MENU
19 décembre 2023 | Texte: Markus Selinger | Antivirus pour Windows
  • Partager :

Test ATP : voleurs de données et ransomwares sur la défensive

Les tests dans le laboratoire d’AV-TEST montrent bien que si les voleurs de données et les ransomwares poursuivent toujours le même objectif, les moyens pour réussir une attaque diffèrent énormément. Les cybercriminels utilisent pour chaque programme malveillant diverses techniques d’attaque qu’il s’agit d'identifier. Dans l’actuel test Advanced Threat Protection, 10 exemplaires de programmes malveillants attaquent les systèmes testés dans 10 scénarios réels. Les 22 solutions de protection pour entreprises et utilisateurs particuliers doivent alors identifier des techniques telles que l’« auto-signature de fichiers binaires », l’« usurpation d’identité de signature » et le « détournement du logiciel Microsoft Software Installer ». Les résultats du test montrent bien que les solutions de protection mises au banc d’essais sont généralement parfaitement entraînées à détecter toutes les techniques d’attaque et à protéger les voies d’accès sous Windows.

Test ATP avec 22 solutions – le test Advanced Threat Protection montre les capacités de défense des produits contre les voleurs de données et les ransomwares
Test ATP avec 22 solutions –

le test Advanced Threat Protection montre les capacités de défense des produits contre les voleurs de données et les ransomwares

zoom

Camouflage, feinte et attaque : voilà la tactique d’un programme malveillant lorsqu’il prend un système d’assaut. Toutefois, les cybercriminels ont développé et amélioré de nombreuses variantes d’attaque sur les systèmes Windows. Parmi les plus raffinées, citons l’auto-signature de fichiers binaires, et le cas de l’usurpation d’identités de signature. Tout aussi perfide : le détournement du logiciel Microsoft Software Installer pour exécuter un programme malveillant. Lors de l’actuel test Advanced Threat Protection réalisé en septembre-octobre 2023, les experts ont reproduit en laboratoire les attaques sur les systèmes testés dans 10 scénarios réels, en utilisant respectivement 5 exemplaires de voleurs de données et de ransomwares. 

Les 22 suites pour entreprises et utilisateurs particuliers ont prouvé leurs capacités face à 10 exemplaires de ransomware et voleurs de données. 3 points ont été attribués pour chaque attaque parée, multipliés par 10 scénarios  pour obtenir un score de protection maximal de 30 points. Les solutions pour entreprises mises au banc d’essais sont celles d'Acronis, AhnLab, Avast, Check Point, Kaspersky (avec 2 versions), Malwarebytes, Microsoft, Seqrite, Symantec, WithSecure et VMware.

Du côté des produits pour utilisateurs particuliers, le laboratoire a testé les suites des fabricants suivants :  AhnLab, Avast, AVG, F-Secure, Kaspersky, Malwarebytes, McAfee, Microsoft, Norton et PC Matic.

22 produits de protection font face à des techniques d’attaque sophistiquées

Tous les produits testés ont eu à détecter les attaquants dans 10 scénarios. Bon nombre de ransomwares et voleurs de données utilisent lors de leurs attaques les techniques supplémentaires suivantes. La mission des produits de protection est de les identifier.

Logiciels de protection pour particuliers soumis au test ATP

Lors du test Advanced Threat Protection réalisé en septembre-octobre 2023, toutes les suites antivirus testées ont réalisé des performances très convaincantes face aux ransomwares et aux voleurs de données

zoom ico
Logiciels de protection pour entreprises soumis au test ATP

Le test Advanced Threat Protection de septembre-octobre montre que presque toutes les solutions de protection pour les entreprises identifient parfaitement et bloquent efficacement les voleurs de données et les ransomwares

zoom ico

1

Logiciels de protection pour particuliers soumis au test ATP

2

Logiciels de protection pour entreprises soumis au test ATP

Auto-signature de fichiers binaires

Une signature de code est utilisée la plupart du temps par les développeurs pour un fichier binaire. Elle est censée garantir un certain degré d’authenticité, c’est-à-dire garantir que le fichier binaire n’a pas été manipulé. Les développeurs se servent souvent de l’auto-signature dans leurs propres environnements de test, sans toutefois la diffuser. Les cybercriminels utilisent la technique de l’auto-signature pour leurs programmes malveillants afin de les faire paraître plus authentiques au premier abord. Ils cherchent ainsi à tromper les systèmes de défense.

Identité de signature usurpée

Beaucoup d’applications et de fichiers de développeurs ont des signatures valables et vérifiables. Les pirates informatiques essaient d’exploiter cette situation pour leurs programmes malveillants : ils peuvent copier les métadonnées et les informations de signature d’un programme signé et les appliquer comme modèle à leur programme malveillant. Les fichiers avec des signatures de code non valables échouent au contrôle de la signature numérique, mais peuvent paraître plus légitimes aux yeux des utilisateurs, et les outils de sécurité peuvent dans certains cas traiter ces fichiers de manière incorrecte.

Détournement du logiciel Microsoft Software Installer

Msiexec.exe est l’utilitaire de la ligne de commande de Windows Installer. Habituellement chargé de démarrer des packs d’installation (.msi), il peut aussi exécuter des fichiers DLL. Dans le système, cet outil jouit d’une haute réputation, et il est également signé. C’est pourquoi les attaquants essaient de détourner msiexec.exe pour lancer l’exécution de programmes malveillants. Les solutions de contrôle des applications pourraient être contournées si elles ne tiennent pas compte du détournement potentiel de msiexec.exe.

Le déroulement d’une attaque dans un test Advanced Threat Protection suit la plupart du temps le modèle suivant : un e-mail d’hameçonnage contenant une pièce jointe dangereuse atterrit sur un système Windows. C’est à ce moment que les systèmes de défense détectent l’attaquant soit immédiatement, soit dès qu’il s’active. Dans les graphiques, ce résultat est confirmé par un champ vert sous « Initial Access » ou « Execution ». Si tel est le cas, l’attaque est d’ores et déjà neutralisée.

Dans le cas contraire, les attaquants se mettent au travail : les voleurs de données collectent des informations sur les données et les « exfiltrent » ensuite sur un serveur C2. Le ransomware collecte certes aussi des informations, mais n’envoie en général qu’une liste de fichiers de tous les disques durs au serveur C2. Le cryptage des données et le renommage de fichiers sont ensuite lancés. Puis, un fichier texte s’affiche sur l'ordinateur pour informer de l’attaque et demander une rançon.

Une explication plus détaillée des tableaux évaluatifs et des différents codes couleur sous forme de feu de signalisation se trouve dans l’article « Test et étude : les logiciels de sécurité sont-ils efficaces contre les ransomwares actuels sous Windows 11 ? ».

Les 10 scénarios utilisés pour le test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, par ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Tests sur produits ATP pour utilisateurs particuliers

Dans l’actuel test Advanced Threat Protection (ATP) réalisé en septembre-octobre 2023, 10 produits de protection ont mis leurs capacités de défense contre les ransomwares et les voleurs de données à l’épreuve. Il s’agit des produits d’AhnLab, Avast, AVG, F-Secure, Kaspersky, Malwarebytes, McAfee, Microsoft, Norton et PC Matic.

Tous les produits ont réalisé des performances maximales pendant le test : dans aucun scénario, un ransomware ou un voleur de données n’a pu franchir le rempart de protection de la suite de sécurité. Même les techniques d’attaque spéciales telles que l’auto-signature de fichiers binaires, l’usurpation d’identités de signature ou le détournement du logiciel Microsoft Software Installer n’ont pas abouti à un vol ou à un cryptage de données.

Tous les produits pour utilisateurs finaux remportent le certificat « Advanced Certified » puisqu’ils ont atteint au minimum 75 pour cent des 30 points (soit 22,5 points) comme score de protection.

Tests sur produits ATP pour entreprises

Les 12 suites antivirus suivantes destinées aux entreprises ont également été mises au banc d’essais pour tester leurs capacités contre les techniques d’attaque spéciales des voleurs de données et les ransomwares. Il s’agit des suites d’Acronis, AhnLab, Avast, Check Point, Kaspersky (avec 2 versions), Malwarebytes, Microsoft, Seqrite, Symantec, WithSecure et VMware.

11 solutions pour entreprise ont réalisé des performances parfaites, affichant le score de protection maximal de 30 points. Elles ont même résisté aux techniques d’attaque spéciales.

Seule la suite VMware Carbon Black Cloud a dû déclarer forfait dans un cas particulier. Elle n’a détecté le voleur de données ni à l’étape Initial Access, ni à l’étape Execution. Le programme malveillant a donc pu se propager sur le système sans être inquiété, collecter des données, les extraire et lancer la demande de rançon. Cette solution de sécurité a ainsi perdu la totalité des 3 points.

Les solutions qui ont totalisé au moins 75 pour cent des 30 points (soit 22,5 points) au score de protection reçoivent également le certificat « Advanced Approved Endpoint Protection » qui récompense leurs performances. Seule exception : le produit d’Acronis. Il a certes réussi le test sans erreur, mais seuls les produits qui sont certifiés lors des tests mensuels réguliers et qui remplissent les critères ici obtiennent le certificat.

Une bonne protection contre les voleurs de données et les ransomwares

Le test Advanced Threat Protection de septembre-octobre 2023 rend compte de performances irréprochables pour presque tous les fabricants de suites de sécurité. Du côté des suites pour particuliers, tous les produits remportent le score de protection maximal.

Du côté des suites pour entreprises, 11 produits sur 12 affichent une performance sans faille et atteignent également les 30 points au score de protection. Seul un produit a rencontré des difficultés dans l’un des dix scénarios.

Et même les techniques d’attaque spéciales telles que l’auto-signature de fichiers binaires, l’usurpation d’identité et le détournement du logiciel Microsoft Software Installer n’ont pas servi aux attaquants. Les systèmes de protection ont détecté ces techniques, ne laissant ainsi aucune chance aux programmes malveillants.

Particuliers 10/2023

V3 Internet Security
Free Antivirus
Internet Security
Total
Standard
Premium
Total Protection
Defender Antivirus (Consumer)
Norton 360
Application Allowlisting

Solutions pour Entreprises 10/2023

Cyber Protect
V3 Endpoint Security
Ultimate Business Security
Endpoint Security
Endpoint Security
Small Office Security
Endpoint Protection
Defender Antivirus (Enterprise)
Endpoint Security
Endpoint Security Complete
Carbon Black Cloud
Elements Endpoint Protection

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.