Kaspersky, Qualys, Symantec et WithSecure remportent tous le score de protection maximal de 70 points.

    Seul le Defender Antivirus Enterprise de Microsoft a perdu un point lors d’un test et n’affiche que 69 points.

    Le troisième groupe soumis à un test est un peu plus étendu pour les produits pour entreprises. Il se compose de 5 solutions. Microworld, Sophos et Trellix y ont obtenu le score de protection maximal de 35 points. Cybereason a commis des erreurs et n’atteint que 30,5 points sur 35. Seqrite connaît le même problème et ne remporte que 29 points sur 35.

    De belles performances lors du test ATP de longue durée

    Les tests ATP normaux et continus livrent toujours des informations claires sur les solutions de sécurité pour les utilisateurs particuliers et les entreprises. Ils montrent l’efficacité des suites antivirus pour stopper les attaquants dans des scénarios réels, ainsi que la manière dont elles utilisent d’autres modules de protection pour bloquer les attaques à des étapes ultérieures.

    La conception des tests permet de montrer l’efficacité et la constance des produits qui protègent les utilisateurs particuliers et les entreprises. Les groupes soumis à 3 tests sur 6 mois sont particulièrement probants à cet égard. Dans le groupe des produits pour particuliers, la suite de Windows Defender Antivirus a créé la surprise avec 103,5 points sur 105. Elle est suivie de près par les suites de sécurité de Bitdefender, Avast et AVG qui totalisent 99 et 94 points.

    Dans le groupe des solutions pour entreprises soumises à 3 tests, Bitdefender Endpoint Security Ultra joue un rôle remarquable : il est le seul produit à obtenir 105 points sur 105 au test ATP de longue durée. Arrive juste après la deuxième version de Bitdefender avec 100,5 points sur 105. Avast et Check Point affichent eux aussi des résultats très honorables, avec respectivement 100 et 98 points.

    Le groupe soumis à 2 tests fait aussi preuve d’une certaine continuité, mais il n’est pas aussi significatif que celui soumis à 3 tests. Dans ce groupe, la plupart des produits remportent toutefois le score maximal de 70 points. Reste à savoir si ces produits maintiendront cette constance lors des prochains tests.

    Les études ATP sur lesquelles se base le test de longue durée sont les suivantes :

    Social Media

    Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.