Néanmoins vous pouvez lire celui-ci si vous voulez avoir un aperçu de l'évolution des antivirus.
DISCLAIMER : Je tiens aussi à préciser que je n'ai rien à gagner à promouvoir tel ou tel antivirus, le but avant tout de cette page est de casser certaines idées reçues concernant la sécurité de son PC (comme la page Adwares/Spywares : Comment NE PAS désinfecter son PC ?)
Le but de cette page est de réfléter le plus possible la réalité mais c'est à vous de choisir l'antivirus qui vous convient selon vos connaissances, préférences etc.
DISCLAIMER 2 - Un petit mot concernant cette page et la sécurité informatique : Cette page est un comparatif entre antivirus, certes certains sont "meilleurs" que d'autres "moins bons". Cependant, ce n'est pas parce que certains sont meilleurs qu'il faut les installer et se dire "hop je serai mieux sécurisé, plus de prb de virus" - Les infections ne viennent pas tout seul et si vous êtes infectés c'est que vous n'avez pas de bonne habitude de surf et que vous ne faites pas non plus tout ce qu'il faut pour sécuriser votre PC (la sécurité, ce n'est pas qu'installer un antivirus, antispyware ou autre antitruc").
Bref tout ça pour dire que ce comparatif, ce n'est pas que pour alimenter les trolls en tout genre mais aussi pour vous sensibiliser un peu sur la sécurité informatique, je vous conseille d'ailleurs de commencer par les pages :
Un an après la page Avast! VS Antivir (que je vous conseille de lire pour mieux apprécier celle-ci), un nouveau point sur ces deux antivirus.
Cette fois-ci, le test sera étendu en ajoutant l'antivirus AVG 8 [Ca permettre par la même occasion de faire taire ceux qui disent que le test précédent était plus ou moins truqué pour refourguer Antivir].
Présentation et tour rapide des antivirus
Un petit tour et aperçu des protection offertes par les versions gratuites.
Encore une fois, c'est le minimum qui est propose dans la gamme, chaque antivirus a ses avantages et ses inconvénients (qui est palié dans la version gratuite du voisin), les versions payantes incorporent bien sûr plus de protection.
Avast! Familiale 4.8 incorpore :
- Anti-Spyware incorporé
- Bouclier Web
- Anti-Rootkit incorporé
- Bouclier P2P, mails & Messageries instannées (IM).
- Antivirus
- Anti-Spywares
- Safe Search
Antivir 8 Personal Edition incorpore:
- Protection contre les virus
- Détection et suppression de rootkits.
Petit mot personnel, bien que l'internaute cherche toujours le meilleur du meilleur croyant être mieux protégé.
On peut arriver tout de même avec les gratuits à une protection assez satisfaisante surtout en surfant avec Firefox Sécurisé, ainsi qu'en maintenant Windows et vos logiciels à jour.. la différence se fera sur votre attitude de surf (si vous ouvrez tous les fichiers qu'on vous balance ou téléchargez n'importe quoi sur P2P, c'est l'infection à coup sûr quel que soit l'antivirus choisi).
Un point sur les infections
Pour mieux comprendre ce comparatif, il faut comprendre comment les infections actuelles fonctionnent et quelle est la difficulté des antivirus.
Pour rappel, cette page n'a pas pour but premier de tester le programme proprement dit, c'est à dire les fonctionnalités de protection offertes par les différents antivirus qui sont en général assez proches d'un antivirus à l'autre (Webguard, Scanner Rootkit etc), cette page tente plutôt de montrer les lacunes des laboratoires de certains antivirus pour intégrer les nouvelles variantes.
Ceci est important à l'heure où la majorité des internautes se sentent protégés à travers un discours "mon antivirus se met pourtant à jour toutes les heures" ... or quels sont les ajouts effectués dans chaque mise à jour ? Des nouveaux malwares tout frais de la journée ? D'hier ? D'une semaine ? Un mois ?
La réactivé d'un laboratoire est importante puisque plus ce dernier est réactif, mieux vous êtes protégés face aux nouveaux malwares qui sortent.
L'un des buts actuels des auteurs de malwares, est d'asphyxier les labos en créant variantes sur variantes dans un laps de temps court.
Je vais essayer d'être plus clair à travers l'exemple de l'infection Vundo/Virtumonde, un petit tour sur la page Virus Watch de Kaspersky, dont voici la capture :
La colonne "Detection Time" nous montre que virtumonde, c'est environ une nouvelle variante toutes les 10min.
Il est alors facile de comprendre qu'un laboratoire qui met des heures ou journées pour intégrer de nouvelles variantes va forcément laisser passer certaines variantes.
Pour aller plus loin, si certains antivirus mettent 4h, 8h, une journée, deux jours pour intégrer une nouvelle variante, il "suffit" aux auteurs de malwares de sortir une nouvelle variante toutes les 7h, cela assure une non-détection de leurs infections par l'antivirus en question... si cet antivirus est très utilisé, cela assure un nombre certains de PC infectés.
Conclusion : Les infections actuelles sont cycliques, nouvelles variantes tous les x heures ou x jours pour une même famille.
Illustration à travers le suivi d'infection MSN d'un même botnet :
http://forum.malekal.com/virus-msn-pict ... 11682.html
http://forum.malekal.com/triad-exe-troj ... 12356.html#
ou aussi l'infection Nuwar par mail, quelques détections espacées, on voit que c'est bien que c'est cyclique : http://forum.malekal.com/trojandropper- ... 10645.html
Les détections heuristiques/génériques permettent aussi de pallier à cela, mais encore une fois, tous les antivirus ne sont pas égaux de ce côté là.
Les méthodes de propagation de malwares ont elles aussi évolué si avant il fallait surfer sur des sites WEB à la thématique douteuse (pornographique, cracks, cela est encore plus vrai), si avant il fallait ouvrir des pièces jointes douteuses par mail (ce qui n'est plus le cas Vers de messageries ne sont plus vecteur 1er des infections
Maintenant, les infections se propagent par MSN (Virus MSN : explications, fonctionnement et parade), disques amovibles ammenés par un ami, ou si vous utilisez les vautres dans des cybers, université etc.. (Explications infections disques amovibles (clefs USB etc), Pubs et bannières pourries sur les sites WEB) etc...
Bref le rayon d'action des infections s'est étendu, mettant en place tout un écosystème. Le but est clair, il faut toucher un maximum de personnes pour faire toujours plus de $... sachant que souvent ces personnes ne sont pas habituées aux menaces, très souvent, pour elles, les malwares se propagent par des mails infectieux, c'était vrai il y a 4 ans. Bref la connaissance ne suit pas.
Les comparatifs à 95% de détections ....
Pour terminer, ces informations sur la vitesse d'intégration des malwares, vous ne les avez pas sur les comparatifs "traditonnels" qui sont pour moi inutils...
Les comparatifs actuels, c'est en général : je prends 1 000 000 de malwares et je les balance aux antivirus et je dresse un tableau par % de détection.
Il en ressort que tous les antivirus ont > 95% de détection, ce qui est loin d'être le cas dans la réalité puisqu'ils sont confrontés à des malwares jetables.
Ces tests quantitatifs montrent quoi face à des variantes cycliques ? RIEN, car sur les 1 000 000 de malwares, 90% sont vieux de combien de semaines? Voire combien de mois? ...Et surtout ne sont plus "en ligne" ?
Si l'on reprend notre tableau virtumonde, quel est l'interêt d'aller vérifier la détection d'une variante d'il y a un mois alors qu'il sort une nouvelle variante toutes les 10 min ?
Vous êtes super heureux de savoir que votre antivirus détecte une variante vieille d'un mois qui n'est plus en circulation... et qu'il est probablement pas capable de vous protéger à l'instant où vous lisez les lignes de cette infection.
Ceci est un peu plus longuement détaillé dans la page : Comparatif Antivirus : Scan à la demande, c'est débile!
Méthodologie des tests
Voici les tests qui ont été effectués :
- Scan à la demande : Détection de malwares récoltées sur deux ou trois jours sur Exploits de site WEB. Ce sont donc des infections actives que vous êtes suceptibles de pouvoir attrapés.
- Evolution des détections d'une infection. On prend une infection qui se met à jour tous les jours et on voit l'évolution de la détection des trois antivirus afin de constater la vitesse d'intégration des variantes par les laboratoires.
- Test de suppression d'infections.
Antivir & Avast comptent une détection par fichier et ne comptabilisent pas les éléments du registre Windows
AVG compatabilise les éléments du registre dans le total. Dans les objets compressés, il va compatibiliser le double d'éléments détectés (1 pour le fichier compressé + 1 pour l'élément infectieux dans le fichier compressé).
Cela "gonfle" donc le nombre total d'éléments détectés face aux deux autres antivirus.
De plus, l'antivirus peut détecter des éléments dans c:\ ou dans les dossiers temporaires (souvent ce sont les droppers) et non le contenu proprement dit de l'infection (payload), voir la page Dropper & Payload : Explications.
C'est d'ailleurs aussi, pour cela, que lorsque vous scannez avec un antivirus puis un second, vous devez vous méfier du résultat de scan, il est "stupide" si le second détecte 100 malwares en plus, d'en déduire automatiquement que le premier "est mauvais".
Par exemple, Panda compatibilise les tracking cookies comme spywares... On arrive alors facilement à un nombre spywares assez conséquent.
Or pour d'autres antivirus, les spywares sont "vraiment" des logiciels espions à proprement dits (keylogger, programmes qui logguent les sites que vous consultez etc.).
Plus vous avez de choses détectées, plus vous en déduisez que l'antivirus est efficace, cela fait vendre!