08 mai 2025 | Texte: Markus Selinger | Antivirus pour Windows

Test ATP : résister aux agressions de ransomwares et de voleurs d'informations

Ils sont en tête des attaques : les ransomwares et les voleurs d'informations. Quand les attaques réussissent, on connaît la suite : chantage avec demande de rançon, les données sont proposées à la vente sur Internet, voire les deux. Tout ceci peut être évité avec un logiciel de sécurité efficace qui bloque immédiatement les attaques. Mais y parvient-il vraiment ? L’actuel test de protection avancé (test ATP) a mis au banc d’essais 25 suites de sécurité pour particuliers et entreprises et analysé leurs capacités de défense en live contre les ransomwares et les voleurs d'informations dans 10 scénarios. Le test Advanced Threat Protection montre que de nombreux fournisseurs tiennent leurs promesses. Toutefois, il révèle que certains produits commettent des erreurs lourdes de conséquences : les systèmes sont alors cryptés et les données dérobées.

25 produits de sécurité soumis au test ATP sous Windows –

les suites de sécurité pour utilisateurs finaux et entreprises interceptent les voleurs d’informations et les ransomwares

Le récit que font les personnes victimes d’attaques de ransomwares ou de voleurs de données est presque toujours le même : dès qu’un PC est contaminé dans un réseau, l’attaquant se propage rapidement et crypte presque tout ce qu’il y trouve, ou kidnappe les données. Sans sauvegardes et plans d’urgence, les entreprises en particulier se trouvent confrontées à de gros problèmes qui peuvent les entraîner jusqu’à la faillite, comme l’ont rapporté certains médias ces derniers temps.

Mais cette catastrophe peut être évitée si les particuliers ou les entreprises utilisent une bonne solution de protection qui neutralise les attaques, sans oublier d’autres mesures de protection telles que les mises à jour, les sauvegardes et les plans d’urgence.

Le test ATP actuel réalisé en janvier/février 2025 a évalué 25 solutions de protection pour utilisateurs particuliers et entreprises dans 10 scénarios en live au cours desquels 5 exemplaires de ransomwares et 5 de voleurs de données ont attaqué les systèmes Windows 10 en laboratoire. Dans le monde entier, près de 75 pour cent des PC fonctionnent avec un système d’exploitation Windows. Sur ces PC, Windows 10 atteint une proportion de près de 60 pour cent. Mais Windows 11 rattrape son retard de plus en plus vite et représente aujourd’hui près de 40 pour cent.

ATP : 25 produits de sécurité soumis au test en live

10 produits pour utilisateurs particuliers et 15 solutions de protection des entreprises et de leurs terminaux ont été soumis à ce test. Les suites de sécurité pour particuliers testées sont celles d’AhnLab, Avast, AVG, Avira, Bitdefender, ESET, F-Secure, G DATA, McAfee et Norton.

Du côté des produits pour entreprises, le laboratoire a testé les solutions d’AhnLab, Avast, Bitdefender (avec 2 versions), Crowdstrike, ESET, Kaspersky (avec 2 versions), Microworld, Qualys, Rapid7, Sophos, Symantec, Trellix et WithSecure.

Test ATP : 10 suites de sécurité pour utilisateurs particuliers

Dans le cadre du test Advanced Threat Protection sous Windows 10, beaucoup de suites antivirus démontrent qu’elles tiennent leurs promesses

Test ATP : 15 solutions de sécurité endpoint destinées aux entreprises

Dans le test détaillé Advanced Threat Protection sous Windows 10 avec 10 scénarios en live, de nombreuses solutions ont fait preuve d’une grande efficacité

Test ATP : 10 suites de sécurité pour utilisateurs particuliers

Test ATP : 15 solutions de sécurité endpoint destinées aux entreprises

Nombreux sont les fabricants de produits de sécurité qui ont obtenu la note maximale de 35 points à leur score de protection. Celui-ci se compose des résultats de 10 scénarios réels avec 5 ransomwares et 5 voleurs d'informations. Chaque ransomware neutralisé permet de remporter jusqu’à 3 points, chaque voleur d'informations jusqu’à 4 points. Pour chaque action de défense, le produit obtient un demi-point ou un point entier. Le laboratoire décrit toutes les actions dans une matrice suivant la norme MITRE ATT&CK. Une chose est intéressante dans ce test : même lorsqu’un produit ne reconnaît pas immédiatement l’attaquant, d’autres actions de défense peuvent intervenir et ainsi stopper l’attaque. Le test montre précisément à quelle étape ceci se produit – ou non.

Alors que beaucoup de produits ont enregistré un score de protection maximal de 35 points, 5 produits populaires ont tout de même rencontré des problèmes avec les attaquants et perdu de précieux points.

Scénarios et techniques d’attaque

Une technique d’attaque sous Windows bien spéciale a été utilisée dans les 10 scénarios de ce test ATP. Voici une explication technique de l’attaque.

UAC bypass : Le contrôle du compte de l’utilisateur (User Account Control, UAC) est une fonction de sécurité de Windows destinée à protéger le système d’exploitation de modifications non autorisées. Les attaquants peuvent contourner le mécanisme UAC pour étendre leurs privilèges et exécuter des tâches. Dans nos tests, nous installons un contournement de l’UAC en détournant l’interface IFileOperation COM pour copier ou déplacer des fichiers avec des privilèges élevés sans qu’une invite de commande UAC soit affichée. La méthode fonctionne en lançant un processus qui dispose déjà de privilèges élevés (un processus avec une fonction auto-elevate) comme mmc.exe, la commande pour la console de gestion Microsoft (MMC), dans le test. En conséquence, la DLL malveillante est chargée dans un processus élevé. Nous utilisons cet environnement pour exécuter notre maliciel d’attaque directement ou pour installer un service Windows contrôlé.

Les 10 scénarios utilisés pour le test

Tous les scénarios d’attaque sont documentés selon la norme de la base de données MITRE ATT&CK. Les différentes sous-rubriques, p. ex. « T1566.001 », correspondent dans la base de données Mitre à « Techniques » sous le point « Phishing: Spearphishing Attachment ». Ainsi, chaque étape du test est définie entre les spécialistes et peut être mieux retracée. De plus, toutes les techniques d’attaque sont expliquées, ainsi que la manière dont les logiciels malveillants opèrent.

Les résultats du test ATP sur les produits pour particuliers

Pour le test, les experts en sécurité ont mis sur le banc d’essai 10 produits d’AhnLab, Avast, AVG, Avira, Bitdefender, ESET, F-Secure, G DATA, McAfee et Norton. Beaucoup de produits ont réalisé une très bonne performance et repoussé les attaquants dans tous les scénarios. Ils obtiennent ainsi la totalité des points, soit 35 points pour leur score de protection.

Les produits d’AhnLab, Avast, AVG, Bitdefender, F-Secure, McAfee et Norton ont stoppé sans exception tous les attaquants dans les 10 scénarios, ce qui leur assure le score maximum de 35 points.

Au cours de ce test, Avira a détecté et stoppé 9 attaquants sans commettre une seule erreur. Mais un voleur de données a pu se faufiler sans être reconnu, accomplir son travail destructeur et voler les données. La suite a perdu 4 points, affichant un score final de 31 points seulement.

La suite d’ESET n’a pas non plus été en mesure de détecter ni de stopper un voleur de données et a perdu elle aussi les 4 points. Dans un autre scénario avec un ransomware, la détection a également échoué, mais d’autres mesures de protection ont été efficaces et l’attaque a été stoppée. ESET a tout de même perdu un point. Elle obtient donc un résultat final de 30 points sur 35.

La suite de G DATA a rencontré le problème suivant avec un voleur de données et un ransomware : elle n’a tout simplement pas détecté les attaquants, les données ont donc été volées et le système crypté. Il lui manque donc 7 points au résultat final qui s’élève à 28 points seulement.

Pour qu’un produit obtienne le certificat « Advanced Certified », décerné par AV-TEST, il doit atteindre au moins 75 pour cent (26,5 points) des 35 points maximum du score de protection à l’issue du test. Presque tous les produits y sont parvenus lors du test ATP de janvier/février 2025. G DATA est le seul à ne pas obtenir de certificat. Il a certes atteint le score nécessaire, mais seuls les produits qui sont certifiés lors des tests mensuels réguliers et qui remplissent les critères ici obtiennent le certificat.

Les résultats du test ATP sur les produits pour entreprises

Les solutions de protection des points de terminaison pour entreprises ont réalisé une solide performance au test en laboratoire contre les ransomwares et les voleurs d'informations. Sur les 15 produits testés, 13 ont fonctionné de manière irréprochable. Ils ont détecté et repoussé les 10 attaquants, remportant ainsi les 35 points au score de protection : AhnLab, Avast, Bitdefender (avec les deux versions), Crowdstrike, Kaspersky (avec les deux versions), Microworld, Qualys, Sophos, Symantec, Trellix et WithSecure.

Dans l’un des scénarios, la solution de Rapid7 n’a pas identifié le ransomware, celui-ci a donc pu crypter le système sans difficulté. Cette erreur a coûté 3 points. Dans un autre cas avec un voleur de données, l’attaquant a bien été détecté, mais pas stoppé. Le programme malveillant a pu scanner les données et les voler. Une défaillance qui a coûté 3,5 points. Rapid7 a donc achevé le test avec un faible score de 28,5 points sur 35.

Lors de ce test, la solution ESET s’est vue confrontée à une tâche difficile. Dans un cas d’attaque avec un voleur de données, la défense a failli et les données ont été dérobées – avec un retrait de 4 points. Dans 4 autres cas, la solution d’ESET a certes reconnu les attaquants, mais ne les a bloqués que partiellement. Des DLL malveillants ont donc été introduits dans les systèmes. D’autres mécanismes de défense ayant fonctionné, les attaques ont pu être complètement stoppées. Tout de même, ces erreurs ont coûté 4 fois un point, et ESET ne totalise donc que 27 points sur 35 au score de protection.

Pour qu’un produit obtienne le certificat « Advanced Approved Endpoint Protection » au test destiné aux entreprises, il doit atteindre au moins 75 pour cent (soit 26,5 points) des 35 points maximums du score de protection à l’issue du test. Presque tous les produits testés ont atteint cet objectif. Rapid7 est le seul à ne pas obtenir de certificat. Il a certes atteint le score nécessaire, mais seuls les produits qui sont certifiés lors des tests mensuels réguliers et qui remplissent les critères ici obtiennent le certificat.

Test ATP : scénarios modifiés – résultats variables

Le test ATP utilise à chaque fois de dangereux représentants de ransomwares et voleurs d'informations. Les techniques d’attaque utilisées varient elles aussi. C’est ce qui rend la comparaison des résultats d’un produit sur une année entière si intéressante. Au cours de ce test, certains produits ont rencontré des problèmes avec le programme malveillant et la technique bypass utilisée. Il est arrivé très souvent qu’un attaquant soit bien détecté, mais qu’il ne puisse être stoppé qu’à des étapes ultérieures. Le produit perd quelques points au test, mais l’utilisateur ou l’entreprise restent en tous les cas protégés.

Rares sont les cas où les produits de protection n’ont pas identifié les agresseurs ou ne les ont pas stoppés après les avoir détectés. Les résultats au score de protection en témoignent.

Néanmoins, la conclusion est claire : 7 produits pour particuliers et 13 solutions pour entreprises ont signé des performances de défense parfaites dans les 10 scénarios d'attaque et obtiennent une distinction méritée avec score maximum et certificat.