Antivirus - Les tests comparatifs "On Demand"

Antivirus - Les tests comparatifs "On Demand" sont-ils significatifs ?

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clés :
virus, antivirus, analyses on demand,
analyses à la demande
 
 
Les véritables tests et tests comparatifs d'antivirus ou d'anti-trojans sont le fait d'organismes très spécialisés. Ils sont très coûteux et très longs à conduire, conditions complètement incompatibles avec les ressources financières et le rythme effreiné de travail de la presse informatique et, à fortiori, de quelques particuliers agissant en Webmaster de sites Internet et publiant des tests et des comparatifs conduits "très légèrement".

Les antivirus et les anti-trojans sont essentiellement constitués de 2 outils :
  • Un scanner à la demande ("On-demand") travaillant sur l'ensemble de la base de signatures et analysant l'ensemble des objets d'un ordinateurs (fichiers, base de registre, zone MBR, zones ADS...) : c'est la demande d'analyse que vous faites de temps en temps pour balayer l'ensemble de vos supports.

  • Un ou plusieurs modules qui s'interposent en temps réel ("On-access"). Ils travaillent sur le comportement d'un objet (analyse heuristique, sandbox, machine virtuelle...) et ses signatures, au moment où son ouverture est demandée par le système, juste avant qu'il ne soit ouvert et demande à monter en mémoire.
Les seuls tests que tout un chacun peut conduire sont ceux dits "On-demand". Ils permettent, au mieux, de vérifier l'exhaustivité de la base de signatures utilisée lors d'analyses "On-demand". De là à en tirer des tableaux comparatifs...

Les tests "on demand" sont-ils signifiants?
Les tests "On-demand" (à la demande) sont les plus faciles à réaliser et les moins signifiants. Ils représentent la quasi totalité des tests comparatifs publiés. Ils consistent à disposer d'une collection de virus et autres parasites, d'appliquer dessus une demande d'analyse et de compter les résultats. N'importe qui capable de se constituer une collection de malveillances (il suffit de capturer certains sites de collection) peut conduire ce genre de tests. Ces comparatifs sont ceux conduits par la presse informatique et par les sites Internet courants.

L'analyse (dite "On-demand" - à la demande) est la fonction en "temps différé" des antivirus. Elle est totalement secondaire et permet de s'assurer que rien ne traîne sur une machine. La fonction "temps réel" des antivirus, la seule vitale, dite "On-access", n'est pas du tout approchée par ce genre de tests. Cette derniere, et c'est surtout ce qui importe lors du choix d'un antivirus, mesure la réaction d'un antivirus lors de l'activation ou de l'activité d'un virus (lorsqu'il s'exécute ou tente de le faire).

L'archetype de ce genre de tests n'utilisant que la partie scanner "On-demand", et pourtant rencontrant, malheureusement, un important écho dans le public, est celui du comparatif antivirus du site Clubic. Il est bien évident que nous ne devons pas tenir compte de ces tests ni d'aucun test de ce genre.

Clubic - Antivirus : dossier vérité
Publié le 1er avril 2003.
  • il y manque des ténors incontournables comme Sophos

  • il ne porte que sur un test passif dit "On-demand" (utilisation du simple scanner antivirus, la partie la plus simple et la moins intéressante d'un antivirus) que pratiquement tout le monde peut conduire dès qu'il s'est constitué une bibliothèque de virus, mais pas du tout sur les seuls tests significatifs des antivirus : les tests en temps réel "On-access"

  • le test ne porte absolument pas sur les capacités des antivirus à découvrir les virus qui se cachent en jouant avec les outils de compression : doubles et multiples compressions avec le même algorithme de compression (test de récurrence), doubles et multiples compressions avec des versions différentes du même algorithme, doubles et multiples compressions en utilisant plusieurs algorithmes différents dans plusieurs monde (DOS, Win16, Win32, Unix etc. ...) comme les compresseurs Windows 32 bits ASPack, NeoLite, PEPack, Petite, PkLite32, Shrinker, UPX, WWPack32, WinZip etc. ... les compresseurs DOS Diet, Ice, LzExe, PkLite, WWPack etc. ... Les compressions auto extractibles... Ceci doit se faire sur au moins un virus pour voir si l'antivirus est capable de le faire et en comparant la décompression obtenue à l'original pour voir si les décompresseurs implémentés dans l'antivirus sont de bonne qualité ou si la décompression obtenue est dégradée auquel cas le virus passera au travers de l'antivirus.

  • le test ne porte pas sur l'entrée de ces virus par le protocole POP3 (Les virus se propageant par les systèmes de messagerie - dans le corps des messages ou en pièces jointes etc. ...) ce qui ne représente que la bagatelle de plus de 80% des pénétrations de virus !

  • le test ne porte pas sur les voies d'accès autres (conversations on-line...)

  • lors de la mise en comparaison des résultats des tests, les critères de classement sont mélangés à des critères subjectifs

  • le test ne porte pas sur la détection des virus polymorphes

  • le test ne porte pas sur la détection de virus actifs en mémoire

  • etc. ...

Lors de tests "On-demand", les antivirus ou anti-trojans testés sont simplement confrontés à une collection de parasites dormant et autres malveillances. Ce genre de test "On-demand" correspond au scan que l'on exécute épisodiquement (une fois par mois à une fois par trimestre, et encore...) avec ses utilitaires de sécurité installés ou en ligne (antivirus online - anti-trojans online). On découvre alors d'éventuels parasites dormants. Et alors ? La fonction d'analyse "On-demand" n'est pas de découvrir les parasites, virus ou trojans actifs. D'autre part, s'ils sont déjà actifs, c'est trop tard, raison pour laquelle les analyses "On-demand" (ce qui est le cas des analyses en ligne gratuites que nous vous offrons (Analyses antivirus gratuites en ligne)) sont simplement rassurantes mais n'ont pas de réelle autre utilité.

Nous avons, ici, à Assiste.com, une collection de plus de 4.000 virus, backdoors, trojans, keyloggers et autres parasites directement sur un disque système. Ce n'est en rien gênant si on ne les ouvre pas (si on ne les lance pas). C'est exactement comme recevoir un virus en pièce jointe d'un e-mail : tant que l'e-mail n'est pas ouvert puis la pièce jointe, il ne se passe rien. Ces virus et trojans sont statiques, dormants. Ils ne sont absolument pas virulents. Ils sont très bien là où ils sont.

Les tests comparatifs se basant sur les analyses " "On-demand"" ne concernent donc que ces fonctions mineures d'analyses en temps différé des antivirus et des anti-trojans et permettent simplement de déterminer le degré d'exhaustivité des bases de signatures, rien de plus. Une analyse " "On-demand"" est une opération très peu protectrice, exécutée épisodiquement, qui permet de rassurer, sans plus. La confrontation "On-demand"" à une collection de virus ou trojans étant le test le plus facile à réaliser, c'est presque toujours ce critère qui est retenu pour monter et publier un test comparatif. Dans ce cas, il faut, au moins, que l'antivirus détecte 100% des virus de cette collection et que cette collection soit à jour. D'autre part, pour que cette collection ne favorise pas tel ou tel antivirus et que le test comparatif soit, un peu, significatif, il faut que cette collection soit totalement indépendante de tel ou tel éditeur d'antivirus.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music