Antivirus désactivés : un test biaisé pour Kaspersky

Le par  |  10 commentaire(s)
logo kaspersky

Suite au récent concours de sécurité informatique organisé par l'ESIEA, l'éditeur Kaspersky Lab nous fait part de son point de vue très critique.

logo kasperskyLe " test consommateur " organisé dans le cadre du congrès iAWACS a révélé les faiblesses de six antivirus ( sur sept testés ) qui en moins d'une heure ont été désactivés pour ne plus réagir face à la menace d'un malware basique. Un concours vertement critiqué par Kaspersksy Lab France qui s'interroge sur la possibilité d'un coup médiatique.

L'éditeur russe s'étonne de n'avoir eu connaissance de ce concours qu'a posteriori, alors même que l'une de ses solutions en était l'objet, et d'attendre avec une certaine impatience les informations techniques qui seront prochainement remontées.

Mais le thème même du concours est déjà pointé du doigt, l'éditeur considérant que la possibilité de désactiver un antivirus ne constitue pas à l'heure actuelle une véritable menace, dans le sens où ce n'est pas quelque chose d'exploité par les cybercriminels.

iawacsL'éditeur reste dubitatif face à la démarche, d'autant que la désactivation de certaines fonctionnalités a été effectuée en local et non pas à distance ; une menace bien plus importante lorsqu'elle est par exemple mise à œuvre via un botnet. Dans le cas présent, cela reviendrait à ce que " l'administrateur soit complice des auteurs d'un malware ", nous a confié Jean-Philippe Bichard, porte-parole de Kaspersky Lab France.

Une autre critique est relative au fait que la méthodologie employée n'a pas été homogène, au profit d'une approche par éditeur. L'attaque en local a donc été perpétrée en fonction de la solution de sécurité que le participant au concours avait en face de lui. Pour Kaspersky, difficile dès lors de tirer des conclusions et de dire quel antivirus a le mieux réagi.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #539511
sauvons les meubles

j'aimerai bien le même test avec MSE, en qui je fais confiance en ce moment.
Le #539551
pour des antivirus "grand public", ils auraient pu mettre avira qui est quand meme très utilisé.
Le #539581
+1, je me suis dit la même chose sans oserr l'écrire. Pareil pour avast !
Le #539591
Ce test est bidon. Le gars était devant la machine en administrateur.

Dans cette configuration n'importe quel antivirus se désactive en quelques minutes... en passant par le menu ajout/suppression de programmes par exemple
Le #539611
En 2 secondes même, bouton droit sur l'icone dans la zone de notification, désactiver la protection en tps réel
Le #539661
Pretarian tu connais les détails du tests (ils ont précisés qu'ils ne donnaient pas les détails) ou les dires de Kapersky qui s'est fait ridiculisé.

Tu penses qu'une école d'ingé fait le buzz pour désactiver un antivirus comme administrateur ?
Le #539711
attend... les av peuvent se désactiver à distance, j'en ai fait l'amère expérience sur un poste client mais la personne vait installer un keygen, et empêche les mises a jour des av en modifiant le host que j'avais omis de mettre en lecture seul après une mise a jour (mea culpa).
Il n'empêche quen détection de rootkits, ils sont tous à l'ouest, quand tu vois qu'un simple malware désactive les services des av, ça fait peur.
quand il veut, je lui envois le malware à mr kasperky
Le #540041
Je trouve la réaction de cet éditeur pour le moins suprenante dans la mesure où je me demande si cela fait longtemps qu'ils ont vu comment fonctionne un virus. D'une part le fait d'être connecté à une machine a été choisi du fait que c'était plus simple. Mais ces attaques peuvent etre réalisées via un code à distance (shellcode exploitant une vulnérabilité) travaillant en ring 0 (on dirait que Kaspersky ignore ce qu'est le ring 0 et pire ce qu'est un shellcode). De plus la plupart des utilisateurs travaillent en tant qu'utilisateurs avec priviliges. Ensuite il s'agissait d'une répression à la volee (l'antivirus restant actif). Enfin je me demande à quoi cela sert de publier le détail technique des attaques pour recevoir des commentaires aussi biaisés voire stupides.
Quant à la spécificité de ces attaques, bon est il necessaire de rappeler l'utilité d'une fonction switch() case... en C et qui permet de faire un code générique capable de traiter tous les antivirus. Enfin cet éditeur devrait savoir que cela fait plusieurs années qu'il existe des malwares réalisant des attaques contre les antivirus.
Bref, ca m'énerve de voir autant de malhonneteté intellectuelle.
Pour conclure, quel que soit la portée du test, il permet pour la première fois dans un contexte donné d'avoir une mesure relative des AV entre eux et laquelle est reproductible. Les différents classements dont on nous gorge eux ne le sont pas.

Sans rancune Eugene car votre AV a qd meme plutot bien resiste et il est loin d'etre mauvais mais j'aurais voulu vous voir meilleur joueur.
Le #540211
C'est une réaction non pertinente et ridicule, je reprends le même commentaire que j'avais posté sur fr.comp.securite.virus au sujet de celle de Gdata: C'est une
argumentation à la Tegam, les éditeurs ont tout à perdre avec ce genre
de réaction.

http://groups.google.fr/group/fr.comp.securite.virus/msg/4dedaf1e7326bbbb?hl=fr

Mais oublions cet "incident", mes amitiés à Eugène.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]