Deutsch
English
Français
Español
- Partager :
Test de longue durée : 32 solutions de protection soumises au test ATP sous Windows pendant 6 mois
La série des tests Advanced Threat Protection montre clairement la résistance des solutions de sécurité – tant pour les particuliers que pour les entreprises – face aux attaques réelles de ransomwares ou de voleurs de données. Les résultats individuels de ces tests ATP sont déjà en soi très pertinents. Mais ils deviennent encore plus révélateurs lorsqu’on les observe sur une période plus longue : le test de longue durée permet de déterminer quelle solution de protection se distingue par le niveau et la constance de ses performances de défense. Le test réalisé sur une période de 6 mois sous Windows 10, système encore le plus utilisé à ce jour, réserve quelques surprises et confirme certaines hypothèses émises par les experts.
Dans le cadre du test avancé, de nombreux produits montrent leurs capacités de protection sur la durée
Lorsqu’il s’agit d’acheter une nouvelle solution de protection, les responsables dans les entreprises tout comme les particuliers s’appuient sur des résultats de tests fiables. L’actuel test ATP de longue durée réalisé sur 32 produits sous Windows constitue donc une source précieuse de données solides et offre un bon aperçu des nombreuses solutions de protection présentes sur le marché. Le laboratoire d’AV-TEST a déterminé les résultats de janvier à juin 2025 inclus. De nombreux produits ont participé aux 3 tests, d’autres à un ou deux seulement. Cela permet néanmoins de bien comparer les produits entre eux.
Le test ATP montre dans jusqu’à 30 scénarios l’efficacité d’une suite antivirus ou d’une solution pour entreprise à neutraliser l’attaque d’un ransomware ou d’un voleur d'informations en conditions réelles. Le test avancé commence par la détection du programme malveillant. Mais ceci n’est que la première étape. Car même après une non-détection, les solutions de protection disposent d’autres modules qui leur permettent de bloquer et d’éliminer un attaquant à des étapes ultérieures. Le laboratoire documente toutes ces étapes et les mentionne dans les résultats.
32 produits confrontés à des scénarios d’attaque réels
Étant donné que le test ATP analyse le comportement des produits face à des attaques réelles, les testeurs utilisent ce qu’on appelle des scénarios d’attaque. Car lors d’une véritable attaque, le programme malveillant n’atterrit pas simplement dans le module de détection d’un logiciel de protection. Au contraire, les malwares sont dissimulés dans la pièce jointe comprimée d’un e-mail et utilisent ensuite différentes techniques pour contourner le système de protection de Windows. Souvent, le programme malveillant se fait passer pour un processus Windows légitime ou tente d’exploiter d’autres failles.
Pour réaliser ces tests, le laboratoire a utilisé ou combiné les techniques suivantes.
UAC bypass : Le contrôle du compte de l’utilisateur (User Account Control, UAC) est une fonction de sécurité de Windows destinée à protéger le système d’exploitation de modifications non autorisées. Les attaquants peuvent contourner le mécanisme UAC pour étendre leurs privilèges et exécuter des tâches. Dans les tests, les experts du laboratoire installent un contournement de l’UAC en détournant l’interface IFileOperation COM. Ceci permet de copier ou déplacer des fichiers avec des privilèges élevés sans qu’une invite de commande UAC soit affichée. La méthode fonctionne en lançant un processus qui dispose déjà de privilèges élevés (un processus avec une fonction auto-elevate) comme mmc.exe, la commande pour la console de gestion Microsoft (MMC). En conséquence, la DLL malveillante est chargée dans un processus élevé. Ainsi, le programme malveillant peut soit devenir actif directement, soit installer un service Windows propre avec des droits élevés à l’insu de l’utilisateur.
MSBuild (Microsoft Build Engine) : Cet outil de Windows fait partie de NET Framework et Visual Studio. Il permet de créer (compiler) des applications exécutables à partir de fichiers projet (.proj, .csproj, etc.). Cependant, les attaquants ajoutent du code dangereux dans un fichier projet et le proposent à la compilation par l’utilisateur. Lors de ce processus, le code dangereux s'exécute en tant que logiciel malveillant sans fichier dans la mémoire vive et peut ainsi contourner les mesures de protection, car MSBuild est considéré comme une application fiable.
Code caché dans un fichier LNK : Le code malveillant se cache dans un fichier raccourci apparemment inoffensif (.LNK) extrait via un PowerShell Windows. Ensuite, le code charge le ransomware et le voleur d’informations sur le système Windows et les exécute.
13 suites antivirus pour particuliers au total ont dû faire leurs preuves lors du test de longue durée de 6 mois
pas moins de 3 solutions pour entreprises ont remporté le score maximal de 105 points sur 3 tests
32 produits de sécurité soumis au test avancé ATP
Tous les produits ont participé à 1, 2 ou 3 tests avancés ATP. Chacun des tests est effectué sur une période de 2 mois. Ainsi, certains des produits ont participé aux tests pendant les 6 mois. Le tableau permet de voir rapidement quel produit a été évalué dans combien de tests. Le score de protection maximal change donc naturellement. Chaque test permet d’obtenir jusqu’à 35 points – soit 105 points au maximum pour 3 tests, sinon 70 ou 35 points.
Les testeurs décrivent toutes les actions dans une matrice suivant la norme MITRE ATT&CK. Celle-ci est utilisée dans des analyses professionnelles de niveau international. Ceci permet de garantir que les tests sont parfaitement reproductibles à toutes les étapes.
Le score maximal possible varie en fonction du nombre de tests effectués, sachant que chaque test comprend 10 scénarios. Un ransomware ou un voleur d'informations attaque respectivement dans 5 scénarios. Chaque ransomware neutralisé permet de remporter jusqu’à 3 points, chaque voleur d'informations jusqu’à 4 points. Si un produit réussit sa mission dans tous les scénarios, il obtient 15 plus 20 points, soit 35 points à son score de protection. Des demi-points sont attribués en cas de petites erreurs ou de défense partiellement réussie.
13 produits pour particuliers soumis au test ATP de longue durée
Le tableau rassemble les résultats des 13 produits pour particuliers au test ATP de longue durée. En haut du classement se situent les produits qui ont passé les 3 tests, suivis des produits soumis à 2 tests et à 1 test.
Le premier groupe avec 3 tests se compose des produits d’Avast, AVG, Bitdefender, Kaspersky, McAfee et Norton. McAfee Total Protection arrive en tête des produits soumis à 3 tests avec un score de 105 points sur 105 possibles. Kaspersky Premium et Bitdefender Total Security suivent de très près avec respectivement 103,5 et 102 points. Tous ont détecté tous les attaquants dans les 30 scénarios, mais Kaspersky et Bitdefender ont commis quelques petites erreurs et perdu quelques petits points.
Norton, Avast et AVG livrent de bons résultats après avoir perdu quelques points pour avoir rencontré des problèmes de détection dans un ou deux scénarios. Aux étapes ultérieures, de petits problèmes entraînent une perte de points. Au final, Norton totalise 98,5 points, Avast et AVG 98 points chacun sur un total possible de 105 points.
Le deuxième groupe soumis à 2 tests se compose d’Avira, ESET et F-Secure. Aucun de ces produits n’a détecté les attaquants dans les 20 scénarios. Dès lors, ces suites antivirus ont perdu de précieux points. F-Secure atteint 63 points sur 70 points possibles, ESET 62. Avira n’a pas détecté les attaquants dans 3 scénarios, la suite ne peut totaliser que 59 points sur 70 potentiels.
Le troisième groupe avec 1 test réunit AhnLab, G DATA, K7 Computing et Microsoft. AhnLab, K7 Computing et Microsoft ont détecté les attaquants dans les 10 scénarios et décroché le score maximal de 35 points. Seul le produit de G Data n’a pris des mesures de défense que dans 8 scénarios sur 10, et ne remporte que 28 points sur 35 au score de protection.
19 produits pour entreprises soumis au test ATP de longue durée
19 solutions pour entreprises ont participé au test ATP de longue durée, la plupart ayant passé 2 ou 3 tests. Là encore, les scores de protection maximums s’élèvent à 105, 70 ou 35 points selon le nombre de tests effectués.
Le premier groupe avec 3 tests se compose des 7 solutions d’Avast, Bitdefender, Kaspersky (avec 2 versions), Microworld, Trellix et WithSecure. Pas moins de 3 solutions pour entreprises ont décroché le score maximal de 105 points : Kaspersky Endpoint Security, Kaspersky Small Office Security et Microworld eScan Enterprise EDR. Elles sont talonnées par les produits de WithSecure et Bitdefender totalisant 103 et 102 points respectifs pour la détection de 30 attaques.
La solution de Trellix n’a détecté que 29 attaques sur 30, et perdu d’autres précieux petits points, parvenant au score final de 98,5 points sur 105. Même si elle n’a détecté que 28 attaques, la solution d’Avast récolte tout de même 98 points.
Le deuxième groupe soumis à 2 tests se compose seulement de 3 produits pour entreprises. Les solutions d’Acronis et Qualys ont détecté les attaquants dans les 20 scénarios et n’ont commis aucune erreur. Cette performance est récompensée par un score de protection maximal de 70 points. ESET n’a identifié que 18 attaquants sur 20, et perdu ainsi un bon nombre de points. La solution ne totalise donc que 59 points sur 70 au score de protection.
Le troisième groupe soumis à un test est le plus important, avec 9 solutions. Sont représentés ici les produits d’AhnLab, Bitdefender, Check Point, Crowdstrike, Huawei, Microsoft, Rapid7, Sophos et Symantec.
Pas moins de 6 produits décrochent les 35 points à leur score de protection avec 10 attaques détectées et un sans-faute sur tout le parcours : AhnLab, Bitdefender, Crowdstrike, Microsoft, Sophos et Symantec. La solution d’Huawei laisse totalement passer un attaquant, il ne lui reste donc que 31 points sur 35. Check Point et Rapid 7 ne détectent que 9 attaquants, et commettent en plus quelques petites erreurs. Ces solutions affichent donc les scores respectifs de 29 et 28,5 points sur 35.
Test ATP de longue durée : un résultat qui en dit long
Les tests ATP normaux qui ont lieu tous les deux mois livrent déjà des résultats précieux sur les suites de sécurité et les solutions de sécurité en cas d'attaques réelles. Le test de longue durée dessine une image encore plus nette des performances des solutions de protection en cas d’attaques réelles.
Le groupe composé de 3 tests est le plus intéressant. Il montre que les produits de McAfee, Kaspersky et Bitdefender destinés aux particuliers font vraiment un bon travail même sur une longue période. McAfee mérite d’être mis en avant avec son score de 105 points sur 105 possibles.
Le groupe des solutions pour entreprises soumises à 3 tests livre un résultat similaire. Dans ce groupe, 3 produits décrochent le score maximal de 105 points : les deux solutions de Kaspersky et le produit de Microworld. Mais WithSecure et Bitdefender sont également solides lors des tests avec leurs scores respectifs de 103 et 102 points.
Les résultats de la série composée de 2 tests sont intéressants eux aussi, mais un peu moins probants. Du côté des produits destinés aux particuliers, aucun produit n’a pu bloquer les 20 scénarios d’attaque. Concernant les solutions pour entreprises, il s’agit d’au moins 2 des 3 solutions testées. Les suites pour entreprises d’Acronis et Qualys ont repoussé les attaquants dans les 20 scénarios et obtiennent la note maximale de 70 points à leur score de protection.
Les études ATP sur lesquelles se base le test de longue durée sont les suivantes :
