Comparatif Antivirus : Scan à la demande, c'est débile!

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86876
Inscription : 10 sept. 2005 13:57
Contact :

Comparatif Antivirus : Scan à la demande, c'est débile!

Message par Malekal_morte » 09 nov. 2009 19:29

Voici une page concernant les comparatifs antivirus et notamment les comparatifs qui se contentent d'effectuer un scan à la demande sur 10 000, 1 0000 0000 malwares etc..
Ces comparatifs sont complètement débiles et ne prouvent rien quant à l'efficacité de protection ou autres des antivirus testés.

Ces éléments avaient déjà été évoqués dans quelques autres sujets du forum dont voici deux liens récents :
avast-antivir-avg-t11659.html
cloud-antivirus-t18926-45.html#p180159

Nous allons voir plus en détails pourquoi.

Les infections à l'heure actuelle

Pour comprendre pourquoi les comparatifs avec des scans à la demande sont stupides, il faut déjà savoir comment les infections fonctionnent.
Pourquoi refaire ce qui est déjà fait, je vais entre autre copier/coller ce qui est déjà dit dans la page : Avast! VS Antivir VS AVG 8 2008

A l'heure actuelle, les auteurs de malwares font du brute force, chaque X milliers de nouvelles variantes de différentes famillent voient le jour et chaque jours chaque éditeurs de sécurité se doit d'ajouter de nouvelles détections de signatures et/ou ajuster des détections génériques.
Ajouter de nouvelles urls à bloquer, éventuellement d'exploits dans le cas des infections par site WEB.

La réactivé d'un laboratoire est importante puisque plus ce dernier est réactif, mieux vous êtes protégés face aux nouveaux malwares qui sortent.
L'un des buts actuels des auteurs de malwares, est d'asphyxier les labos en créant variantes sur variantes dans un laps de temps court.

Je vais essayer d'être plus clair à travers l'exemple de l'infection Vundo/Virtumonde, un petit tour sur la page Virus Watch de Kaspersky, dont voici la capture :

Image

La colonne "Detection Time" nous montre que virtumonde, c'est environ une nouvelle variante toutes les 10min.
Il est alors facile de comprendre qu'un laboratoire qui met des heures ou journées pour intégrer de nouvelles variantes va forcément laisser passer certaines variantes.
Pour aller plus loin, si certains antivirus mettent 4h, 8h, une journée, deux jours pour intégrer une nouvelle variante, il "suffit" aux auteurs de malwares de sortir une nouvelle variante toutes les 7h, cela assure une non-détection de leurs infections par l'antivirus en question... si cet antivirus est très utilisé, cela assure un nombre certains de PC infectés.

La partie Virus MSN du forum est assez parlante aussi : virus-msn.html
Le groupe principal qui est derrière les principales infections MSN mettent à jour leur malwares tous les 1 ou 2 jours pour échapper aux détections antivirales. En effet, leur bot est assez simple (un simple processus qui se chargent au démarrage) est donc relativement facile pour un antivirus de le supprimer (contrèrement aux infections plus sophistiqués avec des rootkits par exemple).
Si le groupe met trop de temps à sortir une nouvelle variante, les antivirus les rattrapent et donc les machines sont nettoyés, le groupe perd alors beaucoup de machines de leur botnet.

Dans les familles actives aussi qui ont de nombreuses variantes chaque jour, on notera Zbot/Zeus
Pour s'en rendre compte, il vous suffit de vous rendre dans la partie Remontés d'infections de ce forum et dans la zone de recherche, tapez Zbot, vous aurez alors un nombre de posts avec les scans VirusTotal pour vous rendre compte que chaque jour de nombreuses nouvelles variantes sortent Trojan.Sasfis Trojan.Win32.Oficla Backdoor.Bredavi est très actif qui remplace Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.

Et ainsi de suite pour toutes les familles chaque jour.
Voir la page : un point sur les antivirus.

Conclusion : Les infections actuelles sont cycliques, nouvelles variantes tous les x heures ou x jours pour une même famille.


Qu'est ce qu'un Antivirus de nos jours?

Pour mieux aussi comprendre le problème des comparatifs, il faut aussi comprendre de quoi est composé un antivirus. Ici, on schématisera mais grosso modo un antivirus actuelle incompore :
  • Des détections mises à jour chaque jour avec :
    • des détections signatures (celle-ci est très facile à échapper pour les auteurs de malwares, il suffit de modifier quelque peu le fichier).
    • des détections génériques qui vise un élement qui revient plus souvent (comme une plus grosse portion de code significatif de la famille de malware, ou packer utilisé couramment par une famille etc).
  • Un Webguard : qui bloque les urls connues pour être malicieuses.
  • Eventuellement une sandbox (bac à sables) qui peut jouer le fichier avant la réelle exécution sur le système d'exploitation pour déterminer via des règles si le fichier exécuté est un malware
  • Dans le cas des suites, un firewall, un HIPS etc.
Ce qu'il faut comprendre, c'est que maintenant, un antivirus n'est plus qu'un simple scanneur (en temps réel ou à la demande), du fait de la complexité des infections et du nombre différentes d'infections, ils incorporent d'autres modules de protection.

Les comparatifs en scan à la demande...... c'est.... débile!

Soyons clair, depuis 2006 et encore plus vrais de nos jours, les comparatifs en scan à la demande, c'est à dire qui prennent x milliers de malwares et les parquent dans un répertoire pour les scanner, c'est débile.

Pourquoi ?

Nous venons de voir que les infections, c'est x milliers de nouveaux samples par jour, le but des auteurs de malwares est de faire du brute force pour garantir pendant un temps T plus ou moins long, un minimum de non détection et permettre l'infection d'un PC ayant un antivirus installé.
Prendre 1 000 000 000 ne rend pas compte de cet état, en effet, il faut combien de temps pour rassembler tant de malwares ? 3 jours, 1 semaine, 1 mois ? 3 mois ?
Au moment du test, ces malwares auront été incorporés par la majorité des éditeurs de sécurité, oui mais voila, pendant le test de nouveaux seront sortis pour garantir l'infection de nouveaux PC (ce fameux temps T).
Il est à peu près sûr que les malwares ont plus de 3 jours, voir certains 3 semaines dans ces tests, un labo qui met 3 jours pour ajouter une détection (et donc potentiellement peut ne pas protéger contre cette variante pendant ce laps de temps) sera bien noté dans le comparatif.

Contrairement aux croyances établies, je peux vous dire que pour envoyer des malwares chaque jour, le nombre d'antivirus capable d'ajouter une détection par jour se comptent à peine sur les doigts d'une main. Certaines pages nous le démontrent :
gamunkl-com-189-153-zbot-ntos-t15431.ht ... 8s#p122196
trojan-sasfis-trojan-win32-oficla-backd ... ml#p180001
myphoto12-zip-trojan-win32-buzus-mdr-t1 ... A8s#p98335
myphoto23-zip-trojan-win32-inject-emg-t ... 8s#p100791
nuevofoto21e-zip-trojan-win32-agent-ttu ... A8s#p97679
newpicture3a-zip-trojan-win32-agent-ttu ... A8s#p97678
tinypic-d9000-jpg-tinypic-com-trojan-wi ... A8s#p97677
fotos-004-zip-worm-win32-autorun-elb-t1 ... A8s#p97667
picture9-zip-backdoor-win32-ircbot-dyn- ... A8s#p97186
nuevofoto8-zip-backdoor-win32-ircbot-dy ... A8s#p97185
photo16-zip-worm-win32-autorun-t12427.h ... A8s#p97184
photo13-zip-worm-win32-autorun-ehu-t124 ... A8s#p97183
nuevofoto8-zip-worm-win32-autorun-t1244 ... A8s#p97182
packed-win32-cpex-based-naked164-com-t7 ... A8s#p61565
backdoor-win32-ircbot-baf-services-exe- ... A8s#p55493
backdoor-win32-sdbot-cha-www-dance-dec- ... A8s#p43291
backdoor-win32-sdbot-bgc-win32-agent-ei ... A8s#p25374

Sur les tests le taux de détection est souvent de > 95%, or à un instant T, le pourcentage de détection est beaucoup moindre peut-être environ 40%... Les forums de désinfection qui sont submergés de demande de détection en sont la preuve.
Ceci est démontré sur le comparatif 2010 de ce site voir ce lien : comparatif-antivirus-2010-t23535.html#p196484

Ensuite comme nous l'avons vu, un antivirus de nos jours, ce n'est pas qu'un simple scanneur en temps réel.
Quid des urls bloquées dans les tests ?
Enormément de malwares se propagent via des exploits sur des sites WEB, beaucoup d'antivirus sont spécialisés soient dans le blocage des urls (je pense à Trend-Micro) et d'autres sont assez bon pour bloquer soit les iframes malicieuses, soit les exploits (je pense à Sophos).
Ces blocages se font en amont du moindre malware téléchargé et surtout exécuté sur le système puisque soit l'url de départ est bloquée, soit l'exploit qui fait télécharger automatiquement à et l'insu de l'utilisateur le malware est bloquée. Le malware téléchargé peut alors avoir 0 détection sur VirusTotal, vous serez protégé.
Un scan à la demande ne rend pas compte de ces protections, tout simplement, ce test ne rend pas compte de tous les modules de protection de l'antivirus, il pénalise donc certains antivirus.

Quid c'est droppers ?
Sur cette page : 1tomohappy-com-security-tool-t21879.html#p181222
Le dropper initial est mal détecté mais ce dernier embarque un autre fichier qui est copié %windir%\temp qui lui est beaucoup mieux détecté.
Si le premier fichier ne fera pas hurlé l'antivirus, le second en fera hurlé d'autres qui pourront stoppé l'infection à ce niveau.
Il en va de même pour les Trojan-Downloader qui vont chercher d'autres malwares.
Le scan à la demande ne rend pas compte de ceci.

Le comparatif suivant de http://www.anti-malware.ru propose un test des antivirus "en live" face à des sites WEB contenant des exploits sur des sites WEB, 1 point est donné lorsque l'antivirus empeche la détection sinon ce dernier obtient 0 point.

Il est vraiment intéressant puisqu'il a le mérite de confronter les antivirus directement aux infections, tous les modules de protection de l'antivirus sont donc testés.

On voit tout de suite que le classement n'est pas du tout le même que lors des tests à la demande (je pense surtout à G-Data, Norton etc), et voit surtout que sur les 19 "antivirus" (je mets des guillemets car il y a des HIPS) testés, 9 sont à >= 50%, ce qui signifie qu'une url sur deux a permis d'infecter le PC.

Le résultat du comparatif de http://www.anti-malware.ru
Image

et surtout Le test NSS Lab.

Enfin je voudrais ajouter une petite chose, attention aux idées reçues, détection est différent de suppression.
Ce n'est pas parce que l'antivirus lors d'un scan à la demande est capable de détecter un malware qu'il le sera sur un système infecté avec ce même malware.
Les rootkits en sont le meilleur exemple.
Et cela ne veux encore moins dire que l'antivirus sera capable d'éradiquer le malware, les forums de désinfections en sont un bon exemple, nombre d'internaute y postent en désespoir après avoir tenté de nettoyeur leur système après X antivirus... on arrive alors à une multiplication des protections qui n'est pas non plus une solution.

2012 : Cloud et Proactive - c'est encore plus vrai

En 2012 avec l'émergence du Cloud et des détections Proactives - c'est encore plus vrai - Lire la page : Antivirus en 2012 : Cloud et Détections ProActives / Comportementales

Conclusion

Si l'on compare ce qui se passe chaque jour dans le monde des malwares et les tests de scan à la demande, on voit très bien que la méthodologie n'est pas du tout adapté.
Il en ressort que ces tests sont trompeurs pour les internautes qui ont tendance à s'y jeter comme des abeilles sur un pot de miel.
Ces tests ont tendance à gonfler la protection de certains antivirus et à en pénaliser d'autres, ils permettent tout juste de déterminer le taux de malwares pour lesquels l'éditeur est passé à côté au bout d'un certains laps de temps.

Alors s'il vous plait, merci de réfléchir à deux fois avant de balancer un lien d'un comparatif quelconque avec un test de scan à la demande!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86876
Inscription : 10 sept. 2005 13:57
Contact :

Re: Comparatif Antivirus : Scan à la demande, c'est débile!

Message par Malekal_morte » 01 août 2011 20:28

2011 - Toujours pour montrer que c'est toujours aussi débile : https://www.malekal.com/2011/08/01/detec ... -le-temps/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86876
Inscription : 10 sept. 2005 13:57
Contact :

Re: Comparatif Antivirus : Scan à la demande, c'est débile!

Message par Malekal_morte » 21 sept. 2011 10:00

Ajout : En 2012 avec l'émergence du Cloud et des détections Proactives - c'est encore plus vrai - Lire la page : Antivirus en 2012 : Cloud et Détections ProActives / Comportementales
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité