Virus - Insignifiance des tests "On demand" des antivirus
Virus - Insignifiance des tests "On demand" des antivirus
Les véritables tests et tests comparatifs d'antivirus ou d'anti-trojans sont le fait d'organismes très spécialisés. Ils sont très coûteux et très longs à conduire, conditions complètement incompatibles avec les ressources financières et le rythme effreiné de travail de la presse informatique et, à fortiori, de quelques particuliers agissant en Webmaster de sites Internet et publiant des tests et des comparatifs conduits "très légèrement".
Les antivirus et les anti-trojans sont essentiellement constitués de 2 outils :
Les tests "on demand" sont-ils signifiants?
Les tests "on demand" (à la demande) sont les plus faciles à réaliser et les moins signifiants. Ils représentent la quasi totalité des tests comparatifs publiés. Ils consistent à disposer d'une collection de virus et autres parasites, d'appliquer dessus un scan antivirus et de compter les résultats. N'importe qui capable de se constituer une collection de malveillances (il suffit de capturer certains sites de collection) peut conduire ce genre de tests. Ces comparatifs sont ceux conduits par la presse informatique et par les sites.
Le scan (dit "on demand" - à la demande) est la fonction en "temps différé" des antivirus. Elle est totalement secondaire et permet de s'assurer que rien ne traîne sur une machine. La fonction "temps réel" des antivirus, la seule vitale, dite "on access", n'est pas du tout approchée par ce genre de tests. Cette derniere, et c'est surtout ce qui importe lors du choix d'un antivirus, mesure la réaction d'un antivirus lors de l'activation ou de l'activité d'un virus (lorsqu'il s'exécute ou tente de le faire).
L'archetype de ce genre de tests n'utilisant que la partie scanner "on demand", et pourtant rencontrant, malheureusement, un important écho dans le public, est celui du comparatif antivirus du site Clubic. Il est bien évident que nous ne devons pas tenir compte de ces tests ni d'aucun test de ce genre ni de la mise en comparaison des résultats de ces tests.
Clubic - Antivirus : dossier vérité
Publié le 1er avril 2003.
Lors de tests "on demand", les antivirus ou anti-trojans testés sont simplement confrontés à une collection de parasites dormant et autres malveillances. Ce genre de test "on demand" correspond au scan que l'on exécute épisodiquement avec ses utilitaires de sécurité installés ou en ligne (antivirus online - anti-trojans online). On découvre alors d'éventuels parasites dormants. Et alors ? La fonction première du scan n'est pas de découvrir les parasites, virus ou trojans, actifs, et, d'autre part, s'ils sont déjà actifs, c'est trop tard, raison pour laquelle les scan online sont simplement rassurants mais n'ont pas de réelle autre utilité.
Nous avons, ici, à Assiste.com, une collection de plus de 4.000 virus, backdoors, trojans, keyloggers et autres parasites directement sur un disque système. Ce n'est en rien gênant si on ne les ouvre pas (si on ne les lance pas). C'est exactement comme recevoir un virus en pièce jointe d'un e-mail : tant que l'e-mail n'est pas ouvert puis la pièce jointe, il ne se passe rien. Ces virus et trojans sont statiques, dormants. Ils ne sont absolument pas virulents. Ils sont très bien là où ils sont.
Les tests comparatifs se basant sur les scan "on demand" ne concernent donc que ces fonctions mineures de scan en temps différé des antivirus et des anti-trojans et permettent simplement de déterminer le degré d'exhaustivité des bases de signatures, rien de plus. Un scan "on demand" est une opération très peu protectrice, exécutée épisodiquement, qui permet de rassurer, sans plus. Cette confrontation "on demand" à une collection de virus ou trojans étant le test le plus facile à réaliser, c'est presque toujours ce critère qui est retenu pour monter un comparatif d'antivirus. Dans ce cas, il faut, au moins, que l'antivirus détecte 100% des virus de cette collection et que cette collection soit à jour. D'autre part, pour que cette collection ne favorise pas tel ou tel antivirus et que le test comparatif soit, un peu, significatif, il faut que cette collection soit totalement indépendante de tel ou tel éditeur d'antivirus.
Il faut signaler l'antivirus Viguard assez particulier - lire la page qui lui est consacrée.
Les antivirus et les anti-trojans sont essentiellement constitués de 2 outils :
- Un scanner à la demande ("On demand") travaillant sur l'ensemble de la base de signatures et analysant l'ensemble des objets d'un ordinateurs (fichiers, base de registre, zone MBR, zones ADS...) : c'est la demande d'analyse que vous faites de temps en temps pour balayer l'ensemble de vos supports.
- Un ou plusieurs modules qui s'interposent en temps réel ("On access"). Ils travaillent sur le comportement d'un objet (analyse heuristique, sandox, machine virtuelle...) et ses signatures, au moment où son ouverture est demandée par le système, juste avant qu'il ne soit ouvert et demande à monter en mémoire.
Les tests "on demand" sont-ils signifiants?
Les tests "on demand" (à la demande) sont les plus faciles à réaliser et les moins signifiants. Ils représentent la quasi totalité des tests comparatifs publiés. Ils consistent à disposer d'une collection de virus et autres parasites, d'appliquer dessus un scan antivirus et de compter les résultats. N'importe qui capable de se constituer une collection de malveillances (il suffit de capturer certains sites de collection) peut conduire ce genre de tests. Ces comparatifs sont ceux conduits par la presse informatique et par les sites.
Le scan (dit "on demand" - à la demande) est la fonction en "temps différé" des antivirus. Elle est totalement secondaire et permet de s'assurer que rien ne traîne sur une machine. La fonction "temps réel" des antivirus, la seule vitale, dite "on access", n'est pas du tout approchée par ce genre de tests. Cette derniere, et c'est surtout ce qui importe lors du choix d'un antivirus, mesure la réaction d'un antivirus lors de l'activation ou de l'activité d'un virus (lorsqu'il s'exécute ou tente de le faire).
L'archetype de ce genre de tests n'utilisant que la partie scanner "on demand", et pourtant rencontrant, malheureusement, un important écho dans le public, est celui du comparatif antivirus du site Clubic. Il est bien évident que nous ne devons pas tenir compte de ces tests ni d'aucun test de ce genre ni de la mise en comparaison des résultats de ces tests.
Clubic - Antivirus : dossier vérité
Publié le 1er avril 2003.
- il y manque des ténors incontournables comme Sophos
- il ne porte que sur un test passif dit "on-demand" (utilisation du simple scanner antivirus, la partie la plus simple et la moins interessante d'un antivirus) que pratiquement tout le monde peut conduire dès qu'il s'est constitué une bibliothèque de virus, mais pas du tout sur les seuls tests significatifs des antivirus : les tests en temps réel "on-access"
- le test ne porte absolument pas sur les capacités des antivirus à découvrir les virus qui se cachent en jouant avec les outils de compression : doubles et multiples compressions avec le même algorithme de compression (test de récurrence), doubles et multiples compressions avec des versions différentes du même algorithme, doubles et multiples compressions en utilisant plusieurs algorithmes différents dans plusieurs monde (DOS, Win16, Win32, Unix etc. ...) comme les compresseurs Windows 32 bits ASPack, NeoLite, PEPack, Petite, PkLite32, Shrinker, UPX, WWPack32, WinZip etc. ... les compresseurs DOS Diet, Ice, LzExe, PkLite, WWPack etc. ... Les compressions auto extractibles... Ceci doit se faire sur au moins un virus pour voir si l'antivirus est capable de le faire et en comparant la décompression obtenue à l'original pour voir si les décompresseurs implémentés dans l'antivirus sont de bonne qualité ou si la décompression obtenue est dégradée auquel cas le virus passera au travers de l'antivirus.
- le test ne porte pas sur l'entrée de ces virus par le protocole POP3 (Les virus se propageant par les systèmes de messagerie - dans le corps des messages ou en pièces jointes etc. ...) ce qui ne représente que la bagatelle de plus de 80% des pénétrations de virus !
- le test ne porte pas sur les voies d'accès autres (conversations on-line...)
- lors de la mise en comparaison des résultats des tests, les critères de classement sont mélangés à des critères subjectifs
- le test ne porte pas sur la détection des virus polymorphes
- le test ne porte pas sur la détection de virus actifs en mémoire
- etc. ...
Lors de tests "on demand", les antivirus ou anti-trojans testés sont simplement confrontés à une collection de parasites dormant et autres malveillances. Ce genre de test "on demand" correspond au scan que l'on exécute épisodiquement avec ses utilitaires de sécurité installés ou en ligne (antivirus online - anti-trojans online). On découvre alors d'éventuels parasites dormants. Et alors ? La fonction première du scan n'est pas de découvrir les parasites, virus ou trojans, actifs, et, d'autre part, s'ils sont déjà actifs, c'est trop tard, raison pour laquelle les scan online sont simplement rassurants mais n'ont pas de réelle autre utilité.
Nous avons, ici, à Assiste.com, une collection de plus de 4.000 virus, backdoors, trojans, keyloggers et autres parasites directement sur un disque système. Ce n'est en rien gênant si on ne les ouvre pas (si on ne les lance pas). C'est exactement comme recevoir un virus en pièce jointe d'un e-mail : tant que l'e-mail n'est pas ouvert puis la pièce jointe, il ne se passe rien. Ces virus et trojans sont statiques, dormants. Ils ne sont absolument pas virulents. Ils sont très bien là où ils sont.
Les tests comparatifs se basant sur les scan "on demand" ne concernent donc que ces fonctions mineures de scan en temps différé des antivirus et des anti-trojans et permettent simplement de déterminer le degré d'exhaustivité des bases de signatures, rien de plus. Un scan "on demand" est une opération très peu protectrice, exécutée épisodiquement, qui permet de rassurer, sans plus. Cette confrontation "on demand" à une collection de virus ou trojans étant le test le plus facile à réaliser, c'est presque toujours ce critère qui est retenu pour monter un comparatif d'antivirus. Dans ce cas, il faut, au moins, que l'antivirus détecte 100% des virus de cette collection et que cette collection soit à jour. D'autre part, pour que cette collection ne favorise pas tel ou tel antivirus et que le test comparatif soit, un peu, significatif, il faut que cette collection soit totalement indépendante de tel ou tel éditeur d'antivirus.
Il faut signaler l'antivirus Viguard assez particulier - lire la page qui lui est consacrée.
| Historique des révisions de ce document : |
|
29.10.2006 Up V4
|
Rédigé en écoutant :
Music
Music