Retour d'experience sur avast

Bonjour,

A la lecture de ce forum il y a quelques mois, j'avais vu qu'avast
commençait à acquérir une certaine réputation. Je l'ai testé pendant
quelques mois sur plusieurs postes, tant en version "home" gratuite qu'en
version "managed", téléchargeable et en démo gratuite pour 2 mois.

C'est la première fois que je déployais un antivirus avec administration
centralisée, et cette fonctionnalité dans l'ADNM (Avast Distributed
Network Manager) est très bien gérée. A l'installation de l'ADNM sur
Windows 2003 Standard Edition, il m'a été proposée de mettre en place sur
notre propre serveur un miroir pour les mises à jour de bases virales.
L'opération, quoique un peu longue, a été très simple et le système
fonctionne à merveille, même sur des portables, qui se connectent
directement chez avast par Internet s'ils ne trouvent pas notre miroir.
J'ai également installé l'interface d'administration sur mon PC de
travail, et je peux ainsi administrer la configuration de l'ensemble des
antivirus de l'entreprise depuis mon bureau. J'ai aussi dans cette
interface une vision globale sur l'installation des mises à jour sur les
postes clients, et même sur leur configuration matérielle. Entre autres,
je peux paramétrer chez tout le monde, ou seulement sur certains postes en
créant des groupes, quels services (boucliers) d'avast seront lancés ; la
visibilité ou la protection par mot de passe du menu contextuel de l'icône
de la barre des tâches ; la fréquence des mises à jour ; la planification
d'un scan complet des disques durs, etc.

Mais il y a de sérieux revers à cet enchantement.

D'abord, la fonction de filtrage des e-mails, tout du moins dans sa
configuration par défaut, risque fréquemment de vous faire perdre des
messages légitimes. Il y a un scan heuristique des messages qui peut
bloquer leur téléchargement et vous demande confirmation de supprimer ou
non le message, alors que vous ne le voyez pas, puisqu'il n'est pas encore
téléchargé ! Sur ce point, il reste cependant possible de désactiver le
filtrage des mails, ce que j'ai très vite fait.

Ensuite, lorsque j'ai installé la dernière version "home", ce
week-end, sur un vieux poste sous Windows 98, j'ai eu du mal à faire
installer les mises à jour de base virale : j'ai du repasser par
l'installateur. Avant de trouver cette solution, je me suis énervé un
certain temps vu que l'exécutable de téléchargement des mises à jour
changeait à chaque tentative, générant une demande de confirmation de mon
pare-feu à chaque fois

Plus grave, une fois les mises à jour installées, j'ai lancé un scan
complet du disque, et il m'a trouvé des Sober-AB et des Sober-AB2 dans
les fichiers temporaires d'installation d'avast !!! Après les avoir mis en
quarantaine, j'ai scanné avec Stinger de McAffee et FixSbr de Symantec :
rien trouvé?

Il y a également des fonctionnalités à l'utilité douteuse.

Par exemple, la fonction Push, qui permet d'alerter l'AV de la mise à
disposition de nouvelles bases virales, et qui ne fait partie que des
versions "pro", fonctionne sur le mode suivant : Alwil Software envoie un
mail à chaque fois à l'adresse qu'on demande, et qui est lue par l'AV en
utilisant POP. Or vous savez certainement que pour lire un mail en POP, il
faut que le logiciel client aille vérifier régulièrement ce qu'il y a de
nouveau sur le serveur ce qui revient exactement au même que se
connecter régulièrement, et directement cette fois, au serveur contenant
les bases virales ! Sans commentaires.

Et à quoi sert le bouclier Web ? Dans la version Pro, il y a un module
"Blocage des scripts" en plus de ce "Bouclier Web" : ce n'est donc pas au
blocage des scripts qu'il sert. Je suppose qu'il se contente de scanner
les fichiers au moment du téléchargement par HTTP, un peu de la même
manière que le module "Courrier électronique" le fait lors du transfert
par POP ou SMTP, le module "Messagerie instantanée" lors du téléchargement
dans les logiciels tels que MSN/ICQ. Donc si j'ai bien compris, ces
modules scannent les fichiers de la même manière que le bouclier standard,
sauf qu'il s'y attaquent pendant le transfert, avant que le fichier ne
soit totalement écrit sur le disque (dans le cache du navigateur par
exemple) et donc scanné par le bouclier standard. J'en ai donc déduit
qu'il n'était pas très utile et l'ai désactivé. Mais je peux me tromper

Bref, n'y aurait-il pas un peu de poudre aux yeux dans tout ça ? Ca ne
fait pas très sérieux, et j'hésite fortement à continuer à le déployer

--
Stéphane FAURE
DFM
http://www.dfm.fr