Les logiciels antivirus commerciaux sont devenus tellement peu efficaces pour détecter les nouvelles menaces que la plupart des entreprises gaspillent leur argent en les achetant selon une étude de la firme de sécurité Imperva. La multiplication des rapports sur l'évaluation de la protection offerte par les suites antivirus soulève de nouveau un problème récurrent. L'étude "Assessing the Effectiveness of Anti-Virus Solutions" réalisée par l'Université de Tel-Aviv pour Imperva doit inciter les entreprises à étudier la question.
L'équipe de chercheurs a soumis une collection de 82 nouveaux logiciels malveillants au système en ligne VirusTotal de Google qui agrège environ 40 produits antivirus différents. Et le taux de détection initiale était un très surprenant zéro. Les universitaires ont ensuite renouvelé ces demandes d'analyse avec un intervalle d'une semaine afin de contrôler si la détection s'améliorait au fil du temps. Et, nouvelle surprise, même les produits connus comme les plus performants du marché ont demandé au moins trois semaines pour ajouter un échantillon préalablement détecté à leurs bases de données.
Douze fichiers infectés qui ont été mal détectés par plus de la moitié des moteurs antivirus n'ont toujours pas été détectés par les logiciels restants à des dates ultérieures. Dans certains cas, les fichiers ont simplement été marqués comme "malware non classifiés", une désignation qui pourrait nuire à l'efficacité de suppression des logiciels malveillants. Il est toutefois difficile d'indiquer quel produit a été le plus efficace à partir de cette méthodologie originale (les lecteurs peuvent juger par eux-mêmes sur le site Web d'Imperva), mais il n'y avait pas de lien entre la popularité d'un produit et son efficacité. Plus frappant encore, les chercheurs d'Imperva finissent par recommander deux produits antivirus gratuits, Avast et Emisoft, ainsi que celui de McAfee.
Deux logiciels gratuits mis en avant par Imperva
Selon Imperva, les entreprises continuent d'acheter des logiciels antivirus sous licence pour répondre à des normes de conformité. La société californienne estime que cette disposition devrait être assouplie afin de leur permettre d'utiliser des produits gratuits à la place, afin d'investir l'argent économisé dans d'autres formes de sécurité. "Pour être clairs, nous ne recommandons pas l'élimination des outils antivirus. Nous recommandons toutefois un rééquilibrage et la modernisation de la sécurité pour répondre aux menaces d'aujourd'hui", poursuit le rapport d'Imperva.
En utilisant des chiffres fournis par Gartner, Imperva a estimé que les outils antivirus consommaient environ un tiers des dépenses totales en logiciels de sécurité. Un investissement qui ne se justifie pas selon la société. « La sécurité dans les entreprises a établi une ligne imaginaire avec les solutions antivirus, mais la réalité est que tous les virus uniques et nouvellement créés subvertissent sans contestation ces solutions », a commenté le CTO d'Imperva, Amichai Shulman.
D'autres solutions de sécurité doivent être envisagées
« Nous ne pouvons pas continuer à investir des milliards de dollars dans les solutions antivirus qui offrent l'illusion de la sécurité, en particulier lorsque des logiciels gratuits font mieux que des outils payant avec abonnements ». Les administrateurs pourraient toutefois légitimement objecter que les programmes antivirus gratuits sont destinés au grand public et offrent rarement les capacités de déploiement et de gestion dont ils ont besoin.
En août dernier, NSS Labs avait fait remarquer que de nombreux produits antivirus ont été incapables de bloquer les attaques de logiciels malveillants exploitant deux vulnérabilités de Microsoft, pourtant patchées quelques semaines auparavant.
Au fil des ans, de nouvelles variétés technologies ont été employées pour améliorer la sécurité fournie par les antivirus, le plus souvent en proposant des défenses dans des programmes tels que les navigateurs, ou au démarrage des PC. ZeroVulnerabilityLabs a par exemple lancé la version bêta d'un plug-in qui abandonne la détection des malwares au profit du blocage des failles logicielles exploitées par des programmes malveillants qui tentent de prendre le contrôle du PC.
Les logiciels antivirus payants sont-ils encore nécessaires dans les entreprises ?
5
Réactions
Selon un rapport de la société Imperva, l'inefficacité des logiciels antivirus commerciaux pour détecter les nouvelles menaces pousse à l'adoption des versions gratuites. Et ce, même dans les entreprises.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
5 Commentaires
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Virus Total est juste un systeme qui permet de vérifier la présence d'un virus dans les bases virales des éditeurs d'antivirus.
Signaler un abusLa détection comportementale et l'analyse heuristique n'est donc pas prise en compte par virus total. De nouveaux antivirus on fait leur apparition en se basant uniquement sur la détection des comportements suspect. Par exemple l'antivirus drweb katana.
Ensuite, il faut évaluer la résistance d'une antivirus aux virus : autrement dit dans quelle mesure un virus peut désactiver voire supprimer un antivirus. Et là, d'experience je peux vous dire qu'avast est très mauvais...
Enfin un antivirus peut surveiller et verrouiller les zones critiques cibles des attaques virales.
D'où la question a qui profite le crime ?
Une bonne solution est d'utiliser un antivirus gratuit (avira par exemple) et un pare-feu (uppersafe par exemple). Vous serez protégé dans votre entreprise mais il ne faut pas oublier que si vous sortez de l'entreprise vous devez également vous protéger....
Signaler un abusPourquoi un antivirus n'est pas du gaspillage.
Signaler un abusC’est déjà arrivé dans le passé, cela arrive encore aujourd’hui et cela se reproduira inévitablement dans l'avenir. Certaines sociétés qui ont besoin d'obtenir une couverture médiatique ou de la notoriété, publieront d’autres déclarations sur l’inutilité des antivirus, en fonction de leurs propres tests de dysfonctionnement.
Pour ce "test", Imperva s’est fondé sur le service VirusTotal. Ce service a certainement de l’intérêt, mais ne permet en aucun cas de servir de base pour un test de performances d’antivirus. En premier lieu, VirusTotal utilise uniquement les scanners en ligne gratuits des solutions des différents éditeurs du marché. Même si une nouvelle menace n'est pas détectée par le scanner en ligne, cela ne signifie pas qu’elle ne serait pas arrêtée par une autre fonctionnalité intégrée à la solution complète de sécurité. Aujourd’hui, il n'existe pas de fournisseur traditionnel qui offre uniquement à ses clients, la fonction d’analyse en ligne. Toutes les solutions modernes proposées sur le marché sont des suites de sécurité qui associent de nombreux composants supplémentaires, tels que l'Anti-Phishing, Anti-Rootkit, Anti-Spam, IDS, (H)IPS, etc. Ainsi, tous les types de technologies de sécurité ne se reflètent pas dans le résultat de VirusTotal.
En outre, certaines des solutions incluses dans VirusTotal sont configurées selon les paramètres demandés par l’éditeur, avec un niveau plus agressif dans l’analyse heuristique que dans la configuration par défaut officiellement proposée à l’utilisateur final. Cela peut conduire à une détection erronée, alors que la configuration par défaut n’aurait jamais permis de détecter la menace, de sorte que l’usage de VirusTotal peut s’avérer réellement trompeur pour comparer les performances entre les solutions.
Le fait d’employer différentes solutions qui opèrent avec des paramètres différents, entraîne inévitablement différents niveaux de traitement heuristique contradictoires. C’est une pratique courante au cours de tests anti-malwares, mais par la suite, ces paramètres différents sont le résultat de l'utilisation de ce qu'on appelle les configurations « out-of-the-box ». En d'autres termes, les éditeurs qui les ont définis les considèrent comme la meilleure configuration utilisateur. Il n'est pas déraisonnable de tester de cette manière, à la condition qu’il soit clair pour le public que ce qui est testé n'est pas un critère de détection absolue, mais une méthode de configuration. Une meilleure façon de tester globalement la détection est de modifier pour chaque solution le niveau d’analyse heuristique afin qu’il soit équivalent entre les différentes solutions.
Cependant, peaufiner certaines solutions plutôt que d’autres, revient à obtenir des résultats qui équivalent à comparer des pommes et des oranges. VirusTotal est impropre à la comparaison des solutions, car pour l'essentiel, c'est ce qu'il fait. Mais ceci est, bien entendu, logique puisque VirusTotal n’a pas été conçu pour réaliser des comparatifs.
L'importance de comparer des choses comparables dans un environnement de tests a déjà été décrite en 2008, dans un guide sur les principes fondamentaux de tests, édité dans un document de l’AMTSO (Anti-Malware Testing Standards Organization).
Par ailleurs, il n'est absolument pas correct de comparer les versions grands public avec celles qui sont dédiées aux entreprises. Imperva invite effectivement les entreprises à utiliser notamment le logiciel gratuit Avast. Bien qu'il n'y ait aucun mal à employer Avast, la version gratuite est exclusivement destinée à un usage privé et non aux entreprises. La plupart des versions gratuites spécifient clairement, lors de l’acceptation des conditions d’usage du logiciel pendant l’installation, que le logiciel ne doit pas être employé dans un cadre professionnel.
En effet, dans un environnement professionnel, les solutions antivirus sont notamment gérées à travers une console d’administration centralisée afin de pouvoir disposer d’un système de configuration et de reporting à l’échelle de l’entreprise.
D’autre part, dans les environnements d'entreprise, les seuils d’analyse heuristique peuvent être plus élevés que dans les versions gratuites dédiées au grand public. En d'autres termes, la détection heuristique dans un environnement d'entreprise est susceptible d'être moins agressif, afin de réduire le risque de faux positifs. Un faux positif dans un environnement d'entreprise peut rendre inopérant l'ensemble du réseau et causer des dommages préjudiciables ou provoquer parfois une gêne passagère qui peut être coûteuse. La plupart du temps, les seuils heuristiques sont beaucoup plus faibles pour les antivirus gratuits. Un faux positif est généralement considéré comme ayant un impact très faible, en revanche il apporte une information précieuse sur le degré de vulnérabilité pour la version professionnelle.
David Harley, chercheur chez ESET, a publié un document qui analyse en détail les problèmes qui apparaissent avec un test qui fait preuve d'une certaine incohérence entre l'objectif du test décrit et la méthode utilisée.
Julio Canto de VirusTotal / Hispasec Sistema et David Harley d’ESET ont écrit un article sur ce sujet, intitulé « Man, Myth, and Multi-Malware Scanning". Dans cet article apparaît la remarque suivante : « VirusTotal n'a pas été conçu comme un outil permettant d'effectuer des analyses comparatives d’antivirus, mais pour vérifier des échantillons suspects avec plusieurs moteurs de détection, et pour aider les laboratoires d’antivirus en transmettant les malwares qu’ils ont échoués à détecter. »
« Pourquoi ne pas utiliser VirusTotal : Ce service agrège un groupe de moteurs de détection très hétérogènes. Ainsi, les solutions d’antivirus peuvent implémenter des fonctionnalités à peu près équivalentes mais de manière extrêmement différentes, et VT n'exerce pas toutes les couches de fonctionnalités qui peuvent être présentes dans une solution moderne de sécurité. VirusTotal emploie la version de scan en ligne qui affecte également le contexte d'exécution, ce qui peut expliquer pourquoi la solution ne parvient pas à détecter une menace, alors qu’elle permettrait de la détecter dans un contexte plus réaliste. Il utilise les paramètres proposés par les éditeurs d’antivirus. Si l’on considère cela comme un (pseudo) test, alors cela signifie que l’on teste la manière employée par les éditeurs pour définir la configuration par défaut et, dans ce cas, l’objectif du test n’est pas la performance. Certains produits sont destinés à des passerelles qui sont configurées en fonction de présomptions très différentes de celles qui régissent la configuration des postes de travail. »
Conclusion
VirusTotal se décrit lui-même comme un outil et non comme une solution. Son fournisseur est une entreprise hautement collaborative, permettant à l'industrie et aux utilisateurs de s'entraider. Comme avec n'importe quels autres outils (en particulier ceux provenant de sites publiques qui proposent des multi-scans), il est mieux adapté à certains contextes que d'autres. Il peut être utilisé pour une recherche utile ou être utilisé à des fins pour lesquelles il n'a jamais été destiné, et le lecteur doit avoir un minimum de connaissances et de compréhension pour interpréter correctement les résultats. Avec des outils qui sont moins impartiaux à l'origine, et / ou moins largement documenté, le risque de malentendus et de mauvaise utilisation est encore plus grand.
Ce ne sont que quelques exemples illustrant pourquoi l'utilisation de VirusTotal pour un test d'antivirus est une mauvaise idée. Nos collègues de l'équipe de développement de la solution PrevX ont également lancé une discussion à ce sujet sur leur blog :
Pourquoi un antivirus n'est pas un gaspillage d'argent ? Le service, le support, les mises à jour en temps opportun, la recherche sur les menaces présentes et futures n’est pas du ressort des antivirus gratuits. En raison du temps consacré à ces produits gratuits, le développeur doit obtenir un certain retour sur son investissement (ROI). Le plus souvent, il l’obtient par l'installation de barres d’outils complémentaires payantes ou qui demandent des informations précises sur les goûts des utilisateurs afin de les monnayer à des bases de données. Ces programmes complémentaires, subventionnent ainsi le coût de développement de l’antivirus au détriment de la vie privée de l’utilisateur. En outre, une fois qu'un éditeur d’antivirus inclus une barre d'outils à leur offre gratuite, ils peuvent être poussés par le fournisseur de cette barre d’outils à exclure la détection d'autres produits logiciels de barres d'outils, qui peuvent être plus intrusif et franchir la ligne du gris au noir.
Les deux livres blancs suivants fournissent des informations supplémentaires sur ce type de logiciels douteux :
Il existe une fâcheuse tendance, en particulier dans le grand public, à considérer que les logiciels antivirus servent de champ de force magique qui protège l’ordinateur contre les esprits maléfiques et autres espions qui vont oeuvrer la nuit. Bien que ce soit parfois le cas, le logiciel antivirus est le plus souvent assimilable une assurance automobile : Vous préfèreriez vous en passer et ne pas l'acheter, mais quand un accident survient, vous serez heureux de l’avoir acquis avec le meilleur accompagnement possible.
Le test commandité par Imperva présente une vision faussée de l’efficacité des solutions de protection des postes de travail. Il n’a tenté, ni de reproduire précisément les conditions réelles de menaces, ni de permettre à l’ensemble des technologies de protection des produits testés d’être expérimentés ; et, à partir de là, il tire des conclusions trompeuses, qui ne sont basées que sur l’expérimentation d’un seul et unique aspect des produits.
Signaler un abusLes solutions modernes de protection des postes de travail utilisent plusieurs couches de technologies de défense contre une attaque. L’une de ses couches est un antivirus traditionnel à base de signature. Les tests d’antivirus à base de signature comme Virus Total ne concentrent leurs essais que sur cette couche de protection, mais sans s’intéresser aux autres couches. Elaborer des conclusions sur l’efficacité des solutions de protection des postes de travail et sur leur capacité à défendre un terminal contre une attaque, en ne se basant que sur les résultats d’une couche testée n’est pas représentatif de la réalité.
Ce test n’a été financé par aucune entreprise de sécurité informatique, et il présente un bon exemple d’une méthodologie respectant des conditions réelles, avec un testeur évaluant chaque produit grâce à des scénarios d’infection réaliste.
Signaler un abus"La société californienne estime que cette disposition devrait être assouplie afin de leur permettre d'acheter des produits gratuits à la place"
Il est clair qu'en ré-allouant les sommes dépensées pour des solutions payantes inefficaces, les entreprises pourraient acheter une infinité de produits gratuits !!!