Les antivirus taclés pour leur nullité

Le par  |  18 commentaire(s)
iawacs-2010

Les résultats du concours PWN2KILL risquent de faire beaucoup parler. Sur quinze antivirus en lice, aucun n'a été capable de résister à plus de deux attaques notamment perpétrées par des étudiants en informatique.

iawacs-2010Pour la deuxième année consécutive vient de se dérouler le congrès iAWACS ( International Alternative Workshop on Aggressive Computing and Security ) à l'initiative de l'école d'ingénieurs ESIEA à Laval. En 2009, un concours organisé dans le cadre de cette conférence avait pointé du doigt les faiblesses de plusieurs antivirus grand public dont six avaient été désactivés en moins d'une heure suite à une attaque. Les résultats de ce concours avaient fait vertement réagir quelques grands noms de la sécurité informatique dont Kaspersky Lab qui avait dénoncé un test biaisé. Pour 2010, le concours PWN2KILL risque aussi de susciter quelques remous.

Cette fois-ci, il s'agissait d'évaluer quinze antivirus* dans des versions commerciales à l'exception d'Avast. En dépit des défenses érigées par ses solutions de sécurité, le but était l'infection d'un ordinateur fonctionnant sous Windows 7 avec un compte utilisateur. Pour plus de commodité, ce sont quinze machines virtuelles avec chacune un antivirus qui ont été proposées aux concurrents ( principalement des étudiants en  informatique ). Lors du concours, aucune nouvelle vulnérabilité du système d'exploitation ou de l'environnement n'a été exploitée.

Les participants ont apporté leur programmes malveillants dans une clé USB afin de les copier sur chacune des machines virtuelles. Ils ont alors lancé l'exécution du programme comme pourrait le faire par exemple un utilisateur, il est vrai peu prudent et trompé par un fichier qui se révèle ne pas être ce qu'il prétend. Le scénario a mis à contribution un panel de sept attaques ( sept concurrents ). Résultat : aucun antivirus n'a été en mesure de détecter plus de deux attaques, alors qu'une même attaque a été détecté par tous les antivirus.

Dans le document de synthèse de ce concours, la conclusion est sans appel. N'importe quel antivirus peut être outrepassé, et quelques-uns peuvent l'être trop facilement. Les arguments marketing des éditeurs d'antivirus sont dénoncés avec des budgets qui devraient plutôt être alloués à la Recherche & Développement.

Notre confrère 01net rapporte les propos d'Éric Filiol, directeur du centre de recherche de l'ESIEA et organisateur du concours. L'homme qui est également lieutenant-colonnel dans l'armée de Terre, fait preuve de son habituel franc-parler, ne se souciant guère de considérations marketing :

" Tous les antivirus sont à égalité dans la nullité. Ces résultats prouvent que la détection de signatures virales n'est plus suffisante. Le plus inquiétant est que sur une échelle de 1 à 10, le niveau technique moyen des attaques est de 4 environ. Face à des attaques plus sophistiquées, le résultat aurait été encore plus désastreux. Autre constat alarmant : une des attaques reposait sur un code malveillant de trois lignes, vieux de dix ans et montré sur YouTube. Or, il a mis K.O tous les antivirus ! "

Tout n'est peut être pas aussi noir que le laisse entendre Éric Filol, puisqu'avec le concours PW2KILL, la capacité de réaction des éditeurs à proposer rapidement un remède face à une nouvelle menace n'a pas été évaluée. La notion de temps réel en a toutefois pris un sacré coup derrière la tête.

Pour autant, il est toujours conseillé d'avoir recours à un antivirus qui écarte nombre de menaces et de tenir à jour son système d'exploitation et ses applications. La responsabilité de la sécurité informatique est néanmoins surtout mise dans les mains de l'utilisateur qui doit adopter un comportement raisonné en ayant conscience que des menaces guettent, antivirus ou pas... Il ne faut pas accorder pour l'heure une confiance aveugle à un antivirus.

Membre du jury de l'iAWACS 2010, Le magazine spécialisé Mag Securs propose son analyse des résultats du concours PWN2KILL.


* Avast (gratuit), AVG, Avira, BitDefender, Dr.Web, F-Secure, G-Data, Kaspersky, McAfee, Microsoft AV, Nod 32, Norton, Sophos, Safe 'N' Sec  et Trend Micro.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #637241
"Pour autant, il est toujours conseillé d'avoir recours à un antivirus qui écarte nombre de menaces et de tenir à jour son système d'exploitation et ses applications. "
L'hypothèse qui consisterait à ne pas utiliser un appeau à virus n'est pas écarter complètement non plus ...
Le #637251
Bonjour

"Tout n'est peut être pas aussi noir que le laisse entendre Éric Filol, puisqu'avec le concours PW2KILL, la capacité de réaction des éditeurs à proposer rapidement un remède face à une nouvelle menace n'a pas été évaluée. La notion de temps réel en a toutefois pris un sacré coup derrière la tête."

Il ne faut pas non plus avoir une confiance aveugle dans le discours marketing des éditeurs.

Le nombre de sigantures mises à jour est bidonné.
La preuve : http://securiteoff.blogspot.com/2010/05/les-chiffres-bidons-des-editeurs.html
Le #637271
On aurai aimé avoir une synthèse de la défense des editeurs
Le #637301
Un anti-virus qui tourne en permanence (en prenant peu de ressource) servant de filet de sécurité pour les utilisateurs qui font un peu n'importe quoi... C'est pour moi une pure utopie.

Un bon anti-virus, c'est pour moi une application qui tourne uniquement quand on lance un scan (et qui peut prendre 100% des ressources). Ce qu'il faudrait améliorer, c'est l'interface clavier/chaise.
Le #637311
Dans tous les cas, un antivirus doit rester un filet (c'est bien d'en avoir un mais il ne faut pas compter dessus) et non le moyen principale de se protéger des virus.
Le #637361
"une des attaques reposait sur un code malveillant de trois lignes, vieux de dix ans et montré sur YouTube. Or, il a mis K.O tous les antivirus ! "

Et generation-nt interpréte :
"la capacité de réaction des éditeurs à proposer rapidement un remède face à une nouvelle menace n'a pas été évaluée."

Vous êtes payés par qui au juste ?

Ce genre de test fait peur, mais combien de personnes ont des machines virtuelles chez eux ? se mettre en situation réelle ca aurait pu être bien.

Mais c'est vrai qu'un patch pour la couche réseau entre la chaise et le clavier ne serait pas du luxe.
Le #637511
comme toujours a qui profite le crime ?

donc ne réagissont pas trop fort......

et a nous les $$$
Le #637531
Un jour y'avais une boite d'antivirus indiqué qu'elle allait sortir un AV basé uniquement sur le nom de fichier et pas la signature.

Il n'a jamais vus le jour, certainement suite a la pression d'editeur.


Le #637621
Jymmy el loco >En même temps un antivirus qui se contente de regarder le nom des fichiers pour dire "c'est bon" ou "c'est infecté" ça aurait fait rire tous les connaisseurs même à l'époque des Atari et des Amiga.
S'ils avaient sortis un tel antivirus, ils se seraient payé la honte de leur carrière. Et d'ailleurs rien qu'à proposer ça, à part si c'était dans les années 70, ils ont du se payer une belle honte.
Le #637641
@lowje
"L'interface clavier/chaise"

Raisonnement inutile, c'est comme ci je disais que pour éviter les accidents de la route il faut améliorer l'interface accélérateur/volant
Cela ne fait rien avancer
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]